你实的领会ISO 26262? 2019-02-12
汽车半导体设备和电子系统的开发人员要小心:可能有些供给商声称他们的产物契合ISO 26262平安尺度要求,若是那些说法未能阐明用于造造汽车产物的人员和流程验证,则那些说法可能是不成靠的。若是系统设想人员未能认真评估供给商的天分,他们就很难在汽车供给链中让客户承受其产物。
汽车供给链的参与者负责对每个供给商的产物停止本身的功用平安评估,同时考虑供给商记录的利用假设(AoU),描述供给商的产物若何用于汽车系统。供给商按照特定设置装备摆设和用例来定造本身的阐发,那些设置装备摆设和用例有望与其集成商客户的设置装备摆设相婚配。针对汽车系统中利用的元件的第三方ISO 26262认证能够帮忙系统集成商施行此阐发,但它不会代替集成商在其本身的利用情况平分析其供给商产物的义务。
本文切磋了ISO 26262认证的根本原理,该认证涉及设想功用平安的汽车电子系统所涉及的人员,流程和产物。最末目的是闪开发团队,办理人员和投资者愈加领会遵守汽车平安尺度细节所涉及的责任。反过来,那将供给有关合规性的工做和成本的更多信息,还将使供给链成员之间的沟通愈加有效。
不竭变革的汽车行业:新电子设备和新进入者
所有乘用车电子系统在集成到汽车造造商的产物之前必需满足严酷的平安要求。该行业的供给商已经成立了一个复杂的供给链,以供给那些系统,以及产物满足那些平安要求的才能的证明。那种信息共享系统需要IP供给商、半导体SoC开发人员、零组件供给商、软件供给商、电子系统设想师和许多其他相关人员之间的详细交换,以确保所有关键组件契合ISO 26262指南、法式、培训程度、审核和评估。
图1:以半导体为中心的供给链,用于奥迪zFAS中央驾驶辅助控造器的关键部件(来源:奥迪; IHS Markit; Arteris IP)
然而,跟着越来越多的机械部件改变为电子系统,汽车工业正在敏捷发作变革。其成果是,过去由人类驾驶员施行的功用正在由先辈的驾驶员辅助系统(ADAS)弥补和替代,其正在演变成主动驾驶系统。那两个趋向正在鞭策汽车行业的经济增长和手艺立异海潮。市场快速增长的希望正在刺激新进入者,参与到汽车电子系统的海潮之中。
比来进入者可能缺乏按照ISO 26262功用平安尺度开发和交付产物的经历。固然那些供给商可能声称其产物已筹办好契合汽车平安尺度,但供给链中的公司仍需要对产物开发过程中涉及的人员和法式停止普遍、认真的审查和评估,然后才气将其集成到更大的系统中。
汽车电子供给链参与者主动处理此问题的一种办法是从承认的评估机构获得ISO 26262认证。然而,大大都针对汽车用处的电子产物并不是完好的独立系统,能够通过ISO 26262尺度认证,并完全领会产物若何在车辆中集成和利用。因而,关于认实办事于该市场的任何开发团队而言,重要的是摸索其供给商关于功用平安的声明,无论能否声了然认证。固然第三方产物认证能够成为重要参考,但对任何组件的评估必需更深切,而且必需通过公司利用和集成产物来完成考察与认证。若是未能对供给商的人员,流程和产物停止评估,则可能招致客户回绝。
国际尺度组织(ISO)声明如下:
ISO 26262旨在应用于平安相关系统,其包罗一个或多个电气或电子(E / E)系统而且安拆在批量消费的乘用车中。
ISO 26262处理了E / E平安相关系统毛病行为可能形成的危害,包罗那些系统的彼此感化。
第一原则:信息共享是关键
汽车系统的电气化在快速停止。那一趋向鞭策着立异,同时也吸引了更多投资、更多研发工做,以及汽车市场的新进入者。
许多新进入者可能不晓得的是,遵守汽车平安尺度要求通过供给链的每个部门共享信息。各级经历丰硕的开发团队都遭到那些尺度的挑战,因为需求在不竭变革,整个行业中只要少数专家能够指点项目完成那一过程。此外,半导体和软件供给链的参与者凡是对其IP的开发体例及其工做原理保密。
图2:ADAS和主动驾驶系统价值链以半导体为中心
供给商必需供给的信息包罗具有平安目的的系统的每个元件的阐发,教育和文档。供给链的每个成员都必需供给那些信息。半导体IP供给商向SoC的开发人员供给此信息,芯片设想团队利用那些信息来阐发他们的定造系统,并将成果传递给Tier-1电子系统供给商。然后,那些一级供给商施行本身的阐发并将成果发送给车辆造造商及其客户。
汽车供给链中的那些关系正变得越来越复杂,因为造造或设想主动驾驶应用芯片的传统半导体供给商如今有时与Tier-1电子系统设想人员和OEM合作,他们可能正在本身造造或设想芯片。此外,Uber,Waymo和Apple等新进入者正在设想本身的整套系统,虽然他们在汽车行业缺乏经历。ISO 26262要求整个价值链中的高程度协做和信息共享,新进入者可能不熟悉那些。
复杂性要求更好的阐发
整个汽车行业日益复杂,需要加强那些系统的平安性。现代汽车利用“线控”系统,例如线控油门,驾驶员鞭策加速器和传感器。踏板将电信号发送到电子控造单位(ECU),该电子系统代替了过去利用毗连在加速踏板和机械节流控造板上的金属电缆。ECU比机械办法更智能,因为它能够做更多阐发工做,如策动机转速,车速和踏板位置,然后将号令传递给油门。
我们也能够看到,测试和验证线控油门系统比测试旧机械版本更困难。跟着我们用电子系统,电动传动系统以及为汽车增加ADAS和主动驾驶功用代替机械系统,复杂性呈现爆炸式增长。ISO 26262的目的是成立一个同一的功用平安尺度,以满足所有汽车电子系统的需求。
驾驶员辅助,电力推进,车载动态控造以及主动和被动平安系统等新功用越来越多地涉及系统平安工程范畴。更大的手艺复杂性、软件内容和机电一体化施行带来了系统硬件毛病的更大风险,系统硬件毛病是由系统开发期间的报酬错误产生的。ISO 26262供给了若何通过规定要乞降流程来最小化风险的指点。
关于半导体SoC器件和IP的设想人员来说,与完好系统的指南比拟,ISO 26262合规性的要求愈加笼统。因而,IP开发人员必需对许多假设停止额外的阐发,以确定集成到功用平安的汽车系统中的IP筹办情况。
功用平安
ISO 26262的目的是为所有汽车电子系统供给同一的平安尺度。实现系统平安要求在机械、液压、气动、电气和电子系统等各类手艺中施行若干平安办法,而且那些平安办法应用于开发过程的各个层面。
ISO 26262定义了各类汽车平安完好性品级(ASIL)——QM,A,B,C和D-,以帮忙将所需的流程、开发工做和产物内功用平安机造映射到可承受的风险品级。那五个级此外严酷范畴涵盖从根本量量办理到毛病可招致致命变乱的系统的普遍范畴。在后一种情况下,ASIL D要求汽车系统中的单点毛病量(SPFM)小于1%。下面的表1供给了有关ASIL程度与毛病目标的更多信息。
表1要实现ASIL D,系统中99%以上的单点毛病必需由平安机造笼盖。ASIL B和C需要较少的笼盖范畴。(材料来源:ISO 26262-5:2011,表4和表5内容来自ISO 26262-1:2011)
汽车SoC通过特定的硬件功用供给诊断笼盖,以确保契合ISO 26262尺度。那些片上功用平安机造包罗纠错码(ECC)、数据链路和内部存储器的奇偶校验庇护等手艺,通过智能互保持构智能复造处置元件,内置自测(BIST)和错误陈述机造。
虽然ISO 26262存眷的是E / E系统的功用平安性,但它现实上供给了一个框架,能够处理平安相关系统的整个生命周期。ISO 26262供给以下指点:
生命周期办理,产物开发,消费,运营,办事,退役以及在那些生命周期阶段定造需要的活动
按照危险的严峻水平,表露概率和可控性来应用平安要求,以制止不合理的风险
验证和确认办法,以确保足够和可承受的平安程度
与供给商关系的要求
所有那些看起来很复杂,但是通过存眷三个次要方面,即“3P”,能够简化对ISO 26262的要求的理解:
人(People)
流程(Process)
产物(Product)
供给商必需向客户供给文档,详细申明其为筹办契合尺度的人员,流程和产物所采纳的办法。有了“3P”在半导体IP市场中所起感化那一视角,SoC架构师和设想团队能够在选择适宜的IP时做出明智的选择。领会IP供给商的组织和运营特征能够实现更好的芯片、更平安的汽车,以及更高效的开发才能。
图3:人员、流程和产物是ISO 26262功用平安活动的根底
功用平安涉及开发过程的所有部门,包罗标准,设想,实现,集成,认证和验证,还包罗消费,办理和办事流程。因为平安尺度的特定要求,构建为汽车SoC设想IP的组织存在很大困难。客户资格认证和第三方ISO 26262认证所需的额外培训、评估、阐发和文档可能会使汽车电子的IP开发增加大量费用。
必需在供给链上传达那些功用平安活动的证据。因而,为汽车半导体市场供给产物的每个组织都必需记录契合尺度的开发活动。该文档内容必需涵盖相关人员、用于开发处理计划的流程,以及契合ISO 26262尺度所需产物的阐发。
人
朝着半导体IP的ISO 26262合规迈出的第一步是培训参与IP开发的人员。许多公司采纳培训一小群人的“捷径”,凡是是ISO 26262要求的功用平安办理员(FSM)和少数“平安工程师”。
然而,因为ISO 26262第2部门“功用平安办理”的要求,出格是条目5.4.2“平安文化”和5.4.3“权限办理”,要确保可持续的平安文化,团队成员具有与其职责相对应的足够技能、才能和资格,就要求在整个组织中普遍领会功用平安常识。那需要大量的员工培训。
ISO 26262小我培训和认证
固然培训的次要对象是工程师,但还需要包罗组织内参与产物开发和撑持的其别人员,包罗高管、营销人员、工程人员、文档团队、量量包管司理和应用工程师等。该组织指定和培训的本能机能平安司理(FSM)的使命是在所有参与产物开发的人员中推广平安文化,而FSM凡是负责为所有那些员工供给内部或第三方培训。客户凡是需要在ISO 26262中称为“集成商”的半导体IP以及第三方ISO 26262评估员供给员工功用平安培训证明。
做为现实施行的一个例子,超越50人的Arteris IP员工已通过ISO 26262征询公司exida的ISO 26262功用平安从业者(FSP)培训和认证,该公司也是ANSI认证的ISO 26262尺度认证机构。Arteris IP拥有经历丰硕的FSM员工,不只通过其普遍的ISO 26262培训方案,还通过成立功用平安流程来确保平安文化,确保整个半导体IP开发过程的量量。
流程
优良的流程关于制止系统毛病至关重要。系统毛病以可预测的体例与特定原因相联系关系,只能通过改动设想、造造、操做法式、文档或系统的其他相关因从来消弭。简而言之,系统毛病凡是是被“设想到”系统中的,而量量流程有助于制止将毛病设想到系统中。
因为我们是工程师,所以对ISO 26262流程的大部门留意力都集中在利用手艺和软件东西来处理ISO 26262 Part 8称为“撑持流程”的细节上。然而,那是错误的办法。
优良的平安流程或任何产物开发流程的关键不是专家利用和集成需求办理,变动办理,验证和开发过程的其他部门的东西,而是由所有员工持续利用量量办理系统(QMS)。
量量办理系统(QMS)
契合ISO 26262第8部门量量办理系统要求的任何流程都契合ISO 26262尺度。但是,现有的软件、硬件和汽车系统开发QMS是更先进的,能够做为供给商流程的根底。
下面的表2供给了一些例子:
表2:契合ISO 26262的量量办理系统(QMS)的示例。材料来源:ISO 26262-8:2011
第三方评估公司为每个量量办理系统供给认证。然而,做为汽车供给链中的供给商,无论您能否已获得第三方流程认证,您的客户都将对您的流程停止独立审核。固然陪伴第三方流程认证的陈述能够帮忙您的客户评估您的流程,但您的客户仍有义务确认您能否契合ISO 26262。
可逃溯性
可逃溯性有助于实现ISO 26262合规性。
在芯片设想范畴,大大都设想团队已经拥有更先进的系统,能够通过施行跟踪标准项目,然后再停止验证测试。但是,ISO 26262要求从平安相关要求及其施行的双向可逃溯性,从概念阶段——ISO 26262第3部门到消费和操做——ISO 26262第7部门。那意味着量量包管(QA)测试成果能够通过其验证测试、施行、标准和要求来逃溯。此外,设置装备摆设、更改和文档需要连结最新,而且是可跟踪性信息链的一部门。
关于尚未开发出办事于汽车产物的半导体设想团队来说,那种可逃溯性凡是是目生的。那些团队很难改动过去运做优良的标准施行和验证系统,以接纳撑持更普遍可逃溯性的新系统。一种处理计划是实现可逃溯性系统,该系统通过工程集成并“包拆”现有的开发系统,以供给所需的可逃溯性程度。
例如,Arteris IP不断利用Atlassian Jira问题跟踪东西做为其半导体IP和相关IP可设置装备摆设软件的产物开发标准施行验证流程的核心。过去,基于Microsoft Word的市场需求文档(MRD),产物需求文档(PRD)和标准中的项目被用做Jira系统的输入并与工程开发使命相联系关系,跟踪其形态,并主动验证测试生成并记录。
图4:主动可逃溯性东西供给了前向和后向可逃溯性的办法,有助于变动办理
ISO 26262流程的底线是大大都针对汽车市场的公司必需施行以下操做:
选择契合ISO 26262尺度的量量办理系统,利用它,并可以向第三方评估员和客户评估员解释您对它的利用。
实现更普遍的主动化可逃溯性,涵盖量量包管、交付和撑持的所有要求。
产物
若是供给商声称其产物“契合ISO 26262的平安要求”而没有起首培训其员工并记录其流程,那么它就不契合要求。一旦人员承受培训而且量量流程到位并正在利用,下一步就是按照ISO 26262阐发产物,并向半导体集成商供给阐发文档。关于半导体和半导体IP供给商而言,施行此阐发需要记录一组商定的假设,因为芯片或IP供给商不会完全领会它将成为系统的一部门。
汽车芯片和IP:SEooC,AoU和ASIL定造
简而言之,ISO 26262阐发的前提是“系统”是正在开发和阐发的实体,而ISO 26262的第1部门将系统定义为“一组至少与传感器,控造器和施行器相互相关的元件”。显然,芯片和用于造造它的IP不是契合ISO 26262尺度的系统。那么,它们是什么呢?
芯片及其IP凡是被看做(凡是在设想时未知)系统的“元素”。固然他们最末将成为整个系统的一部门,但其相关常识很难被100%理解,所以,芯片和IP被归类为ISO 26262中的特殊类型的元素,称为“SEooC”(Safety Elements out of Context)。SEooC要求IP供给商或集成商记录利用假设(AoU),其反映了IP的集成商/用户将利用的预期平安概念、平安要乞降平安机造。
因为有良多关于SEooC、AoU以及芯片和IP定造的假设,ISO 26262要求IP供给商和芯片集成商就开发接口协议(DIA)达成一致,该协议定义了两边利用的假设和责任。DIA文件将解释来自IP供给商的ASIL定造以及那种定造背后的原因,以及对所有利用假设的解释。
毛病形式和平安机造
产物内功用平安机造用于检测、缓解和纠正系统运行时由随机错误引起的毛病。单事务效应(SEE)——由宇宙射线引起的电磁干扰和当它们与半导体彼此感化时发射的电离能量——是产生随机错误的原因。那些随机错误可能具有瞬态或永久性影响。随机瞬态效应也称为“软错误”,包罗单个位翻转(SBU),例如存储器单位或逻辑触发器中的“位翻转”,以及单个事务瞬变(SET),它们可能是电压毛病,可能不会招致错误。还存在那些能够同时发作的情况,招致多个位侵扰(MBU)。由SEE引起的“硬错误”招致永久性损坏,包罗单事务闩锁(SEL)、单事务销毁(SEB)等。
图5:单事务效应(SEE)错误条理图
因为招致那些错误的原因是天然物理现象,而且是随机发作,因而检测并减轻其影响以实现和维持系统平安十分重要。为此,工程团队在其产物中开发特定平安手艺特征。以下是那些功用的示例,也称为功用平安机造:
添加和查抄添加到片上通信流量的奇偶校验或ECC位
复造逻辑并比力成果
三模冗余(TMR)或大都表决
通信超时
验证操做准确性的硬件查抄法式
平安控造器从整个系统搜集错误动静,并在系统中停止更高级的通信
内置自检(BIST),适用于所有功用平安机造
图6:毛病形式影响和诊断阐发(FMEDA)包罗利用毛病注入阐发平安机造,如BIST
我们已经描述了阐发IP和芯片所需的假设,以及它们的毛病形式和平安机造,下面将讨论现实的阐发过程。
起首停止定性阐发(FMEA),然后停止定量阐发(FMEDA)
一旦设想团队领会其毛病形式和功用平安机造,就能够施行并记录定性平安阐发,称为毛病形式影响和阐发(FMEA)。FMEA是一种渐进的办法,用于识别设想中的所有可能的毛病体例(毛病形式)以及那些毛病产生的后果。设想团队往往没有足够重视对其项目标定性阐发,而是倾向于间接进入定量阐发。那是错误的!准确施行FMEA是准确定义若何减轻毛病的关键,也是用于验证FMEA定量阐发的根底。
完成FMEA后,设想团队必需利用称为毛病形式影响诊断阐发(FMEDA)的定量阐发进一步阐发毛病形式和平安机造。虽然能够估量大大都功用平安机造的诊断笼盖范畴(即“庇护”)的假设,但大大都半导体集成商都对峙利用毛病注入手艺来验证项目中施行的功用平安办法的诊断笼盖范畴。需要详细领会IP施行,以确定必需注入毛病的位置,以触发功用平安机造,以及最有效地察看机造输出的位置。
虽然毛病注入阐发关于验证FMEA很重要,但仅靠FMEDA是不敷的。需要将其他手艺一路用于验证利用毛病注入无法随便证明的诊断笼盖率。一个示例是验证利用假设,该假设定义了客户必需与元素一路集成的平安机造。那关于驻留在IP块之外的平安机造(例如时钟和电压监视器)十分常见。除了毛病注入以验证FMEA之外,还能够利用的其他手艺包罗毛病树阐发(FTA)、相关毛病阐发(DFA)和引脚级FMEA。
由IP开发团队创建的FMEDA陈述允许颠末全面培训的平安办理人员审查有关遵守ISO 26262的所有信息。由IP供给商或半导体集成商礼聘的第三方评估公司或征询公司也能够审查阐发和开发过程,以帮忙评估功用平安合规性。
结论
在ISO 26262下满足汽车功用平安组件的尺度是一个涉及供给商的人员,流程和产物的艰巨过程。创建满足那些需求的产物和手艺需要运营和工程重点、强大的平安文化、办理许诺以及对时间和金钱的严重投资。若是供给商供给此类产物,则由集成商决定能否已采纳超出产物级此外所有步调来确定索赔能否有效。未能进一步伐查将使集成商面对利用不契合评估和审核要求的组件的风险,那些组件是客户在供给链中进一步遵守ISO 26262要求所必须的。
依赖于有关平安目的的产物开发中涉及的人员、流程和阐发的不完好信息的项目可能使进入新兴的乘用车电子系统设想的勤奋无效,包罗ADAS和主动驾驶汽车的设想。电子系统集成商必需向汽车造造商供给证据,证明系统的所有组件都颠末彻底评估,以验证其平安可靠的说法。若是不遵守尺度、不传达若何遵照尺度,可能会招致汽车供给商的额外工做或返工。
评论列表