半导体ISO 26262功能安全合规性开发的3P法则(上)

半导体工程界的许多人不熟悉ISO 26262功能安全标准和汽车行业。本文分上下两篇，希望能解释半导体行业在汽车供应链中所扮演的角色的变化，并增强读者对ISO 26262标准各个方面的了解。该标准不仅适用于产品，还适用于开发这些产品的人员和流程。

一、简介

汽车半导体设备和电子系统的开发人员要当心：可能有一些供应商声称他们的产品符合ISO 26262安全标准要求，可以集成到汽车的生产中，但并未完全了解问题的实质。如果这些声明未能说明用于制造汽车产品的人员和流程，那么这些声明可能是肤浅的。如果系统设计人员未能仔细评估供应商的资质，他们可能难以让汽车供应链中的客户接受他们的产品。

汽车供应链的参与者负责对每个供应商的产品进行自己的功能安全评估，同时考量供应商记录在案的使用假设(AoU)，该假设描述了供应商的产品如何在汽车系统中使用。供应商根据特定配置和使用场景裁剪自己的分析，以期与他们的集成商客户相匹配。第三方ISO 26262认证可以帮助系统集成商执行此分析，但它不能取代集成商在自己使用的场景下对其供应商产品进行分析的义务。

本文探讨了设计汽车功能安全电子系统的人员、流程和产品的合规性。最终目标是让开发团队、管理人员和投资者更加了解遵守汽车安全标准所涉及的具体责任。也提供了有关合规相关的工作量和成本的更多信息，还将使供应链成员之间的沟通更加有效。

二、变革中的汽车行业：新电子产品和新进入者

乘用车的所有电子系统都必须满足严格的安全要求，然后才能集成到汽车制造商的产品中。这个行业的供应商已经建立了完善的供应链来提供这些系统，以及证明产品能够满足这些安全要求的证据。这种信息共享系统需要IP供应商、半导体片上系统(SoC)开发商、组件供应商、软件供应商、电子系统设计师和许多其他人之间进行详细交流，以确保所有关键组件符合ISO 26262指导方针、流程、培训水平、审核和评估。

图1 以半导体为中心的奥迪zFAS中央驾驶辅助控制器关键组件供应链

然而，随着越来越多的机械功能向电子系统过渡，汽车行业目前正在经历快速变化。因此，过去由人类驾驶员执行的功能正在得到高级驾驶员辅助系统(ADAS)的补充，这些系统正在演变为自动驾驶系统。这两种趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的前景正在刺激着新进入者，他们的目标是参与汽车行业的电子化热潮。

最近的进入者可能缺乏根据ISO 26262功能安全标准开发和交付其产品的经验。虽然这些供应商可能会声明他们的产品已准备好符合汽车安全标准，但供应链中的公司仍将要求在将产品集成到更大的系统之前，对开发产品所涉及的人员和流程进行广泛、仔细的审核和评估。重要的是要注意，ISO 26262标准适用于开发产品的人员和流程，就像产品本身一样。

汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。但是，大多数面向汽车使用的电子产品并不是完全独立的系统，没有完备的关于如何在车辆中集成和使用该产品的知识来进行认证。因此，对于任何认真服务于这个市场的开发团队来说，无论是否声明了认证，挖掘他们的供应商关于功能安全的声明是很重要的。虽然第三方产品认证可以成为此过程的一部分，但对任何组件的评估必须更深入，并且必须由使用和集成产品的公司完成。未能对供应商的人员、流程和产品资格进行评估可能会遭到供应链中的客户进一步拒绝。

三、为什么是ISO 26262

国际标准组织(ISO)的表述如下：

ISO 26262旨在应用于安装在批量生产的汽车中的安全相关系统，包括一个或多个E/E系统。

ISO 26262解决了由安全相关E/E系统及这些系统之间相互作用的失效行为引起的可能危害。

3.1 第一原则：信息共享是关键

车辆系统的电气化，无论是在汽车所涵盖的范围方面，还是在先进的控制能力方面，都在继续快速发展。这一趋势推动了创新的快速增长，同时也吸引了更大的投资、更大的研发努力以及汽车市场的新进入者。

这些新进入者中的许多人可能不知道，遵守汽车安全标准需要在供应链的每个部分共享信息。各个级别的经验丰富的开发团队都受到这些标准的挑战，因为需求在不断变化，而整个行业中只有少数专家可以指导项目完成这一过程。此外，半导体和软件供应链的参与者通常对他们的IP是如何开发的以及它是如何运作的细节保密。

图2：以半导体为中心的ADAS和自动驾驶系统价值链视图

供应商必须提供的信息包括针对具有安全目标的系统的每个元素的分析、培训和文档。供应链的每个成员都要提供。半导体IP供应商将此信息提供给SoC设备的开发人员。芯片设计团队使用这些信息来分析他们的系统，并将结果传递给一级供应商。然后，这些一级供应商执行他们自己的分析并将结果发送给汽车制造商及其客户。

汽车供应链中的这些关系变得越来越复杂，因为制造或设计芯片以支持自动驾驶应用的半导体供应商有时会与一级供应商和OEM竞争，后者可能制造自己的芯片或提供明确的对其半导体供应商合作伙伴的要求。此外，Uber、Waymo和Apple等新进入者正在设计自己的完整系统，尽管它们在汽车行业相对缺乏经验。ISO 26262要求整个价值链中的高水平协作和信息共享，这是新进入者可能不熟悉的。

3.2 复杂性要求更好的分析

整个汽车行业的复杂性不断增加，推高了确保这些系统安全运行需要的工作。下面是一个简单的例子，说明在从机械系统到电子系统的过渡过程中如何影响安全分析：现代汽车使用“线控”系统，例如线控油门，驾驶员踩下油门和传感器踏板向电子控制单元(ECU)发送电信号。该电子系统取代了过去使用金属电缆连接到油门踏板和机械节气门控制板的机械方法。ECU比机械方法更智能：它可以分析多个因素，例如发动机转速、车速和踏板位置，然后将命令传递给油门。

但是，即便在这个简单示例中，我们也可以看到测试和验证线控油门系统比测试旧的机械版本更加困难。随着我们用电子系统、电气化传动系统取代机械系统，并为汽车增加了ADAS和自动驾驶功能，复杂性已经爆炸式增长。ISO 26262的目标是制定一个统一的功能安全标准，以解决所有这些汽车电子系统的问题。

驾驶辅助、电驱动、稳定性控制以及主动和被动安全系统等新功能越来越多地触及系统安全工程领域。更高的技术复杂性、软件和机电一体化实施伴随着更大的系统性硬件失效风险，这些失效是由系统开发过程中的人为错误产生的。ISO 26262提供了有关如何通过规范要求和流程来最小化风险的指南。

对于半导体SoC设备和IP的设计人员而言，与完整系统的指南相比，ISO 26262合规性要求更为抽象。因此，IP开发人员必须对多组假设进行额外分析，以确定IP是否已准备好集成到功能安全的汽车系统中。附录A“ISO 26262失效参考表”提供了有关失效类别、失效分析类型以及讨论这些问题的ISO 26262标准部分的更多信息。通过遵循最佳实践并在整个组织中采用它们，公司可以提供所需的证明，证明其IP是汽车系统的安全可靠组件。成功的公司还强调员工培训，以此证明他们致力于遵守ISO 26262的要求并确保建立强大的安全文化。

四、功能安全开发活动

ISO 26262的目标是为所有汽车电子系统提供统一的安全标准。实现系统安全需要在各种技术中实施多种安全措施，例如机械、液压、气动、电气和电子系统，并且这些安全措施需要在开发过程的各个层面应用。

ISO 26262定义了各种汽车安全完整性等级(ASIL)——QM、A、B、C和D——以帮助将所需的流程、开发工作和产品内功能安全机制映射到可接受的风险水平。这五个严格级别涵盖了从基本质量管理到失效可能导致致命事故的系统范围。在后一种情况下，ASIL D要求汽车系统中的单点失效度量(SPFM)低于1%。下面的表1包含更多与失效指标相关的ASIL级别信息。

要达到ASIL D，系统中99%以上的单点失效必须由安全机制覆盖。ASIL B和C需要较少的覆盖率。

汽车SoC通过特定硬件功能提供诊断覆盖，以确保符合ISO 26262。这些片上功能安全机制包括ECC和奇偶校验保护，通过智能互连结构的处理单元复制，内置自检（BIST）和错误报告机制等。

尽管ISO 26262关注的是E/E系统的功能安全，但它实际上提供了一个框架来解决安全相关系统的整个生命周期。ISO 26262提供了以下方面的指导：

①产品生命周期管理、开发、生产、运营、服务、报废以及各阶段必要的活动

②根据危害的严重性、暴露率和可控性确定适用的安全要求

③验证和确认措施，确保达到足够和可接受的安全水平

④与供应商关系的要求

所有这些乍一看似乎很繁琐，但可以通过关注三个主要领域“3P”来简化对ISO 26262要点的理解：

1. 人

2. 流程

3. 产品

供应商必须向客户提供文件详细说明组织为使人员、流程和产品做好准备以符合标准所采取的步骤。如果对“3P”在半导体IP市场中的角色有深刻的认识，SoC架构师和设计团队可以在选择IP时做出明智的选择。了解IP供应商的组织和运营特征可以带来更好的芯片、更安全的汽车和更高的开发效率。

图3：人员、流程和产品是ISO 26262功能安全活动的基础

功能安全涉及开发过程的所有部分，包括规范、设计、实施、集成、验证和确认。它还包括生产、管理和服务过程。安全标准的要求使得建立一个为汽车SoC设计IP的组织具有很高的难度。客户资格审查和第三方ISO 26262认证所需的额外培训、审核、评估、分析和文档记录可能会为汽车的IP开发增加大量费用。

这些功能安全活动的证据必须在供应链中向上传达。下一篇，我们将继续解读，如何证明开发活动符合标准。关注牛喀网，了解更多汽车科技。