汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO26262安全标准要求,如果这些说法未能阐明用于制造汽车产品的人员和流程验证,则这些说法可能是不可靠的。如果系统设计人员未能仔细评估供应商的资质,他们就很难在汽车供应链中让客户接受其产品。
汽车供应链的参与者负责对每个供应商的产品进行自己的功能安全评估,同时考虑供应商记录的使用假设(AoU),描述供应商的产品如何用于汽车系统。供应商根据特定配置和用例来定制自己的分析,这些配置和用例有望与其集成商客户的配置相匹配。针对汽车系统中使用的元件的第三方 ISO 26262 认证可以帮助系统集成商执行此分析,但它不会取代集成商在其自己的使用环境中分析其供应商产品的义务。
本文探讨了 ISO 26262 认证的基本原理,该认证涉及设计功能安全的汽车电子系统所涉及的人员,流程和产品。最终目标是让开发团队,管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来,这将提供有关合规性的工作和成本的更多信息,还将使供应链成员之间的沟通更加有效。
不断变化的汽车行业:新电子设备和新进入者
所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链,以提供这些系统,以及产品满足这些安全要求的能力的证明。这种信息共享系统需要 IP 供应商、半导体 SoC 开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流,以确保所有关键组件符合 ISO 26262 指南、程序、培训水平、审核和评估。
然而,随着越来越多的机械部件转变为电子系统,汽车工业正在迅速发生变化。其结果是,过去由人类驾驶员执行的功能正在由先进的驾驶员辅助系统(ADAS)补充和替代,其正在演变为自动驾驶系统。这两个趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的希望正在刺激新进入者,参与到汽车电子系统的浪潮之中。
最近进入者可能缺乏根据 ISO 26262 功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准,但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估,然后才能将其集成到更大的系统中。
汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得 ISO 26262 认证。然而,大多数针对汽车用途的电子产品并非完整的独立系统,可以通过 ISO 26262 标准认证,并完全了解产品如何在车辆中集成和使用。因此,对于认真服务于该市场的任何开发团队而言,重要的是探索其供应商关于功能安全的声明,无论是否声明了认证。虽然第三方产品认证可以成为重要参考,但对任何组件的评估必须更深入,并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员,流程和产品进行评估,则可能导致客户拒绝。
为什么选择 ISO 26262?
国际标准组织(ISO)声明如下:
ISO 26262 旨在应用于安全相关系统,其包括一个或多个电气或电子(E / E)系统并且安装在批量生产的乘用车中。
ISO 26262 解决了 E / E 安全相关系统故障行为可能造成的危害,包括这些系统的相互作用。
第一原则:信息共享是关键
汽车系统的电气化在快速进行。这一趋势推动着创新,同时也吸引了更多投资、更多研发工作,以及汽车市场的新进入者。
许多新进入者可能不知道的是,遵守汽车安全标准要求通过供应链的每个部分共享信息。各级经验丰富的开发团队都受到这些标准的挑战,因为需求在不断变化,整个行业中只有少数专家可以指导项目完成这一过程。此外,半导体和软件供应链的参与者通常对其 IP 的开发方式及其工作原理保密。
供应商必须提供的信息包括具有安全目标的系统的每个元件的分析,教育和文档。供应链的每个成员都必须提供这些信息。半导体 IP 供应商向 SoC 的开发人员提供此信息,芯片设计团队使用这些信息来分析他们的定制系统,并将结果传递给 Tier-1 电子系统供应商。然后,这些一级供应商执行自己的分析并将结果发送给车辆制造商及其客户。
汽车供应链中的这些关系正变得越来越复杂,因为制造或设计自动驾驶应用芯片的传统半导体供应商现在有时与 Tier-1 电子系统设计人员和 OEM 竞争,他们可能正在自己制造或设计芯片。此外,Uber,Waymo 和 Apple 等新进入者正在设计自己的整套系统,尽管他们在汽车行业缺乏经验。ISO 26262 要求整个价值链中的高水平协作和信息共享,新进入者可能不熟悉这些。
复杂性要求更好的分析
整个汽车行业日益复杂,需要加强这些系统的安全性。现代汽车使用“线控”系统,例如线控油门,驾驶员推动加速器和传感器。踏板将电信号发送到电子控制单元(ECU),该电子系统取代了过去使用连接在加速踏板和机械节流控制板上的金属电缆。ECU 比机械方法更智能,因为它可以做更多分析工作,如发动机转速,车速和踏板位置,然后将命令传递给油门。
我们也可以看到,测试和验证线控油门系统比测试旧机械版本更困难。随着我们用电子系统,电动传动系统以及为汽车增加 ADAS 和自动驾驶功能取代机械系统,复杂性呈现爆炸式增长。ISO 26262 的目标是建立一个统一的功能安全标准,以满足所有汽车电子系统的需求。
驾驶员辅助、电力推进、车载动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。更大的技术复杂性、软件内容和机电一体化实施带来了系统硬件故障的更大风险,系统硬件故障是由系统开发期间的人为错误产生的。ISO 26262 提供了如何通过规定要求和流程来最小化风险的指导。
对于半导体 SoC 器件和 IP 的设计人员来说,与完整系统的指南相比,ISO 26262 合规性的要求更加抽象。因此,IP 开发人员必须对许多假设进行额外的分析,以确定集成到功能安全的汽车系统中的 IP 准备情况。
功能安全
ISO 26262 的目标是为所有汽车电子系统提供统一的安全标准。实现系统安全要求在机械、液压、气动、电气和电子系统等各种技术中实施若干安全措施,并且这些安全措施应用于开发过程的各个层面。
ISO 26262 定义了各种汽车安全完整性等级(ASIL)——QM,A,B,C 和 D-,以帮助将所需的流程、开发工作和产品内功能安全机制映射到可接受的风险等级。这五个级别的严格范围涵盖从基本质量管理到故障可导致致命事故的系统的广泛范围。在后一种情况下,ASIL D 要求汽车系统中的单点故障量(SPFM)小于 1%。下面的表 1 提供了有关ASIL 水平与故障指标的更多信息。
表1 要实现 ASIL D,系统中 99%以上的单点故障必须由安全机制覆盖。ASIL B 和 C 需要较少的覆盖范围。(资料来源:ISO 26262-5:2011,表 4和表 5 内容来自 ISO 26262-1:2011)
汽车 SoC 通过特定的硬件功能提供诊断覆盖,以确保符合 ISO 26262 标准。这些片上功能安全机制包括纠错码(ECC)、数据链路和内部存储器的奇偶校验保护等技术,通过智能互连结构智能复制处理元件,内置自测(BIST)和错误报告机制。
尽管 ISO 26262 关注的是 E / E 系统的功能安全性,但它实际上提供了一个框架,可以解决安全相关系统的整个生命周期。
ISO 26262 提供以下指导:
生命周期管理,产品开发,生产,运营,服务,退役以及在这些生命周期阶段定制必要的活动
- 根据危险的严重程度,暴露概率和可控性来应用安全要求,以避免不合理的风险
- 验证和确认措施,以确保足够和可接受的安全水平
- 与供应商关系的要求
所有这些看起来很复杂,但是通过关注三个主要方面,即“3P”,可以简化对 ISO 26262 的要求的理解:
- 人(People)
- 流程(Process)
- 产品(Product)
供应商必须向客户提供文档,详细说明其为准备符合标准的人员,流程和产品所采取的措施。有了“3P”在半导体 IP 市场中所起作用这一视角,SoC 架构师和设计团队可以在选择合适的 IP 时做出明智的选择。了解 IP 供应商的组织和运营特征可以实现更好的芯片、更安全的汽车,以及更高效的开发能力。
功能安全涉及开发过程的所有部分,包括规范,设计,实现,集成,认证和验证,还包括生产,管理和服务流程。由于安全标准的特定要求,构建为汽车 SoC 设计 IP 的组织存在很大困难。客户资格认证和第三方 ISO 26262 认证所需的额外培训、评估、分析和文档可能会使汽车电子的 IP 开发增加大量费用。
必须在供应链上传达这些功能安全活动的证据。因此,为汽车半导体市场提供产品的每个组织都必须记录符合标准的开发活动。该文档内容必须涵盖相关人员、用于开发解决方案的流程,以及符合 ISO 26262 标准所需产品的分析。
人
朝着半导体 IP 的 ISO 26262 合规迈出的第一步是培训参与 IP 开发的人员。许多公司采取培训一小群人的“捷径”,通常是 ISO 26262 要求的功能安全管理员(FSM)和少数“安全工程师”。
然而,由于 ISO 26262 第 2 部分“功能安全管理”的要求,特别是条款 5.4.2“安全文化”和 5.4.3“权限管理”,要确保可持续的安全文化,团队成员具有与其职责相对应的足够技能、能力和资格,就要求在整个组织中广泛了解功能安全知识。这需要大量的员工培训。
ISO 26262 个人培训和认证
虽然培训的主要对象是工程师,但还需要包括组织内参与产品开发和支持的其他人员,包括高管、营销人员、工程人员、文档团队、质量保证经理和应用工程师等。该组织指定和培训的职能安全经理(FSM)的任务是在所有参与产品开发的人员中推广安全文化,而 FSM 通常负责为所有这些员工提供内部或第三方培训。客户通常需要在 ISO 26262 中称为“集成商”的半导体 IP 以及第三方 ISO 26262 评估员提供员工功能安全培训证明。
作为实际实施的一个例子,超过 50 人的 Arteris IP 员工已通过 ISO 26262 咨询公司 exida 的 ISO 26262 功能安全从业者(FSP)培训和认证,该公司也是 ANSI 认证的 ISO 26262 标准认证机构。Arteris IP 拥有经验丰富的 FSM 员工,不仅通过其广泛的 ISO 26262 培训计划,还通过建立功能安全流程来确保安全文化,确保整个半导体IP 开发过程的质量。
流程
良好的流程对于避免系统故障至关重要。系统故障以可预测的方式与特定原因相关联,只能通过改变设计、制造、操作程序、文档或系统的其他相关因素来消除。简而言之,系统故障通常是被“设计到”系统中的,而质量流程有助于避免将故障设计到系统中。
因为我们是工程师,所以对 ISO 26262 流程的大部分注意力都集中在使用技术和软件工具来解决 ISO26262 Part 8 称为“支持流程”的细节上。然而,这是错误的方法。
良好的安全流程或任何产品开发流程的关键不是专家使用和集成需求管理,变更管理,验证和开发过程的其他部分的工具,而是由所有员工持续使用质量管理系统(QMS)。
质量管理体系(QMS)
符合 ISO 26262 第 8 部分质量管理体系要求的任何流程都符合 ISO 26262 标准。但是,现有的软件、硬件和汽车系统开发 QMS 是最先进的,可以作为供应商流程的基础。
下面的表 2 提供了一些例子:
第三方评估公司为每个质量管理体系提供认证。然而,作为汽车供应链中的供应商,无论您是否已获得第三方流程认证,您的客户都将对您的流程进行独立审核。虽然伴随第三方流程认证的报告可以帮助您的客户评估您的流程,但您的客户仍有义务确认您是否符合 ISO 26262。
可追溯性
可追溯性有助于实现 ISO 26262 合规性。
在芯片设计领域,大多数设计团队已经拥有最先进的系统,可以通过实施跟踪规范项目,然后再进行验证测试。但是,ISO 26262 要求从安全相关要求及其实施的双向可追溯性,从概念阶段——ISO26262 第 3 部分到生产和操作——ISO 26262 第 7 部分。这意味着质量保证(QA)测试结果可以通过其验证测试、实施、规范和要求来追溯。此外,配置、更改和文档需要保持最新,并且是可跟踪性信息链的一部分。
对于尚未开发出服务于汽车产品的半导体设计团队来说,这种可追溯性通常是陌生的。这些团队很难改变过去运作良好的规范实施和验证系统,以采用支持更广泛可追溯性的新系统。一种解决方案是实现可追溯性系统,该系统通过工程集成并“包装”现有的开发系统,以提供所需的可追溯性水平。
例如,Arteris IP 一直使用 Atlassian Jira 问题跟踪工具作为其半导体 IP 和相关 IP 可配置软件的产品开发规范实施验证流程的核心。过去,基于 Microsoft Word 的市场需求文档(MRD),产品需求文档(PRD)和规范中的项目被用作 Jira 系统的输入并与工程开发任务相关联,跟踪其状态,并自动验证测试生成并记录。
ISO 26262 流程的底线是大多数针对汽车市场的公司必须执行以下操作:
选择符合 ISO 26262 标准的质量管理体系,使用它,并能够向第三方评估员和客户评估员解释您对它的使用。
实现更广泛的自动化可追溯性,涵盖质量保证、交付和支持的所有要求。
产品
如果供应商声称其产品“符合 ISO 26262 的安全要求”而没有首先培训其员工并记录其流程,那么它就不符合要求。一旦人员接受培训并且质量流程到位并正在使用,下一步就是根据 ISO 26262 分析产品,并向半导体集成商提供分析文档。对于半导体和半导体 IP 供应商而言,执行此分析需要记录一组商定的假设,因为芯片或 IP 供应商不会完全了解它将成为系统的一部分。
汽车芯片和 IP:SEooC,AoU 和 ASIL 定制
简而言之,ISO 26262 分析的前提是“系统”是正在开发和分析的实体,而 ISO 26262 的第 1 部分将系统定义为“一组至少与传感器,控制器和执行器彼此相关的元件”。显然,芯片和用于制造它的 IP 不是符合 ISO 26262 标准的系统。那么,它们是什么呢?
芯片及其 IP 通常被看作(通常在设计时未知)系统的“元素”。虽然他们最终将成为整个系统的一部分,但其相关知识很难被 100%理解,所以,芯片和 IP 被归类为 ISO 26262 中的特殊类型的元素,称为“SEooC”(Safety Elements out of Context)。SEooC 要求 IP 提供商或集成商记录使用假设(AoU),其反映了 IP 的集成商 / 用户将使用的预期安全概念、安全要求和安全机制。
由于有很多关于 SEooC、AoU 以及芯片和 IP 定制的假设,ISO 26262 要求 IP 供应商和芯片集成商就开发接口协议(DIA)达成一致,该协议定义了双方使用的假设和责任。DIA 文件将解释来自 IP 供应商的 ASIL 定制以及这种定制背后的原因,以及对所有使用假设的解释。
故障模式和安全机制
产品内功能安全机制用于检测、缓解和纠正系统运行时由随机错误引起的故障。单事件效应(SEE)——由宇宙射线引起的电磁干扰和当它们与半导体相互作用时发射的电离能量——是产生随机错误的原因。这些随机错误可能具有瞬态或永久性影响。随机瞬态效应也称为“软错误”,包括单个位翻转(SBU),例如存储器单元或逻辑触发器中的“位翻转”,以及单个事件瞬变(SET),它们可能是电压故障,可能不会导致错误。还存在这些可以同时发生的情况,导致多个位扰乱(MBU)。由 SEE 引起的“硬错误”导致永久性损坏,包括单事件闩锁(SEL)、单事件烧毁(SEB)等。
由于导致这些错误的原因是自然物理现象,并且是随机发生,因此检测并减轻其影响以实现和维持系统安全非常重要。为此,工程团队在其产品中开发特定安全技术特性。以下是这些功能的示例,也称为功能安全机制:
- 添加和检查添加到片上通信流量的奇偶校验或 ECC 位
- 复制逻辑并比较结果
- 三模冗余(TMR)或多数表决
- 通讯超时
- 验证操作正确性的硬件检查程序
- 安全控制器从整个系统收集错误消息,并在系统中进行更高级的通信
- 内置自检(BIST),适用于所有功能安全机制
我们已经描述了分析 IP 和芯片所需的假设,以及它们的故障模式和安全机制,下面将讨论实际的分析过程。
首先进行定性分析(FMEA),然后进行定量分析(FMEDA)
一旦设计团队了解其故障模式和功能安全机制,就可以执行并记录定性安全分析,称为故障模式影响和分析(FMEA)。FMEA 是一种渐进的方法,用于识别设计中的所有可能的故障方式(故障模式)以及这些故障产生的后果。设计团队往往没有足够重视对其项目的定性分析,而是倾向于直接进入定量分析。这是错误的!正确执行 FMEA 是正确定义如何减轻故障的关键,也是用于验证 FMEA 定量分析的基础。
完成 FMEA 后,设计团队必须使用称为故障模式影响诊断分析(FMEDA)的定量分析进一步分析故障模式和安全机制。尽管可以估计大多数功能安全机制的诊断覆盖范围(即“保护”)的假设,但大多数半导体集成商都坚持使用故障注入技术来验证项目中实施的功能安全措施的诊断覆盖范围。需要详细了解 IP 实施,以确定必须注入故障的位置,以触发功能安全机制,以及最有效地观察机制输出的位置。
尽管故障注入分析对于验证 FMEA 很重要,但仅靠 FMEDA 是不够的。需要将其他技术一起用于验证使用故障注入无法轻易证明的诊断覆盖率。一个示例是验证使用假设,该假设定义了客户必须与元素一起集成的安全机制。这对于驻留在 IP 块之外的安全机制(例如时钟和电压监视器)非常常见。除了故障注入以验证 FMEA 之外,还可以使用的其他技术包括故障树分析(FTA)、相关故障分析(DFA)和引脚级FMEA。
由IP 开发团队创建的 FMEDA 报告允许经过全面培训的安全管理人员审查有关遵守 ISO 26262 的所有信息。由 IP 提供商或半导体集成商聘请的第三方评估公司或咨询公司也可以审查分析和开发过程,以帮助评估功能安全合规性。
结论
在ISO26262下满足汽车功能安全组件的标准是一个涉及供应商的人员,流程和产品的艰巨过程。创建满足这些需求的产品和技术需要运营和工程重点、强大的安全文化、管理承诺以及对时间和金钱的重大投资。如果供应商提供此类产品,则由集成商决定是否已采取超出产品级别的所有步骤来确定索赔是否有效。未能进一步调查将使集成商面临使用不符合评估和审核要求的组件的风险,这些组件是客户在供应链中进一步遵守 ISO 26262 要求所必需的。
依赖于有关安全目标的产品开发中涉及的人员、流程和分析的不完整信息的项目可能使进入新兴的乘用车电子系统设计的努力无效,包括 ADAS 和自动驾驶汽车的设计。电子系统集成商必须向汽车制造商提供证据,证明系统的所有组件都经过彻底评估,以验证其安全可靠的说法。如果不遵守标准、不传达如何遵循标准,可能会导致汽车供应商的额外工作或返工。
来源:由半导体行业观察翻译自
https://www.design-reuse.com/articles/44611/semiconductor-iso-26262-cert...
