超越随机范畴:实现汽车 SoC 的系统 ASIL D ISO 26262 合规性

Synopsys 汽车 IP 部门经理 Ron DiGiuseppe

 

汽车制造商正在将车辆自动驾驶级别从 L2 级高级驾驶辅助系统 (ADAS) 升级到 L2+ 和 L3 级,并利用新的安全关键型应用发展到全自动驾驶 (HAD) L4 级和 L5 级。自动紧急制动、车道保持辅助、交通标志识别、环绕视图、疲劳监测等新应用提高了车辆和驾乘人员的安全性。为了确保新应用的车辆硬件和软件符合安全标准,整个硬件/软件供应链,包括不断发展的电气和电子 (E/E) 系统中使用的复杂半导体片上系统 (SoC),必须满足 ISO 26262 车辆功能安全标准。实现 ADAS 功能的最新 SoC 处理器采用的汽车级 IP 必须符合特定 ISO 26262 汽车安全完整性等级 (ASIL),并符合安全关键型 SoC 的 ISO 26262 功能安全 (FuSa) 开发流程。

安全关键型汽车产品的标准 V 模型开发流程

汽车产品开发模型

图 1:汽车产品开发模型

 

图 1 显示了广泛用于汽车行业产品开发的标准 V 模型开发流程。所有汽车产品开发均应采用紫色所示的标准 V 模型开发流程。ISO 26262 规定,对于安全关键型产品,需要以绿色所示的额外开发步骤来补充标准的定义、实施和验证/确认活动。

 

营造安全关键型产品开发的安全文化

安全关键型开发活动需要开发团队恪守一种适用于开发流程各个步骤的安全文化。定义和践行安全关键型产品开发的安全文化,包括任命一名独立的 FuSa 组织经理,该经理对产品开发团队具有独立权限。安全监督和开发活动包括所记录的定义和对安全计划的遵守以及安全要求的定义/文件。安全计划和安全规范包括功能硬件/软件安全机制,如 ECC、奇偶校验、双核互锁机制和其他功能。这些机制由设计团队按照安全概念规范中的要求实施。将硬件/软件安全机制设计到安全关键型 SoC 的汽车 IP 产品中,需要对 IP 产品进行评估和验证,以满足包括 ASIL 等级在内的 ASIL ISO 26262 安全要求。

对于半导体 SoC 和构成这些 SoC 的 IP 产品而言,在产品设计中实施安全机制是行业最佳实践。硬件/软件指标用于确定安全机制对于识别和纠正 IP 中可能故障的影响。在 SoC 开发流程的验证和确认阶段对这些指标予以分析,并要求评估、模拟和故障注入,以确定产品是否符合安全要求规范中设定的目标 ASIL 等级。

ASIL 随机故障的功能安全评估

需要进行随机故障分析,以完全符合 ISO 26262:2018 标准。ASIL 随机故障分析是一项评估,重点关注 ISO 26262:2018 安全标准第 5 部分第 8 条(硬件级别的产品开发)。在此评估期间,仅对安全关键型 IP 产品进行硬件安全分析。设计和评估所得出的可交付成果/工作成果包括失效模式、效应和诊断分析 (FMEDA) 以及安全手册。作为随机故障分析的一部分,ISO 26262 定义了单点故障指标 (SPFM) 和潜在故障指标 (LFM) 比率的关键结果,以满足特定的 ASIL 等级。

在以达到这些指标为目的的设计中,涉及到设计失效模式与效应分析 (DFMEA)。DFMEA 是一种定性分析,可捕获设计中的失效模式及其对 IP 级别元素的影响。

最佳实践:ASIL D 系统故障的功能安全评估

除了硬件/软件安全开发(包括针对这些硬件/软件安全机制随机故障的功能安全评估),汽车行业最佳实践还要求对所有安全关键型产品的系统开发流程进行安全评估。系统开发流程涉及产品的所有开发阶段,例如规划阶段、开发阶段、验证/确认阶段、评估和产品发布以及持续维护和产品监控。所有这些开发阶段中的安全关键型产品的整体开发,需要 FuSa 安全管理团队和产品开发团队执行多个步骤和审查(包括持续监控),以确保遵循 ISO 26262 系统开发流程(图 2)。

ISO 26262 ASIL D 系统开发流程

图 2:ISO 26262 ASIL D 系统开发流程

 

虽然 ISO 26262 标准中已定义图 2 中展示的 ISO 26262 FuSa 系统开发流程,而且该流程是整个产品合规性中不可或缺的一部分,但开发团队可以决定仅遵循 ASIL 随机硬件/软件故障评估,或者同时遵循 ASIL 随机硬件/软件故障和 ASIL D 系统故障评估。针对 ASIL D 系统安全等级进行 ASIL 系统故障评估是行业最佳实践。

 

随机和系统故障评估质量管理体系

对于同时遵循 ASIL 随机硬件/软件故障和 ASIL D 系统故障评估的产品,开发团队需要确保开发的所有方面都经过严格的程序,并具有多重制衡。这些程序包括多次审核和批准流程迭代,随后进行内部审计和可选的第三方独立检查/审计。不仅需要执行并记录审核和批准。还必须记录并证明审核和批准已经发生。为确保执行、记录和审核所有步骤,必须制定汽车行业最先进的质量管理体系 (QMS),以跟踪和证明开发已执行。QMS 系统包括从要求设置直至执行和确认的完整要求跟踪。

 

在 ASIL D 系统开发流程中,第一步是规划阶段,包括所定义和跟踪产品的每个工作成果。开发阶段将需要完成大多数工作成果/可交付成果。但是,在验证/确认阶段以及评估和产品发布阶段会生成多个工作成果。在每个开发阶段,在 QMS 系统中创建和独立跟踪确认审核报告、功能安全审计报告和功能安全评估报告。图 2 所示的 ASIL D 系统开发流程通常可产生 80 多种安全工作成果/可交付成果。

Synopsys 汽车 IP:符合安全关键型汽车应用的 ISO 26262 ASIL 随机和 ASIL D 系统标准

Synopsys 汽车级 IP 采用符合 ISO 26262 功能安全要求的 ASIL D 系统开放流程予以实现,随机硬件故障安全等级可达到 ASIL B 和 ASIL D,帮助设计人员加速其 ISO 26262 SoC 级功能安全评估,从而实现目标 ASIL 等级。

 

除了定义和遵守符合 FuSa 要求的 ASIL D 系统开发流程外,独立地确认 ASIL D 系统开发流程也很重要。为确保 Synopsys 定义的 ISO 26262 FuSa 开发流程符合 ISO 26262 标准,我们利用 SGS TUV Saar 来评估此开发流程。如图 3 中的证书所示,Synopsys 制定的通用开发流程已符合行业标准。

SGS TUV Saar 证书(表明 Synopsys 通用流程符合 ISO 26262:2018 标准)

图 3:SGS TUV Saar 证书(表明 Synopsys 通用流程符合 ISO 26262:2018 标准)

 

Synopsys 最近升级了 PCI Express 控制器 IP、MIPI CSI-2 主机和设备控制器 IP 和 Synopsys 10Gb 以太网控制器 IP,支持完全 ASIL 随机和 ASIL D 系统合规性,凸显了对汽车 IP 行业的重要性。Synopsys 是首家为这些任务关键型接口协议提供完全 ISO 26262 合规性的 IP 供应商,这些协议广泛用于 L3、L4 和 L5 自动驾驶汽车的 ADAS 域模块、分区 ECU 和中央计算处理。Synopsys 接口 IP 产品支持完全 ASIL 随机和 ASIL D 系统合规性,与现有 Synopsys ARC® 处理器相辅相成,完全符合 ISO 26262 标准。Synopsys 的汽车级接口 IP 和处理器 IP 可提供最高水平的安全性,以加速新汽车平台架构的安全关键型 SoC 设计。

总结

设计人员利用汽车级 IP,为不断发展的 E/E 车辆系统设计安全关键型 SoC。新的汽车应用增加了对半导体 SoC 功能、带宽和功耗要求的需求。Synopsys ARC 处理器和任务关键型接口 IP(如 PCI Express、MIPI 和具有 TSN 功能的以太网)符合 ASIL 随机和 ASIL D 系统 ISO 26262 功能安全标准,为安全关键型应用提供了功能和性能。

Synopsys 的 IP 产品组合符合 ASIL D 系统标准,专门针对随机硬件故障和 ASIL D 系统故障分析开发和评估,加速了 SoC 级功能安全认证。如需了解更多信息,请访问 Synopsys 汽车 IP