半導體工程界的許多人是ISO26262功能安全標準和汽車行業(yè)的新手。本文解釋了半導體行業(yè)在汽車供應鏈中的角色變化,并試圖增強讀者對ISO26262標準各個方面的了解。本文還討論了該標準的適用性,不僅適用于電子產(chǎn)品,還適用于創(chuàng)建它們的人員和過程。
1.簡介
汽車半導體器件和電子系統(tǒng)的開發(fā)人員要提防:有些供應商聲稱他們的產(chǎn)品符合ISO26262安全標準要求,以便集成到乘用車的生產(chǎn)中,而沒有完全了解挑戰(zhàn)的本質(zhì)。如果這些聲明沒有考慮到用于制造汽車產(chǎn)品的人員和過程,那么這些聲明可能是膚淺的。如果系統(tǒng)設計人員未能仔細評估供應商的資格,則他們可能會面臨使他們的產(chǎn)品在汽車供應鏈中被客戶接受的風險。
汽車供應鏈中的參與者負責對每個供應商的產(chǎn)品進行自己的功能安全評估,同時要考慮其供應商的書面使用假設(AoU),該假設描述了預期在汽車系統(tǒng)中如何使用供應商的產(chǎn)品。供應商針對特定的配置和用例量身定制他們自己的分析,希望能與集成商客戶的分析和用例相匹配。用于汽車系統(tǒng)的元素1的第三方ISO 26262認證可以幫助系統(tǒng)集成商執(zhí)行此分析,但不能代替集成商在集成商自己使用的情況下分析其賣方產(chǎn)品的義務。
本文探討了涉及設計汽車功能安全電子系統(tǒng)的人員,過程和產(chǎn)品的ISO26262認證的基礎。最終目標是使開發(fā)團隊,管理人員和投資者更多地意識到遵守汽車安全標準的細節(jié)所涉及的責任。反過來,這將提供有關合規(guī)性方面的工作和成本的更多信息,還將使供應鏈成員之間的通信更加有效。
2.不斷變化的汽車行業(yè):新電子產(chǎn)品和新進入者
所有乘用車電子系統(tǒng)在集成到汽車制造商的產(chǎn)品中之前,必須滿足嚴格的安全要求。該行業(yè)的供應商已經(jīng)建立了完善的供應鏈,以交付這些系統(tǒng),并證明產(chǎn)品能夠滿足這些安全要求。此信息共享系統(tǒng)要求知識產(chǎn)權(IP)供應商,半導體片上系統(tǒng)(SoC)開發(fā)人員,組件供應商,軟件提供商,電子系統(tǒng)設計人員以及許多其他人員之間進行詳細的交換,以確保所有關鍵組件均符合ISO26262準則,程序,培訓水平,審核和評估。
圖奧迪的zFAS中央駕駛輔助控制器的關鍵部件1半導體為中心的供應鏈。
資料來源:奧迪;IHS Markit;Arteris IP
但是,隨著越來越多的機械特性過渡到電子系統(tǒng),汽車行業(yè)目前正在見證快速的變化。結(jié)果,人類駕駛員過去執(zhí)行的功能被高級駕駛員輔助系統(tǒng)(ADAS)補充,高級駕駛員輔助系統(tǒng)正在演變?yōu)樽詣玉{駛系統(tǒng)。這兩個趨勢正在推動汽車行業(yè)的經(jīng)濟增長和技術創(chuàng)新浪潮。市場快速增長的希望正在激發(fā)新的參與者,他們的目標是參與汽車行業(yè)的電子繁榮。
新進入者可能缺乏根據(jù)ISO26262功能安全標準開發(fā)和交付其產(chǎn)品的經(jīng)驗。盡管這些供應商可能聲明他們的產(chǎn)品已經(jīng)準備好符合汽車安全標準,但是在將產(chǎn)品集成到更大的系統(tǒng)中之前,供應鏈中的公司仍將需要對開發(fā)產(chǎn)品所涉及的人員和程序進行廣泛,仔細的審查和評估。 。重要的是要注意,ISO 26262標準適用于使產(chǎn)品與產(chǎn)品本身一樣重要的人員和過程。
汽車電子供應鏈參與者積極解決此問題的一種方法是,從獲得認可的評估機構(gòu)獲得ISO26262認證。但是,大多數(shù)面向汽車用途的電子產(chǎn)品并不是完整的獨立系統(tǒng),而這些獨立系統(tǒng)可以在完全了解產(chǎn)品如何在車輛中集成和使用的情況下通過ISO26262標準的認證。因此,對于任何認真服務于該市場的開發(fā)團隊來說,無論是否要求認證,都必須探索其供應商關于功能安全的主張,這一點很重要。盡管第三方產(chǎn)品認證可以作為此過程的一部分,但是對任何組件的評估都必須更深入,并且必須由公司使用和集成該產(chǎn)品來完成。未對供應商人員進行評估,
3.為什么選擇ISO 26262?
國際標準組織(ISO)規(guī)定如下:
ISO 26262旨在應用于與安全相關的系統(tǒng),這些系統(tǒng)包括一個或多個電氣或電子(E / E)系統(tǒng),并安裝在批量生產(chǎn)乘用車中。
ISO 26262解決了由E / E安全相關系統(tǒng)的故障行為(包括這些系統(tǒng)的相互作用)引起的潛在危害。
3.1。第一原則:信息共享是關鍵
車輛系統(tǒng)的電氣化一直在快速發(fā)展,無論是在汽車的總?cè)萘窟€是在先進的控制能力方面。這種趨勢推動了創(chuàng)新的迅猛發(fā)展,也吸引了更大的投資,更大的研發(fā)力度以及新的進入汽車市場的進入者。
這些新進入者可能不知道的是,遵守汽車安全標準要求在供應鏈的每個環(huán)節(jié)共享信息。每個級別的經(jīng)驗豐富的開發(fā)團隊都面臨這些標準的挑戰(zhàn),因為需求在不斷發(fā)展,并且整個行業(yè)中只有很少的專家可以在此過程中指導項目。此外,半導體和軟件供應鏈中的參與者通常對他們的IP如何開發(fā)以及它的詳細運作方式保密。
圖2:ADAS和自動駕駛系統(tǒng)價值鏈的以半導體為中心的視圖。資料來源:Arteris IP
供應商必須提供的信息包括對具有安全目標的系統(tǒng)的每個元素的分析,培訓和文檔。此信息必須由供應鏈的每個成員提供。半導體IP供應商將此信息提供給SoC器件的開發(fā)人員。芯片設計團隊使用此信息來分析其定制系統(tǒng),并將結(jié)果傳遞給Tier-1電子系統(tǒng)供應商。然后,這些一級供應商進行自己的分析,并將結(jié)果發(fā)送給車輛制造商及其客戶。
汽車供應鏈中的這些關系變得越來越復雜,因為制造或設計芯片以實現(xiàn)自動駕駛應用的傳統(tǒng)半導體供應商如今有時會與一級電子系統(tǒng)設計師和OEM競爭,后者可能正在制造自己的芯片或提供明確的對半導體供應商合作伙伴的要求。此外,Uber,Waymo和Apple等新進入者正在設計自己的完整系統(tǒng),盡管他們在汽車行業(yè)的經(jīng)驗相對不足。ISO 26262要求在整個價值鏈中進行高水平的協(xié)作和信息共享,這可能是新進入者所不熟悉的。
3.2。復雜性要求更好的分析
整個汽車行業(yè)的復雜性不斷提高,促使人們不斷努力提高這些系統(tǒng)的安全性。這是一個簡單的示例,說明在從機械系統(tǒng)到電子系統(tǒng)的過渡過程中如何影響安全分析:現(xiàn)代汽車使用“線控”系統(tǒng),例如線控油門,駕駛員將加速器和加速器上的傳感器推入踏板將電信號發(fā)送到電子控制單元(ECU)。該電子系統(tǒng)取代了過去的機械方法,即使用金屬電纜連接到油門踏板和機械油門控制板上。ECU比機械方法更智能:它分析了多種因素,例如發(fā)動機轉(zhuǎn)速,車速和踏板位置,然后將命令傳遞給節(jié)氣門。
即使在汽車系統(tǒng)電氣化的這個簡單示例中,我們也可以看到,測試和驗證線控油門系統(tǒng)比測試較舊的機械版本更加困難。隨著我們用電子系統(tǒng)取代機械系統(tǒng),電氣化傳動系統(tǒng),并為汽車增加了ADAS和自動駕駛功能,復雜性激增了。ISO26262的目標是擁有一個統(tǒng)一的功能安全標準,以解決所有這些汽車電子系統(tǒng)。
諸如駕駛員輔助,電動推進,車載動態(tài)控制以及主動和被動安全系統(tǒng)等新功能越來越多地涉及系統(tǒng)安全工程領域。更高的技術復雜性,軟件內(nèi)容和機電一體化實施帶來了系統(tǒng)性硬件故障的更大風險,這些故障是由系統(tǒng)開發(fā)過程中的人為錯誤造成的。ISO26262提供了有關如何通過規(guī)定要求和過程來最大程度地降低風險的指南。
對于半導體SoC器件和IP的設計人員,與完整系統(tǒng)指南相比,符合ISO 26262的要求更加抽象。因此,IP開發(fā)人員必須對許多假設進行額外的分析,以確定IP是否準備好集成到功能安全的汽車系統(tǒng)中。附錄A“ ISO 26262故障參考圖”提供了有關故障類別,故障分析類型以及討論這些內(nèi)容的ISO 26262標準各部分的更多信息。通過遵循最佳實踐并在整個組織中采用它們,公司可以提供所需的證據(jù),證明其IP是汽車系統(tǒng)的安全可靠組件。
4.功能安全活動
ISO 26262的目標是為所有汽車電子系統(tǒng)提供統(tǒng)一的安全標準。為了實現(xiàn)系統(tǒng)安全,需要在多種技術(例如機械,液壓,氣動,電氣和電子系統(tǒng))中實施幾種安全措施,并將這些安全措施應用于開發(fā)過程的各個級別。
ISO 26262定義了各種汽車安全完整性等級(ASIL)(QM,A,B,C和D),以幫助將所需的過程,開發(fā)工作和產(chǎn)品內(nèi)功能安全機制映射到可接受的風險等級。這五個嚴格級別涵蓋了從基本質(zhì)量管理到故障可能導致致命事故的系統(tǒng)的廣泛范圍。在后一種情況下,ASIL D要求汽車系統(tǒng)中的單點故障度量(SPFM)小于1%。下表1提供了更多有關ASIL級別與故障指標的信息。
表1為了達到ASIL D,系統(tǒng)中超過99%的單點故障必須由安全機制覆蓋。ASIL B和C要求的覆蓋范圍較小。資料來源:ISO 26262-5:2011,表4和5; ISO 26262-1:2011
| 公制 | 定義 | ASIL B | ASIL C | ASIL D |
| 單點故障指標(SPFM) | 單點故障:安全機制(1.111)未涵蓋的元素(1.32)中的故障(1.42),直接導致違反安全目標(1.108)。[來源:ISO 26262-1:2011 1.122]單點故障度量(SPFM)是一種硬件體系結(jié)構(gòu)度量,用于揭示安全機制的覆蓋范圍是否足以防止硬件體系結(jié)構(gòu)中單點故障的風險? 。 | ≥90% | ≥97% | ≥99% |
| 潛在故障指標(LFM) | 潛在故障:多點故障(1.77)未被安全機制(1.111)檢測到,也未被駕駛員在多點故障檢測間隔(1.78)內(nèi)察覺到。[來源:ISO 26262-1:2011 1.71]潛在故障量度(LFM)是一種硬件體系結(jié)構(gòu)量度,用于揭示安全機制的覆蓋范圍是否足以防止硬件體系結(jié)構(gòu)中潛在故障的風??險。 | ≥60% | ≥80% | ≥90% |
汽車SoC通過特定的硬件功能來提供診斷范圍,以確保符合ISO26262。這些片上功能安全機制包括諸如糾錯碼(ECC)以及數(shù)據(jù)鏈路和內(nèi)部存儲器的奇偶校驗保護之類的技術。通過智能互連結(jié)構(gòu)智能地復制處理元素;內(nèi)置自檢(BIST);和錯誤報告機制。
盡管ISO 26262與E / E系統(tǒng)的功能安全有關,但它實際上提供了解決安全相關系統(tǒng)整個生命周期的框架。ISO 26262提供以下指導:
- 在這些生命周期階段中,生命周期管理,產(chǎn)品開發(fā),生產(chǎn),運營,服務,退役和量身定制必要的活動
- 根據(jù)危害的嚴重性,暴露的可能性和可控制性來適用的安全要求,以避免不合理的殘留風險
- 驗證和確認措施,以確保足夠和可接受的安全級別
- 與供應商關系的要求
乍一看,所有這些工作都很繁瑣,但是可以通過關注三個主要領域(“ 3P”)來簡化ISO 26262的要旨:
- 人
- 處理
- 產(chǎn)品
供應商必須向客戶提供詳細說明組織為準備符合標準的人員,過程和產(chǎn)品而采取的步驟的文檔。憑借對“ 3 P”在半導體IP市場中的作用的廣泛了解,SoC架構(gòu)師和設計團隊可以在選擇合適的IP時做出明智的選擇。對IP提供商的組織和運營特征的了解可以帶來更好的芯片,更安全的乘用車和更有效的開發(fā)。
圖3:人員,過程和產(chǎn)品是ISO 26262功能安全活動的基礎。資料來源:Arteris IP
功能安全涉及開發(fā)過程的所有部分,包括規(guī)范,設計,實現(xiàn),集成,驗證和確認。它還包括生產(chǎn),管理和服務流程。由于安全標準的特殊要求,建立一個為汽車SoC設計IP的組織存在很大的難度。客戶資格和第三方ISO 26262認證所需的其他培訓,評估,評估,分析和文檔,可能會為汽車市場IP開發(fā)增加大量費用。
這些功能安全活動的證明必須在供應鏈中傳達。結(jié)果,每個向汽車半導體市場提供產(chǎn)品的組織都必須能夠證明開發(fā)活動符合該標準。該文檔涵蓋了相關人員,用于開發(fā)解決方案的過程以及對符合ISO 26262標準所需的產(chǎn)品進行的分析。
4.1。人
半導體IP符合ISO 26262的第一步是培訓IP開發(fā)相關人員。許多公司都采取“捷徑”方式來培訓一小部分人,通常是ISO 26262要求的功能安全經(jīng)理(FSM)和少數(shù)“安全工程師”。
但是,由于ISO 26262第2部分“功能安全的管理”(特別是第5.4.2節(jié)“安全文化”和第5.4.3節(jié)“能力管理”)的要求,這可能不足以滿足ISO 26262的精神。要確保團隊成員具有與他們的職責相對應的足夠技能,能力和資格的可持續(xù)安全文化,就需要在整個組織中廣泛了解功能安全知識。這需要大量的員工培訓。
4.1.1。針對個人的ISO 26262培訓和認證
在培訓涉及工程師的同時,它還需要包括組織內(nèi)參與產(chǎn)品開發(fā)和支持的其他人員。這可以包括高管,營銷人員,工程人員,文檔團隊,質(zhì)量保證經(jīng)理,應用工程師等。該組織的指派和受過培訓的職能安全經(jīng)理(FSM)的任務是在與產(chǎn)品開發(fā)有關的所有人員中建立牢固的安全文化,而FSM通常負責為所有這些員工提供內(nèi)部或第三方培訓。客戶(在ISO 26262中被稱為“集成商”)通常需要半導體IP以及第三方ISO 26262評估人員提供員工功能安全培訓的證明。
作為實際實施的一個示例,Arteris IP的50多名員工已通過ISO 26262咨詢公司exida的培訓并獲得了ISO 26262功能安全從業(yè)者(FSP)的認證,exida也是ISO 26262標準的ANSI認可的認證機構(gòu)。Arteris IP在員工方面擁有經(jīng)驗豐富的FSM,不僅通過其廣泛的ISO 26262培訓計劃,而且通過建立可確保整個半導體IP開發(fā)流程質(zhì)量的功能安全流程,來促進安全文化。附錄B“針對個人和團隊的個人ISO 26262培訓和認證課程”列出了員工培訓和認證的提供者。附錄C“在線ISO 26262培訓資源”是免費和低成本的在線入門培訓資源的列表。
4.2。處理
使用良好的流程對于避免系統(tǒng)性故障至關重要。系統(tǒng)故障以可預測的方式與特定原因相關,并且只能通過設計,制造,操作程序,文檔或系統(tǒng)其他相關因素的更改來消除。簡而言之,系統(tǒng)性故障被“設計”到系統(tǒng)中。質(zhì)量過程有助于避免將錯誤設計到系統(tǒng)中。
因為我們是工程師,所以對ISO 26262流程的大部分關注都集中在使用技術和軟件工具來解決標題為“支持流程”的ISO 26262第8部分的細節(jié)上。這是錯誤的方法。
良好的安全流程或任何產(chǎn)品開發(fā)流程的關鍵,不是專家使用和集成需求管理,變更管理,驗證以及開發(fā)過程其他部分的工具,而是持續(xù)使用質(zhì)量管理系統(tǒng)(QMS)的所有員工。
4.2.1。質(zhì)量管理體系(QMS)
滿足ISO 26262要求的任何符合ISO 26262第8部分質(zhì)量管理體系要求的過程都是可以接受的。但是,已經(jīng)有最先進的現(xiàn)有軟件,硬件和汽車系統(tǒng)開發(fā)QMS,它們可以成為供應商流程的基礎。
下表2提供了一些示例:
表2:符合ISO 26262的質(zhì)量管理系統(tǒng)(QMS)的示例。資料來源:ISO 26262-8:2011
| 質(zhì)量管理體系(QMS) | 歷史和相關性 |
| ISO 9001:2015 / IATF 16949:2016 | 用于任何汽車產(chǎn)品的設計,生產(chǎn)和維修的通用系統(tǒng)。非常廣泛,沒有針對半導體或軟件開發(fā)提供任何指導。是第1層最熟悉的QMS。 |
| ISO / IEC 15504汽車SPICE™ | 一個基于功能的系統(tǒng),以較早的CMM建模,并重點關注汽車嵌入式軟件(“ SPICE”代表軟件過程改進和功能確定)。 |
| CMMI-DEV® | 由卡內(nèi)基梅隆大學軟件工程學院(SEI)開發(fā)。可用于半導體和軟件開發(fā),并具有大量可公開獲得的資源。 |
第三方評估公司為每個質(zhì)量管理體系提供認證。但是,作為汽車供應鏈中的供應商,無論您是否獲得第三方過程認證,您的客戶都將對過程進行獨立審核。盡管隨附第三方過程認證的報告可以幫助您的客戶評估您的過程,但是您的客戶仍然有義務確認您是否符合ISO 26262。
就Arteris IP而言,該公司開發(fā)了用于汽車市場所用芯片內(nèi)部的半導體IP,該公司實施了CMMI®(能力成熟度模型®集成)開發(fā)(CMMI-DEV)質(zhì)量管理系統(tǒng)。該QMS為軟件和半導體IP開發(fā)提供了比任何其他系統(tǒng)更具體的指導,從而為更少的未定義或模棱兩可的過程區(qū)域規(guī)定了更相關且“嚴格”的開發(fā)準則。
4.2.2可追溯性
盡管選擇,使用和管理相關的質(zhì)量管理體系是與過程相關的最重要的ISO 26262活動,但是在某個領域中,技術和工具在很大程度上幫助實現(xiàn)了ISO 26262的合規(guī)性。該過程域是可追溯性。
在芯片設計領域,大多數(shù)設計團隊已經(jīng)擁有最先進的系統(tǒng),可以通過實施來跟蹤規(guī)格項目,然后進行驗證測試。但是,ISO 26262要求從概念階段(ISO 26262第3部分)到生產(chǎn)和運營(ISO 26262第7部分),對安全相關要求及其實施進行雙向追溯。這意味著質(zhì)量保證(QA)測試結(jié)果可以通過其驗證測試,實施,規(guī)格和要求進行追溯。同樣,配置,更改和文檔也必須保持最新,并且是可追溯性信息鏈的一部分。
對于半導體開發(fā)團隊來說,這種水平的可追溯性通常是陌生的,他們沒有開發(fā)用于汽車市場的產(chǎn)品。這些團隊很難改變過去運行良好的規(guī)范實施和驗證系統(tǒng),以采用支持更廣泛可追溯性的新系統(tǒng)。一種解決方案是實施可追溯性系統(tǒng),該系統(tǒng)集成并“包裝”工程中使用的現(xiàn)有開發(fā)系統(tǒng),以提供所需級別的可追溯性。
例如,Arteris IP一直使用Atlassian Jira問題跟蹤工具作為其針對半導體IP和相關IP可配置軟件的產(chǎn)品開發(fā)規(guī)格實現(xiàn)驗證過程的核心。過去,基于Microsoft Word的市場需求文檔(MRD),產(chǎn)品需求文檔(PRD)和規(guī)范中的項目用作Jira系統(tǒng)的輸入,并與工程開發(fā)任務相關聯(lián),在此跟蹤其狀態(tài)并自動進行驗證測試生成并記錄。
圖4自動化的可追溯性工具提供了向前和向后可追溯性的手段,同時有助于變更管理。資料來源:ISO 26262-2:2011
如今,由于需要滿足ISO 26262的更完整的可追溯性要求,Arteris IP使用來自Jama Software的系統(tǒng)執(zhí)行要求輸入和跟蹤,該系統(tǒng)鏈接到現(xiàn)有Jira系統(tǒng)中的項目和活動。結(jié)合了Jira和Jama系統(tǒng)的系統(tǒng)可以幫助Arteris IP團隊維持需求,規(guī)范項目,實施,驗證和質(zhì)量保證之間的鏈接,同時還可以解決變更管理的可追溯性和文檔自動化問題。
ISO 26262流程的底線是,大多數(shù)瞄準汽車市場的公司必須做到以下幾點:
- 選擇一個符合ISO 26262的質(zhì)量管理體系,并使用它,并能夠向第三方評估者和您客戶的評估者解釋您對它的使用。
- 實施更廣泛的自動化可追溯性,以覆蓋質(zhì)量保證,交付和支持等所有方面的要求。
4.3。產(chǎn)品
在這一點上,我們可以清楚地聲明,如果供應商聲稱其產(chǎn)品“滿足ISO 26262的安全要求”而沒有首先對其員工進行培訓并記錄其過程,則表明該產(chǎn)品不合規(guī)。一旦對人員進行了培訓并且質(zhì)量流程就位并得到使用,下一步就是按照ISO 26262分析產(chǎn)品,并將分析的文檔提供給半導體集成商。對于半導體和半導體IP供應商,執(zhí)行此分析需要記錄一組商定的假設,因為芯片或IP供應商將不完全了解將成為其一部分的系統(tǒng)。
4.3.1。汽車芯片和IP:SEooC,AoU和ASIL定制
簡而言之,就是這個問題:ISO 26262分析是基于以下假設:“系統(tǒng)”是正在開發(fā)和分析的實體,而ISO 26262的第1部分將系統(tǒng)定義為“與至少一個關聯(lián)的元素集”。傳感器,控制器和執(zhí)行器彼此之間。” 顯然,根據(jù)ISO 26262,芯片和用于制造該芯片的IP不是系統(tǒng)。那么,它們是什么?
芯片及其IP成分通常作為(通常在設計時未知的)系統(tǒng)的“元素”開發(fā)。由于尚未完全了解最終將要使用的完整系統(tǒng)的知識,因此芯片和IP在ISO 26262中被歸類為特殊類型的元素,特別是“上下文無關的安全元素”或“ SEooC”。對SEooC的分析要求IP提供商或集成商記錄使用假設(AoU),以反映IP集成商/用戶要使用的預期安全概念,安全要求和安全機制。
關于ISO 26262的哪些部分和條款與IP元素的實施和分析相關的其他假設記錄在稱為“定制”的過程中。另外,基于對最終系統(tǒng)的特性和安全目標的假設以及IP的經(jīng)過驗證的硬件指標(請參閱下面的FMEDA),執(zhí)行“ ASIL定制”以確定哪些元素配置可以滿足ASIL QM,A,B ,C或D要求。
由于關于SEooC,AoU以及針對芯片和IP的量身定制有許多假設,因此ISO 26262要求IP供應商和芯片集成商就開發(fā)接口協(xié)議(DIA)達成一致,以定義雙方使用的假設和責任。該DIA文件將說明IP供應商提供的ASIL定制以及該定制背后的原因,并說明所有使用假設。作為說明,Arteris IP提供了完整的DIA文件,解釋了與FlexNoC和Ncore產(chǎn)品相關的ASIL定制以及委托給客戶的預期責任,以及做出這些決定的理由。例如,由于Arteris IP在芯片中作為RTL組件實現(xiàn),
4.3.2。元素功能,故障模式和安全機制
產(chǎn)品內(nèi)功能安全機制用于檢測,緩解和糾正系統(tǒng)運行時由隨機錯誤引起的故障和失敗。單事件效應(SEE)是由宇宙射線和與半導體相互作用時發(fā)出的電離能引起的電干擾,是造成隨機誤差的原因。這些隨機錯誤可能具有暫時性(暫時性)或永久性影響。隨機瞬態(tài)效應(也稱為“軟錯誤”)的示例包括單個位翻轉(zhuǎn)(SBU),例如存儲單元或邏輯觸發(fā)器中的“位翻轉(zhuǎn)”,以及單個事件瞬變(SET),它們可能是電壓毛刺或可能不會導致錯誤。在某些情況下,這些事件可能同時發(fā)生,從而導致多位故障(MBU)。由SEE引起的“硬錯誤”導致永久損壞,包括單事件閂鎖(SEL),
圖5單事件效果(SEE)錯誤層次結(jié)構(gòu)圖。資料來源:Arteris IP;ISO / FDIS 26262第11部分; 捷發(fā)JESD89A
由于這些錯誤的原因是自然的物理現(xiàn)象,并且會隨機發(fā)生,因此檢測并減輕其影響以實現(xiàn)并維護系統(tǒng)安全非常重要。為此,工程團隊在其產(chǎn)品中開發(fā)特定于安全性的技術功能。以下是這些功能(也稱為功能安全機制)的示例:
- 添加并檢查添加到片上通信流量的奇偶校驗或ECC位
- 復制邏輯并比較結(jié)果
- 三重模式冗余(TMR)或多數(shù)表決
- 通訊超時
- 驗證操作正確性的硬件檢查器
- 安全控制器收集整個系統(tǒng)中的錯誤消息,加以理解,并在整個系統(tǒng)中進行更高程度的溝通
- 內(nèi)置自檢(BIST),用于所有功能安全機制
圖6故障模式影響和診斷分析(FMEDA)包括使用故障注入對安全機制(如BIST)進行的分析。資料來源:Arteris IP
現(xiàn)在,我們已經(jīng)描述了IP和芯片分析所需的假設,它們的故障模式和安全機制,現(xiàn)在我們將討論實際的分析過程。
4.3.3首先進行定性分析(FMEA),然后進行定量(FMEDA)…
一旦設計團隊了解了其元素功能,故障模式和功能安全機制,就可以執(zhí)行和記錄定性安全分析,稱為故障模式影響和分析(FMEA)。FMEA是一種分步方法,用于識別設計中所有可能的故障方式(故障模式)以及這些故障的后果(影響)。設計團隊通常對項目的定性分析沒有給予足夠的重視,而是傾向于直接進行定量分析。這是個錯誤!首先,正確執(zhí)行FMEA是正確定義如何減輕故障的關鍵,并且是后來用于驗證FMEA的定量分析的基礎。
完成FMEA之后,設計團隊必須使用稱為故障模式影響診斷分析(FMEDA)的定量分析進一步分析元素,故障模式和安全機制。盡管可以估計有關大多數(shù)功能安全機制的診斷范圍(即“保護”)的假設,但大多數(shù)半導體集成商都堅持要求IP供應商使用故障注入技術來驗證該項目中實施的功能安全措施的診斷范圍。需要了解IP實施的詳細知識,才能確定必須在何處注入故障以觸發(fā)功能安全機制,以及在何處應該最有效地觀察該機制的輸出。此外,復雜的時鐘方案和其他行為可能掩蓋可能影響安全性或顯示為“安全故障,
盡管故障注入分析??對于驗證FMEA很重要,但僅憑此不足以實現(xiàn)FMEDA。其他技術也被用來驗證診斷覆蓋率,而使用故障注入無法輕松證明這一點。一個示例是驗證使用假設,該定義定義了客戶必須與元素集成的安全機制。這對于駐留在IP塊外部的安全機制(例如時鐘和電壓監(jiān)視器)非常普遍。除故障注入外,還可以使用其他技術來驗證FMEA,包括故障樹分析(FTA),從屬故障分析(DFA)和引腳級FMEA。Arteris IP使用這些技術的組合來驗證其互連IP的定性FMEA,并將此分析作為FMEDA報告的一部分提供給集成商。
由IP開發(fā)團隊創(chuàng)建的FMEDA報告使經(jīng)過培訓的安全管理人員可以審查有關遵守ISO 26262的所有信息。由IP提供者或半導體集成商聘用的第三方評估公司或咨詢公司也可以審查分析和開發(fā)過程,以幫助評估功能安全合規(guī)性。
5.結(jié)論
滿足ISO 26262下的汽車市場功能??安全組件標準是一個艱巨而艱巨的過程,涉及供應商的人員,過程和產(chǎn)品。要創(chuàng)建滿足這些需求的產(chǎn)品和技術,需要專注于運營和工程,穩(wěn)健的安全文化,管理承諾以及對時間和金錢的大量投資。如果供應商提供了此類產(chǎn)品,則由集成商來確定供應商是否已采取產(chǎn)品級別以外的所有步驟來確定索賠是否有效。如果不進行進一步調(diào)查,則集成商將面臨使用無法承受其客戶在供應鏈上達到ISO 26262合規(guī)性所需的評估和審核的組件的風險。
依賴于涉及具有安全目標的產(chǎn)品開發(fā)中涉及的人員,過程和分析的不完整信息的項目可能會使進入乘用車(包括ADAS和自動駕駛汽車)的新興電子系統(tǒng)設計的努力無效。電子系統(tǒng)集成商必須向汽車制造商提供證明,已對系統(tǒng)的所有組件進行了全面評估,以驗證其安全可靠的說法。如果不了解和遵循標準,以及無法傳達遵循標準的方式,可能會導致汽車供應商進行額外的工作或返工。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu),儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
