汽車電子功能安全工程師必看！ISO 26262認證基本原理解析

　　功能安全

　　ISO 26262的目標是為所有汽車電子系統提供統一的安全標準。實現系統安全要求在機械、液壓、氣動、電氣和電子系統等各種技術中實施若干安全措施，并且這些安全措施應用于開發過程的各個層面。

　　ISO 26262定義了各種汽車安全完整性等級(ASIL)——QM，A，B，C和D-，以幫助將所需的流程、開發工作和產品內功能安全機制映射到可接受的風險等級。這五個級別的嚴格范圍涵蓋從基本質量管理到故障可導致致命事故的系統的廣泛范圍。在后一種情況下，ASIL D要求汽車系統中的單點故障量(SPFM)小于1%。下面的表1提供了有關ASIL水平與故障指標的更多信息。

　　表1要實現ASIL D，系統中99%以上的單點故障必須由安全機制覆蓋。ASIL B和C需要較少的覆蓋范圍。(資料來源：ISO 26262-5：2011，表4和表5內容來自ISO 26262-1：2011)

　　汽車SoC通過特定的硬件功能提供診斷覆蓋，以確保符合ISO 26262標準。這些片上功能安全機制包括糾錯碼(ECC)、數據鏈路和內部存儲器的奇偶校驗保護等技術，通過智能互連結構智能復制處理元件，內置自測(BIST)和錯誤報告機制。

　　盡管ISO 26262關注的是E / E系統的功能安全性，但它實際上提供了一個框架，可以解決安全相關系統的整個生命周期。ISO 26262提供以下指導：

　　生命周期管理，產品開發，生產，運營，服務，退役以及在這些生命周期階段定制必要的活動

　　根據危險的嚴重程度，暴露概率和可控性來應用安全要求，以避免不合理的風險

　　驗證和確認措施，以確保足夠和可接受的安全水平

　　與供應商關系的要求

　　所有這些看起來很復雜，但是通過關注三個主要方面，即“3P”，可以簡化對ISO 26262的要求的理解:

　　人(People)

　　流程(Process)

　　產品(Product)

　　供應商必須向客戶提供文檔，詳細說明其為準備符合標準的人員，流程和產品所采取的措施。有了“3P”在半導體IP市場中所起作用這一視角，SoC架構師和設計團隊可以在選擇合適的IP時做出明智的選擇。了解IP供應商的組織和運營特征可以實現更好的芯片、更安全的汽車，以及更高效的開發能力。

　　圖3：人員、流程和產品是ISO 26262功能安全活動的基礎

　　功能安全涉及開發過程的所有部分，包括規范，設計，實現，集成，認證和驗證，還包括生產，管理和服務流程。由于安全標準的特定要求，構建為汽車SoC設計IP的組織存在很大困難。客戶資格認證和第三方ISO 26262認證所需的額外培訓、評估、分析和文檔可能會使汽車電子的IP開發增加大量費用。

　　必須在供應鏈上傳達這些功能安全活動的證據。因此，為汽車半導體市場提供產品的每個組織都必須記錄符合標準的開發活動。該文檔內容必須涵蓋相關人員、用于開發解決方案的流程，以及符合ISO 26262標準所需產品的分析。

　　人

　　朝著半導體IP的ISO 26262合規邁出的第一步是培訓參與IP開發的人員。許多公司采取培訓一小群人的“捷徑”，通常是ISO 26262要求的功能安全管理員(FSM)和少數“安全工程師”。

　　然而，由于ISO 26262第2部分“功能安全管理”的要求，特別是條款5.4.2“安全文化”和5.4.3“權限管理”，要確?？沙掷m的安全文化，團隊成員具有與其職責相對應的足夠技能、能力和資格，就要求在整個組織中廣泛了解功能安全知識。這需要大量的員工培訓。

　　ISO 26262個人培訓和認證

　　雖然培訓的主要對象是工程師，但還需要包括組織內參與產品開發和支持的其他人員，包括高管、營銷人員、工程人員、文檔團隊、質量保證經理和應用工程師等。該組織指定和培訓的職能安全經理(FSM)的任務是在所有參與產品開發的人員中推廣安全文化，而FSM通常負責為所有這些員工提供內部或第三方培訓?？蛻敉ǔＰ枰贗SO 26262中稱為“集成商”的半導體IP以及第三方ISO 26262評估員提供員工功能安全培訓證明。

　　作為實際實施的一個例子，超過50人的Arteris IP員工已通過ISO 26262咨詢公司exida的ISO 26262功能安全從業者(FSP)培訓和認證，該公司也是ANSI認證的ISO 26262標準認證機構。Arteris IP擁有經驗豐富的FSM員工，不僅通過其廣泛的ISO 26262培訓計劃，還通過建立功能安全流程來確保安全文化，確保整個半導體IP開發過程的質量。

　　流程

　　良好的流程對于避免系統故障至關重要。系統故障以可預測的方式與特定原因相關聯，只能通過改變設計、制造、操作程序、文檔或系統的其他相關因素來消除。簡而言之，系統故障通常是被“設計到”系統中的，而質量流程有助于避免將故障設計到系統中。

　　因為我們是工程師，所以對ISO 26262流程的大部分注意力都集中在使用技術和軟件工具來解決ISO 26262 Part 8稱為“支持流程”的細節上。然而，這是錯誤的方法。

　　良好的安全流程或任何產品開發流程的關鍵不是專家使用和集成需求管理，變更管理，驗證和開發過程的其他部分的工具，而是由所有員工持續使用質量管理系統(QMS)。

　　質量管理體系(QMS)

　　符合ISO 26262第8部分質量管理體系要求的任何流程都符合ISO 26262標準。但是，現有的軟件、硬件和汽車系統開發QMS是最先進的，可以作為供應商流程的基礎。

　　下面的表2提供了一些例子：

　　表2：符合ISO 26262的質量管理體系(QMS)的示例。資料來源：ISO 26262-8：2011

　　第三方評估公司為每個質量管理體系提供認證。然而，作為汽車供應鏈中的供應商，無論您是否已獲得第三方流程認證，您的客戶都將對您的流程進行獨立審核。雖然伴隨第三方流程認證的報告可以幫助您的客戶評估您的流程，但您的客戶仍有義務確認您是否符合ISO 26262。

　　可追溯性

　　可追溯性有助于實現ISO 26262合規性。

　　在芯片設計領域，大多數設計團隊已經擁有最先進的系統，可以通過實施跟蹤規范項目，然后再進行驗證測試。但是，ISO 26262要求從安全相關要求及其實施的雙向可追溯性，從概念階段——ISO 26262第3部分到生產和操作——ISO 26262第7部分。這意味著質量保證(QA)測試結果可以通過其驗證測試、實施、規范和要求來追溯。此外，配置、更改和文檔需要保持最新，并且是可跟蹤性信息鏈的一部分。

　　對于尚未開發出服務于汽車產品的半導體設計團隊來說，這種可追溯性通常是陌生的。這些團隊很難改變過去運作良好的規范實施和驗證系統，以采用支持更廣泛可追溯性的新系統。一種解決方案是實現可追溯性系統，該系統通過工程集成并“包裝”現有的開發系統，以提供所需的可追溯性水平。

　　例如，Arteris IP一直使用Atlassian Jira問題跟蹤工具作為其半導體IP和相關IP可配置軟件的產品開發規范實施驗證流程的核心。過去，基于Microsoft Word的市場需求文檔(MRD)，產品需求文檔(PRD)和規范中的項目被用作Jira系統的輸入并與工程開發任務相關聯，跟蹤其狀態，并自動驗證測試生成并記錄。

　　圖4：自動可追溯性工具提供了前向和后向可追溯性的方法，有助于變更管理

　　ISO 26262流程的底線是大多數針對汽車市場的公司必須執行以下操作：

　　選擇符合ISO 26262標準的質量管理體系，使用它，并能夠向第三方評估員和客戶評估員解釋您對它的使用。

　　實現更廣泛的自動化可追溯性，涵蓋質量保證、交付和支持的所有要求。

　　產品

　　如果供應商聲稱其產品“符合ISO 26262的安全要求”而沒有首先培訓其員工并記錄其流程，那么它就不符合要求。一旦人員接受培訓并且質量流程到位并正在使用，下一步就是根據ISO 26262分析產品，并向半導體集成商提供分析文檔。對于半導體和半導體IP供應商而言，執行此分析需要記錄一組商定的假設，因為芯片或IP供應商不會完全了解它將成為系統的一部分。

　　汽車芯片和IP：SEooC，AoU和ASIL定制

　　簡而言之，ISO 26262分析的前提是“系統”是正在開發和分析的實體，而ISO 26262的第1部分將系統定義為“一組至少與傳感器，控制器和執行器彼此相關的元件”。顯然，芯片和用于制造它的IP不是符合ISO 26262標準的系統。那么，它們是什么呢?

　　芯片及其IP通常被看作(通常在設計時未知)系統的“元素”。雖然他們最終將成為整個系統的一部分，但其相關知識很難被100%理解，所以，芯片和IP被歸類為ISO 26262中的特殊類型的元素，稱為“SEooC”(Safety Elements out of Context)。SEooC要求IP提供商或集成商記錄使用假設(AoU)，其反映了IP的集成商/用戶將使用的預期安全概念、安全要求和安全機制。

　　由于有很多關于SEooC、AoU以及芯片和IP定制的假設，ISO 26262要求IP供應商和芯片集成商就開發接口協議(DIA)達成一致，該協議定義了雙方使用的假設和責任。DIA文件將解釋來自IP供應商的ASIL定制以及這種定制背后的原因，以及對所有使用假設的解釋。

　　故障模式和安全機制

　　產品內功能安全機制用于檢測、緩解和糾正系統運行時由隨機錯誤引起的故障。單事件效應(SEE)——由宇宙射線引起的電磁干擾和當它們與半導體相互作用時發射的電離能量——是產生隨機錯誤的原因。這些隨機錯誤可能具有瞬態或永久性影響。隨機瞬態效應也稱為“軟錯誤”，包括單個位翻轉(SBU)，例如存儲器單元或邏輯觸發器中的“位翻轉”，以及單個事件瞬變(SET)，它們可能是電壓故障，可能不會導致錯誤。還存在這些可以同時發生的情況，導致多個位擾亂(MBU)。由SEE引起的“硬錯誤”導致永久性損壞，包括單事件閂鎖(SEL)、單事件燒毀(SEB)等。

　　圖5：單事件效應(SEE)錯誤層次圖

　　由于導致這些錯誤的原因是自然物理現象，并且是隨機發生，因此檢測并減輕其影響以實現和維持系統安全非常重要。為此，工程團隊在其產品中開發特定安全技術特性。以下是這些功能的示例，也稱為功能安全機制：

　　添加和檢查添加到片上通信流量的奇偶校驗或ECC位

　　復制邏輯并比較結果

　　三模冗余(TMR)或多數表決

　　通訊超時

　　驗證操作正確性的硬件檢查程序

　　安全控制器從整個系統收集錯誤消息，并在系統中進行更高級的通信

　　內置自檢(BIST)，適用于所有功能安全機制

　　圖6：故障模式影響和診斷分析(FMEDA)包括使用故障注入分析安全機制，如BIST

　　我們已經描述了分析IP和芯片所需的假設，以及它們的故障模式和安全機制，下面將討論實際的分析過程。

　　首先進行定性分析(FMEA)，然后進行定量分析(FMEDA)

　　一旦設計團隊了解其故障模式和功能安全機制，就可以執行并記錄定性安全分析，稱為故障模式影響和分析(FMEA)。FMEA是一種漸進的方法，用于識別設計中的所有可能的故障方式(故障模式)以及這些故障產生的后果。設計團隊往往沒有足夠重視對其項目的定性分析，而是傾向于直接進入定量分析。這是錯誤的!正確執行FMEA是正確定義如何減輕故障的關鍵，也是用于驗證FMEA定量分析的基礎。

　　完成FMEA后，設計團隊必須使用稱為故障模式影響診斷分析(FMEDA)的定量分析進一步分析故障模式和安全機制。盡管可以估計大多數功能安全機制的診斷覆蓋范圍(即“保護”)的假設，但大多數半導體集成商都堅持使用故障注入技術來驗證項目中實施的功能安全措施的診斷覆蓋范圍。需要詳細了解IP實施，以確定必須注入故障的位置，以觸發功能安全機制，以及最有效地觀察機制輸出的位置。

　　盡管故障注入分析對于驗證FMEA很重要，但僅靠FMEDA是不夠的。需要將其他技術一起用于驗證使用故障注入無法輕易證明的診斷覆蓋率。一個示例是驗證使用假設，該假設定義了客戶必須與元素一起集成的安全機制。這對于駐留在IP塊之外的安全機制(例如時鐘和電壓監視器)非常常見。除了故障注入以驗證FMEA之外，還可以使用的其他技術包括故障樹分析(FTA)、相關故障分析(DFA)和引腳級FMEA。

　　由IP開發團隊創建的FMEDA報告允許經過全面培訓的安全管理人員審查有關遵守ISO 26262的所有信息。由IP提供商或半導體集成商聘請的第三方評估公司或咨詢公司也可以審查分析和開發過程，以幫助評估功能安全合規性。

　　結論

　　在ISO 26262下滿足汽車功能安全組件的標準是一個涉及供應商的人員，流程和產品的艱巨過程。創建滿足這些需求的產品和技術需要運營和工程重點、強大的安全文化、管理承諾以及對時間和金錢的重大投資。如果供應商提供此類產品，則由集成商決定是否已采取超出產品級別的所有步驟來確定索賠是否有效。未能進一步調查將使集成商面臨使用不符合評估和審核要求的組件的風險，這些組件是客戶在供應鏈中進一步遵守ISO 26262要求所必需的。

　　依賴于有關安全目標的產品開發中涉及的人員、流程和分析的不完整信息的項目可能使進入新興的乘用車電子系統設計的努力無效，包括ADAS和自動駕駛汽車的設計。電子系統集成商必須向汽車制造商提供證據，證明系統的所有組件都經過徹底評估，以驗證其安全可靠的說法。如果不遵守標準、不傳達如何遵循標準，可能會導致汽車供應商的額外工作或返工。