加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

进入汽车市场,IP与EDA工具厂商怎样做才能符合ISO 26262标准?

2017/08/04
12
阅读需 13 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

如果对 ISO 26262 一直关注,你就会知道,采用最高质量标准开发的 IP 或 EDA 工具,仍然可能通不过 ISO 26262 认证。Arteris 市场副总裁 Kurt Schuler 在 ISO 26262 的多个技术委员会任职,他指出,在汽车电子系统开发方面,IP 及 EDA 工具厂商还有很多方法去提升安全性,从而满足 ISO26262 标准要求。

首先,设定应用场景对 IP 和 EDA 工具非常重要。在高度可编程器件出现之前,很容易判断大型系统中每个元器件如何工作,但现在,IP 和工具厂商定义的安全元件(safety elements)99.9%与应用场景无关。因为这些安全元件可能会用在任何应用场景,所以不可能只对特定应用场景优化。

汽车安全完整性水平(Automotive Safety Integrity Levels,简称 ASIL)即引入了根据零部件应用场景来定义安全性的概念。即便是完全相同的控制器芯片,应用不同时,安全认证要求会有天壤之别,用在座椅位置调整的控制器芯片与用在自动驾驶系统中控制器芯片显然承担了不同的安全责任。

所以,ASIL 水平根据子系统的每一种危险倾向而设定,例如 ASIL C 级与 D 级标准,通常是针对有致死性风险的场景,而 ASIL A 级标准则是针对类似汽车座椅调整这种安全级别的场景。 ASIL 实际上是对事件发生的危险程度、可能性及后果可控性的度量,Kurt 以定速巡航为例来说明。当定速巡航失效时,驾驶员还能操纵汽车,即便是当前先进的自动驾驶(autopilot)功能失效,当驾驶员转动方向盘时,汽车必须改为人工驾驶模式。当然,这种切换对于系统反应时间要求非常严格,无论是驾驶员的反应,还是系统本身的恢复时间,每一步都需要足够的时间窗口来完成。

在 IP 或软件中加入一些功能,就能提高电子元器件的功能安全等级。Kurt 表示,Arteris 的一种做法是加入片上通信(on chip communication)功能。Arteris 的片上通信方案中,还内建了通信完整性侦测器(checker),在系统运行时,该侦测器会定时检测系统,以确保系统不出现故障。Kurt 还指出,侦测器本身也要被检测,所以在 Arteris 的方案中,侦测器也有故障处理机制。

IP 产品功能安全的关键在于覆盖率。Kurt 认为,IP 厂商必须让客户更容易地评估 IP 的诊断覆盖率。失效模式、影响和诊断分析(FMEDA)变得越来越重要,IP 产品必须能应对诸如位卡死(stuck bit)、电源瞬变以及你能够想到的所有意外状况。在 IP 或者元器件层面的任何意外状况都必须查明原因,这样才能在系统层面去处理各种意外状况。

根据 ISO 26262 标准,通过认证的系统维护及可追溯时间要达到十年以上,这就对系统的设计数据准备及维护提出了很多新要求。实际上,在系统维护及可追溯期,厂商必须提供完整的工具链,以备重新生成、分析或修改设计。ISO 26262 对 IP 的要求主要是文档工作,IP 厂商要给系统工程师提供足够的信息,以助其完成对系统的标准认证。

毫无疑问,国际标准组织正在整个半导体产业链中推行 ISO 26262 标准。这也是为无人驾驶时代做准备吧,当没有人类驾驶员来接管时,自底至顶,汽车的每一层系统在开发时都必须符合可靠性与安全性标准。

相关推荐

电子产业图谱