汽车电子功能安全工程师必看!ISO 26262认证基本原理解析
功能安全
本文引用地址:http://www.amcfsurvey.com/article/201902/397739.htmISO 26262的目标是为所有汽车电子系统提供统一的安全标准。实现系统安全要求在机械、液压、气动、电气和电子系统等各种技术中实施若干安全措施,并且这些安全措施应用于开发过程的各个层面。
ISO 26262定义了各种汽车安全完整性等级(ASIL)——QM,A,B,C和D-,以帮助将所需的流程、开发工作和产品内功能安全机制映射到可接受的风险等级。这五个级别的严格范围涵盖从基本质量管理到故障可导致致命事故的系统的广泛范围。在后一种情况下,ASIL D要求汽车系统中的单点故障量(SPFM)小于1%。下面的表1提供了有关ASIL水平与故障指标的更多信息。
表1要实现ASIL D,系统中99%以上的单点故障必须由安全机制覆盖。ASIL B和C需要较少的覆盖范围。(资料来源:ISO 26262-5:2011,表4和表5内容来自ISO 26262-1:2011)
汽车SoC通过特定的硬件功能提供诊断覆盖,以确保符合ISO 26262标准。这些片上功能安全机制包括纠错码(ECC)、数据链路和内部存储器的奇偶校验保护等技术,通过智能互连结构智能复制处理元件,内置自测(BIST)和错误报告机制。
尽管ISO 26262关注的是E / E系统的功能安全性,但它实际上提供了一个框架,可以解决安全相关系统的整个生命周期。ISO 26262提供以下指导:
生命周期管理,产品开发,生产,运营,服务,退役以及在这些生命周期阶段定制必要的活动
根据危险的严重程度,暴露概率和可控性来应用安全要求,以避免不合理的风险
验证和确认措施,以确保足够和可接受的安全水平
与供应商关系的要求
所有这些看起来很复杂,但是通过关注三个主要方面,即“3P”,可以简化对ISO 26262的要求的理解:
人(People)
流程(Process)
产品(Product)
供应商必须向客户提供文档,详细说明其为准备符合标准的人员,流程和产品所采取的措施。有了“3P”在半导体IP市场中所起作用这一视角,SoC架构师和设计团队可以在选择合适的IP时做出明智的选择。了解IP供应商的组织和运营特征可以实现更好的芯片、更安全的汽车,以及更高效的开发能力。
图3:人员、流程和产品是ISO 26262功能安全活动的基础
功能安全涉及开发过程的所有部分,包括规范,设计,实现,集成,认证和验证,还包括生产,管理和服务流程。由于安全标准的特定要求,构建为汽车SoC设计IP的组织存在很大困难。客户资格认证和第三方ISO 26262认证所需的额外培训、评估、分析和文档可能会使汽车电子的IP开发增加大量费用。
必须在供应链上传达这些功能安全活动的证据。因此,为汽车半导体市场提供产品的每个组织都必须记录符合标准的开发活动。该文档内容必须涵盖相关人员、用于开发解决方案的流程,以及符合ISO 26262标准所需产品的分析。
人
朝着半导体IP的ISO 26262合规迈出的第一步是培训参与IP开发的人员。许多公司采取培训一小群人的“捷径”,通常是ISO 26262要求的功能安全管理员(FSM)和少数“安全工程师”。
然而,由于ISO 26262第2部分“功能安全管理”的要求,特别是条款5.4.2“安全文化”和5.4.3“权限管理”,要确保可持续的安全文化,团队成员具有与其职责相对应的足够技能、能力和资格,就要求在整个组织中广泛了解功能安全知识。这需要大量的员工培训。
ISO 26262个人培训和认证
虽然培训的主要对象是工程师,但还需要包括组织内参与产品开发和支持的其他人员,包括高管、营销人员、工程人员、文档团队、质量保证经理和应用工程师等。该组织指定和培训的职能安全经理(FSM)的任务是在所有参与产品开发的人员中推广安全文化,而FSM通常负责为所有这些员工提供内部或第三方培训。客户通常需要在ISO 26262中称为“集成商”的半导体IP以及第三方ISO 26262评估员提供员工功能安全培训证明。
作为实际实施的一个例子,超过50人的Arteris IP员工已通过ISO 26262咨询公司exida的ISO 26262功能安全从业者(FSP)培训和认证,该公司也是ANSI认证的ISO 26262标准认证机构。Arteris IP拥有经验丰富的FSM员工,不仅通过其广泛的ISO 26262培训计划,还通过建立功能安全流程来确保安全文化,确保整个半导体IP开发过程的质量。
流程
良好的流程对于避免系统故障至关重要。系统故障以可预测的方式与特定原因相关联,只能通过改变设计、制造、操作程序、文档或系统的其他相关因素来消除。简而言之,系统故障通常是被“设计到”系统中的,而质量流程有助于避免将故障设计到系统中。
因为我们是工程师,所以对ISO 26262流程的大部分注意力都集中在使用技术和软件工具来解决ISO 26262 Part 8称为“支持流程”的细节上。然而,这是错误的方法。
良好的安全流程或任何产品开发流程的关键不是专家使用和集成需求管理,变更管理,验证和开发过程的其他部分的工具,而是由所有员工持续使用质量管理系统(QMS)。
质量管理体系(QMS)
符合ISO 26262第8部分质量管理体系要求的任何流程都符合ISO 26262标准。但是,现有的软件、硬件和汽车系统开发QMS是最先进的,可以作为供应商流程的基础。
下面的表2提供了一些例子:
表2:符合ISO 26262的质量管理体系(QMS)的示例。资料来源:ISO 26262-8:2011
第三方评估公司为每个质量管理体系提供认证。然而,作为汽车供应链中的供应商,无论您是否已获得第三方流程认证,您的客户都将对您的流程进行独立审核。虽然伴随第三方流程认证的报告可以帮助您的客户评估您的流程,但您的客户仍有义务确认您是否符合ISO 26262。
可追溯性
可追溯性有助于实现ISO 26262合规性。
在芯片设计领域,大多数设计团队已经拥有最先进的系统,可以通过实施跟踪规范项目,然后再进行验证测试。但是,ISO 26262要求从安全相关要求及其实施的双向可追溯性,从概念阶段——ISO 26262第3部分到生产和操作——ISO 26262第7部分。这意味着质量保证(QA)测试结果可以通过其验证测试、实施、规范和要求来追溯。此外,配置、更改和文档需要保持最新,并且是可跟踪性信息链的一部分。
对于尚未开发出服务于汽车产品的半导体设计团队来说,这种可追溯性通常是陌生的。这些团队很难改变过去运作良好的规范实施和验证系统,以采用支持更广泛可追溯性的新系统。一种解决方案是实现可追溯性系统,该系统通过工程集成并“包装”现有的开发系统,以提供所需的可追溯性水平。
例如,Arteris IP一直使用Atlassian Jira问题跟踪工具作为其半导体IP和相关IP可配置软件的产品开发规范实施验证流程的核心。过去,基于Microsoft Word的市场需求文档(MRD),产品需求文档(PRD)和规范中的项目被用作Jira系统的输入并与工程开发任务相关联,跟踪其状态,并自动验证测试生成并记录。
图4:自动可追溯性工具提供了前向和后向可追溯性的方法,有助于变更管理
ISO 26262流程的底线是大多数针对汽车市场的公司必须执行以下操作:
选择符合ISO 26262标准的质量管理体系,使用它,并能够向第三方评估员和客户评估员解释您对它的使用。
实现更广泛的自动化可追溯性,涵盖质量保证、交付和支持的所有要求。
产品
如果供应商声称其产品“符合ISO 26262的安全要求”而没有首先培训其员工并记录其流程,那么它就不符合要求。一旦人员接受培训并且质量流程到位并正在使用,下一步就是根据ISO 26262分析产品,并向半导体集成商提供分析文档。对于半导体和半导体IP供应商而言,执行此分析需要记录一组商定的假设,因为芯片或IP供应商不会完全了解它将成为系统的一部分。
汽车芯片和IP:SEooC,AoU和ASIL定制
简而言之,ISO 26262分析的前提是“系统”是正在开发和分析的实体,而ISO 26262的第1部分将系统定义为“一组至少与传感器,控制器和执行器彼此相关的元件”。显然,芯片和用于制造它的IP不是符合ISO 26262标准的系统。那么,它们是什么呢?
芯片及其IP通常被看作(通常在设计时未知)系统的“元素”。虽然他们最终将成为整个系统的一部分,但其相关知识很难被100%理解,所以,芯片和IP被归类为ISO 26262中的特殊类型的元素,称为“SEooC”(Safety Elements out of Context)。SEooC要求IP提供商或集成商记录使用假设(AoU),其反映了IP的集成商/用户将使用的预期安全概念、安全要求和安全机制。
由于有很多关于SEooC、AoU以及芯片和IP定制的假设,ISO 26262要求IP供应商和芯片集成商就开发接口协议(DIA)达成一致,该协议定义了双方使用的假设和责任。DIA文件将解释来自IP供应商的ASIL定制以及这种定制背后的原因,以及对所有使用假设的解释。
故障模式和安全机制
产品内功能安全机制用于检测、缓解和纠正系统运行时由随机错误引起的故障。单事件效应(SEE)——由宇宙射线引起的电磁干扰和当它们与半导体相互作用时发射的电离能量——是产生随机错误的原因。这些随机错误可能具有瞬态或永久性影响。随机瞬态效应也称为“软错误”,包括单个位翻转(SBU),例如存储器单元或逻辑触发器中的“位翻转”,以及单个事件瞬变(SET),它们可能是电压故障,可能不会导致错误。还存在这些可以同时发生的情况,导致多个位扰乱(MBU)。由SEE引起的“硬错误”导致永久性损坏,包括单事件闩锁(SEL)、单事件烧毁(SEB)等。
图5:单事件效应(SEE)错误层次图
由于导致这些错误的原因是自然物理现象,并且是随机发生,因此检测并减轻其影响以实现和维持系统安全非常重要。为此,工程团队在其产品中开发特定安全技术特性。以下是这些功能的示例,也称为功能安全机制:
添加和检查添加到片上通信流量的奇偶校验或ECC位
复制逻辑并比较结果
三模冗余(TMR)或多数表决
通讯超时
验证操作正确性的硬件检查程序
安全控制器从整个系统收集错误消息,并在系统中进行更高级的通信
内置自检(BIST),适用于所有功能安全机制
图6:故障模式影响和诊断分析(FMEDA)包括使用故障注入分析安全机制,如BIST
我们已经描述了分析IP和芯片所需的假设,以及它们的故障模式和安全机制,下面将讨论实际的分析过程。
首先进行定性分析(FMEA),然后进行定量分析(FMEDA)
一旦设计团队了解其故障模式和功能安全机制,就可以执行并记录定性安全分析,称为故障模式影响和分析(FMEA)。FMEA是一种渐进的方法,用于识别设计中的所有可能的故障方式(故障模式)以及这些故障产生的后果。设计团队往往没有足够重视对其项目的定性分析,而是倾向于直接进入定量分析。这是错误的!正确执行FMEA是正确定义如何减轻故障的关键,也是用于验证FMEA定量分析的基础。
完成FMEA后,设计团队必须使用称为故障模式影响诊断分析(FMEDA)的定量分析进一步分析故障模式和安全机制。尽管可以估计大多数功能安全机制的诊断覆盖范围(即“保护”)的假设,但大多数半导体集成商都坚持使用故障注入技术来验证项目中实施的功能安全措施的诊断覆盖范围。需要详细了解IP实施,以确定必须注入故障的位置,以触发功能安全机制,以及最有效地观察机制输出的位置。
尽管故障注入分析对于验证FMEA很重要,但仅靠FMEDA是不够的。需要将其他技术一起用于验证使用故障注入无法轻易证明的诊断覆盖率。一个示例是验证使用假设,该假设定义了客户必须与元素一起集成的安全机制。这对于驻留在IP块之外的安全机制(例如时钟和电压监视器)非常常见。除了故障注入以验证FMEA之外,还可以使用的其他技术包括故障树分析(FTA)、相关故障分析(DFA)和引脚级FMEA。
由IP开发团队创建的FMEDA报告允许经过全面培训的安全管理人员审查有关遵守ISO 26262的所有信息。由IP提供商或半导体集成商聘请的第三方评估公司或咨询公司也可以审查分析和开发过程,以帮助评估功能安全合规性。
结论
在ISO 26262下满足汽车功能安全组件的标准是一个涉及供应商的人员,流程和产品的艰巨过程。创建满足这些需求的产品和技术需要运营和工程重点、强大的安全文化、管理承诺以及对时间和金钱的重大投资。如果供应商提供此类产品,则由集成商决定是否已采取超出产品级别的所有步骤来确定索赔是否有效。未能进一步调查将使集成商面临使用不符合评估和审核要求的组件的风险,这些组件是客户在供应链中进一步遵守ISO 26262要求所必需的。
依赖于有关安全目标的产品开发中涉及的人员、流程和分析的不完整信息的项目可能使进入新兴的乘用车电子系统设计的努力无效,包括ADAS和自动驾驶汽车的设计。电子系统集成商必须向汽车制造商提供证据,证明系统的所有组件都经过彻底评估,以验证其安全可靠的说法。如果不遵守标准、不传达如何遵循标准,可能会导致汽车供应商的额外工作或返工。
评论