汽车电子功能安全工程师必看!ISO 26262认证基本原理解析

2019-02-18 17:09:33 来源:chinaaet
标签:

 

汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO 26262安全标准要求,如果这些说法未能阐明用于制造汽车产品的人员和流程验证,则这些说法可能是不可靠的。如果系统设计人员未能仔细评估供应商的资质,他们就很难在汽车供应链中让客户接受其产品。

 

汽车供应链的参与者负责对每个供应商的产品进行自己的功能安全评估,同时考虑供应商记录的使用假设(AoU),描述供应商的产品如何用于汽车系统。供应商根据特定配置和用例来定制自己的分析,这些配置和用例有望与其集成商客户的配置相匹配。针对汽车系统中使用的元件的第三方ISO 26262认证可以帮助系统集成商执行此分析,但它不会取代集成商在其自己的使用环境中分析其供应商产品的义务。

 

本文探讨了ISO 26262认证的基本原理,该认证涉及设计功能安全的汽车电子系统所涉及的人员,流程和产品。最终目标是让开发团队,管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来,这将提供有关合规性的工作和成本的更多信息,还将使供应链成员之间的沟通更加有效。

 

不断变化的汽车行业:新电子设备和新进入者

所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链,以提供这些系统,以及产品满足这些安全要求的能力的证明。这种信息共享系统需要IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流,以确保所有关键组件符合ISO 26262指南、程序、培训水平、审核和评估。

 

图1:以半导体为中心的供应链,用于奥迪zFAS中央驾驶辅助控制器的关键部件(来源:奥迪; IHS Markit; Arteris IP)

 

然而,随着越来越多的机械部件转变为电子系统,汽车工业正在迅速发生变化。其结果是,过去由人类驾驶员执行的功能正在由先进的驾驶员辅助系统(ADAS)补充和替代,其正在演变为自动驾驶系统。这两个趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的希望正在刺激新进入者,参与到汽车电子系统的浪潮之中。

 

最近进入者可能缺乏根据ISO 26262功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准,但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估,然后才能将其集成到更大的系统中。

 

汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。然而,大多数针对汽车用途的电子产品并非完整的独立系统,可以通过ISO 26262标准认证,并完全了解产品如何在车辆中集成和使用。因此,对于认真服务于该市场的任何开发团队而言,重要的是探索其供应商关于功能安全的声明,无论是否声明了认证。虽然第三方产品认证可以成为重要参考,但对任何组件的评估必须更深入,并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员,流程和产品进行评估,则可能导致客户拒绝。

 

为什么选择ISO 26262?

国际标准组织(ISO)声明如下:

ISO 26262旨在应用于安全相关系统,其包括一个或多个电气或电子(E / E)系统并且安装在批量生产的乘用车中。

 

ISO 26262解决了E / E安全相关系统故障行为可能造成的危害,包括这些系统的相互作用。

 

第一原则:信息共享是关键

汽车系统的电气化在快速进行。这一趋势推动着创新,同时也吸引了更多投资、更多研发工作,以及汽车市场的新进入者。

 

许多新进入者可能不知道的是,遵守汽车安全标准要求通过供应链的每个部分共享信息。各级经验丰富的开发团队都受到这些标准的挑战,因为需求在不断变化,整个行业中只有少数专家可以指导项目完成这一过程。此外,半导体和软件供应链的参与者通常对其IP的开发方式及其工作原理保密。

 

图2:ADAS和自动驾驶系统价值链以半导体为中心

 

供应商必须提供的信息包括具有安全目标的系统的每个元件的分析,教育和文档。供应链的每个成员都必须提供这些信息。半导体IP供应商向SoC的开发人员提供此信息,芯片设计团队使用这些信息来分析他们的定制系统,并将结果传递给Tier-1电子系统供应商。然后,这些一级供应商执行自己的分析并将结果发送给车辆制造商及其客户。

 

汽车供应链中的这些关系正变得越来越复杂,因为制造或设计自动驾驶应用芯片的传统半导体供应商现在有时与Tier-1电子系统设计人员和OEM竞争,他们可能正在自己制造或设计芯片。此外,Uber,Waymo和Apple等新进入者正在设计自己的整套系统,尽管他们在汽车行业缺乏经验。ISO 26262要求整个价值链中的高水平协作和信息共享,新进入者可能不熟悉这些。

 

复杂性要求更好的分析

整个汽车行业日益复杂,需要加强这些系统的安全性。现代汽车使用“线控”系统,例如线控油门,驾驶员推动加速器和传感器。踏板将电信号发送到电子控制单元(ECU),该电子系统取代了过去使用连接在加速踏板和机械节流控制板上的金属电缆。ECU比机械方法更智能,因为它可以做更多分析工作,如发动机转速,车速和踏板位置,然后将命令传递给油门。

 

我们也可以看到,测试和验证线控油门系统比测试旧机械版本更困难。随着我们用电子系统,电动传动系统以及为汽车增加ADAS和自动驾驶功能取代机械系统,复杂性呈现爆炸式增长。ISO 26262的目标是建立一个统一的功能安全标准,以满足所有汽车电子系统的需求。

 

驾驶员辅助,电力推进,车载动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。更大的技术复杂性、软件内容和机电一体化实施带来了系统硬件故障的更大风险,系统硬件故障是由系统开发期间的人为错误产生的。ISO 26262提供了如何通过规定要求和流程来最小化风险的指导。

 

对于半导体SoC器件和IP的设计人员来说,与完整系统的指南相比,ISO 26262合规性的要求更加抽象。因此,IP开发人员必须对许多假设进行额外的分析,以确定集成到功能安全的汽车系统中的IP准备情况。

 

功能安全

ISO 26262的目标是为所有汽车电子系统提供统一的安全标准。实现系统安全要求在机械、液压、气动、电气和电子系统等各种技术中实施若干安全措施,并且这些安全措施应用于开发过程的各个层面。

 

ISO 26262定义了各种汽车安全完整性等级(ASIL)——QM,A,B,C和D-,以帮助将所需的流程、开发工作和产品内功能安全机制映射到可接受的风险等级。这五个级别的严格范围涵盖从基本质量管理到故障可导致致命事故的系统的广泛范围。在后一种情况下,ASIL D要求汽车系统中的单点故障量(SPFM)小于1%。下面的表1提供了有关ASIL水平与故障指标的更多信息。

 

表1要实现ASIL D,系统中99%以上的单点故障必须由安全机制覆盖。ASIL B和C需要较少的覆盖范围。(资料来源:ISO 26262-5:2011,表4和表5内容来自ISO 26262-1:2011)

 

 

汽车SoC通过特定的硬件功能提供诊断覆盖,以确保符合ISO 26262标准。这些片上功能安全机制包括纠错码(ECC)、数据链路和内部存储器的奇偶校验保护等技术,通过智能互连结构智能复制处理元件,内置自测(BIST)和错误报告机制。

 

尽管ISO 26262关注的是E / E系统的功能安全性,但它实际上提供了一个框架,可以解决安全相关系统的整个生命周期。ISO 26262提供以下指导:

生命周期管理,产品开发,生产,运营,服务,退役以及在这些生命周期阶段定制必要的活动

根据危险的严重程度,暴露概率和可控性来应用安全要求,以避免不合理的风险

验证和确认措施,以确保足够和可接受的安全水平

与供应商关系的要求

 

所有这些看起来很复杂,但是通过关注三个主要方面,即“3P”,可以简化对ISO 26262的要求的理解:

 

人(People)

流程(Process)

产品(Product)

 

供应商必须向客户提供文档,详细说明其为准备符合标准的人员,流程和产品所采取的措施。有了“3P”在半导体IP市场中所起作用这一视角,SoC架构师和设计团队可以在选择合适的IP时做出明智的选择。了解IP供应商的组织和运营特征可以实现更好的芯片、更安全的汽车,以及更高效的开发能力。

 

图3:人员、流程和产品是ISO 26262功能安全活动的基础

 

功能安全涉及开发过程的所有部分,包括规范,设计,实现,集成,认证和验证,还包括生产,管理和服务流程。由于安全标准的特定要求,构建为汽车SoC设计IP的组织存在很大困难。客户资格认证和第三方ISO 26262认证所需的额外培训、评估、分析和文档可能会使汽车电子的IP开发增加大量费用。

 

必须在供应链上传达这些功能安全活动的证据。因此,为汽车半导体市场提供产品的每个组织都必须记录符合标准的开发活动。该文档内容必须涵盖相关人员、用于开发解决方案的流程,以及符合ISO 26262标准所需产品的分析。

 

朝着半导体IP的ISO 26262合规迈出的第一步是培训参与IP开发的人员。许多公司采取培训一小群人的“捷径”,通常是ISO 26262要求的功能安全管理员(FSM)和少数“安全工程师”。

 

然而,由于ISO 26262第2部分“功能安全管理”的要求,特别是条款5.4.2“安全文化”和5.4.3“权限管理”,要确保可持续的安全文化,团队成员具有与其职责相对应的足够技能、能力和资格,就要求在整个组织中广泛了解功能安全知识。这需要大量的员工培训。

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

继续阅读
从瑞萨停工看汽车电子的格局变化
从瑞萨停工看汽车电子的格局变化

日本半导体大厂瑞萨电子计划在在全球范围内停产一个月,以应对来自中国市场需求的减少。由于中国市场汽车与机床销售猛烈下降,日本国内6家工厂停产时间甚至长达两个月。第四季度汽车应用半导体细分市场下滑4.2%

MEMS传感器应用领域一览

MEMS传感器是在微电子技术基础上发展起来的多学科交叉的前沿研究领域。经过四十多年的发展,已成为世界瞩目的重大科技领域之一。

富士通电子发力汽车电子及其相关领域,展示其最新技术和产品

富士通电子元器件(上海)有限公司今天宣布,将携旗下FRAM全线产品和代理3D Global、 Crocus、Socionext、新电元、Transphorm等品牌共同亮相慕尼黑上海电子展。

汽车电子产业革命进行时,结局会怎样?

如今,汽车电子已经成为汽车的基本配置,随着汽车智能化和网联汽车的发展,汽车电子产值每年都在增加。据相关数据统计,近十年全球相关产业增长率达到10%。

自动驾驶和预期功能安全标准取得了哪些进步?
自动驾驶和预期功能安全标准取得了哪些进步?

汽车制造商正稳步地将更多的自动驾驶功能集成到公路车辆中,并着手将功能安全上升为整个行业的重中之重。为解决这个问题,汽车巨头和其电气和/或电子(E/E)系统的各供应商遵循国际标准化组织于2011年制定的ISO 26262标准。

更多资讯
看似一骑绝尘的百度无人驾驶的背后,却是人才流失“暗流涌动”的危机
看似一骑绝尘的百度无人驾驶的背后,却是人才流失“暗流涌动”的危机

陆奇离开后,张亚勤接棒Apollo,转眼张亚勤也要在10月从百度退休,这一次谁来接衣钵?在留不住人才的路上越走越焦急的百度,要何去何从?

宝马和奔驰戴姆勒这对“死对头”竟然开始合作了?这次是为了什么?

日前,宝马集团与戴姆勒签订谅解备忘录,宣布开启长期战略合作,共同开发下一代驾驶辅助系统和高度自动驾驶相关技术,目标是2025年前后使自动驾驶技术得到广泛应用。这是双方在整合出行服务后的又一次强强联手。

一文带你了解未来三年中国智能电动汽车十大趋势
一文带你了解未来三年中国智能电动汽车十大趋势

不论是进口版还是国产标准版的Model 3,都将在各自领域树立清晰的产品力标杆,市场所有产品以此为基准重新定位,Model 3将扮演类iphone 4的角色,大大加速中国智能电动化的进程。

无人驾驶很遥远?你或许不知道这些项目已经落地
无人驾驶很遥远?你或许不知道这些项目已经落地

由于现实交通的复杂性,无人驾驶在乘用车领域依然有很长的距离,不过在商用车领域,无人驾驶的应用已经开始实现。

新能源车被疯狂召回,质量这关太难过

对于新能源汽车,消费者最关心的是动力电池、操控性、续航里程、功能配置、驾车体验等。其中,电池投诉达64%,电机达18%。

电路方案