漫长而详细的道路汽车合规

符合汽车安全需求正在放缓一系列创业创新和参与整个生态系统难以实现自动车辆。

这是特别繁重的芯片制造商,面临高酒吧IC的完整性和可靠性。他们必须符合规范和自由的设计错误。不当行为在个别案例场景可以威胁到司机,乘客和其他附近。Pre-silicon验证仅是不够的。汽车电子产品也必须提供安全功能,即使在随机误差的存在。的ISO 26262标准规定,安全逻辑必须添加及其有效性完全理解。

“即使设计是正确的和安全的,信任验证是至关重要的,以确保没有硬件木马或其他意想不到的功能是由任何个人或插入工具在任何一步的开发过程中,“Joerg Grosse说产品经理功能安全OneSpin解决方案。“还必须保证安全,因此,没有恶意的代理可以控制芯片和导致车辆在一个危险的行为。保证IC完整性提供了功能正确性、安全性、安全与信任。”

这是一个激进的离职对于大多数芯片公司。“自主驾驶的想法创造一个全新的世界,几乎和它可能被认为是一个不同的行业,“观察到丰富的柯林斯,产品营销经理IP子系统Synopsys对此。“很多公司看到一个巨大的增长潜力,所以他们在脚先跳。”

连同这是添加要求的安全必须架构在汽车系统。“你必须思考当你有一个空白的纸,并认真考虑所有的方面,因为它触动一切,”柯林斯说。“不仅仅是,‘让我们做一个街区,我们坚持在角落里,这是我们的安全。你必须思考如何影响内存碎片,代码的逻辑,启动芯片。如果有错误在不同部分的芯片,我们如何管理这些升级基于一个错误的最右边角落的芯片吗?导致灾难性的失败,所以我必须关闭,或者我可以忍受那些类型的决策。这一切都需要而设计的。新领域的半导体供应商,所以他们迫切寻求帮助。”

从技术角度来看,汽车soc有三个主要的要求:质量、可靠性和功能安全。质量开始铸造过程的鲁棒性,其中包括等因素过程变化、缺陷密度、电迁移、防静电、老化和热疲劳,汤姆Wong称,市场总监,设计IP节奏。可靠性与SoC的生命周期和体现在婴儿死亡率、使用寿命、老化和磨损。功能安全与满足ISO 26262要求,包括安全目标、安全SoC架构,安全验证和FMEDA分析。

“汽车的标准,应该主要关注,我们有AEC-Q100 ISO26262,”黄说。“AEC-Q100失败系统压力测试资格打包集成电路。最常用的温度范围为汽车soc 2级(-40ºC + 105ºC环境),以及更严格的要求是1级(-40ºC + 125ºC环境)指定AEC-Q100标准文档。信息娱乐系统芯片,平视显示器和ADAS子系统如ACC, AEB、盲点检测和车道偏离监测通常是2级温度范围。当我们开始搬到3级和4级部署,1级温度范围将会变得更加普遍。”

ISO 26262
功能安全是至关重要的安全性至关重要的汽车系统的发展,特别是在引进先进的驾驶员辅助系统(ADAS)和自动驾驶系统(ADS)。ISO 26262规格、功能安全,公路车辆出现在2011年的汽车系统的功能安全标准。ISO 26262:2011通常是采用半导体(SoC)和知识产权供应商作为汽车功能安全合规的基线。目前可用的草案第二版(ISO 26262:2018)和正式通过提供一个具体准则涵盖半导体发展一个合适的解释的标准部分。然而,对于许多半导体和IP供应商,ISO 26262的信息在第一版没有捕获的需求或考虑相关的原始设备制造商和汽车的需求相比一级和二级供应商。

开发一些半导体器件和IPs安全元素的上下文(SEooC)是未知的,因为最终应用程序。所以假设最终实现、安全目标和汽车安全完整性水平(ASIL)需要并不总是明确的。在设计团队实现系统可以定义和评估系统级安全机制和诊断覆盖率,是不那么容易的SoC和IP设计师/供应商,Wong说。

许多担忧SoC和IP设计师/供应商集中在瞬态故障的组件,这是主题,没有解决在ISO 26262:2011(第一版)。他们是FMEDAs至关重要的方面。第11部分第2版带来增强信息来支持相关的失效分析(DFA)。此外,适当处理遗留部分发达之前发布的ISO 26262可能是一个挑战,因为它不能被证明,遗留设备被设计在安全环境中减轻潜在的系统性风险。“因此,唯一的退路是我们可以宣称我们已把数以百万计的这些芯片,和没有已知的故障会影响安全。我们称之为“使用证明”,为下游客户提供信心,这是适用于汽车应用程序,”他补充道。

ISO 26262:2018 ISO 2019年1月发布的。挖得深一些,ISO 26262有三个重要基础/支柱:人、过程和产品。完全遵守规范的精神,“人”是最重要的一部分。“安全文化的开发和示范是ISO 26262的基本要求,“王解释道。“这意味着任命安全经理和培训团队,这样他们便可以了解ISO 26262规范充分能够定义安全目标和安全体系结构和与审计人员的认证过程。这个安全文化需要渗透到整个组织。通常,组织看这个需求作为检验点。一旦我们得到认证,做完了。这是远离真相。它是一个文化的转变,团队必须相信安全是很重要的,是开发过程的一部分和心灵。 There are no shortcuts. Either you believe in the mission, or you should not be doing this at all.”

支柱指定任何设计过程的组织需要证据确凿的过程和程序设计、文档、缺陷跟踪、项目管理等。这是为了避免系统性的错误或错误的基础。

有一个好的设计过程也使设计团队培训新成员随着团队的成长,也是传播安全文化的重要组成部分,它是ISO 26262规范的一部分。除了设计过程,“产品”是ISO 26262的第三站。这是指产品资格,无论它是一个系统,一个SoC或IP。每个产品必须经过严格的定量和定性分析基于安全目标,识别潜在的失效机制,插入安全特性来降低风险,计算硬件满足率。基于详细的,有时很详尽的与审计人员的合作,一个FMEDA完成和产品认证符合ASIL准备和合规的相关水平。

但是有更多的汽车比系统架构设计,芯片设计,物理布局、过程技术和最终产品的性能。

“有很多其他的变量,需要深入了解的功能安全性和半导体可靠性,以及深度的组织承诺你在这长期的,”他说。“如果你开始思考你想要借多久你的车,你想让你的车仍然是安全的10到15年之后,你就会开始欣赏所有预先的艰苦的工作要做,以确保发生。尤其是当我们即将进入的领域自主驾驶。2级车辆在路上已经超过5年了。3级将在2019年部署/航运,四级是在拐角处。所有这些功能安全考虑现在舞台的中心。毕竟,路上车辆的平均寿命已经超过12年了。”

从这里到那里
知道目标并不总是意味着有明确的路线,并应用时,适当的标准识别和占在一个工程团队足够的开始设计遵从性,一个实用的方法是一个很好的起点。

“你必须看组织,甚至他们的流程是否有能力或有程序兼容,”约瑟夫Dailey表示,全球西门子PLM软件功能安全主任。“有很多标准,但一个真正推动每个人都ISO 26262。真的不仅让人们看到他们必须有一个先进的过程能力,也是一种先进的架构能力。”

Dailey经常做这样的评价。”的过程,当我进入一个公司,我做的第一件事是一个差距分析说,“这是你的过程。这就是你的问题。这些建议来完成以达到合规。作为工程集团的一部分,我将实际系统侧离标准说,“这就是我们可以简化整个过程。这些问题与你的工具流。这些问题您的流程流。然后我们工作创造更好的过程解决方案的公司。可以从api工具之间重用能力。有很多。 But we have to meet ISO 26262, which relies on ISO 9001 or a similar QMS (quality management system), and it also refers to other things like configuration management and other standards that you have to know and be aware of them.”

“有架构的问题。“你这样做工作流吗?你确保你做你所有的验证和确认没有的产品,但是你的工作流程吗?你可能已经完成你所有的要求的产品,但是你确认它符合所有的支票?你签署的一切吗?必须提供所有的信息,因为如果发生10年、你要做司法鉴定,你怎么能证明你有固定的东西如果你不知道失败是什么?作为其中的一部分,有一些安全分析问题。我有我的单点失效分析和指标?我有我的参数随机失败吗?诊断平均? Those numbers have to be there. So there are several pieces of analysis from the hardware side,” Dailey said.

显然,有许多不同的分析来证明系统是安全的。但是现在的行业最大的问题是它仍然看着单一组件或单一事件而不会使整个系统在一起,他说。

这就是SOTIF (ISO 21448 -应有的安全功能)委员会已经花了一些时间真正确保系统验证和确认是联系在一起的。它们的附件邮票/ STPA过程,最近创建了J3187工作组创建指南的使用邮票/ STPA过程。

起床速度是一个不小的任务,他说。但与管理层的承诺,有可能有一个流程启动并运行六个月为了开始管理工作。“这并不意味着所有的工作就完成了。这仅仅意味着我们分析了过程和创建计划文档,和有几个水平要创建的文档。首先,你必须计划。我的配置变更管理计划是什么?我的文档的要求是什么?有很多不同的计划,必须从组织方面放在一起。一旦这些,那么我们就可以开始使用团队和项目,让他们走了。然后我们开始工作模板、工作指令,指导方针。 Then we can bring in an audit house and start to audit the processes in order to get their processes certified,” Dailey added.

复杂性上的复杂性
事情可能会变得复杂的非常快。库尔特·舒勒,负责营销的副总裁Arteris IP说,听在SOTIF应用中并不少见,“我要做一个系统,它有相机,有雷达,以及雷达相机,还有传感器。这是非常复杂的。人们问我们如何预防,确保这个东西是如何工作的,我们可以做些互连的帮助。所以我们真的被拉到这些高层次的问题。因为一个互连是可配置的IP,每个客户的设计是完全不同的,我们也被拉进去讨论过程方面ISO 26262当使用可配置的IP,而不是硬宏。这些公司都要求我们1001问题吗,它真的是很困难的。我们通常需要做的就是同意预付,我们负责一个特定的规范的一部分。安全元素的上下文,我们是负责这种类型的分析,这样的东西;这是我们假设的使用和一切;我们同意这个。任何其他见解我们给他们是我们帮助他们,但这不是必要的合同或要求的一部分。 The reason to have that agreement up front is because a lot of these companies are new to automotive, and we have a lot of experience, but we don’t want to be an ISO 26262 consultancy.”

这就是教育和功能安全专家带来的表。

所有这一切只是放大了严格的安全感觉,渗透到整个汽车的生态系统。例子:汽车制造商和一级年代很严格的硅,需要进入汽车模块非常半导体供应商,以确保他们的SoC经历了严格的认证机构来获得邮票说不仅仅是硅,但是他们所使用的系统,发展他们的SoC,流和流程都是排队,因为他们得到审计的OEM, Synopsys对此”柯林斯说。“这是一个非常全面的安全文化,你必须建立出类拔萃。这不仅仅是一个盒子你可以检查”。

虽然IP提供商是水平移除,柯林斯说Synopsys对此经历很多类似的过程,SoC供应商的安全文化,如识别特定的人作为安全经理负责整个IP安全方面的认证过程。“当我们结束SoC供应商提供,我们已经做到了。我们正在努力减轻供应商因为现在的痛苦,例如,处理器已经ASIL-D认证,因为它是一个双核心同步,例如,处理器。所以他们可以利用很多我们称之为FMEDA这家失效分析报告。他们可以利用这些,他们可以利用我们的安全记录在自己的文档。缓解疼痛机制的SoC供应商认证,因为我们提供的部分已经认证,,让他们更快的进入市场。”

同样,尼尔·斯特劳技术战略总监手臂的汽车&物联网业务指出,手臂致力于提供IP支持功能安全设计在汽车应用。以及创新能力等拼合锁功能展示Cortex-A76AE和Cortex-A65AE核心,手臂遵循严格的ISO 26262标准中定义的系统开发过程。“这两个因素的结合使信心“下游”各方发展安全至上的系统。支持通过提供全面的文档以及接受外部评估和认证。”

手臂也是一个活跃的ISO 26262委员会的成员。和谈到新兴ISO / PAS 21448标准,将发挥基础性作用的创新在安全至上的系统加速,斯特劳说手臂是积极参与导致这发展标准以及不断地评价这将如何影响其产品组合。

结论
变化发生在汽车的数量,所有的同时,留下了大量新人不知所措的数量决定他们需要。仍然有很多他们可以借用不同的行业,CEO Max Odendahl说Silexica。“我们的一个客户,这是做导弹和雷达,移动到第一层状态,现在做的功能安全。每个人都从头开始,但他们解决,20年前在航空电子设备。”

最后,一个完全兼容的工程组织可能会采用功能性安全顾问,教育自己的工程团队,和大刀阔斧地改革过程,记录每一个细节,以获得一块汽车派。但这是一个大量的工作和时间,即使它并不总是一个惊喜。

有关的故事
可靠性成为汽车中的头等大事
延长寿命和advanced-node设计推动新方法,但并不是一切都进展顺利。
如何构建一个汽车芯片吗
改变标准,严格的要求和混合的专业知识使这个艰难的市场的问题。
在汽车安全关键设计
发现故障的芯片和系统水平。
多域soc的种族
如何改变芯片设计汽车和人工智能。
减肥在汽车电子产品
体重突然一个主要关心的汽车制造商,但瘦身有影响。