添加安全到汽车设计

ISO 26262规范对任何人来说都是一个家喻户晓的名词甚至远程参与今天的汽车工业。越来越多,它被交替使用,safety-readiness整个供应链。

ISO 26262合规是IP的先决条件和芯片在越来越多的汽车应用程序使用。它适用于系统、软件和个人产品。由于故障转移机制与其他系统,甚至非关键系统被卷入ISO 26262合规。需要规划和设计一种不同的思考方式。

“你必须考虑安全从一开始,“强调Lakshmi Mandyam,汽车副总裁手臂。“预先做更多的IP的使用安全,正确的安全担保或IP,将简化你的设计,而不是思考是想了想还是说软件的人可以照顾它。你做的越多,越简单的价值链。最终,在这里您会向合作伙伴提供更多的价值,因为上市时间是至关重要的,尤其是如果你看看应用程序发展的非常快,ADAS自治,新(车载信息娱乐)。不仅仅是在硅部分结束,但也在OEM,一级和服务提供者结束。”

鉴于汽车供应链的多样性,oem厂商通常捕获安全性和其他需求的规格分解系统。

”一个非常相关的高级驾驶员辅助系统安全,你把它分成不同的体系结构的汽车OEM和为每个建筑子系统提供他们的需求,”罗恩DiGiuseppe说,汽车IP段经理Synopsys对此集团的解决方案。“当然ADAS,规格从汽车制造商是显而易见的。他们要么想要一个ASIL二级安全合规的ADAS系统,或根据实际系统是什么,它可能是一个更高层次的安全如ASIL d .”

问题是,不是所有的方式使用IP供应商期望。“当oem厂商说,“准备好了安全”或“ASIL D准备”,或“ASIL D能力,”这意味着如果你使用这个成分,它基本上提高整个系统的安全性,它的,它会增强它通过增加诊断覆盖整个系统的功能在一定水平,”库尔特·舒勒说,负责营销的副总裁ArterisIP。“当然,它总是系统制造商,因为它的手臂还是Arteris或任何IP提供商,有时甚至芯片供应商,你设计的产品不知道系统是什么。”

也,ISO 26262遵从性要求强劲计算的几个硬件指标,包括单点故障指标(SPFM),潜在故障指标(lem)和概率度量随机硬件故障(PMHF), Jorg Grosse提到的,产品经理的功能安全OneSpin。

“通常这样做是在FMEDA,属于功能性安全工程师。我们正在观察混乱和增加工作时计算这些指标soc因为任务推到功能验证团队没有明确的方法或工具流。大规模增加芯片的尺寸,几何图形萎缩,和更高的频率是合规实施新的挑战,如失效模式的新类。电流和方法的创新和再需要确保关键资源有效利用和准备这些新的挑战,”他说。

正因为如此,大多数的IP在半导体行业中创建的原料供应商指定的ISO 26262是安全元素的上下文(SEOOC),因为一个系统技术是唯一能有一个ASIL水平,舒勒说。

“有趣的是,抓人,是非常重要的是,无论是芯片供应商查看IP提供商,一级看芯片供应商,或OEM看一级,他们不是看是否这一技术部件,他们说这是要做什么。很多关注小部件的分析,无论是一个IP部件,一个芯片部件,即使一个系统。这就是术语失效模式和效果和诊断分析(FMEDA)。FMEDA定量观察。”

图1:ISO 26262的概述。来源:ISO.org

方法计算
在技术方面,在分析了汽车世界意味着方法和人们,。

“这是伟大的,如果你创造了这个产品,所有这些技术的东西,”舒勒说。“但如果设计师不知道任何关于安全或工程和他们把代码从一群随机不同地方和螺栓连接在一起,可以非常糟糕。它可能导致系统错误。”

坚持严格的安全协议意味着新的问题被要求的设计团队,以处理系统误差。“你怎么设计到产品质量?如何设计安全的产品?你怎么不做事情,会导致差距可能会导致未来的安全问题?当人们开始评估在价值链中,通常是高于你的人。但它也可以是一个第三方评估客户雇佣,或者你雇了自己。人惊讶,因为他们花更多的时间,或尽可能多的时间,看你的质量流程和如何人训练。他们会去验证工程师,问,“你会怎么做当你有一个错误报告给你吗?你怎么知道它被关闭?你怎么知道它进入适当的释放的这个东西?’ They’re looking in detail at the people, and whether they can do their jobs, and whether you have a process to enable them to do their job? That is at least half of the assessment. It’s not just looking at the speeds and feeds,” he said.

的一个关键工作产品必须为ISO 26262发生合规相关的失效分析,涵盖了硬件设备与系统的交互,DiGiuseppe指出。“标准并分解到不同的硬件组件,和软件组件和单个组件组成一个子系统。我们不是在谈论汽车的全面系统的子系统,但像ADAS或信息娱乐系统,或系统和模块的不同组件之间的交互。甚至下钻的相互作用不同的IP块在一个芯片内,所有这一切都需要依赖所谓的失效分析(DFA)是否有失败在一块,或在一个系统上,或失败在一个芯片上模块。如果有一个特定的组件的失败,会如何影响系统中的其他组件?这既适用于IP块交互与其他IP块,或者芯片,驻留在一个董事会。”

安全准备由ISO 26262的另一个方面是分解,桑贾伊·皮莱指出,功能安全技术专家ICVS在中的那导师,西门子业务。“如果系统是一个ASIL D系统,它可以分解成多个组件,每一个都可能是介于ASIL B和ASIL D OEM组件想要安全手册,与所有的抵押品,认证为安全准备。意味着什么半导体和系统供应商提供整个担保或抵押品,因此当一个框架提供的半导体公司oem厂商,他们都需要安全准备好了。”

这是一个新进入者进入汽车领域的巨大变化。“有两个非常不同的类型的客户,我们看到,”皮雷说。“一个半导体人传统上一直在供应商汽车空间。他们有一个相当好的理解的整个过程。他们有自己的内部流程一致。但即使对于营地的人,这是一个大变革的到来。还有新玩家进入市场,和大破坏,由于需求的变化正在发生从oem汽车而言,即自主驾驶。这是改变的范围和严格要求从安全的角度来看。汽车的电气化也产生影响。”

传统上,汽车零部件微控制器控制的发动机,变速器,排放控制,身体,刹车,这样,皮莱说。“拿去自主驾驶,和突然的范围的复杂性要高几个数量级。我们从几十万盖茨在微控制器几亿盖茨,到现在接近十亿盖茨自主驾驶芯片。变化范围基本上意味着每个人都开始看他们的传统设计方法。添加另一层复杂性是安全,试图解决随机故障,发生随机故障时系统的响应。”

另一种安全的方法是在核心,手臂Mandyam断言。“我们已经开发出的技术,与软件配置,要么分裂的处理器运行不同的应用程序或安全锁。作为一个例子,在相同的平台上有原始设备制造商和一级年代想要交付应用程序在不同ASIL水平。如果你看一个新系统,这是非常performance-heavy并希望运行许多不同的应用程序在许多不同的操作系统,我们会想要运行。可能是non-safe或ASIL B的应用程序。然后,如果你有一个传感器融合模块或一个自治车辆控制器,你会想要ASIL D安全能力,这就是你想要的处理器锁定。我们能够发展的核心,这样您可以运行两个核心在锁定模式,它们的执行相同的指令。每个操作和每条指令自动检查硬件,逐周期。这给了一个更高级别的安全不增加软件的复杂性。”

同时,安全工具,包含软件测试库可以用来检测处理器有一个问题。“那么您可以很容易地进入操作失败模式翻转处理器更可用,他们可以继续执行较低的临界水平,也被称为“跛行回家”模式,”她解释道。“假设有一个问题。你可以减缓汽车或自治系统可以减缓汽车或搬到路边,然后采取行动能够从失败中恢复过来。”

这是与其它高性能汽车处理相比,两个核心是独立运行相同的软件,和最后检查结果外部CPU检查监督SoC。“这是一个效率低下的架构,“Mandyam说。“软件复杂性增加的反应,这是一个复杂的软件认证和供应链。更重要的是,它使用更多的空间和具有较高的能源消耗。”

结论
汽车设计的范围,包括安全性和可靠性变得如此之大,它必须解决在一个非常不同的方式比过去。

“你不能把传统的验证和开发方法,”皮雷说。“我们看到的是它迫使人们创新的空间。这是一个非线性问题。你不能把方法为几十万甚至工作一百万年盖茨和规模到十亿年盖茨通过蛮力。它迫使人们重新评估和创新。”