开发汽车应用芯片和系统所需要的东西。
汽车制造商正在将汽车自动驾驶级别从2级先进驾驶辅助系统(ADAS)升级到2+级和3级,并逐步发展到完全高度自动化驾驶(HAD) 4级和5级,并采用新的安全关键应用。自动紧急制动、车道保持辅助、交通标志识别、环视、睡意监测等新应用提高了车辆和乘员的安全性。为了确保新应用的汽车硬件和软件符合安全标准,整个硬件/软件供应链,包括用于不断发展的电气和电子(E/E)系统的复杂半导体片上系统(SoC),必须符合ISO 26262汽车功能安全标准。实现ADAS功能的最新SoC处理器必须使用符合特定ISO 26262汽车安全完整性级别(ASIL)的汽车级IP,并满足安全关键SoC的ISO 26262功能安全(FuSa)开发流程。
安全关键汽车产品的标准v型开发过程
图1:汽车产品开发模型
图1显示了在汽车工业中广泛用于开发产品的标准v型开发流程。紫色所示的标准v型开发流程应用于所有汽车产品开发。根据ISO 26262,对于安全关键的产品,需要绿色所示的额外开发步骤来补充标准定义、实施和验证/验证活动。
为安全关键产品开发创建安全文化
安全关键的开发活动需要开发团队将安全文化应用于开发过程的每一步。定义和应用安全关键产品开发的安全文化,包括分配一个独立的FuSa组织经理,对产品开发团队拥有独立的权力。安全监督和开发活动包括安全计划的定义和遵守以及安全要求的定义/文件化。安全方案和安全规范包括硬件/软件的功能安全机制,如ECC、奇偶校验、双核锁步等功能,由设计团队按照安全概念规范的要求实现。将硬件/软件安全机制设计到安全关键soc的汽车IP产品中,需要对IP产品进行评估和验证,以满足ASIL ISO 26262安全要求,包括ASIL级别。
在产品设计中实施安全机制是半导体soc以及构成这些soc的IP产品的行业最佳实践。硬件/软件指标确定了安全机制对识别和纠正IP中可能故障的影响。这些指标在SoC开发过程的验证和验证阶段进行分析,并需要评估、模拟和故障注入,以确定产品是否满足安全要求规范中设置的ASIL目标水平。
ASIL随机故障的功能安全评估
为了完全符合ISO 26262:2018标准,需要进行随机故障分析。ASIL随机故障分析是针对ISO 26262:2018安全标准第5部分第8条款(硬件级产品开发)的评估。在此评估期间,只涉及安全关键IP产品的硬件安全分析,设计和评估的可交付成果/工作产品包括故障模式、影响和诊断分析(FMEDA)和安全手册。作为随机故障分析的一部分,ISO 26262定义了单点故障度量(SPFM)和潜在故障度量(LFM)率的关键结果,以满足特定的ASIL级别。
达到这些指标作为一个目标涉及到设计的设计失效模式影响分析(DFMEA)。DFMEA是一种定性分析,捕捉设计中的失效模式及其在IP级别上对元素的影响。
最佳实践:ASIL D系统故障的功能安全评估
除了硬件/软件安全开发,包括对这些硬件/软件安全机制的随机故障进行功能安全评估外,汽车行业最佳实践还要求对所有安全关键产品的系统开发过程进行安全评估。系统的开发过程涉及产品的所有开发阶段,例如计划阶段、开发阶段、验证/确认阶段、评估和产品发布,以及持续的维护和产品监控。所有这些开发阶段的安全关键产品的整体开发要求FuSa安全管理团队和产品开发团队执行多个步骤和审查,包括持续监控,以确保遵循ISO 26262系统开发流程(图2)。
图2:ISO 26262 ASIL D系统开发过程。
虽然图2所示的ISO 26262 FuSa系统开发过程是在ISO 26262标准中定义的,并且是完全符合产品标准所必需的,但开发团队可以决定只遵守ASIL随机硬件/软件故障评估,或同时遵守ASIL随机硬件/软件故障和ASIL D系统故障评估。在ASIL系统故障评估中,以ASIL D系统安全级别为目标是行业最佳实践。
随机和系统故障评估的质量管理体系
对于同时符合ASIL随机硬件/软件故障和ASIL D系统故障评估的产品,开发团队需要确保开发的所有方面都经过严格的程序,并进行多次检查和平衡。这些程序包括审查和批准过程的多次迭代,然后是内部审计和可选的第三方独立检查/审计。它不仅需要执行和记录审查和批准。有必要记录并证明评审和批准的发生。为了确保所有步骤都已执行、记录和审查,汽车行业最先进的质量管理体系(QMS)是必要的,以跟踪和显示已执行的开发。质量管理体系包括从需求设置到执行和确认的完整需求跟踪。
在ASIL D系统开发过程中,第一步是计划阶段,该阶段包括被定义和跟踪的产品的每个工作产品。开发阶段将要求完成大部分工作产品/可交付成果。但是在验证/确认阶段以及评估和产品发布阶段会生成多个工作产品。在每个开发阶段,创建确认评审报告、功能安全审核报告和功能安全评估报告,并在QMS系统中独立跟踪。图2所示的ASIL D系统开发过程通常会产生超过80个安全工作产品/可交付成果。
Synopsys Automotive IP:符合ISO 26262 ASIL随机和ASIL D系统的安全关键汽车应用
Synopsys汽车级IP采用符合fusa标准的ASIL D系统开发流程,针对ASIL B和ASIL D随机硬件故障安全级别实现,帮助设计人员加快ISO 26262 soc级别的功能安全评估,并达到目标ASIL。
除了定义和遵循fusa兼容的ASIL D系统开发过程之外,独立确认ASIL D系统开发流程也是很有价值的。为了确保synopsys定义的ISO 26262 FuSa开发流程符合ISO 26262标准,我们利用SGS TUV Saar对开发流程进行评估。如图3中的证书所示,Synopsys建立的通用开发过程符合行业标准。
图3:根据ISO 26262:2018, Synopsys通用工艺的SGS TUV Saar证书
Synopsys最近升级了PCI Express控制器IP、MIPI CSI-2主机和设备控制器IP以及Synopsys 10Gb以太网控制器IP,以强调对汽车IP行业的重要性,支持完全ASIL随机和ASIL D系统兼容。新思科技是首家为这些关键任务接口协议提供完全符合ISO 26262标准的IP供应商,这些协议广泛应用于ADAS域模块、分区ecu以及L3、L4和L5自动驾驶汽车的中央计算处理。Synopsys接口IP产品支持完全ASIL随机和ASIL D系统兼容,加入现有的Synopsys ARC®处理器,完全ASIL符合ISO 26262标准。新思科技的汽车级接口IP和处理器IP提供最高级别的安全性,以加速针对新的汽车平台架构的安全关键soc设计。
总结
设计人员在设计安全关键soc以发展E/E车辆系统时,正在利用汽车级IP。新的汽车应用增加了对半导体SoC功能、带宽和功率要求的需求。新思ARC处理器和具有TSN功能的关键任务接口IP(如PCI Express、MIPI和以太网)符合ASIL随机和ASIL D系统ISO 26262功能安全标准,为安全关键应用提供功能和性能。
Synopsys的ASIL D系统兼容IP组合专门针对随机硬件故障和ASIL D系统进行开发和评估,加速soc级别的功能安全认证。查看更多信息,请单击在这里.
本文首次发表于Synopsys IP技术公报:https://www.synopsys.com/designware-ip/technical-bulletin/asild-systematic-iso26262-compliance.html
|
|
|
|
|
|
|
|
留下回复