IP與EDA工具廠(chǎng)商應如何通過(guò)ISO 26262標準?
Arteris市場(chǎng)副總裁 Kurt Schuler在ISO 26262的多個(gè)技術(shù)委員會(huì )任職,他指出,在汽車(chē)電子系統開(kāi)發(fā)方面,IP及EDA工具廠(chǎng)商還有很多方法去提升安全性,從而滿(mǎn)足ISO 26262標準要求。
首先,設定應用場(chǎng)景對IP和EDA工具非常重要。在高度可編程器件出現之前,很容易判斷大型系統中每個(gè)元器件如何工作,但現在,IP和工具廠(chǎng)商定義的安全元件(safety elements)99.9%與應用場(chǎng)景無(wú)關(guān)。因為這些安全元件可能會(huì )用在任何應用場(chǎng)景,所以不可能只對特定應用場(chǎng)景優(yōu)化。
汽車(chē)安全完整性水平(Automotive Safety Integrity Levels,簡(jiǎn)稱(chēng)ASIL)即引入了根據零部件應用場(chǎng)景來(lái)定義安全性的概念。即便是完全相同的控制器芯片,應用不同時(shí),安全認證要求會(huì )有天壤之別,用在座椅位置調整的控制器芯片與用在自動(dòng)駕駛系統中控制器芯片顯然承擔了不同的安全責任。
所以,ASIL水平根據子系統的每一種危險傾向而設定,例如ASIL C級與D級標準,通常是針對有致死性風(fēng)險的場(chǎng)景,而ASIL A級標準則是針對類(lèi)似汽車(chē)座椅調整這種安全級別的場(chǎng)景。 ASIL實(shí)際上是對事件發(fā)生的危險程度、可能性及后果可控性的度量,Kurt以定速巡航為例來(lái)說(shuō)明。當定速巡航失效時(shí),駕駛員還能操縱汽車(chē),即便是當前先進(jìn)的自動(dòng)駕駛(autopilot)功能失效,當駕駛員轉動(dòng)方向盤(pán)時(shí),汽車(chē)必須改為人工駕駛模式。當然,這種切換對于系統反應時(shí)間要求非常嚴格,無(wú)論是駕駛員的反應,還是系統本身的恢復時(shí)間,每一步都需要足夠的時(shí)間窗口來(lái)完成。
在IP或軟件中加入一些功能,就能提高電子元器件的功能安全等級。Kurt表示,Arteris的一種做法是加入片上通信(on chip communication)功能。Arteris的片上通信方案中,還內建了通信完整性偵測器(checker),在系統運行時(shí),該偵測器會(huì )定時(shí)檢測系統,以確保系統不出現故障。Kurt還指出,偵測器本身也要被檢測,所以在A(yíng)rteris的方案中,偵測器也有故障處理機制。
IP產(chǎn)品功能安全的關(guān)鍵在于覆蓋率。Kurt認為,IP廠(chǎng)商必須讓客戶(hù)更容易地評估IP的診斷覆蓋率。失效模式、影響和診斷分析(FMEDA)變得越來(lái)越重要,IP產(chǎn)品必須能應對諸如位卡死(stuck bit)、電源瞬變以及你能夠想到的所有意外狀況。在IP或者元器件層面的任何意外狀況都必須查明原因,這樣才能在系統層面去處理各種意外狀況。
根據ISO 26262標準,通過(guò)認證的系統維護及可追溯時(shí)間要達到十年以上,這就對系統的設計數據準備及維護提出了很多新要求。實(shí)際上,在系統維護及可追溯期,廠(chǎng)商必須提供完整的工具鏈,以備重新生成、分析或修改設計。ISO 26262對IP的要求主要是文檔工作,IP廠(chǎng)商要給系統工程師提供足夠的信息,以助其完成對系統的標準認證。
毫無(wú)疑問(wèn),國際標準組織正在整個(gè)半導體產(chǎn)業(yè)鏈中推行ISO 26262標準。這也是為無(wú)人駕駛時(shí)代做準備吧,當沒(méi)有人類(lèi)駕駛員來(lái)接管時(shí),自底至頂,汽車(chē)的每一層系統在開(kāi)發(fā)時(shí)都必須符合可靠性與安全性標準。