长期以来,汽车功能安全主要由一级供应商和汽车主机厂商(OEM) 负责。如今,随着车辆系统复杂性的提升和车内电子元件的不断增加,功能安全正逐渐成为半导体厂商关注的焦点。凭借专门打造的符合 JEDEC 标准的车规级产品组合,美光推出了 SAFER 汽车功能安全解决方案,致力于满足汽车行业对功能安全的需求。美光 LPDDR5 内存基于 SAFER 框架打造,现已正式发布并已量产,旨在为行业最复杂的汽车高级驾驶辅助系统(ADAS) 提供解决方案。
芯片和系统风险管理如今,ADAS 系统在汽车中的加速部署突出了功能安全的重要性。随着一级供应商和汽车主机厂商在安全关键型 ECU 中应用了更多半导体元件,汽车对 ADAS 性能的要求大幅提高,进而强调了半导体功能安全。而由于车载信息娱乐系统与 ADAS 的交互程度逐渐加深,系统级功能安全也受到影响,更加凸显了功能安全的重要性。在系统层面,半导体内存和存储设备需要满足严苛的安全要求,比如符合 ISO 26262 标准。
ISO 26262 标准将功能安全定义为“避免电气/电子系统在运行过程中因故障而引发不合理风险”,并将故障分为两种类型:系统故障和随机故障。因此,功能安全包括两个关键组成部分——系统故障覆盖和随机故障覆盖,以支持设备按设计和预期正常运行,并在随机故障间歇发生时进行标记。通过这些标记,系统能对故障进行分析并做出适当的响应。
在半导体研发过程中,可通过以下措施降低系统故障风险:
●教育培训(例如对员工开展 ISO 26262 标准培训)
●组织管理(例如设立专门的安全办公室、进行内 /外部安全认证)
● 信息扩充(例如提供额外的文件和审查要求)
汽车安全完整性等级(ASIL)每提升一级,相应的产品开发工序就会随之增加。ASIL D 是目前最严格的功能安全认证等级,产品开发所需执行的工序也最多。
ISO 26262 认证有助于降低风险
尽管全面通过 ISO 26262ASIL-D 认证的器件能为系统集成商提供最高的安全等级,但 ISO 26262 标准还提供了三种行业认可的替代方法,用于处理系统故障并降低风险:
●质量管理硬件 (QM HW)要素评估(硬件评估)
●在使用中验证质量管理硬件要素
●ASIL 分解
根据 ISO 26262 标准规定,对于 III 类硬件要素,硬件评估只能在 ISO 26262-8:2018 第 13.4.4.1 条规定的过渡期内使用,新一代硬件要素应按照 ISO 26262 标准进行开发。未来,对于需要使用III 类硬件要素的设计,就要通过正规的标准认证流程。而如果现有市场存在符合 ISO 26262 标准认证的器件,那么设计时就不能采用硬件评估方法,以更好地管理风险和降低集成复杂性,并进而降低总体成本。
根据 ISO 26262-8 标准第 13.4.1.1 条,LPDDR DRAM 应归类为 III 类硬件要素。
汽车安全领域知名咨询公司 exida 的硬件要素分类标准。
“在使用中验证质量管理(QM)硬件要素”的方法需在退货商品授权(RMA)少量的基础上对退货产品进行评估。这种方法要求市场上实际使用的器件数量达到约 500万个,才能证明该器件可用于安全应用。
该方法可能需要 4 到 6 年时间才能获得 ASIL-D 认证。考虑到供应链可能出现延误,出货量和运营时间也难以保证,“在使用中验证”的方法仅能提供较低水平的安全要求且内在风险较高,因此不建议作为一种可持续的方法。
根据 ISO26262-9:2018 第 5 条对 ASIL 分解的描述,简言之,ASIL 分解是一种结构化方法,通过在系统内添加冗余来降低系统各部分所需的 ASIL 级别。与硬件评估相比,ASIL 分解可连续用于多代产品,但系统冗余也会导致系统总成本和器件数量的显著增加。此外,由于 ASIL 分解侧重于故障检测而非避免故障,因此可能会对整体系统可用性产生重大影响。
结论
尽管上述三种替代方法也能实现 ASIL KPI目标,但采用经过 ASIL-D 认证/兼容的器件能将风险降至最低并加速产品上市,如美光 LPDDR5 ASIL-D 认证内存。