隨著汽車的自動(dòng)駕駛（ADAS）級(jí)別從L2升級(jí)到L2+和L3，并且逐步向全自動(dòng)駕駛L4和L5奮進(jìn)。隨著自動(dòng)緊急制動(dòng)、車道保持輔助、交通標(biāo)志識(shí)別、環(huán)繞視圖、疲勞監(jiān)測(cè)等新應(yīng)用和新功能不斷引入，車輛和駕乘人員的安全性得到了進(jìn)一步提升。在這一變化中，新的汽車應(yīng)用不僅要求半導(dǎo)體SoC具備更多的功能、更大的帶寬和更低的功耗，還要求整個(gè)汽車的硬件、軟件供應(yīng)鏈，包括不斷發(fā)展的電子/電氣（E/E）系統(tǒng)中所使用的復(fù)雜的SoC，均必須滿足ISO 26262車輛功能安全標(biāo)準(zhǔn)。

汽車產(chǎn)品需嚴(yán)格遵守一定的開(kāi)發(fā)流程

下圖1是廣泛應(yīng)用于汽車行業(yè)的標(biāo)準(zhǔn)V模型產(chǎn)品開(kāi)發(fā)流程。所有汽車產(chǎn)品均應(yīng)參照紫色部分的流程進(jìn)行開(kāi)發(fā)。對(duì)于安全關(guān)鍵型產(chǎn)品，ISO 26262規(guī)定，需要以綠色所示的額外開(kāi)發(fā)步驟來(lái)補(bǔ)充標(biāo)準(zhǔn)的定義、實(shí)施和驗(yàn)證/確認(rèn)活動(dòng)。

圖 1：汽車產(chǎn)品開(kāi)發(fā)模型

那么，應(yīng)該如何提升大家對(duì)于安全關(guān)鍵型產(chǎn)品開(kāi)發(fā)的重視呢？

在企業(yè)中建立定義和踐行安全關(guān)鍵型產(chǎn)品開(kāi)發(fā)的安全文化，包括任命一名獨(dú)立的功能安全（FuSa）組織經(jīng)理，該經(jīng)理對(duì)產(chǎn)品開(kāi)發(fā)團(tuán)隊(duì)具有獨(dú)立權(quán)限。安全監(jiān)督和開(kāi)發(fā)活動(dòng)包括所記錄的定義和對(duì)安全計(jì)劃的遵守以及安全要求的定義/文件。安全計(jì)劃和安全規(guī)范包括功能硬件/軟件安全機(jī)制，如 ECC、奇偶校驗(yàn)、雙核互鎖機(jī)制和其他功能。這些機(jī)制由設(shè)計(jì)團(tuán)隊(duì)按照安全概念規(guī)范中的要求實(shí)施。將硬件/軟件安全機(jī)制設(shè)計(jì)到安全關(guān)鍵型SoC的汽車IP產(chǎn)品中，需要對(duì)IP產(chǎn)品進(jìn)行評(píng)估和驗(yàn)證，實(shí)現(xiàn)ADAS功能的最新SoC處理器采用的汽車級(jí)IP必須符合特定 ISO 26262 汽車安全完整性等級(jí) (ASIL)，并符合安全關(guān)鍵型SoC的ISO 26262功能安全開(kāi)發(fā)流程。

對(duì)于半導(dǎo)體SoC和構(gòu)成這些SoC的IP產(chǎn)品而言，在產(chǎn)品設(shè)計(jì)中就引入安全機(jī)制是很重要的一環(huán)。硬件/軟件指標(biāo)用于確定安全機(jī)制對(duì)于識(shí)別和糾正IP中可能故障的影響。通過(guò)在SoC開(kāi)發(fā)流程的驗(yàn)證和確認(rèn)階段對(duì)這些指標(biāo)予以分析，并要求評(píng)估、模擬和故障注入，以確定產(chǎn)品是否符合安全要求規(guī)范中設(shè)定的目標(biāo)ASIL等級(jí)。

為了完全符合 ISO 26262:2018標(biāo)準(zhǔn)，需要進(jìn)行隨機(jī)故障分析。其中，ASIL隨機(jī)故障分析是一項(xiàng)評(píng)估，它重點(diǎn)關(guān)注 ISO 26262:2018安全標(biāo)準(zhǔn)第5部分第8條（硬件級(jí)別的產(chǎn)品開(kāi)發(fā)）。在此評(píng)估期間，僅對(duì)安全關(guān)鍵型IP產(chǎn)品進(jìn)行硬件安全分析。設(shè)計(jì)和評(píng)估所得出的可交付成果/工作成果包括失效模式、效應(yīng)和診斷分析 (FMEDA) 以及安全手冊(cè)。作為隨機(jī)故障分析的一部分，ISO 26262定義了單點(diǎn)故障指標(biāo) (SPFM) 和潛在故障指標(biāo) (LFM) 比率的關(guān)鍵結(jié)果，以滿足特定的ASIL等級(jí)。ASIL等級(jí)從ASIL A到ASIL D共分4個(gè)等級(jí)，ASIL D代表層級(jí)最高的完整性要求。

在以達(dá)到這些指標(biāo)為目的的設(shè)計(jì)中，涉及到設(shè)計(jì)失效模式與效應(yīng)分析 (DFMEA)。DFMEA 是一種定性分析，可捕獲設(shè)計(jì)中的失效模式及其對(duì)IP級(jí)別元素的影響。

實(shí)現(xiàn)ASIL D安全該如何做？

除了硬件/軟件安全開(kāi)發(fā)（包括針對(duì)這些硬件/軟件安全機(jī)制隨機(jī)故障的功能安全評(píng)估），汽車行業(yè)最佳方式還要求對(duì)所有安全關(guān)鍵型產(chǎn)品的系統(tǒng)開(kāi)發(fā)流程進(jìn)行安全評(píng)估。系統(tǒng)開(kāi)發(fā)流程涉及產(chǎn)品的所有開(kāi)發(fā)階段，例如規(guī)劃階段、開(kāi)發(fā)階段、驗(yàn)證/確認(rèn)階段、評(píng)估和產(chǎn)品發(fā)布以及持續(xù)維護(hù)和產(chǎn)品監(jiān)控。在以上各個(gè)階段中，安全關(guān)鍵型產(chǎn)品的開(kāi)發(fā)需要FuSa安全管理團(tuán)隊(duì)和產(chǎn)品開(kāi)發(fā)團(tuán)隊(duì)執(zhí)行多個(gè)步驟和審查（包括持續(xù)監(jiān)控），以確保遵循ISO 26262 系統(tǒng)開(kāi)發(fā)流程（圖 2）。

圖 2：ISO 26262 ASIL D系統(tǒng)開(kāi)發(fā)流程

雖然ISO 26262標(biāo)準(zhǔn)中已經(jīng)定義了圖2中展示的 ISO 26262 FuSa 系統(tǒng)開(kāi)發(fā)流程，而且該流程是整個(gè)產(chǎn)品合規(guī)性中不可或缺的一部分，但開(kāi)發(fā)團(tuán)隊(duì)可以決定是僅遵循ASIL隨機(jī)硬件/軟件故障評(píng)估，還是同時(shí)遵循ASIL隨機(jī)硬件/軟件故障和ASIL D系統(tǒng)故障評(píng)估。但是，針對(duì)ASIL D系統(tǒng)安全等級(jí)進(jìn)行ASIL系統(tǒng)故障評(píng)估是行業(yè)普遍最認(rèn)可的做法。

對(duì)于同時(shí)遵循ASIL隨機(jī)硬件/軟件故障和ASIL D系統(tǒng)故障評(píng)估的產(chǎn)品，開(kāi)發(fā)團(tuán)隊(duì)需要確保開(kāi)發(fā)的所有方面都經(jīng)過(guò)嚴(yán)格的程序，并具有多重制衡。這些程序包括多次審核和批準(zhǔn)流程迭代，隨后進(jìn)行內(nèi)部審計(jì)和可選的第三方獨(dú)立檢查/審計(jì)。不僅需要執(zhí)行并記錄審核和批準(zhǔn)，還必須記錄并證明審核和批準(zhǔn)已經(jīng)發(fā)生。為確保執(zhí)行、記錄和審核所有步驟，必須制定汽車行業(yè)最先進(jìn)的質(zhì)量管理體系 (QMS)，以跟蹤和證明開(kāi)發(fā)已執(zhí)行。QMS系統(tǒng)包括從要求設(shè)置直至執(zhí)行和確認(rèn)的完整要求跟蹤。

在ASIL D系統(tǒng)開(kāi)發(fā)流程中，第一步是規(guī)劃階段，包括所定義和跟蹤產(chǎn)品的每個(gè)工作成果。開(kāi)發(fā)階段將需要完成大多數(shù)工作成果/可交付成果。但是，在驗(yàn)證/確認(rèn)階段以及評(píng)估和產(chǎn)品發(fā)布階段會(huì)生成多個(gè)工作成果。在每個(gè)開(kāi)發(fā)階段，在QMS系統(tǒng)中創(chuàng)建和獨(dú)立跟蹤確認(rèn)審核報(bào)告、功能安全審計(jì)報(bào)告和功能安全評(píng)估報(bào)告。圖2所示的ASIL D系統(tǒng)開(kāi)發(fā)流程通常可產(chǎn)生80多種安全工作成果/可交付成果。

IP供應(yīng)商向ASIL D邁進(jìn)

為了讓芯片供應(yīng)商大幅縮減花費(fèi)在設(shè)計(jì)、認(rèn)證和發(fā)布安全攸關(guān)ADAS /自動(dòng)駕駛車SoC所需的時(shí)間，IP供應(yīng)商們希望能夠以預(yù)先建立且經(jīng)驗(yàn)證的處理器IP授權(quán)的方式，協(xié)助他們更快地進(jìn)入市場(chǎng)。

在這方面，新思科技的汽車級(jí)IP采用符合ISO 26262功能安全要求的ASIL D系統(tǒng)開(kāi)放流程予以實(shí)現(xiàn)，隨機(jī)硬件故障安全等級(jí)可達(dá)到ASIL B和ASIL D，幫助設(shè)計(jì)人員加速其ISO 26262 SoC級(jí)功能安全評(píng)估，從而實(shí)現(xiàn)目標(biāo)ASIL等級(jí)。

除了定義和遵守符合FuSa要求的ASIL D系統(tǒng)開(kāi)發(fā)流程外，獨(dú)立地確認(rèn)ASIL D系統(tǒng)開(kāi)發(fā)流程也很重要。為確保新思科技定義的ISO 26262 FuSa 開(kāi)發(fā)流程符合 ISO 26262 標(biāo)準(zhǔn)，新思科技利用SGS TUV Saar來(lái)評(píng)估此開(kāi)發(fā)流程。如圖3中的證書(shū)所示，新思科技制定的通用開(kāi)發(fā)流程已符合行業(yè)標(biāo)準(zhǔn)。

圖 3：SGS TUV Saar 證書(shū)（表明新思科技通用流程符合 ISO 26262:2018 標(biāo)準(zhǔn)）

新思科技對(duì)汽車IP行業(yè)的重視，還體現(xiàn)在接口方面的支持。他們最近升級(jí)了PCI Express控制器IP、MIPI CSI-2主機(jī)和設(shè)備控制器IP和 新思科技 10Gb以太網(wǎng)控制器 IP，支持完全ASIL隨機(jī)和ASIL D系統(tǒng)合規(guī)性。新思科技也是首家為這些任務(wù)關(guān)鍵型接口協(xié)議提供完全I(xiàn)SO 26262合規(guī)性的IP供應(yīng)商，這些協(xié)議廣泛用于L3、L4和L5自動(dòng)駕駛汽車的ADAS域模塊、分區(qū) ECU和中央計(jì)算處理。

汽車級(jí)接口IP可與現(xiàn)有的 ARC處理器相輔相成，共同加速新汽車平臺(tái)架構(gòu)的安全關(guān)鍵型SoC設(shè)計(jì)。這些都將為不斷發(fā)展的E/E架構(gòu)車輛設(shè)計(jì)安全的SoC保駕護(hù)航。

結(jié)語(yǔ)

對(duì)于汽車芯片供應(yīng)商而言，要認(rèn)證ASIL D不是一件容易的事，尤其是一些的復(fù)雜的汽車SoC。如新思科技這樣的IP廠商，從底層IP開(kāi)始實(shí)現(xiàn)ASIL D的支持，無(wú)論是新思科技的汽車級(jí)接口IP，還是處理器IP，兩者均可提供最高水平的安全性。這也將為芯片供應(yīng)商大幅縮減花費(fèi)在設(shè)計(jì)、認(rèn)證和發(fā)布安全攸關(guān)ADAS /自動(dòng)駕駛車SoC所需的時(shí)間。

審核編輯 ：李倩