IP与EDA工具厂商应如何通过ISO 26262标准?
Arteris市场副总裁 Kurt Schuler在ISO 26262的多个技术委员会任职,他指出,在汽车电子系统开发方面,IP及EDA工具厂商还有很多方法去提升安全性,从而满足ISO 26262标准要求。
首先,设定应用场景对IP和EDA工具非常重要。在高度可编程器件出现之前,很容易判断大型系统中每个元器件如何工作,但现在,IP和工具厂商定义的安全元件(safety elements)99.9%与应用场景无关。因为这些安全元件可能会用在任何应用场景,所以不可能只对特定应用场景优化。
汽车安全完整性水平(Automotive Safety Integrity Levels,简称ASIL)即引入了根据零部件应用场景来定义安全性的概念。即便是完全相同的控制器芯片,应用不同时,安全认证要求会有天壤之别,用在座椅位置调整的控制器芯片与用在自动驾驶系统中控制器芯片显然承担了不同的安全责任。
所以,ASIL水平根据子系统的每一种危险倾向而设定,例如ASIL C级与D级标准,通常是针对有致死性风险的场景,而ASIL A级标准则是针对类似汽车座椅调整这种安全级别的场景。 ASIL实际上是对事件发生的危险程度、可能性及后果可控性的度量,Kurt以定速巡航为例来说明。当定速巡航失效时,驾驶员还能操纵汽车,即便是当前先进的自动驾驶(autopilot)功能失效,当驾驶员转动方向盘时,汽车必须改为人工驾驶模式。当然,这种切换对于系统反应时间要求非常严格,无论是驾驶员的反应,还是系统本身的恢复时间,每一步都需要足够的时间窗口来完成。
在IP或软件中加入一些功能,就能提高电子元器件的功能安全等级。Kurt表示,Arteris的一种做法是加入片上通信(on chip communication)功能。Arteris的片上通信方案中,还内建了通信完整性侦测器(checker),在系统运行时,该侦测器会定时检测系统,以确保系统不出现故障。Kurt还指出,侦测器本身也要被检测,所以在Arteris的方案中,侦测器也有故障处理机制。
IP产品功能安全的关键在于覆盖率。Kurt认为,IP厂商必须让客户更容易地评估IP的诊断覆盖率。失效模式、影响和诊断分析(FMEDA)变得越来越重要,IP产品必须能应对诸如位卡死(stuck bit)、电源瞬变以及你能够想到的所有意外状况。在IP或者元器件层面的任何意外状况都必须查明原因,这样才能在系统层面去处理各种意外状况。
根据ISO 26262标准,通过认证的系统维护及可追溯时间要达到十年以上,这就对系统的设计数据准备及维护提出了很多新要求。实际上,在系统维护及可追溯期,厂商必须提供完整的工具链,以备重新生成、分析或修改设计。ISO 26262对IP的要求主要是文档工作,IP厂商要给系统工程师提供足够的信息,以助其完成对系统的标准认证。
毫无疑问,国际标准组织正在整个半导体产业链中推行ISO 26262标准。这也是为无人驾驶时代做准备吧,当没有人类驾驶员来接管时,自底至顶,汽车的每一层系统在开发时都必须符合可靠性与安全性标准。