來源：內容由半導體行業觀察編譯自semiengineering

ISO 26262 標準自十年前汽車電氣化趨勢真正扎根以來就已成為主流，并且開始在汽車芯片和系統設計以外的市場獲得關注。

此次擴展的核心是關注各種條件下的安全——極端溫度、意外振動或不可避免的碰撞。這包括從無人機到航空航天和機器人的一切，在這些領域中，不斷提高的自主性很容易將移動物體變成安全隱患。ISO 26262可作為最佳實踐的藍圖，包括評估可能出現的問題以及如何修復它，或者至少確保自主機器在不傷害任何人或造成意外損壞的情況下正常發生故障。隨著汽車行業逐漸走向完全自動駕駛，硅片發揮著越來越重要的作用，影響著從信息娛樂、制動到導航等各個方面。但該標準已經根深蒂固，以至于一些汽車生態系統之外的原始設備制造商也選擇遵循該標準，至少有一家自動駕駛無人機制造商選擇讓其產品獲得 ISO 26262 認證。

西門子數字工業軟件公司混合物理和虛擬系統副總裁 David Fritz 表示：“從最高層面來看，該標準主要包括兩個部分。第一部分是確保所有生成最終產品輸出的組件都經過認證，這意味著工具或 IP 模塊需要通過某些認證才能納入標準。第二部分是，一旦您使用這些工具和 IP 組件并將它們組合在一起，就需要進行某些類型的功能安全相關測試。”由于 ISO 26262 的要求十分嚴格，其影響力在汽車以外的行業也日益增強。Cadence 產品營銷總監 George Wall指出，其他標準（如涵蓋機載電子硬件設計、驗證和確認的 DO-254）直接受到 ISO 26262 的前身 IEC 61508 的影響。“因此，ISO 26262 與其他現有標準有很多相似之處。如果出現新的行業（如無人機，或者船舶變得更加自動化，這在以前從未真正引起關注），那么 26262 標準肯定也可以適用于其他市場。”區別在于認證級別，其要求可能比 26262 的要求稍微全面一些。從本質上講，爭取符合 ISO 26262 標準可以為汽車以外的行業提供一個良好的開端，然后再在其基礎上滿足其他功能安全標準，以滿足特定應用的認證。

“汽車版 ISO 26262 的所有內容也適用于其他領域，但最終您獲得的是相同的能力水平，”西門子的 Fritz 表示。“它并不詳盡，也不完美。不幸的是，這實在太難做到了。另一方面，ISO 26262 是從美國國防部的工作中分離出來的，并且已被航空航天業采用一段時間了。例如，我們目前正在與一家正在開發新設備的航空航天公司合作，他們說該設備中的所有工具和所有 IP 都需要符合 ISO 26262 標準，這使您達到 DO 254 標準的 80% 左右。然后在此基礎上還有另一層 DO 254 認證。與 DO 254 相比，ISO 26262 的范圍更廣，并且對低級組件的信心更高。”

實施挑戰

ISO 26262 旨在確保每個組件和整個系統的功能安全，無論應用領域如何。但實施它會增加許多挑戰。它有嚴格的文檔要求，并且獲得 ISO 26262 認證所需的穩健性水平會影響芯片的架構以及模擬的數量和廣度。這反過來會增加最終簽核所需的時間和資源。關于如何實施這一標準的大部分知識都來自汽車市場，汽車市場包括各種零部件，并非所有零部件都需要相同級別的堅固性。例如，尾燈故障與安全氣囊未彈出或轉向系統故障之間存在很大差異。英飛凌美國汽車市場營銷副總裁 Bill Stewart 表示：“我們的產品應用廣泛，例如轉向系統、制動系統、動力系統，無論是內燃機還是電動汽車，它們都是關鍵任務系統。即使是許多 ADAS 系統，你也會獲取傳感器數據，將其轉換為車輛行駛的方向。你要將其轉換為制動或油門信息，而對于其中的大部分，你必須擁有非常高質量的設備。你必須對潛在的故障模式有充分的了解，因為它們會發生，無論是在我們的芯片中、在軟件中，還是在模塊的外部事件中。有些因素會影響功能安全。你如何防止這些故障？你要測量和檢測這些故障，以便采取適當的措施。”ISO 26262 確保了該質量水平，但它還通過定義四種不同的汽車安全完整性等級 (ASIL) 來適應任務關鍵性的差異。

Synopsys汽車 IP 部門經理 Ron DiGiuseppe 表示：“在決定是否實施 ISO 26262 之前，您必須真正了解目標 ASIL。” “這些是基于應用程序的，它們具有從 ASIL A 到 ASIL D 的一系列安全完整性級別，以及一個名為 QM 的類別，這意味著它不是安全關鍵的，因此不需要助推器。一旦您查看了各種風險級別，即故障的可能性及其影響，您就需要實施功能安全計劃。”

完整文檔

雖然 ISO 26262 級別可廣泛應用于不同市場中的許多組件，并實現各種各樣的功能，但有些領域仍然模糊不清。因此，標準如何應用、需要測試什么或如何測試組件或系統以確保合規性，或者如何確保符合標準并不總是很清楚。西門子的 Fritz 說：“最后，你要提供所有文檔和所有測試結果，以向某些監管機構證明‘是的，我們確實做了徹底的測試’。這是詳盡的測試嗎？不是。我們知道漏洞在哪里嗎？不知道。但我們在本書指定的領域做了我們能做的測試。”26262 最重要的方面之一是文檔要求。“文檔至關重要，因為雖然該標準可能詳盡無遺，但也可能有點累人，”Fritz 說。“它涵蓋了如此廣泛的應用，以至于沒有真正的覆蓋率指標或類似的東西，因為存在的排列數量背后很復雜。而且對于您生產的每種產品，無論是轉向控制器、制動控制器還是其他什么，它們都是不同的。”由于缺乏明確的測試來確定系統是否符合 ISO 26262 的要求，而且該標準涵蓋了系統故障和隨機錯誤，這對設計師來說可能是個很頭疼的問題，因此文檔尤其重要。

“就系統性故障而言，需要遵循許多程序來記錄要求并提供證據，證明您確實遵循了特定流程以確保您的設計滿足這些要求，并且您已經創建了一個強大的驗證環境，”Cadence 的 Wall 說。“例如，您必須提供證據證明您在設計中遵循了這些流程。這解決了系統方面的問題。在隨機錯誤方面，有很多不同的常用技術。標準本身規定的是安全完整性等級，這是從舊的 IEC 61508 標準中借鑒的部分之一。它規定，必須滿足某些故障數值覆蓋率指標才能達到特定的安全指標等級，范圍從 ASIL A 到 ASIL D，其中 ASIL D 最為嚴格。”

架構影響

ISO 26262 要求對芯片架構有很大影響。根據 ASIL 級別，這可能意味著需要構建比通常需要的更多的冗余，以確保隨機故障不會導致事故。Synopsys 的 DiGiuseppe 表示：“功能安全的實施確實會影響設計的功能和架構，通常實施的是安全處理器，可以將其視為 SoC 的安全管理器。每個 SoC 都有自己的應用處理器、主機處理器、AI 處理器、VSB 處理器和接口。芯片有一個應用程序和軟件堆棧，但通常還有一個額外的嵌入式處理器來管理安全性，因為 ISO 26262 的要求之一是對如何處理某些行業可能出現的故障有不同的解釋。您的汽車設計應盡可能堅固，可以運行 15 或 20 年。這是絕對必要的。但功能安全要求您有不同的觀點，即您可以將芯片設計得非常堅固，但您必須有一個用例練習，如果出現影響安全性的故障或故障，您的產品會發生什么。您必須在產品設計中考慮它將如何應對這種情況，并且在設計芯片架構時必須考慮到這一點。”這可能包括冗余，以處理從高于預期的環境溫度到阿爾法粒子等所有可能導致內存中位翻轉的情況。“圍繞這些類型的冗余，有許多常用技術，包括定期監控執行流程，然后深入挖掘到下一個級別，即常見的故障模式，”Cadence 的 Wall 說。“內存對阿爾法粒子特別敏感，這將是一個隨機故障。沒有人能夠預測阿爾法粒子何時會擊中，解決內存故障的常用技術之一是使用糾錯碼或 ECC，這基本上是一種信息冗余的形式，其中在每個內存字中添加了一些額外的信息，以判斷‘這個內存位是否仍然有效？’”其他情況可能包括添加傳感器來檢測信號路徑上的錯誤，或者添加可以充當故障保護裝置的奇偶校驗。

“您為安全處理器添加了功能，但您還必須添加安全機制，即您添加的功能，例如循環冗余校驗，如果出現信號問題，可能會發出警報。如果您的控制邏輯出現故障，您可能需要添加奇偶校驗等安全機制，或者您可以在數據路徑上使用奇偶校驗，或者在內存上使用 ECC，”DiGiuseppe 解釋道。“這是添加到汽車芯片中的功能，您在消費設備芯片甚至數據中心芯片上實際上并不需要它。對于不同的應用程序，您不需要在控制邏輯上使用奇偶校驗。但對于汽車，您必須在整個芯片中添加這種額外的安全功能，包括其中的 IP。”

結論

ISO 26262 十多年前制定，對汽車芯片的設計產生了巨大影響，隨著汽車向軟件定義和自動駕駛控制的轉變，其重要性只會繼續增長。由于嚴格而全面的功能安全要求，該標準還被用于汽車領域以外的一些用途，例如自動無人機、機器人和航空航天。設計師必須牢記的 26262 的關鍵方面包括文檔，鑒于這些系統所用芯片缺乏標準化的功能安全測試，文檔尤為重要。設計工程師還應該意識到，滿足 ISO 26262 認證的努力可能會對芯片架構產生影響，因為可能需要冗余來防止因隨機故障和其他錯誤而導致的災難。