重新考虑汽车设计

汽车行业正经历着全面的技术和业务的变化,和功能安全日益跨越他们两人。

每个安全性至关重要的行业都有一个或多个功能安全标准,是否这是制造业、航空电子设备或汽车。在汽车,它的结合ISO 26262和各种ASIL级别,这是为了防止环境失败,系统应对不同的缺点。

来源:梅赛德斯-奔驰F015

标准沙发的东西语言特定的行业,但是他们都谈论同样的事情。

“他们解决的可靠性设计,即。,了解你实际需要保护,实际上保护反对它,”罗伯特·贝茨说,嵌入式系统部门的首席安全官导师,西门子业务。“汽车汽车oem所说的在一个特定的方式不是用来处理ISO 26262之前,但它是各种类似;我们学习我们这里什么样的增量学习当我们到处走吗?安全是相同的方式。然后,然后,我们可以特定于行业和扩展它呢?”

有多个方面,这些标准。因此,尽管ISO 26262标准有非常具体的定义,有很多需要考虑的方面。

“有严格的验证,系统的一面和匹配的要求,随着随机的一面,”戴夫Kelf说,负责营销的副总裁OneSpin解决方案。“整体的可靠性将饲料从安全方面,和ISO是驾驶它。ISO 26262开始解决这个汽车市场竞争更加激烈,因为传统安全市场,像航空航天,不在乎飞行员有额外的无线电功能。他不需要它。所以竞争自然没有。你可以需要很长时间才能改变事情。新的汽车制造商必须解决安全问题,很明显,但他们更比任何之前的竞争环境。新标准使他们更快地建立新的能力,保持它的安全标准,这是关键,但允许他们在这种环境下竞争。安全的概念,尽管它被很好地定义,开始侵犯到所有领域的半导体,这都是关于如何推动业务,但处理的可靠性问题,这些人担心——而不是杀人。”

这是汽车的一个巨大变化,一个保守的行业建立在机械和液压工程。但随着越来越多的电子driver-assisted特性被添加到汽车,竞争正在升温。反过来,迫使该行业变得更加以消费为中心的,驱动的产业。

“ISO 26262是帮助汽车厂商的安全与平衡,这是一个聚在一起的事情我们可以做来帮助他们,和他们需要的东西把自己做出平衡,因为你永远不会有什么绝对安全,”贝茨说。“你可以开车,你可以在混凝土包住它,把它的底部,然后它可能是安全的,但它不是很有竞争力。的平衡,他们将不得不面对在未来5、10、15年。”

企业的风险
从概念上讲,至少,这种类型的风险平台在服务器领域已经存在一段时间缩写拉下,可靠性,可用性和可服务性。

功能安全是另一个维度,说Anush莫汉达斯·,业务发展副总裁NetSpeed系统。“事实是,世界充满随机故障,它将是一个概率假设也许芯片失败,也许芯片没有。你可能记得制动与丰田事件。它是一样的。任何死亡吗?也许是芯片,也许是软件,也许是司机,或缺乏。”

安全标准的一个最大的优势是他们为制造商提供参考指南,这是一个最佳实践的路线图,可以用来减少人身伤害或集体诉讼责任。更好的定义这些最佳实践,制造商可能会在法庭上表现更好。

“功能设计问题,但也有你是谨慎的法律文件问题提供尽可能安全的系统,”查理Janac说,董事长兼首席执行官ArterisIP。“每年大约有35000到40000人死亡在美国高速公路——全球约125万——如果我们可以节省约80%到90%的那些人,我们在美国可以挽救36000人的生命通过ASIL开车3到5级水平。美国经济的好处是7500亿美元左右,如果你避免事故,经济损失,生活,等等。问题是,那些死亡的有4000人,他们中的一些人将会死于技术,和他们是不同的人就会死去。”

处理的复杂性
的一大挑战是,这些都是复杂的系统,他们都是建立在新技术。系统,如ADAS的复杂性和自主驾驶大大扩大了汽车电子的复杂性。

“这是几个数量级比曾经被视为汽车电子,”桑贾伊·皮莱说,等温淬火的首席执行官。“这是改变了景观,因为现有的流不规模。这样的人我们去解决的问题,使其可伸缩,满足ADAS的要求,例如,这是一个事实SoC芯片。它不再是一个单片机。如何构建系统,这种程度的复杂性,同时仍然保持所需的标准吗?”

这个问题的答案并不简单。它包括从反思系统重构工具适合汽车,它包括学习方法和工程。

“我们团队来自两大极端,”亚当·谢尔说,验证产品管理总监节奏。“有消费品公司进入汽车(苹果和谷歌),建立大soc超过可接受的失败率。然后你有汽车公司没有严格的验证设计。他们只是测试它。还有一个测试周期会发生,但这些系统的速度成熟是推动汽车企业做更多的前期验证,更多的设计。消费者企业感到残酷的现实,保持汽车生产线意味着100%的产品工作,和周转时间勘误表是以小时。试图让这些团队找到合适的工作分是一个改良整个行业。”

Kelf表示赞同:“现在这是下一个大的不连续。它的进化,我们都说:“好吧,我们会得到我们的验证系统更好的工作,”一个临界点,“哦,不,这就需要重新考虑很多我们需要的东西。而且不只是模拟器,形式验证,引进一些故障仿真。它就在整个工具套件。这是一个整体方法论的改变。这是一个全新的理解,这是一个新的合作供应商和客户之间的真正找出我们如何解决这个问题,我们如何可以利用的知识核心汽车人以前住这。我们如何使用这些知识在这些工具?实际上,我们能建立在这些工具让我们在竞争环境中工作吗?”

甚至验证电子设计的中坚分子,正在发生变化。“传统上,验证是更多的后端,”贝茨说。”,甚至从纯粹的质量、安全世界的观点,你谈论验证在漫漫长路的每一步。整个行业要想成功需要做同样的事情。至于什么,工具,它不会让传统的工具完全过时但它迫使越来越多的复杂的验证在漫漫长路的每一步。也许你可以扩展的工具,我们有今天。也许你需要新的工具。你当然需要新的工作流在使用这些工具,这是一个巨大的变化在思维过程对我们和我们的客户能够成功。”

系统需要验证,所以做硅的各个部分,进入系统。

“功能安全是一个必要的,因为昨天的车大约有价值300美元的半导体,“ArterisIP的Janac说。“但是如果你看看像特斯拉,价值2000美元的半导体,它是前往每辆车3000美元到4000美元。当你有多个组件,为了保持安全甚至在旧的历史水平,每个组件的安全水平,因为有更多的人——必须显著提高。这是一个半导体设计、软件设计问题,但也是一个工具的问题。有一个整个堆栈的这些工作。”

谁该对此负责呢?
的一大问题,到目前为止还没有完全回答,涉及到责任。事故发生时自动汽车,错误会追溯到芯片设计团队?

“芯片设计团队的设计,它必须满足标准,它提供的文档,它满足了标准,然后他们应该好了,“Janac说。

但是仍然有很多没有完全定义的变量。现在发生了巨大的发展,似乎应该有一个更加标准化的工具流伴随ISO 26262。这由许多公司仍处于开发阶段。

导师的贝茨指出,大部分的这些努力似乎集中在安全分析方面,识别潜在的故障与形式化的过程来确定减排。“今天好工具有限,这是一个大洞。”

与此同时,它很好理解所需要的,即使还没有可用的工具。

“如果你看看ISO 26262,有两个组成部分,“奥氏体回火的皮莱说。“可衡量的部分,然后由专家,评论基于它的一部分。都要做。有工具的可衡量的部分。这些都是标准化的,因为你希望能够通过一个工具流和能够产生所需的所有抵押品的认证。下半年是由部分,你仍然需要有专家做。诀窍就是在你画的平衡之间的界线的专家和工具流,或者完全由专家和它成为一个非的问题。在这个世界上并没有那么多专家谁可以解决这个,让每个人都走了。你切下来太多,它变得太特定工具。然后的问题开始出现如何量化这些工具或资格。 We are still in a transitional phase. It will settle itself down at some point.”

在一天结束的时候,必须要具备三个因素使这一切工作。

“首先是有弹性的设计,即。,没有工具将帮助如果架构不包括同步,或者单位重复或ECC Janac说。“第二,功能安全,需要第三方顾问会说所有的规则是谁。它不能自己。它不能被工具提供商。它必须是一个第三方安全顾问,他说,“我祝福,我看着这,正是符合这一水平。第三是流动的工具,其中包括数据包注入、故障模拟,等等。这三件事在联盟。”

有关的故事
技术讨论:ISO 26262
什么是新的在汽车标准和如何设计汽车安全可以失败。
反思验证汽车
第二个两部分组成:规模经济,为什么不工作在安全至上的市场。
自动汽车驱动新软件
安全性、可靠性和复杂的集成是必需的,但它可以很快发生足够了吗?
自动驾驶汽车供应链喋喋不休
从数以百计的单片机转向更集中的计算是在汽车行业创造混乱。