ISO 26262:2018,第二版:改变什么?

如果你以某种方式参与汽车电子产品的设计,你可能有超过一个粗略的对ISO 26262标准的理解。什么是您的组织工作是最有可能在2011年的定义。最近更新正式称为ISO 26262:2018,不那么正式,ISO 26262 2所示^nd版。

图1所示。概述ISO 26262:2018系列标准(ISO / fdi来源)

标准的发展,但是改变了,为什么?我一直在ISO 26262工作组的成员多年来,特别是参与如何解释为IP,我必须告诉你,我有挣扎。从我的角度来看,它最初是写在一个隐式的期望芯片完全从头开始构建一个组织内,这是一个过时的假设。也没有足够的指导基于ip的设计或设计分布在多个公司或网站。IP供应商的解决方案是使用安全元素的上下文(SEooC)机制。但这在很大程度上依赖于人类的解释,通过组件供应商可能相关的积分器,反之亦然,没有指导的2011版标准。我抱怨发牢骚?不少委员会关于这些问题,他们最终邀请我工作小组。我不是唯一一个困惑和其他人加入,我们似乎有影响;我们的努力导致了更多的澄清,组织在最新的标准和实际的例子。我认为新的11部分更新后的标准为我们提供了更多的细节和有用的例子在半导体和半导体IP工业。

您可能想知道如何安全标准应用越来越多的出现在汽车自动化。早在2013年,当我加入了工作小组,共同的观点是,如果有什么出错了在自动化、光闪,或者一个寻呼机会哔哔声,司机会夺回控制权。但科技是移动比预期快得多,点也许更安全的备份系统接管控制。这个行业已经创造了一个新的术语,“操作失败”,为了解决这个问题(看到这个漂亮的由NXP的解释);系统不只是静静地失败,它变成了容错。当我们接近自主驾驶,如果系统失败,我们必须有一个更快的响应比根据备份驱动程序。

增加系统自治插入一个新的安全问题:当系统引起安全问题虽然有没有系统误差和随机误差(由于宇宙射线等)?换句话说,如果系统的目标功能导致安全问题?这些类型的问题由新自动化技术在ISO 26262:2018并不处理2^nd版,继续专注于硬件和软件安全风险的弹性和过程用于创建的硬件和软件。这些系统安全问题将解决在一个新的标准,通常称为SOTIF年代afetyOfT他我ntendedFunctionality(又名ISO / PAS 21448:2019)时如何管理可接受水平的安全系统的关键部件是不确定的,如机器学习(ML)系统不可避免的吗?什么样的冗余毫升系统之间是可以接受和失败率是如何量化?我们应该如何测试和资格这些系统吗?更远还是不管需求可能有SAE水平3到5左右,真正的自治接管。ISO 26262是合理的并不是想吃掉整头大象。

安全问题也不是一个大问题,但2011年显然是热现在。安全应如何考虑到安全分析?第2部分,更新的功能安全管理,规范需要一步这个要求设计组织创建和维护之间的有效沟通渠道功能安全、网络安全和其他组织相关功能安全。它并不说明你需要做什么来证明你有见过这种期望,在ISO 26262但这并不罕见。集成商通常设置酒吧供应商以满足他们认为是必要的和充分的。如果你是一个供应商和你认为不公平,那么你需要谈判你的位置有很多事实和创建一个相互了解。如果你想要在中国市场占有一席之地,这是它是如何工作的。

这一点我认为很长一段时间。“合规”不是一个一次性的锻炼你证书展示给你的客户,你就完成了。你的顾客,集成商,主要是关心他们要证明合规他们的客户。酒吧持续上涨,因为技术正迅速发展,而最终汽车制造商有大部分的责任。最多一个证书是通过进入竞争厂商。除此之外,积分器可以问你re-demonstrate合规的各个方面和改变你的流程,工作产品或产品。我之前说的,开发人员需要思考超出标准的字母和思考更多关于标准的精神。第2部分条款6.4.9和6.4.10引入新的确认措施的指导意见和确认评审,应该给这些期望的一些想法。

这里有一个例子的要求确认评审的一部分:判断的关键工作产品…提供足够的和令人信服的证据的贡献成就的功能安全。换句话说,即使你做所有预期的机械安全的东西(故障模拟等),一个独立的评论家仍相信这一切加起来改善功能安全。

第十一章的2^nd版立即将是最有趣的半导体和IP设计团队,以及晶圆厂。有很大部分处理IP,从IP开发人员和积分器和这两个应该如何进行交互,包括讨论SEooC集成IP。我将从本节突出一个主题:如果IP积分器确定安全需求的满足是不可能提供的IP,可以提出变更请求,供应商…换句话说,即使你(IP供应商)认为你的IP完成后,如果集成商需要一些额外的满足她的安全目标,你可能会在钩子上提供。当然,会有基于事实的谈判,但如果一个积分器认为她不能让她的顾客接受元素除非你做出改变,那么你很可能会觉得承诺积极回应客户的新的需求(和维护的机会去追求未来业务和她)。唤醒调用是ISO 26262认证不免除你的需要共享信息和额外的证据或工作产品与客户,即使你有一个某种类型的证书,并且不带走可能需要产品或工作产品支持客户的需求的变化。

还有更多的2^nd版,例如应用程序摩托车、卡车和公交车,但最后,我将讨论,有相当多的细节确定基础失败率。这个信息是洒在前面的牧师的标准,现在合并到第11部分,条款4.6,“基本故障率半导体。“这里的挑战是,很多设计都搬到先进半导体过程节点,可靠的信息(至少在一生中所需的汽车应用程序)是稀疏的。有一个相当冗长的讨论假设和计算这些失败率的机制。

总的来说,有很多不错的进展在ISO 26262:2018, 2^nd版,堵塞漏洞,随着时间的推移已经变得明显,使其更容易理解和使用。这可能是最好的方法把这个更新;清理和细化安全要求和指导或多或少我们最初理解他们。ISO 26262:2018不解决缺乏系统性和随机自治系统将不会出现安全问题,使用神经网络;这是SOTIF标准。所以对工程师工作在3级和系统之外,ISO 26262:2018和ISO / PAS 21448:2019应该在你的书架上。

更多信息关于ISO 26262:2018第11部分,下载39-slide臂TechCon演讲题为“ISO 26262第11部分半导体的基础,“Arteris IP功能安全经理亚历克西斯Boutillier和ResilTech科学顾问安德里亚Bondavalli博士,或者看我的非常受欢迎的SemiEngineering”新利体育下载注册技术讨论:ISO 26262、下钻”视频。