ISO 26262，太重要了

來源：內(nèi)容由半導(dǎo)體行業(yè)觀察編譯自semiengineering

ISO 26262 標(biāo)準(zhǔn)自十年前汽車電氣化趨勢(shì)真正扎根以來就已成為主流，并且開始在汽車芯片和系統(tǒng)設(shè)計(jì)以外的市場(chǎng)獲得關(guān)注。

此次擴(kuò)展的核心是關(guān)注各種條件下的安全——極端溫度、意外振動(dòng)或不可避免的碰撞。這包括從無人機(jī)到航空航天和機(jī)器人的一切，在這些領(lǐng)域中，不斷提高的自主性很容易將移動(dòng)物體變成安全隱患。ISO 26262可作為最佳實(shí)踐的藍(lán)圖，包括評(píng)估可能出現(xiàn)的問題以及如何修復(fù)它，或者至少確保自主機(jī)器在不傷害任何人或造成意外損壞的情況下正常發(fā)生故障。隨著汽車行業(yè)逐漸走向完全自動(dòng)駕駛，硅片發(fā)揮著越來越重要的作用，影響著從信息娛樂、制動(dòng)到導(dǎo)航等各個(gè)方面。但該標(biāo)準(zhǔn)已經(jīng)根深蒂固，以至于一些汽車生態(tài)系統(tǒng)之外的原始設(shè)備制造商也選擇遵循該標(biāo)準(zhǔn)，至少有一家自動(dòng)駕駛無人機(jī)制造商選擇讓其產(chǎn)品獲得 ISO 26262 認(rèn)證。

西門子數(shù)字工業(yè)軟件公司混合物理和虛擬系統(tǒng)副總裁 David Fritz 表示：“從最高層面來看，該標(biāo)準(zhǔn)主要包括兩個(gè)部分。第一部分是確保所有生成最終產(chǎn)品輸出的組件都經(jīng)過認(rèn)證，這意味著工具或 IP 模塊需要通過某些認(rèn)證才能納入標(biāo)準(zhǔn)。第二部分是，一旦您使用這些工具和 IP 組件并將它們組合在一起，就需要進(jìn)行某些類型的功能安全相關(guān)測(cè)試?！庇捎?ISO 26262 的要求十分嚴(yán)格，其影響力在汽車以外的行業(yè)也日益增強(qiáng)。Cadence 產(chǎn)品營銷總監(jiān) George Wall指出，其他標(biāo)準(zhǔn)（如涵蓋機(jī)載電子硬件設(shè)計(jì)、驗(yàn)證和確認(rèn)的 DO-254）直接受到 ISO 26262 的前身 IEC 61508 的影響。“因此，ISO 26262 與其他現(xiàn)有標(biāo)準(zhǔn)有很多相似之處。如果出現(xiàn)新的行業(yè)（如無人機(jī)，或者船舶變得更加自動(dòng)化，這在以前從未真正引起關(guān)注），那么 26262 標(biāo)準(zhǔn)肯定也可以適用于其他市場(chǎng)?！眳^(qū)別在于認(rèn)證級(jí)別，其要求可能比 26262 的要求稍微全面一些。從本質(zhì)上講，爭(zhēng)取符合 ISO 26262 標(biāo)準(zhǔn)可以為汽車以外的行業(yè)提供一個(gè)良好的開端，然后再在其基礎(chǔ)上滿足其他功能安全標(biāo)準(zhǔn)，以滿足特定應(yīng)用的認(rèn)證。

“汽車版 ISO 26262 的所有內(nèi)容也適用于其他領(lǐng)域，但最終您獲得的是相同的能力水平，”西門子的 Fritz 表示?！八⒉辉敱M，也不完美。不幸的是，這實(shí)在太難做到了。另一方面，ISO 26262 是從美國國防部的工作中分離出來的，并且已被航空航天業(yè)采用一段時(shí)間了。例如，我們目前正在與一家正在開發(fā)新設(shè)備的航空航天公司合作，他們說該設(shè)備中的所有工具和所有 IP 都需要符合 ISO 26262 標(biāo)準(zhǔn)，這使您達(dá)到 DO 254 標(biāo)準(zhǔn)的 80% 左右。然后在此基礎(chǔ)上還有另一層 DO 254 認(rèn)證。與 DO 254 相比，ISO 26262 的范圍更廣，并且對(duì)低級(jí)組件的信心更高。”

實(shí)施挑戰(zhàn)

ISO 26262 旨在確保每個(gè)組件和整個(gè)系統(tǒng)的功能安全，無論應(yīng)用領(lǐng)域如何。但實(shí)施它會(huì)增加許多挑戰(zhàn)。它有嚴(yán)格的文檔要求，并且獲得 ISO 26262 認(rèn)證所需的穩(wěn)健性水平會(huì)影響芯片的架構(gòu)以及模擬的數(shù)量和廣度。這反過來會(huì)增加最終簽核所需的時(shí)間和資源。關(guān)于如何實(shí)施這一標(biāo)準(zhǔn)的大部分知識(shí)都來自汽車市場(chǎng)，汽車市場(chǎng)包括各種零部件，并非所有零部件都需要相同級(jí)別的堅(jiān)固性。例如，尾燈故障與安全氣囊未彈出或轉(zhuǎn)向系統(tǒng)故障之間存在很大差異。英飛凌美國汽車市場(chǎng)營銷副總裁 Bill Stewart 表示：“我們的產(chǎn)品應(yīng)用廣泛，例如轉(zhuǎn)向系統(tǒng)、制動(dòng)系統(tǒng)、動(dòng)力系統(tǒng)，無論是內(nèi)燃機(jī)還是電動(dòng)汽車，它們都是關(guān)鍵任務(wù)系統(tǒng)。即使是許多 ADAS 系統(tǒng)，你也會(huì)獲取傳感器數(shù)據(jù)，將其轉(zhuǎn)換為車輛行駛的方向。你要將其轉(zhuǎn)換為制動(dòng)或油門信息，而對(duì)于其中的大部分，你必須擁有非常高質(zhì)量的設(shè)備。你必須對(duì)潛在的故障模式有充分的了解，因?yàn)樗鼈儠?huì)發(fā)生，無論是在我們的芯片中、在軟件中，還是在模塊的外部事件中。有些因素會(huì)影響功能安全。你如何防止這些故障？你要測(cè)量和檢測(cè)這些故障，以便采取適當(dāng)?shù)拇胧！盜SO 26262 確保了該質(zhì)量水平，但它還通過定義四種不同的汽車安全完整性等級(jí) (ASIL) 來適應(yīng)任務(wù)關(guān)鍵性的差異。

Synopsys汽車 IP 部門經(jīng)理 Ron DiGiuseppe 表示：“在決定是否實(shí)施 ISO 26262 之前，您必須真正了解目標(biāo) ASIL?！?“這些是基于應(yīng)用程序的，它們具有從 ASIL A 到 ASIL D 的一系列安全完整性級(jí)別，以及一個(gè)名為 QM 的類別，這意味著它不是安全關(guān)鍵的，因此不需要助推器。一旦您查看了各種風(fēng)險(xiǎn)級(jí)別，即故障的可能性及其影響，您就需要實(shí)施功能安全計(jì)劃?！?/p>

完整文檔

雖然 ISO 26262 級(jí)別可廣泛應(yīng)用于不同市場(chǎng)中的許多組件，并實(shí)現(xiàn)各種各樣的功能，但有些領(lǐng)域仍然模糊不清。因此，標(biāo)準(zhǔn)如何應(yīng)用、需要測(cè)試什么或如何測(cè)試組件或系統(tǒng)以確保合規(guī)性，或者如何確保符合標(biāo)準(zhǔn)并不總是很清楚。西門子的 Fritz 說：“最后，你要提供所有文檔和所有測(cè)試結(jié)果，以向某些監(jiān)管機(jī)構(gòu)證明‘是的，我們確實(shí)做了徹底的測(cè)試’。這是詳盡的測(cè)試嗎？不是。我們知道漏洞在哪里嗎？不知道。但我們?cè)诒緯付ǖ念I(lǐng)域做了我們能做的測(cè)試。”26262 最重要的方面之一是文檔要求?！拔臋n至關(guān)重要，因?yàn)殡m然該標(biāo)準(zhǔn)可能詳盡無遺，但也可能有點(diǎn)累人，”Fritz 說?！八w了如此廣泛的應(yīng)用，以至于沒有真正的覆蓋率指標(biāo)或類似的東西，因?yàn)榇嬖诘呐帕袛?shù)量背后很復(fù)雜。而且對(duì)于您生產(chǎn)的每種產(chǎn)品，無論是轉(zhuǎn)向控制器、制動(dòng)控制器還是其他什么，它們都是不同的。”由于缺乏明確的測(cè)試來確定系統(tǒng)是否符合 ISO 26262 的要求，而且該標(biāo)準(zhǔn)涵蓋了系統(tǒng)故障和隨機(jī)錯(cuò)誤，這對(duì)設(shè)計(jì)師來說可能是個(gè)很頭疼的問題，因此文檔尤其重要。

“就系統(tǒng)性故障而言，需要遵循許多程序來記錄要求并提供證據(jù)，證明您確實(shí)遵循了特定流程以確保您的設(shè)計(jì)滿足這些要求，并且您已經(jīng)創(chuàng)建了一個(gè)強(qiáng)大的驗(yàn)證環(huán)境，”Cadence 的 Wall 說?！袄?，您必須提供證據(jù)證明您在設(shè)計(jì)中遵循了這些流程。這解決了系統(tǒng)方面的問題。在隨機(jī)錯(cuò)誤方面，有很多不同的常用技術(shù)。標(biāo)準(zhǔn)本身規(guī)定的是安全完整性等級(jí)，這是從舊的 IEC 61508 標(biāo)準(zhǔn)中借鑒的部分之一。它規(guī)定，必須滿足某些故障數(shù)值覆蓋率指標(biāo)才能達(dá)到特定的安全指標(biāo)等級(jí)，范圍從 ASIL A 到 ASIL D，其中 ASIL D 最為嚴(yán)格?！?/p>

架構(gòu)影響

ISO 26262 要求對(duì)芯片架構(gòu)有很大影響。根據(jù) ASIL 級(jí)別，這可能意味著需要構(gòu)建比通常需要的更多的冗余，以確保隨機(jī)故障不會(huì)導(dǎo)致事故。Synopsys 的 DiGiuseppe 表示：“功能安全的實(shí)施確實(shí)會(huì)影響設(shè)計(jì)的功能和架構(gòu)，通常實(shí)施的是安全處理器，可以將其視為 SoC 的安全管理器。每個(gè) SoC 都有自己的應(yīng)用處理器、主機(jī)處理器、AI 處理器、VSB 處理器和接口。芯片有一個(gè)應(yīng)用程序和軟件堆棧，但通常還有一個(gè)額外的嵌入式處理器來管理安全性，因?yàn)?ISO 26262 的要求之一是對(duì)如何處理某些行業(yè)可能出現(xiàn)的故障有不同的解釋。您的汽車設(shè)計(jì)應(yīng)盡可能堅(jiān)固，可以運(yùn)行 15 或 20 年。這是絕對(duì)必要的。但功能安全要求您有不同的觀點(diǎn)，即您可以將芯片設(shè)計(jì)得非常堅(jiān)固，但您必須有一個(gè)用例練習(xí)，如果出現(xiàn)影響安全性的故障或故障，您的產(chǎn)品會(huì)發(fā)生什么。您必須在產(chǎn)品設(shè)計(jì)中考慮它將如何應(yīng)對(duì)這種情況，并且在設(shè)計(jì)芯片架構(gòu)時(shí)必須考慮到這一點(diǎn)。”這可能包括冗余，以處理從高于預(yù)期的環(huán)境溫度到阿爾法粒子等所有可能導(dǎo)致內(nèi)存中位翻轉(zhuǎn)的情況?！皣@這些類型的冗余，有許多常用技術(shù)，包括定期監(jiān)控執(zhí)行流程，然后深入挖掘到下一個(gè)級(jí)別，即常見的故障模式，”Cadence 的 Wall 說?！皟?nèi)存對(duì)阿爾法粒子特別敏感，這將是一個(gè)隨機(jī)故障。沒有人能夠預(yù)測(cè)阿爾法粒子何時(shí)會(huì)擊中，解決內(nèi)存故障的常用技術(shù)之一是使用糾錯(cuò)碼或 ECC，這基本上是一種信息冗余的形式，其中在每個(gè)內(nèi)存字中添加了一些額外的信息，以判斷‘這個(gè)內(nèi)存位是否仍然有效？’”其他情況可能包括添加傳感器來檢測(cè)信號(hào)路徑上的錯(cuò)誤，或者添加可以充當(dāng)故障保護(hù)裝置的奇偶校驗(yàn)。

“您為安全處理器添加了功能，但您還必須添加安全機(jī)制，即您添加的功能，例如循環(huán)冗余校驗(yàn)，如果出現(xiàn)信號(hào)問題，可能會(huì)發(fā)出警報(bào)。如果您的控制邏輯出現(xiàn)故障，您可能需要添加奇偶校驗(yàn)等安全機(jī)制，或者您可以在數(shù)據(jù)路徑上使用奇偶校驗(yàn)，或者在內(nèi)存上使用 ECC，”DiGiuseppe 解釋道?！斑@是添加到汽車芯片中的功能，您在消費(fèi)設(shè)備芯片甚至數(shù)據(jù)中心芯片上實(shí)際上并不需要它。對(duì)于不同的應(yīng)用程序，您不需要在控制邏輯上使用奇偶校驗(yàn)。但對(duì)于汽車，您必須在整個(gè)芯片中添加這種額外的安全功能，包括其中的 IP?！?/p>

結(jié)論

ISO 26262 十多年前制定，對(duì)汽車芯片的設(shè)計(jì)產(chǎn)生了巨大影響，隨著汽車向軟件定義和自動(dòng)駕駛控制的轉(zhuǎn)變，其重要性只會(huì)繼續(xù)增長(zhǎng)。由于嚴(yán)格而全面的功能安全要求，該標(biāo)準(zhǔn)還被用于汽車領(lǐng)域以外的一些用途，例如自動(dòng)無人機(jī)、機(jī)器人和航空航天。設(shè)計(jì)師必須牢記的 26262 的關(guān)鍵方面包括文檔，鑒于這些系統(tǒng)所用芯片缺乏標(biāo)準(zhǔn)化的功能安全測(cè)試，文檔尤為重要。設(shè)計(jì)工程師還應(yīng)該意識(shí)到，滿足 ISO 26262 認(rèn)證的努力可能會(huì)對(duì)芯片架構(gòu)產(chǎn)生影響，因?yàn)榭赡苄枰哂鄟矸乐挂螂S機(jī)故障和其他錯(cuò)誤而導(dǎo)致的災(zāi)難。