汽車(chē)電子功能安全工程師必看!ISO 26262認證基本原理解析
功能安全
本文引用地址:http://dyxdggzs.com/article/201902/397739.htmISO 26262的目標是為所有汽車(chē)電子系統提供統一的安全標準。實(shí)現系統安全要求在機械、液壓、氣動(dòng)、電氣和電子系統等各種技術(shù)中實(shí)施若干安全措施,并且這些安全措施應用于開(kāi)發(fā)過(guò)程的各個(gè)層面。
ISO 26262定義了各種汽車(chē)安全完整性等級(ASIL)——QM,A,B,C和D-,以幫助將所需的流程、開(kāi)發(fā)工作和產(chǎn)品內功能安全機制映射到可接受的風(fēng)險等級。這五個(gè)級別的嚴格范圍涵蓋從基本質(zhì)量管理到故障可導致致命事故的系統的廣泛范圍。在后一種情況下,ASIL D要求汽車(chē)系統中的單點(diǎn)故障量(SPFM)小于1%。下面的表1提供了有關(guān)ASIL水平與故障指標的更多信息。
表1要實(shí)現ASIL D,系統中99%以上的單點(diǎn)故障必須由安全機制覆蓋。ASIL B和C需要較少的覆蓋范圍。(資料來(lái)源:ISO 26262-5:2011,表4和表5內容來(lái)自ISO 26262-1:2011)

汽車(chē)SoC通過(guò)特定的硬件功能提供診斷覆蓋,以確保符合ISO 26262標準。這些片上功能安全機制包括糾錯碼(ECC)、數據鏈路和內部存儲器的奇偶校驗保護等技術(shù),通過(guò)智能互連結構智能復制處理元件,內置自測(BIST)和錯誤報告機制。
盡管ISO 26262關(guān)注的是E / E系統的功能安全性,但它實(shí)際上提供了一個(gè)框架,可以解決安全相關(guān)系統的整個(gè)生命周期。ISO 26262提供以下指導:
生命周期管理,產(chǎn)品開(kāi)發(fā),生產(chǎn),運營(yíng),服務(wù),退役以及在這些生命周期階段定制必要的活動(dòng)
根據危險的嚴重程度,暴露概率和可控性來(lái)應用安全要求,以避免不合理的風(fēng)險
驗證和確認措施,以確保足夠和可接受的安全水平
與供應商關(guān)系的要求
所有這些看起來(lái)很復雜,但是通過(guò)關(guān)注三個(gè)主要方面,即“3P”,可以簡(jiǎn)化對ISO 26262的要求的理解:
人(People)
流程(Process)
產(chǎn)品(Product)
供應商必須向客戶(hù)提供文檔,詳細說(shuō)明其為準備符合標準的人員,流程和產(chǎn)品所采取的措施。有了“3P”在半導體IP市場(chǎng)中所起作用這一視角,SoC架構師和設計團隊可以在選擇合適的IP時(shí)做出明智的選擇。了解IP供應商的組織和運營(yíng)特征可以實(shí)現更好的芯片、更安全的汽車(chē),以及更高效的開(kāi)發(fā)能力。

圖3:人員、流程和產(chǎn)品是ISO 26262功能安全活動(dòng)的基礎
功能安全涉及開(kāi)發(fā)過(guò)程的所有部分,包括規范,設計,實(shí)現,集成,認證和驗證,還包括生產(chǎn),管理和服務(wù)流程。由于安全標準的特定要求,構建為汽車(chē)SoC設計IP的組織存在很大困難??蛻?hù)資格認證和第三方ISO 26262認證所需的額外培訓、評估、分析和文檔可能會(huì )使汽車(chē)電子的IP開(kāi)發(fā)增加大量費用。
必須在供應鏈上傳達這些功能安全活動(dòng)的證據。因此,為汽車(chē)半導體市場(chǎng)提供產(chǎn)品的每個(gè)組織都必須記錄符合標準的開(kāi)發(fā)活動(dòng)。該文檔內容必須涵蓋相關(guān)人員、用于開(kāi)發(fā)解決方案的流程,以及符合ISO 26262標準所需產(chǎn)品的分析。
人
朝著(zhù)半導體IP的ISO 26262合規邁出的第一步是培訓參與IP開(kāi)發(fā)的人員。許多公司采取培訓一小群人的“捷徑”,通常是ISO 26262要求的功能安全管理員(FSM)和少數“安全工程師”。
然而,由于ISO 26262第2部分“功能安全管理”的要求,特別是條款5.4.2“安全文化”和5.4.3“權限管理”,要確??沙掷m的安全文化,團隊成員具有與其職責相對應的足夠技能、能力和資格,就要求在整個(gè)組織中廣泛了解功能安全知識。這需要大量的員工培訓。
ISO 26262個(gè)人培訓和認證
雖然培訓的主要對象是工程師,但還需要包括組織內參與產(chǎn)品開(kāi)發(fā)和支持的其他人員,包括高管、營(yíng)銷(xiāo)人員、工程人員、文檔團隊、質(zhì)量保證經(jīng)理和應用工程師等。該組織指定和培訓的職能安全經(jīng)理(FSM)的任務(wù)是在所有參與產(chǎn)品開(kāi)發(fā)的人員中推廣安全文化,而FSM通常負責為所有這些員工提供內部或第三方培訓??蛻?hù)通常需要在ISO 26262中稱(chēng)為“集成商”的半導體IP以及第三方ISO 26262評估員提供員工功能安全培訓證明。
作為實(shí)際實(shí)施的一個(gè)例子,超過(guò)50人的Arteris IP員工已通過(guò)ISO 26262咨詢(xún)公司exida的ISO 26262功能安全從業(yè)者(FSP)培訓和認證,該公司也是ANSI認證的ISO 26262標準認證機構。Arteris IP擁有經(jīng)驗豐富的FSM員工,不僅通過(guò)其廣泛的ISO 26262培訓計劃,還通過(guò)建立功能安全流程來(lái)確保安全文化,確保整個(gè)半導體IP開(kāi)發(fā)過(guò)程的質(zhì)量。
流程
良好的流程對于避免系統故障至關(guān)重要。系統故障以可預測的方式與特定原因相關(guān)聯(lián),只能通過(guò)改變設計、制造、操作程序、文檔或系統的其他相關(guān)因素來(lái)消除。簡(jiǎn)而言之,系統故障通常是被“設計到”系統中的,而質(zhì)量流程有助于避免將故障設計到系統中。
因為我們是工程師,所以對ISO 26262流程的大部分注意力都集中在使用技術(shù)和軟件工具來(lái)解決ISO 26262 Part 8稱(chēng)為“支持流程”的細節上。然而,這是錯誤的方法。
良好的安全流程或任何產(chǎn)品開(kāi)發(fā)流程的關(guān)鍵不是專(zhuān)家使用和集成需求管理,變更管理,驗證和開(kāi)發(fā)過(guò)程的其他部分的工具,而是由所有員工持續使用質(zhì)量管理系統(QMS)。
質(zhì)量管理體系(QMS)
符合ISO 26262第8部分質(zhì)量管理體系要求的任何流程都符合ISO 26262標準。但是,現有的軟件、硬件和汽車(chē)系統開(kāi)發(fā)QMS是最先進(jìn)的,可以作為供應商流程的基礎。
下面的表2提供了一些例子:

表2:符合ISO 26262的質(zhì)量管理體系(QMS)的示例。資料來(lái)源:ISO 26262-8:2011
第三方評估公司為每個(gè)質(zhì)量管理體系提供認證。然而,作為汽車(chē)供應鏈中的供應商,無(wú)論您是否已獲得第三方流程認證,您的客戶(hù)都將對您的流程進(jìn)行獨立審核。雖然伴隨第三方流程認證的報告可以幫助您的客戶(hù)評估您的流程,但您的客戶(hù)仍有義務(wù)確認您是否符合ISO 26262。
可追溯性
可追溯性有助于實(shí)現ISO 26262合規性。
在芯片設計領(lǐng)域,大多數設計團隊已經(jīng)擁有最先進(jìn)的系統,可以通過(guò)實(shí)施跟蹤規范項目,然后再進(jìn)行驗證測試。但是,ISO 26262要求從安全相關(guān)要求及其實(shí)施的雙向可追溯性,從概念階段——ISO 26262第3部分到生產(chǎn)和操作——ISO 26262第7部分。這意味著(zhù)質(zhì)量保證(QA)測試結果可以通過(guò)其驗證測試、實(shí)施、規范和要求來(lái)追溯。此外,配置、更改和文檔需要保持最新,并且是可跟蹤性信息鏈的一部分。
對于尚未開(kāi)發(fā)出服務(wù)于汽車(chē)產(chǎn)品的半導體設計團隊來(lái)說(shuō),這種可追溯性通常是陌生的。這些團隊很難改變過(guò)去運作良好的規范實(shí)施和驗證系統,以采用支持更廣泛可追溯性的新系統。一種解決方案是實(shí)現可追溯性系統,該系統通過(guò)工程集成并“包裝”現有的開(kāi)發(fā)系統,以提供所需的可追溯性水平。
例如,Arteris IP一直使用Atlassian Jira問(wèn)題跟蹤工具作為其半導體IP和相關(guān)IP可配置軟件的產(chǎn)品開(kāi)發(fā)規范實(shí)施驗證流程的核心。過(guò)去,基于Microsoft Word的市場(chǎng)需求文檔(MRD),產(chǎn)品需求文檔(PRD)和規范中的項目被用作Jira系統的輸入并與工程開(kāi)發(fā)任務(wù)相關(guān)聯(lián),跟蹤其狀態(tài),并自動(dòng)驗證測試生成并記錄。

圖4:自動(dòng)可追溯性工具提供了前向和后向可追溯性的方法,有助于變更管理
ISO 26262流程的底線(xiàn)是大多數針對汽車(chē)市場(chǎng)的公司必須執行以下操作:
選擇符合ISO 26262標準的質(zhì)量管理體系,使用它,并能夠向第三方評估員和客戶(hù)評估員解釋您對它的使用。
實(shí)現更廣泛的自動(dòng)化可追溯性,涵蓋質(zhì)量保證、交付和支持的所有要求。
產(chǎn)品
如果供應商聲稱(chēng)其產(chǎn)品“符合ISO 26262的安全要求”而沒(méi)有首先培訓其員工并記錄其流程,那么它就不符合要求。一旦人員接受培訓并且質(zhì)量流程到位并正在使用,下一步就是根據ISO 26262分析產(chǎn)品,并向半導體集成商提供分析文檔。對于半導體和半導體IP供應商而言,執行此分析需要記錄一組商定的假設,因為芯片或IP供應商不會(huì )完全了解它將成為系統的一部分。
汽車(chē)芯片和IP:SEooC,AoU和ASIL定制
簡(jiǎn)而言之,ISO 26262分析的前提是“系統”是正在開(kāi)發(fā)和分析的實(shí)體,而ISO 26262的第1部分將系統定義為“一組至少與傳感器,控制器和執行器彼此相關(guān)的元件”。顯然,芯片和用于制造它的IP不是符合ISO 26262標準的系統。那么,它們是什么呢?
芯片及其IP通常被看作(通常在設計時(shí)未知)系統的“元素”。雖然他們最終將成為整個(gè)系統的一部分,但其相關(guān)知識很難被100%理解,所以,芯片和IP被歸類(lèi)為ISO 26262中的特殊類(lèi)型的元素,稱(chēng)為“SEooC”(Safety Elements out of Context)。SEooC要求IP提供商或集成商記錄使用假設(AoU),其反映了IP的集成商/用戶(hù)將使用的預期安全概念、安全要求和安全機制。
由于有很多關(guān)于SEooC、AoU以及芯片和IP定制的假設,ISO 26262要求IP供應商和芯片集成商就開(kāi)發(fā)接口協(xié)議(DIA)達成一致,該協(xié)議定義了雙方使用的假設和責任。DIA文件將解釋來(lái)自IP供應商的ASIL定制以及這種定制背后的原因,以及對所有使用假設的解釋。
故障模式和安全機制
產(chǎn)品內功能安全機制用于檢測、緩解和糾正系統運行時(shí)由隨機錯誤引起的故障。單事件效應(SEE)——由宇宙射線(xiàn)引起的電磁干擾和當它們與半導體相互作用時(shí)發(fā)射的電離能量——是產(chǎn)生隨機錯誤的原因。這些隨機錯誤可能具有瞬態(tài)或永久性影響。隨機瞬態(tài)效應也稱(chēng)為“軟錯誤”,包括單個(gè)位翻轉(SBU),例如存儲器單元或邏輯觸發(fā)器中的“位翻轉”,以及單個(gè)事件瞬變(SET),它們可能是電壓故障,可能不會(huì )導致錯誤。還存在這些可以同時(shí)發(fā)生的情況,導致多個(gè)位擾亂(MBU)。由SEE引起的“硬錯誤”導致永久性損壞,包括單事件閂鎖(SEL)、單事件燒毀(SEB)等。

圖5:?jiǎn)问录?SEE)錯誤層次圖
由于導致這些錯誤的原因是自然物理現象,并且是隨機發(fā)生,因此檢測并減輕其影響以實(shí)現和維持系統安全非常重要。為此,工程團隊在其產(chǎn)品中開(kāi)發(fā)特定安全技術(shù)特性。以下是這些功能的示例,也稱(chēng)為功能安全機制:
添加和檢查添加到片上通信流量的奇偶校驗或ECC位
復制邏輯并比較結果
三模冗余(TMR)或多數表決
通訊超時(shí)
驗證操作正確性的硬件檢查程序
安全控制器從整個(gè)系統收集錯誤消息,并在系統中進(jìn)行更高級的通信
內置自檢(BIST),適用于所有功能安全機制

圖6:故障模式影響和診斷分析(FMEDA)包括使用故障注入分析安全機制,如BIST
我們已經(jīng)描述了分析IP和芯片所需的假設,以及它們的故障模式和安全機制,下面將討論實(shí)際的分析過(guò)程。
首先進(jìn)行定性分析(FMEA),然后進(jìn)行定量分析(FMEDA)
一旦設計團隊了解其故障模式和功能安全機制,就可以執行并記錄定性安全分析,稱(chēng)為故障模式影響和分析(FMEA)。FMEA是一種漸進(jìn)的方法,用于識別設計中的所有可能的故障方式(故障模式)以及這些故障產(chǎn)生的后果。設計團隊往往沒(méi)有足夠重視對其項目的定性分析,而是傾向于直接進(jìn)入定量分析。這是錯誤的!正確執行FMEA是正確定義如何減輕故障的關(guān)鍵,也是用于驗證FMEA定量分析的基礎。
完成FMEA后,設計團隊必須使用稱(chēng)為故障模式影響診斷分析(FMEDA)的定量分析進(jìn)一步分析故障模式和安全機制。盡管可以估計大多數功能安全機制的診斷覆蓋范圍(即“保護”)的假設,但大多數半導體集成商都堅持使用故障注入技術(shù)來(lái)驗證項目中實(shí)施的功能安全措施的診斷覆蓋范圍。需要詳細了解IP實(shí)施,以確定必須注入故障的位置,以觸發(fā)功能安全機制,以及最有效地觀(guān)察機制輸出的位置。
盡管故障注入分析對于驗證FMEA很重要,但僅靠FMEDA是不夠的。需要將其他技術(shù)一起用于驗證使用故障注入無(wú)法輕易證明的診斷覆蓋率。一個(gè)示例是驗證使用假設,該假設定義了客戶(hù)必須與元素一起集成的安全機制。這對于駐留在IP塊之外的安全機制(例如時(shí)鐘和電壓監視器)非常常見(jiàn)。除了故障注入以驗證FMEA之外,還可以使用的其他技術(shù)包括故障樹(shù)分析(FTA)、相關(guān)故障分析(DFA)和引腳級FMEA。
由IP開(kāi)發(fā)團隊創(chuàng )建的FMEDA報告允許經(jīng)過(guò)全面培訓的安全管理人員審查有關(guān)遵守ISO 26262的所有信息。由IP提供商或半導體集成商聘請的第三方評估公司或咨詢(xún)公司也可以審查分析和開(kāi)發(fā)過(guò)程,以幫助評估功能安全合規性。
結論
在ISO 26262下滿(mǎn)足汽車(chē)功能安全組件的標準是一個(gè)涉及供應商的人員,流程和產(chǎn)品的艱巨過(guò)程。創(chuàng )建滿(mǎn)足這些需求的產(chǎn)品和技術(shù)需要運營(yíng)和工程重點(diǎn)、強大的安全文化、管理承諾以及對時(shí)間和金錢(qián)的重大投資。如果供應商提供此類(lèi)產(chǎn)品,則由集成商決定是否已采取超出產(chǎn)品級別的所有步驟來(lái)確定索賠是否有效。未能進(jìn)一步調查將使集成商面臨使用不符合評估和審核要求的組件的風(fēng)險,這些組件是客戶(hù)在供應鏈中進(jìn)一步遵守ISO 26262要求所必需的。
依賴(lài)于有關(guān)安全目標的產(chǎn)品開(kāi)發(fā)中涉及的人員、流程和分析的不完整信息的項目可能使進(jìn)入新興的乘用車(chē)電子系統設計的努力無(wú)效,包括ADAS和自動(dòng)駕駛汽車(chē)的設計。電子系統集成商必須向汽車(chē)制造商提供證據,證明系統的所有組件都經(jīng)過(guò)徹底評估,以驗證其安全可靠的說(shuō)法。如果不遵守標準、不傳達如何遵循標準,可能會(huì )導致汽車(chē)供應商的額外工作或返工。
評論