MUNIK    功能安全    ISO 26262 Functional Safety of Semiconductor半导体功能安全服务 MUNIK

 

Functional Safety of Semiconductor半导体功能安全服务
 

 

关注汽车功能安全,请点击链接ISO26262汽车功能安全

关注工业功能安全,请点击链接:IEC61508通用工业功能安全

关注机器功能安全,请点击链接:ISO13849工业机器功能安全

 

功能安全(Functional Safety)是安全相关系统的全生命周期设计技术,从产品调研开始,到产品概念的形成,到产品规范的制定,到产品详设,也包括最后的验证和确认,整个开发环境需要在系统化的功能安全管理和质量管理控制之下,以确保系统风险的避免和随机失效的控制。这种安全设计技术在所有的安全相关系统都在广泛使用,从航空航天,到轨道交通,从流程工业(化工厂等),到工业自动化产线及工业机器,从割草机到乘用电梯,从机器人到汽车,从操作系统到半导体芯片,只要是使用风险高的设备,几乎都需要考虑功能安全。

 

功能安全在各行各业中的应用需要考虑通用工业功能安全标准IEC 61508, 或者其行业标准比如IEC62061/ISO13849,甚至可能 考虑到产品标准IEC 61800-5-2,具体来说针对每个产品或者其所属行业,可考虑使用该产品或者设备对应的标准。

 

 

芯片为什么要符合功能安全?

 

我们都知道,对芯片来说,必然会应用于某个系统中以实现电子电气设备的相应功能。如果该系统是安全系统,由于芯片设计本身的电路复杂性远大于其所被集成的产品设备的电路设计本身,比如工业控制系统所用的主处理器,他的复杂性远远超过该控制系统所设计的电子电气电路。这意味着如果整个系统的安全考虑,处理器芯片本身的失效概率是远大于控制系统的,可是承担失效责任的却是工控系统这个集成商。因而当前越来越多的系统集成商要求半导体元件IC/IP供应商提供功能安全证书,比如车规芯片需要有ISO26262功能安全证书,工业芯片需要有IEC61508证书.
更多详细内容请看专家分享文章:芯片设计考虑ISO26262的必要性:Munik知识普及课堂

 

车规芯片符合功能安全的考虑事项有哪些?

 

车辆安全的性能对于汽车制造商和消费者来说都是至关重要的。不仅在传统的车辆动态控制和主被动安全领域,更在于智能辅助驾驶和自动驾驶领域。新的功能越来越多地关注系统安全、硬件安全和软件安全。这些功能的开发促使芯片的集成化和算力越来越高,软件、硬件技术日益复杂,来自系统性失效和随机硬件失效的风险也相应逐渐增加。功能安全技术的目标也是要解决芯片设计中系统性失效避免控制随机硬件失效

 

当前,汽车芯片和集成电路(IC)逐渐演变为了目前智驾的基础。汽车芯片和集成电路(IC)作为关键器件,受到了大众的重点关注。为了确保车辆的安全可靠,并最终保证商业上的成功,芯片设计企业也需要关注其中之一的关键特性,即功能安全(ISO26262),当然网络安全也是需要同时考虑的,尤其是考虑法规 的符合,比如建立CSMS以符合R155的要求。

 

什么是汽车功能安全标准ISO26262 -Functional Safety of Road Vehicles?

 

ISO26262是以IEC61508为基础,为满足道路车辆上电气/电子系统的特定需求而制定安全是道路车辆开发的关键问题之一。汽车功能的开发和集成强化了对功能安全的需求,以及对提供证据证明满足功能安全目标的需求。Part11为半导体芯片的ISO26262应用指南。

  

为了实现功能安全ISO26262

a) 提供了一个汽车安全生命周期(开发、生产、运行、服务、报废)的参考,并支持在这些生命周期阶段内对执行的活动进行剪裁;

b) 提供了一种汽车特定的基于风险的分析方法,以确定汽车安全完整性等级(ASIL);

c) 使用 ASIL等级来定义 ISO26262 中适用的要求,以避免不合理的残余风险;

d) 提出了对于功能安全管理、设计、实现、验证、确认和认可措施的要求;

e) 提出了客户与供应商之间关系的要求。

它定义了四个汽车安全完整性等级(ASIL-A,ASIL-B,ASIL-C和ASIL-D)的关键指标和目标。ISO26262的标准构成如下图:

img1

图1  ISO26262的标准构成图

 

为什么需要考虑半导体功能安全标准ISO26262?

  

原因1ISO26262增加可靠性提供识别风险的一些安全分析的方法。大到汽车系统层级,小到IC、IP层级,均可使用以下几类方法降低系统及研发的风险,从而使得汽车系统或者IC更为安全可靠。以下分析方法统称为安全分析,安全分析的目的是确保由于系统性故障或随机硬件故障而导致违背安全目标的风险足够低。

  1. 安全机制:针对的是电气/电子系统的功能安全,通过安全措施(包括安全机制)来实现。
  2. FMEDA:故障模式影响和诊断分析,是汽车功能安全开发活动在硬件设计阶段重要的活动,输出的FMEDA报告也是功能安全相关组件主要的安全性分析交付物之一,主要用于验证系统/子系统或者IC的设计满足ASIL等级要求的安全度量指标。FMEDA可以同时分析SPFM、LFM和PMHF三个指标,度量产品的硬件设计是否符合相应的安全要求。产品设计的过程中SPFM 和LFM 可以用来验证硬件构架设计应对随机失效的鲁棒性,PMHF用来评估随机硬件失效率导致违反安全目标的风险已经足够小。
  3. FMEA:失效模式和影响分析是一种“自下而上”的技术分析方法:用来识别、分析和记录基础单元的失效模式、原因和影响。 然后以此为基础制定改进措施。
  4. DFA:相关失效分析,可以分析共因失效和级联失效造成的
  5. FTA:通常以演绎自上而下的方式执行,从非预期的系统行为到确定导致该行为的可能原因。 FTA 包含覆盖了所有可能导致违反某个危害事件的多个故障和事件或情况的组合。

 

原因2:在汽车电子产品应用中,芯片故障可以从两个维度来进行分类:一是由于汽车芯片设计漏洞或错误实现所引入的人为系统性故障,二 是由于芯片老化和电子迁移等事件导致的随机硬件失效故障。为了解决这两类故障,汽车安全芯片设计企业必须严格遵循ISO26262功能安全标准。

  1. 针对系统性失效,通常使用DFMEA方法来识别各种可能的设计失效,并提出相应的设计预防和探测措施,以避免问题芯片的产生。其中,DFMEA的重要作用是通过结构化方法,帮助设计团队识别和解决实际错误或潜在错误源头。
  2. 对于随机硬件失效,结合各种安全分析和DFA分析,能够全面覆盖随机故障,并在芯片设计过程中确定需要增加的安全设计措施。
  3. 完整的故障避免(fault avoidance)和故障容忍(fault tolerance)措施,不仅仅限于以上的简要说明的内容,实际项目开发要遵循完整的流程去执行和落地。
  4. 针对随机硬件失效的各种失效模式,需要有相应的功能安全机制进行应对。包括用于保护内部 SRAM 和传输中数据的纠错码 (ECC)、探测硬件死锁(deadlock)的 watchdog timer、探测寄存器内容故障的Parity、针对复杂逻辑的硬件冗余和锁步、以及探测门级随机硬件失效所需运行的软件自测库等等。由此可见,为了应对随机硬件失效,额外的硬件及软件安全机制的设计均是不可或缺的。

 

通过ISO26262符合芯片供应商确保了整个半导体开发供应链的安全信心。车辆制造商、Tier1&2级供应商、各类组件、元器件供应商也会在这个安全链路中获取证据和安全贡献

了解什么是芯片的ISO26262文章,请点击链接:什么是车规级芯片的ISO26262认证:Munik知识普及课堂

 

MUNIK能提供什么样的服务,确保芯片符合功能安全? 

 

MUNIK秒尼科专业的汽车芯片IC/IP安全技术服务专家团队,由国内外的专业汽车安全研发人员组成专业技术团队,我们提供ISO26262半导体功能安全的全程技术服务,这包括:

  • SEooC制定. 
  • HSR编写指导
  • Safety Arch研讨会
  • 系统级安全分析
  • 详设指导
  • FMEDA及其他验证
  • Safety Manual编写。

 

通过我们人员资质培训、差距分析、咨询及技术交流、审核服务,确保您的ISO26262流程及产品通过相关的评估及测试要求在设计层面实现车辆安全驾驶的应有安全贡献。基于MUNIK的标准化服务流程,我们建议以下服务类型供功能安全技术人员选择:

1.培训. 通过体系化和实战化的功能安全培训,旨在既帮助客户解决人员资质证书问题,又以实例化的问题讲解,让客户开发人员积累功能安全的实际流程实施经验,以及实际的项目开发细化和研发经验。基于上述目的,MUNIK分类了以下功能安全培训类型。

1.1功能安全人员资质培训。

---培训时间:3天。

---培训内容:功能安全管理及支持管理;ITEM定义,HARA及FSC;TSC及系统功能安全设计;硬件功能安全设计;软件功能安全设计;安全分析.

1.2 定制化培训---法规及功能安全基础知识。

---培训时间:1天。

---培训内容:功能安全发展历史;功能安全相关法规,功能安全管理;功能安全生命周期;功能安全通用设计方法要求。

1.3 定制化培训---安全分析。

---培训时间:1天。

---培训内容:System FEMA(6小时);FTA(2小时);DFA(2小时);讨论(1小时)。

1.4 定制化培训---FMEDA。

---培训时间:1天。

---培训内容:FMEDA流程(6小时);案例实践(2小时)。

 

2. 差距分析. 基于差距分析模板和项目实施流程,实施差距分析,以识别现有开发流程和ISO26262标准要求之间的差异,并基于此制定后续的项目计划和任务分配。

          基于客户当前的产品开发流程或功能安全管理流程,以标准化的检查流程和模板,采用现场技术交流(也可以在双方同意的情况下以线上会议)的形式检查出当前客户当前流程 和ISO26262标准要求之间的差异,并出具差距分析报告以帮助客户进行后续改进。

2.1会议准备:

差距分析开展前,客户需提前约定参加差距分析的人员,可包括项目经理、功能安全经理、需求、系统、硬件、软件、验证等人员,以完成当前项目的人力资源配置。

2.2实施步骤:

第一步:召开项目启动会Kick-off Meeting。 通过双方介绍以了技术服务的实施要求和当前项目的配置及实施计划。

第二步:MUNIK主导差距分析阶段的工作任务,通过差距分析模板,完成标准相关内容的确认和剪裁,并确定项目中客户所需人员的分配和时间计划。

第三步:MUNIK整理并发送Gap Analysis report到客户。

第四步:基于差距分析的结果,客户将确定项目安全计划并推进下一阶段的功能安全开发流程工作。

 

3. 技术咨询. 通过本项服务,旨在帮助客户建立起符合ISO 26262标准的开发流程体系,或者在具体开发体系下实施功能安全产品的开发。

3.1技术咨询服务涵盖以下内容:

根据ISO 26262提供开发流程建设技术支持服务。基于差距分析的结果,指导客户完善现有的开发流程和管理流程,并建立起符合ISO 26262标准的开发体系,以支持IC/IP的功能安全系统设计及软硬件功能安全设计工作。功能安全产品设计将在系统、硬件、软件层面以V模型的形式展开。开发流程技术支持:展开形式基于Workshop及内容辅导,具体步骤如下:

 

       3.2流程搭建支持

      1.采用交互方式,依次按照标准章节内容,逐步实施要求讲解并针对现有开发流程交流,并说明功能安全流程开发各阶段,包括功能安全管理及支持流程,硬件(IC/IP)SEOOC规范,硬件开发流程包括安全分析,建立这些阶段开发内容所需的指导类文档,文档模板及检查表的要求、思路和内容。

2. 客户依据项目安全计划部署并实施ISO26262开发流程所需文档,实施过程中需总结相关疑惑,MUNIK将以答疑解惑的形式推进整个项目进度。

3. 客户可以分阶段提交已完成文档,MUNIK将以在线或者现场形式进行审核并开具不符合项。

4. 客户对不符合项进行修正并由MUNIK最终关闭。

 

3.3产品开发支持

1. 采用交互方式,依次按照安全计划,配合客户开发过程,指导客户功能安全流程在各开发阶段使用,包括功能安全管理(安全计划,质量管理,配置管理,文档管理,变更管理,异常处理);指导V模型各过程从硬件(IC/IP)SEOOC规范,安全需求规范,安全架构设计,硬件开发&软件开发,包括安全分析,验证及测试,故障注入测试,确认过程中的所有问题都会有相应专家和客户进行讨论、给出建议,并作最终的确认检查。

2. 客户依据项目安全计划部署并实施ISO26262 IC/IP产品整个项目的开发活动并产生相应的管理输出及设计输出,并及时和MUNIK进行交流及Review,MUNIK将以答疑解惑的形式推进整个项目进度。

3. 客户可以分阶段提交已完成文档,MUNIK将以在线或者现场形式进行审核并开具不符合项。

4. 客户对不符合项进行修正并由MUNIK最终关闭。

 

4. 评估认证. 通过本项服务,对客户的功能安全开发流程或产品实施独立功能安全审核评估,以确定所审核的客户功能安全ISO26262开发流程或产品符合ISO26262:2018标准要求,并基于审核评估结果颁发相应等级ASIL X流程证书。

 

如果您需要技术交流,欢迎和我们邮件联系!Shmunik@munik.com

 

交流内容如下但不限于以下内容 :

 

  •    Part 2: 功能安全的管理有哪些要求和内容?谁负责、什么时候、如何编写安全计划?安全档案怎么管理等。
  •    Part 3: 如何选定开发目标ITEM,如何实施HARA,FSC如何定义。
  •    Part 4: TSC如何展开,TSR怎样生成,SYSTEM架构如何设计,安全分析方法等。
  •    Part 5: 等等

 

 

半导体功能安全服务