自动驾驶汽车市场正以惊人的速度增长,传统汽车、混合动力汽车和电动汽车的功能安全性在获得所需认证方面发挥着重要作用。汽车制造商必须通过许多政府法规,这些法规要求提高安全性和可靠性,一直到组件级别,包括所使用的IP和SoC。ISO 26262:2018和预期功能安全(SOTIF)或ISO/PAS 21488:2019是定义汽车功能安全规范的标准。
今天的汽车完全是的车轮上的电子系统,所有部件都是相互关联的。因此,在开发汽车系统时采用整体方法非常重要。汽车供应链中的各种利益相关者都为完成的、安全的、可行驶的轮上计算机做出了贡献(图1)。
图1:汽车供应链的不同层级。
驾驶辅助技术
为了减轻驾驶车辆时一些固有的人为错误,当今的汽车拥有多种驾驶员辅助技术,包括前方碰撞警告、自动紧急制动、车道监控和盲点检测安全功能。所有这些系统都建立在半导体组件之上,这些组件通常包括多个IP内核,以及执行软件的嵌入式处理器或微型计算机。
该IP易受系统错误的影响,这些错误是由错误的软件或逻辑错误引起的,以及由于组件老化或瞬态错误导致的随机硬件错误,这些错误可能对决定我们汽车安全运行的半导体组件产生重大影响。
对于嵌入式处理器等组件,软件、开发流程错误和随机硬件故障的影响可能是灾难性的。处理器依赖于正确的程序队列——顺序和时序相关。小故障或粒子撞击可能会改变一个位,并导致锁定或错误的程序执行。
虽然可以实施安全机制,但详细的评估安全分析和开发流程提供了一种统一的衡量IP安全的方法。对于能够拯救生命的技术来说,它必须经过适当的鉴定,并进行独立评估,以验证其是否符合ISO 26262:2018标准,这一点至关重要。
SEooC的ASIL合规性
车辆中的每个模块或子系统都可能由IP组成,其中包含上下文中的安全元素和上下文外的安全元素(SEooC),这通常是在设计时没有考虑任何特定用例的IP。对于来自不同供应商的异构终端产品,重要的是要认识到ISO 26262:2018标准提供了适用于IP组件(如SEooC)以及系统组件(如摄像头、雷达、激光雷达、或控制单元)的指南。
然而,并非所有半导体IP供应商都提供包括系统和随机故障分析在内的完整ASIL合规性。ASIL合规性认证是一项指标,它通过对系统和随机硬件指标的开发过程进行审计和评估,消除对SEooC质量的顾虑。
ASIL合规认证
ASIL合规性是由第三方进行的评估,涵盖所有相关部分,并符合ISO 26262:2018标准。对功能安全开发流程、系统方法和随机硬件故障分析进行第三方审计和评估。
·系统一致性的审核和评估:包括对产品开发生命周期中应用的功能安全流程的评估
·随机错误和一致性的审计和评估:包括对所有硬件安全分析的评估,包括归纳和演绎
·对产品应用的所有验证进行评估
总的来说,安全产品的开发流程和产品本身(包括设计、分析和验证)都包含在此认证中。
ASIL与第三方审核员/评估员的合规性
ISO 26262:2018标准为汽车行业的所有利益相关者(从半导体公司到汽车制造商)提供统一的安全指南。实现整体安全需要在各个层面实施多项安全措施。
图2 显示了两个关键的基于流程的实践,它们对于通过第三方审核员/评估员对系统性和随机故障的完整和成功的合规性评估至关重要。
图 2:处理器IP的ASIL合规性
获得认证IP的关键实践,卓越的安全文化
参与ASIL合规认证过程的每个人都必须在产品开发生命周期中负责,以确保IP满足功能安全要求,这一点至关重要。当实践良好的安全文化时,“安全是最高优先级”的做法会获胜。这不仅仅是一个团队,而是一个组织层面的努力,各种领导者和团队在其中协作并为这项努力做出贡献。
有效的安全文化需要负责实现和维护功能安全的人员以及在组织中执行或支持安全活动的人员之间的个人奉献精神和正直诚信,此外,培养“安全是最高优先级”的心态,包含采取防止自满、追求卓越、个人责任感和企业自我监管是必要的。
集中源控制系统
通常,在产品开发过程中,多个所有者同时参与各种工作产品。因此,在开发过程中,控制工作产品的修订以及对工作产品所用模板的更新都很重要。使用中央源管理系统对于维护技术内容的检查和一致性以及跟上频繁的模板更新是必不可少的。使用该系统明确定义了签入/签出日期、最新版本、修订数量和跟踪整体更新等关键标签。
需求管理系统和可追溯性
集成的需求管理系统用于开发许多工作产品,例如技术安全概念(TSC)、产品开发文档等。特别是在TSC中,ASIL合规性的评估和审计标准包括:
·与实现所需的组件和接口的相关功能、依赖关系、约束和属性相对应的所有技术安全要求
·减轻可能导致失效的部件故障的安全机制
·防止失效并满足安全要求,同时保持不受干扰(FFI)
·验证组件架构设计是否满足规定的ASIL要求
对于脱离上下文的安全元素(SEooC),顶级安全要求(TLSR)是最重要的,也是技术安全。要求(TSR)是为了满足TSLR而得出的,如图3所示。
图3:SEooC的工作流程(集成)。
使用符合ASIL标准的处理器IP节省时间和资源
随着SEooC供应商数量的迅速增加,适应自主和半自主系统的需求至关重要。因此,汽车供应链的整体利益相关者必须意识到,并非所有供应商都提供符合ISO 26262:2018标准的产品。同样,IP供应商可能不完全遵守安全指南来满足集成的安全要求。尽管这些声明可能看起来微不足道,但在产品开发的每个阶段实施诸如良好的安全文化和严格的检查等关键实践是极其重要的。ASIL合规性是一种统一的措施,可应用于IP和SoC以定义质量和功能安全等级。
当汽车上使用的IP符合ISO 26262:2018标准的所有部分,并通过经过认证的独立审核员评估时,他就完全符合ASIL标准。