近年来,牛喀网为功能安全相关的企业提供了很多服务,包括培训、技术咨询、工程开发、审核认证等等,积累了一些经验,也对中国目前的功能安全导入现状和问题有了比较深刻的认识。我们很多新进的科技企业,特别是半导体企业对汽车电子化的发展开始有了强烈的兴趣。然而事实是,大多数企业在功能安全方面是完全没有实际经验和成功案例的。牛喀网的安全专家总结了一些功能安全的实践性内容,希望能给打算进入该领域的企业们提供一些有帮助的建议。
为什么有些企业很难导入功能安全?这是因为他们虽然熟知与本公司产品相关的专业开发技术,却不知道如何按照ISO 26262标准构建功能安全流程,并将其与产品联系起来。很多工程师甚至不了解满足ISO 26262的最低要求事项是什么。比如,Tier 1、Tier 2供应商也有可能不了解需要提交哪些文档来满足功能安全标准的要求。
我们在多次客户服务的工作现场发现了类似上述所提的例子。包括初创企业在内,还有很多IP供应商正试图从成像设备等消费类应用转向车载应用,这些公司的培训请求数量正在增加。我们也专门开发了相关课程,以期望能够更好的服务这些客户。事实是,我们不光需要了解ISO 26262,还要了解为半导体而制定的复杂标准。
然而,理解内容和正确解释标准却是两回事,为了避免错误的解释,我们需要丰富的经验和专业的技术。
建立安全文化
在企业组织内部建立完整的安全文化,是ISO 26262的重要要求之一,也是促进功能安全有效实现的前提条件。
企业可以根据ISO 26262-2附录B中的推荐事项来实施。主要项目如下:
· 企业管理层认同遵循ISO 26262标准,按照标准来进行开发工作;
· 在开发生命周期中,优先考虑功能安全的可追溯性和说明责任;
· 安全应具有最高优先级;
· 奖励系统应支持和鼓励功能安全的有效成果,处罚为取捷径而危及安全和质量的行为;
· 验证过程中包含适当的安全确认流程。
设计团队需要解决的问题
随着汽车上搭载的电子元件量急剧增加,其复杂性也随之提升。为此,除了必须应对的常规技术问题之外,设计团队的工程师们还面临着更多困难的挑战。
实施功能安全,就是应对设计的进一步复杂化,引进与安全有关的验证和可行性确认(包括相关安全机制)。
将第三方制造的IP和本公司制造的IP“黑箱化”,并将两者结合起来时,需要特殊技能来对传感器、执行器和微控制器等组件进行故障模拟,以确保能够正确设计芯片内外的接口。例如,即使传感器、系统、执行器之间的接口发生了故障,设计团队也必须验证其系统会检测故障,直到完全修复该故障。如果这些接口还包括电容和电阻负载,且这些电容和电阻负载没有数字模块就无法模拟,那么验证将更加复杂。
此外,设计团队还需要对诊断覆盖率(DC: Diagnostic Coverage)进行预测。诊断覆盖率是指元器件失效率可以被安全机制诊断出来的百分比, 典型值:60%、 90%和 99%. 安全机制的覆盖率可以根据产品的实际使用场景进一步的分析和优化。在产品设计过程中可以参考ISO 26262 Part 5 Annex D 的安全机制来提高产品设计的可靠性。下图为附录D中一个诊断覆盖 的评估示例, Low->DC =60%: medium->90%; High ->99%。
DC的评估并非易事,牛喀网为很多企业提供了硬件诊断覆盖和WCCA设计的咨询和指导。强烈建议企业在开展工作之前,充分的评估工作量,建立合适的方法、流程和工具。
功能安全对开发时间的影响
一般来说,企业没有必要从零开始制定功能安全对策。通常情况下,某些功能安全措施早已被纳入设计流程。所以,第一阶段,我们从探讨能达到什么程度的安全性水平(ASIL)开始。
第一阶段,在设计和测试过程中引入功能性安全措施。根据牛喀网多年的实践经验,这项工作大约需要花费6个月到1年。具体要根据企业对ISO 26262的理解程度和知识储备决定,此外,根据所需要准备功能安全的文档和模板的资源的数量不同,所花费的时间会不同。
为了节省时间,通常在引入过程的同时就会开发最初的功能安全产品。根据ASIL的要求,最初的产品开发需要设计和验证的时间,会比面向消费者的产品长几个月。此后的设计周期中,由于设计团队不断地积累经验、纠错和校验,项目的时间会逐渐缩短。最终,ISO 26262应该成为普通的日常的过程的一部分。就如同质量管理体系ISO 9000已被集成到许多组织的日常运营中。
第二版ISO 26262
第二版 ISO 26262的第 11 部分考虑了 ISO 26262 概念在半导体中的应用,特别是以下事项:
● 半导体IP
● 基本故障率估算
● 半导体依存故障分析
● 半导体元件故障注入
● 半导体生产和运营
● 半导体分散式开发接口
● 半导体验证措施和功能安全审核
● 半导体硬件集成和测试说明
此外,以下半导体特有的技术和适用领域的对策也在讨论中。
● 数字组件和存储器
● 模拟/混合信号组件
● 可编程逻辑器件
● 多核组件
● 传感器和变换器
给新进企业的建议
对于进入汽车行业且需要符合ISO 26262标准的企业,我们将介绍一些缩短开发时间和降低风险的实践性建议。
1.获得ISO 26262的开发过程认证
为了获得ISO 26262认证,改进车载电子元件的开发过程,必须更新整个产品开发生命周期。为了尽可能快速有效地获得资质认证,通过培训或使用专业服务来提高技能不失为最有效的方法。
2.获得产品(系列)的ASIL安全完整性认证
新进企业最好能寻求已被授权的功能安全合作伙伴(符合ISO / IEC 17025)的协助。获得概念评估,发布技术报告,进行产品安全评估和ASIL风险分析方面的支援。
3.了解系统、IC和IP级别与DC、验证和确认之间的关系
为了有效地完成对IP到IC的组装,对IC到系统的集成,并对其进行验证和可行性确认,企业需要提高设计团队的能力,以及使用合适的自动化工具。例如,找出弱点和减轻弱点。设计团队需要提高技能,来从设计中找出功能安全的弱点,或是通过在IC和系统级中进入有效的DFT功能,来学习如何减轻弱点。在这个时候,重要的是要有确认的概念。
故障有效性确认
许多新进汽车行业的供应商并不熟悉确认的概念。引入ISO 26262流程结构之后,我们将会更容易发现故障。由于设计团队必须就功能进行解释,所以更容易认识到电路中存在的潜在问题。IP和IC发生了故障时,这个方法还可以用来考虑该怎样检测问题点。
那么问题来了,要检测出多少故障才能确保必要的功能安全?答案取决于故障是在IP级别还是IC级别或系统级别。在IP或IC级级别的情况下,如果使用故障注入等的工具,将静态分析工具和动态分析工具结合起来,能发现意想不到的故障。通过考虑单个硬件故障和潜在故障的范围,在发生故障时,可以判断是否能够检测并将其修正。
为了符合ISO 26262的ASIL C及D等级的要求降低故障率,许多设计团队所采用的方法是CPU、传感器、执行器的二重化(CPU采用Lock-Step方法)。此外,通过使用边界层扫描和BIST等DFT方法,在设计阶段可以防止制造阶段可能发生的故障。
许多设计团队采用的方法方法是基于ISO 26262的ASIL C和D的要求来降低故障率,这是一种双CPU,传感器和执行器(CPU使用锁步方法)。此外,通过使用诸如边界扫描和BIST的DFT技术,可以在设计阶段防止在制造阶段期间可能发生的故障。
如果我们的目标是达到ASIL D等级,那么,为了解决以上问题,像失效模式、影响及其诊断分析(FMEDA)、FTA (Fault Tree Analysis)、DFA (Design For Assembly)这样的分析方法是必不可少的。市场上有许多工具可以用来执行故障注入以进行验证和确认,如果能够使用正确的工具,就可以以最小的工作量来设计符合ISO 26262标准的工具。为了符合功能安全标准,在进行IP和IC的验证和确认时,系统需要高度的工具。
信息安全
智能网联汽车非常容易成为黑客的目标,汽车一旦连接到外部世界,对网络犯罪的防范就更加脆弱。务必牢记,ISO 26262仅涉及车辆功能安全。关于汽车信息安全,也已经出版了标准,例如SAE J3061和IEC 62443,这些标准用以解决新的网络安全问题,业内也在从各方面努力解决汽车信息安全问题。
未来,功能安全面临的挑战
汽车行业的下一个看点是自动驾驶。要实现自动驾驶,必须安全检测路上的其他车辆和行人,比如区分汽车和自行车,并且必须满足很多其他复杂的条件。目前,各种研发团队正在努力证明通过开发尖端技术并将其安装在自动驾驶汽车中来满足这些要求。汽车需要同时兼备safety和security。安全将会给网联汽车和智能驾驶汽车带来惊人的影响。与以往车辆的维度不同,需要满足新型运输手段的安全性需求,牛喀网与各有关企业和机构合作,将持续推进技术的发展,为企业提供最优质的服务,最先进的培训,最专业的咨询。
总结
随着汽车行业往电气化、智能化方向发展,电子电气系统设计的安全性越显重要。高安全性的产品能够帮助企业提高其产品竞争力,减少由于不合理的风险造成的企业召回风险。伴随着ISO-26262功能安全标准的推行及国标的发布,汽车及零部件企业在自己电子电气产品的开发中符合这一标准势在必行。