為什么要達到汽車功能安全ASIL D等級？

隨著汽車的自動駕駛（ADAS）級別從L2升級到L2+和L3，并且逐步向全自動駕駛L4和L5奮進。隨著自動緊急制動、車道保持輔助、交通標志識別、環(huán)繞視圖、疲勞監(jiān)測等新應用和新功能不斷引入，車輛和駕乘人員的安全性得到了進一步提升。在這一變化中，新的汽車應用不僅要求半導體SoC具備更多的功能、更大的帶寬和更低的功耗，還要求整個汽車的硬件、軟件供應鏈，包括不斷發(fā)展的電子/電氣（E/E）系統(tǒng)中所使用的復雜的SoC，均必須滿足ISO 26262車輛功能安全標準。

汽車產(chǎn)品需嚴格遵守一定的開發(fā)流程

下圖1是廣泛應用于汽車行業(yè)的標準V模型產(chǎn)品開發(fā)流程。所有汽車產(chǎn)品均應參照紫色部分的流程進行開發(fā)。對于安全關鍵型產(chǎn)品，ISO 26262規(guī)定，需要以綠色所示的額外開發(fā)步驟來補充標準的定義、實施和驗證/確認活動。

圖 1：汽車產(chǎn)品開發(fā)模型

那么，應該如何提升大家對于安全關鍵型產(chǎn)品開發(fā)的重視呢？

在企業(yè)中建立定義和踐行安全關鍵型產(chǎn)品開發(fā)的安全文化，包括任命一名獨立的功能安全（FuSa）組織經(jīng)理，該經(jīng)理對產(chǎn)品開發(fā)團隊具有獨立權限。安全監(jiān)督和開發(fā)活動包括所記錄的定義和對安全計劃的遵守以及安全要求的定義/文件。安全計劃和安全規(guī)范包括功能硬件/軟件安全機制，如 ECC、奇偶校驗、雙核互鎖機制和其他功能。這些機制由設計團隊按照安全概念規(guī)范中的要求實施。將硬件/軟件安全機制設計到安全關鍵型SoC的汽車IP產(chǎn)品中，需要對IP產(chǎn)品進行評估和驗證，實現(xiàn)ADAS功能的最新SoC處理器采用的汽車級IP必須符合特定 ISO 26262 汽車安全完整性等級 (ASIL)，并符合安全關鍵型SoC的ISO 26262功能安全開發(fā)流程。

對于半導體SoC和構成這些SoC的IP產(chǎn)品而言，在產(chǎn)品設計中就引入安全機制是很重要的一環(huán)。硬件/軟件指標用于確定安全機制對于識別和糾正IP中可能故障的影響。通過在SoC開發(fā)流程的驗證和確認階段對這些指標予以分析，并要求評估、模擬和故障注入，以確定產(chǎn)品是否符合安全要求規(guī)范中設定的目標ASIL等級。

為了完全符合 ISO 26262:2018標準，需要進行隨機故障分析。其中，ASIL隨機故障分析是一項評估，它重點關注 ISO 26262:2018安全標準第5部分第8條（硬件級別的產(chǎn)品開發(fā)）。在此評估期間，僅對安全關鍵型IP產(chǎn)品進行硬件安全分析。設計和評估所得出的可交付成果/工作成果包括失效模式、效應和診斷分析 (FMEDA) 以及安全手冊。作為隨機故障分析的一部分，ISO 26262定義了單點故障指標 (SPFM) 和潛在故障指標 (LFM) 比率的關鍵結果，以滿足特定的ASIL等級。ASIL等級從ASIL A到ASIL D共分4個等級，ASIL D代表層級最高的完整性要求。

在以達到這些指標為目的的設計中，涉及到設計失效模式與效應分析 (DFMEA)。DFMEA 是一種定性分析，可捕獲設計中的失效模式及其對IP級別元素的影響。

實現(xiàn)ASIL D安全該如何做？

除了硬件/軟件安全開發(fā)（包括針對這些硬件/軟件安全機制隨機故障的功能安全評估），汽車行業(yè)最佳方式還要求對所有安全關鍵型產(chǎn)品的系統(tǒng)開發(fā)流程進行安全評估。系統(tǒng)開發(fā)流程涉及產(chǎn)品的所有開發(fā)階段，例如規(guī)劃階段、開發(fā)階段、驗證/確認階段、評估和產(chǎn)品發(fā)布以及持續(xù)維護和產(chǎn)品監(jiān)控。在以上各個階段中，安全關鍵型產(chǎn)品的開發(fā)需要FuSa安全管理團隊和產(chǎn)品開發(fā)團隊執(zhí)行多個步驟和審查（包括持續(xù)監(jiān)控），以確保遵循ISO 26262 系統(tǒng)開發(fā)流程（圖 2）。

圖 2：ISO 26262 ASIL D系統(tǒng)開發(fā)流程

雖然ISO 26262標準中已經(jīng)定義了圖2中展示的 ISO 26262 FuSa 系統(tǒng)開發(fā)流程，而且該流程是整個產(chǎn)品合規(guī)性中不可或缺的一部分，但開發(fā)團隊可以決定是僅遵循ASIL隨機硬件/軟件故障評估，還是同時遵循ASIL隨機硬件/軟件故障和ASIL D系統(tǒng)故障評估。但是，針對ASIL D系統(tǒng)安全等級進行ASIL系統(tǒng)故障評估是行業(yè)普遍最認可的做法。

對于同時遵循ASIL隨機硬件/軟件故障和ASIL D系統(tǒng)故障評估的產(chǎn)品，開發(fā)團隊需要確保開發(fā)的所有方面都經(jīng)過嚴格的程序，并具有多重制衡。這些程序包括多次審核和批準流程迭代，隨后進行內部審計和可選的第三方獨立檢查/審計。不僅需要執(zhí)行并記錄審核和批準，還必須記錄并證明審核和批準已經(jīng)發(fā)生。為確保執(zhí)行、記錄和審核所有步驟，必須制定汽車行業(yè)最先進的質量管理體系 (QMS)，以跟蹤和證明開發(fā)已執(zhí)行。QMS系統(tǒng)包括從要求設置直至執(zhí)行和確認的完整要求跟蹤。

在ASIL D系統(tǒng)開發(fā)流程中，第一步是規(guī)劃階段，包括所定義和跟蹤產(chǎn)品的每個工作成果。開發(fā)階段將需要完成大多數(shù)工作成果/可交付成果。但是，在驗證/確認階段以及評估和產(chǎn)品發(fā)布階段會生成多個工作成果。在每個開發(fā)階段，在QMS系統(tǒng)中創(chuàng)建和獨立跟蹤確認審核報告、功能安全審計報告和功能安全評估報告。圖2所示的ASIL D系統(tǒng)開發(fā)流程通?？僧a(chǎn)生80多種安全工作成果/可交付成果。

IP供應商向ASIL D邁進

為了讓芯片供應商大幅縮減花費在設計、認證和發(fā)布安全攸關ADAS /自動駕駛車SoC所需的時間，IP供應商們希望能夠以預先建立且經(jīng)驗證的處理器IP授權的方式，協(xié)助他們更快地進入市場。

在這方面，新思科技的汽車級IP采用符合ISO 26262功能安全要求的ASIL D系統(tǒng)開放流程予以實現(xiàn)，隨機硬件故障安全等級可達到ASIL B和ASIL D，幫助設計人員加速其ISO 26262 SoC級功能安全評估，從而實現(xiàn)目標ASIL等級。

除了定義和遵守符合FuSa要求的ASIL D系統(tǒng)開發(fā)流程外，獨立地確認ASIL D系統(tǒng)開發(fā)流程也很重要。為確保新思科技定義的ISO 26262 FuSa 開發(fā)流程符合 ISO 26262 標準，新思科技利用SGS TUV Saar來評估此開發(fā)流程。如圖3中的證書所示，新思科技制定的通用開發(fā)流程已符合行業(yè)標準。

圖 3：SGS TUV Saar 證書（表明新思科技通用流程符合 ISO 26262:2018 標準）

新思科技對汽車IP行業(yè)的重視，還體現(xiàn)在接口方面的支持。他們最近升級了PCI Express控制器IP、MIPI CSI-2主機和設備控制器IP和 新思科技 10Gb以太網(wǎng)控制器 IP，支持完全ASIL隨機和ASIL D系統(tǒng)合規(guī)性。新思科技也是首家為這些任務關鍵型接口協(xié)議提供完全ISO 26262合規(guī)性的IP供應商，這些協(xié)議廣泛用于L3、L4和L5自動駕駛汽車的ADAS域模塊、分區(qū) ECU和中央計算處理。

汽車級接口IP可與現(xiàn)有的 ARC處理器相輔相成，共同加速新汽車平臺架構的安全關鍵型SoC設計。這些都將為不斷發(fā)展的E/E架構車輛設計安全的SoC保駕護航。

結語

對于汽車芯片供應商而言，要認證ASIL D不是一件容易的事，尤其是一些的復雜的汽車SoC。如新思科技這樣的IP廠商，從底層IP開始實現(xiàn)ASIL D的支持，無論是新思科技的汽車級接口IP，還是處理器IP，兩者均可提供最高水平的安全性。這也將為芯片供應商大幅縮減花費在設計、認證和發(fā)布安全攸關ADAS /自動駕駛車SoC所需的時間。

審核編輯 ：李倩