芯片设计考虑ISO26262的必要性:Munik知识普及课堂

  —原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经本公众号授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经本公众号授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者本公众号将依法追究相关责任.

 

阅读本文时需要回到本文的源头文章,请点击链接:ISO26262半导体功能安全业务介绍

芯片:为什么要做功能安全

车辆安全的性能对于汽车制造商和消费者来说都是至关重要的。不仅在传统的车辆动态控制和主被动安全领域,更在于智能辅助驾驶和自动驾驶领域。新的功能越来越多地关注系统安全、硬件安全和软件安全。这些功能的开发促使芯片的集成化和算力越来越高,软件、硬件技术日益复杂,来自系统性失效和随机硬件失效的风险也相应逐渐增加。功能安全专攻的方向也是解决系统性失效和随机硬件失效。

汽车芯片和集成电路(IC)逐渐演变为了目前智驾的基础。汽车芯片和集成电路(IC)作为关键器件,受到了大众的重点关注。为了确保车辆的安全可靠,并最终保证商业上的成功,芯片设计企业需要关注其中之一的关键特性,即功能安全(ISO26262)。

 

ISO 26262:功能安全标准

ISO26262是以IEC61508为基础,为满足道路车辆上电气/电子系统的特定需求而编写。

安全是道路车辆开发的关键问题之一。汽车功能的开发和集成强化了对功能安全的需求,以及对提供证据证明满足功能安全目标的需求。

为了实现功能安全,ISO26262:

a) 提供了一个汽车安全生命周期(开发、生产、运行、服务、报废)的参考,并支持在这些生命周期阶段内对执行的活动进行剪裁;

b) 提供了一种汽车特定的基于风险的分析方法,以确定汽车安全完整性等级(ASIL);

c) 使用 ASIL等级来定义 GB/T34590中适用的要求,以避免不合理的残余风险;

d) 提出了对于功能安全管理、设计、实现、验证、确认和认可措施的要求;

e) 提出了客户与供应商之间关系的要求。

它定义了四个汽车安全完整性等级(ASIL-A,ASIL-B,ASIL-C和ASIL-D)的关键指标和目标。

 

ISO26262:增加可靠性,识别风险的一些安全分析的方法

大到汽车系统层级,小到IC、IP层级,均可使用以下几类方法降低系统及研发的风险,从而使得汽车系统或者IC更为安全可靠。以下分析方法统称为安全分析,安全分析的目的是确保由于系统性故障或随机硬件故障而导致违背安全目标的风险足够低。

1.       安全机制:针对的是电气/电子系统的功能安全,通过安全措施(包括安全机制)来实现。

2.       FMEDA:故障模式影响和诊断分析,是汽车功能安全开发活动在硬件设计阶段重要的活动,输出的FMEDA报告也是功能安全相关组件主要的安全性分析交付物之一,主要用于验证系统/子系统或者IC的设计满足ASIL等级要求的安全度量指标。FMEDA可以同时分析SPFM、LFM和PMHF三个指标,度量产品的硬件设计是否符合相应的安全要求。

img1

产品设计的过程中SPFM 和LFM 可以用来验证硬件构架设计应对随机失效的鲁棒性,PMHF用来评估随机硬件失效率导致违反安全目标的风险已经足够小。

3.       FMEA:失效模式和影响分析是一种“自下而上”的技术分析方法:用来识别、分析和记录基础单元的失效模式、原因和影响。 然后以此为基础制定改进措施。

4.       DFA:相关失效分析,可以分析共因失效和级联失效造成的

5.       FTA:通常以演绎自上而下的方式执行,从非预期的系统行为到确定导致该行为的可能原因。 FTA 包含覆盖了所有可能导致违反某个危害事件的多个故障和事件或情况的组合。

 

ISO26262:功能安全可降低因为芯片失效引起的不合理风险

在汽车电子产品应用中,芯片故障可以从两个维度来进行分类:一是由于汽车芯片设计漏洞或错误实现所引入的人为系统性故障,二是由于芯片老化和电子迁移等事件导致的随机硬件失效故障。为了解决这两类故障,汽车安全芯片设计企业必须严格遵循ISO26262功能安全标准。

 

针对系统性失效,通常使用DFMEA方法来识别各种可能的设计失效,并提出相应的设计预防和探测措施,以避免问题芯片的产生。其中,DFMEA的重要作用是通过结构化方法,帮助设计团队识别和解决实际错误或潜在错误源头。

对于随机硬件失效,结合各种安全分析和DFA分析,能够全面覆盖随机故障,并在芯片设计过程中确定需要增加的安全设计措施。

完整的故障避免(fault avoidance)和故障容忍(fault tolerance)措施,不仅仅限于以上的简要说明的内容,实际项目开发要遵循完整的流程去执行和落地。

针对随机硬件失效的各种失效模式,需要有相应的功能安全机制进行应对。包括用于保护内部 SRAM 和传输中数据的纠错码 (ECC)、探测硬件死锁(deadlock)的 watchdog timer、探测寄存器内容故障的Parity、针对复杂逻辑的硬件冗余和锁步、以及探测门级随机硬件失效所需运行的软件自测库等等。由此可见,为了应对随机硬件失效,额外的硬件及软件安全机制的设计均是不可或缺的。

 

总结

尽管IC已经变的非常可靠和耐用,但依然会发生故障。例如:现在的IC越来越追求小型化,很容易发生相邻管脚由于ESD等原因引起的开路和短路,从而对IC造成损害甚至完全使得IC丧失功能。这些失效可能导致车辆某一个功能失效,甚至可能导致人命丧失。此外,对于大量的汽车研究,危险故障几乎每天都会发生。因此,无论在汽车系统中还是IC产品中功能安全是势不可挡的。

无论主机厂、Tier1 或者Tier2选择主要功能或者是辅助功能IC首选都是选用符合ISO 26262认证的,通过ISO26262认证过的产品产降低了不合风险,节约了研发和后期维护的成本,使得可靠性增加,深得客户的信赖。

IC产品开发流程和产品如何认证,请点击链接:什么是车规级芯片的ISO26262认证:Munik知识普及课堂