ISO 26262，太重要了

来源：内容由半导体行业观察编译自semiengineering

ISO 26262 标准自十年前汽车电气化趋势真正扎根以来就已成为主流，并且开始在汽车芯片和系统设计以外的市场获得关注。

此次扩展的核心是关注各种条件下的安全——极端温度、意外振动或不可避免的碰撞。这包括从无人机到航空航天和机器人的一切，在这些领域中，不断提高的自主性很容易将移动物体变成安全隐患。ISO 26262可作为最佳实践的蓝图，包括评估可能出现的问题以及如何修复它，或者至少确保自主机器在不伤害任何人或造成意外损坏的情况下正常发生故障。随着汽车行业逐渐走向完全自动驾驶，硅片发挥着越来越重要的作用，影响着从信息娱乐、制动到导航等各个方面。但该标准已经根深蒂固，以至于一些汽车生态系统之外的原始设备制造商也选择遵循该标准，至少有一家自动驾驶无人机制造商选择让其产品获得 ISO 26262 认证。

西门子数字工业软件公司混合物理和虚拟系统副总裁 David Fritz 表示：“从最高层面来看，该标准主要包括两个部分。第一部分是确保所有生成最终产品输出的组件都经过认证，这意味着工具或 IP 模块需要通过某些认证才能纳入标准。第二部分是，一旦您使用这些工具和 IP 组件并将它们组合在一起，就需要进行某些类型的功能安全相关测试。”由于 ISO 26262 的要求十分严格，其影响力在汽车以外的行业也日益增强。Cadence 产品营销总监 George Wall指出，其他标准（如涵盖机载电子硬件设计、验证和确认的 DO-254）直接受到 ISO 26262 的前身 IEC 61508 的影响。“因此，ISO 26262 与其他现有标准有很多相似之处。如果出现新的行业（如无人机，或者船舶变得更加自动化，这在以前从未真正引起关注），那么 26262 标准肯定也可以适用于其他市场。”区别在于认证级别，其要求可能比 26262 的要求稍微全面一些。从本质上讲，争取符合 ISO 26262 标准可以为汽车以外的行业提供一个良好的开端，然后再在其基础上满足其他功能安全标准，以满足特定应用的认证。

“汽车版 ISO 26262 的所有内容也适用于其他领域，但最终您获得的是相同的能力水平，”西门子的 Fritz 表示。“它并不详尽，也不完美。不幸的是，这实在太难做到了。另一方面，ISO 26262 是从美国国防部的工作中分离出来的，并且已被航空航天业采用一段时间了。例如，我们目前正在与一家正在开发新设备的航空航天公司合作，他们说该设备中的所有工具和所有 IP 都需要符合 ISO 26262 标准，这使您达到 DO 254 标准的 80% 左右。然后在此基础上还有另一层 DO 254 认证。与 DO 254 相比，ISO 26262 的范围更广，并且对低级组件的信心更高。”

实施挑战

ISO 26262 旨在确保每个组件和整个系统的功能安全，无论应用领域如何。但实施它会增加许多挑战。它有严格的文档要求，并且获得 ISO 26262 认证所需的稳健性水平会影响芯片的架构以及模拟的数量和广度。这反过来会增加最终签核所需的时间和资源。关于如何实施这一标准的大部分知识都来自汽车市场，汽车市场包括各种零部件，并非所有零部件都需要相同级别的坚固性。例如，尾灯故障与安全气囊未弹出或转向系统故障之间存在很大差异。英飞凌美国汽车市场营销副总裁 Bill Stewart 表示：“我们的产品应用广泛，例如转向系统、制动系统、动力系统，无论是内燃机还是电动汽车，它们都是关键任务系统。即使是许多 ADAS 系统，你也会获取传感器数据，将其转换为车辆行驶的方向。你要将其转换为制动或油门信息，而对于其中的大部分，你必须拥有非常高质量的设备。你必须对潜在的故障模式有充分的了解，因为它们会发生，无论是在我们的芯片中、在软件中，还是在模块的外部事件中。有些因素会影响功能安全。你如何防止这些故障？你要测量和检测这些故障，以便采取适当的措施。”ISO 26262 确保了该质量水平，但它还通过定义四种不同的汽车安全完整性等级 (ASIL) 来适应任务关键性的差异。

Synopsys汽车 IP 部门经理 Ron DiGiuseppe 表示：“在决定是否实施 ISO 26262 之前，您必须真正了解目标 ASIL。” “这些是基于应用程序的，它们具有从 ASIL A 到 ASIL D 的一系列安全完整性级别，以及一个名为 QM 的类别，这意味着它不是安全关键的，因此不需要助推器。一旦您查看了各种风险级别，即故障的可能性及其影响，您就需要实施功能安全计划。”

完整文档

虽然 ISO 26262 级别可广泛应用于不同市场中的许多组件，并实现各种各样的功能，但有些领域仍然模糊不清。因此，标准如何应用、需要测试什么或如何测试组件或系统以确保合规性，或者如何确保符合标准并不总是很清楚。西门子的 Fritz 说：“最后，你要提供所有文档和所有测试结果，以向某些监管机构证明‘是的，我们确实做了彻底的测试’。这是详尽的测试吗？不是。我们知道漏洞在哪里吗？不知道。但我们在本书指定的领域做了我们能做的测试。”26262 最重要的方面之一是文档要求。“文档至关重要，因为虽然该标准可能详尽无遗，但也可能有点累人，”Fritz 说。“它涵盖了如此广泛的应用，以至于没有真正的覆盖率指标或类似的东西，因为存在的排列数量背后很复杂。而且对于您生产的每种产品，无论是转向控制器、制动控制器还是其他什么，它们都是不同的。”由于缺乏明确的测试来确定系统是否符合 ISO 26262 的要求，而且该标准涵盖了系统故障和随机错误，这对设计师来说可能是个很头疼的问题，因此文档尤其重要。

“就系统性故障而言，需要遵循许多程序来记录要求并提供证据，证明您确实遵循了特定流程以确保您的设计满足这些要求，并且您已经创建了一个强大的验证环境，”Cadence 的 Wall 说。“例如，您必须提供证据证明您在设计中遵循了这些流程。这解决了系统方面的问题。在随机错误方面，有很多不同的常用技术。标准本身规定的是安全完整性等级，这是从旧的 IEC 61508 标准中借鉴的部分之一。它规定，必须满足某些故障数值覆盖率指标才能达到特定的安全指标等级，范围从 ASIL A 到 ASIL D，其中 ASIL D 最为严格。”

架构影响

ISO 26262 要求对芯片架构有很大影响。根据 ASIL 级别，这可能意味着需要构建比通常需要的更多的冗余，以确保随机故障不会导致事故。Synopsys 的 DiGiuseppe 表示：“功能安全的实施确实会影响设计的功能和架构，通常实施的是安全处理器，可以将其视为 SoC 的安全管理器。每个 SoC 都有自己的应用处理器、主机处理器、AI 处理器、VSB 处理器和接口。芯片有一个应用程序和软件堆栈，但通常还有一个额外的嵌入式处理器来管理安全性，因为 ISO 26262 的要求之一是对如何处理某些行业可能出现的故障有不同的解释。您的汽车设计应尽可能坚固，可以运行 15 或 20 年。这是绝对必要的。但功能安全要求您有不同的观点，即您可以将芯片设计得非常坚固，但您必须有一个用例练习，如果出现影响安全性的故障或故障，您的产品会发生什么。您必须在产品设计中考虑它将如何应对这种情况，并且在设计芯片架构时必须考虑到这一点。”这可能包括冗余，以处理从高于预期的环境温度到阿尔法粒子等所有可能导致内存中位翻转的情况。“围绕这些类型的冗余，有许多常用技术，包括定期监控执行流程，然后深入挖掘到下一个级别，即常见的故障模式，”Cadence 的 Wall 说。“内存对阿尔法粒子特别敏感，这将是一个随机故障。没有人能够预测阿尔法粒子何时会击中，解决内存故障的常用技术之一是使用纠错码或 ECC，这基本上是一种信息冗余的形式，其中在每个内存字中添加了一些额外的信息，以判断‘这个内存位是否仍然有效？’”其他情况可能包括添加传感器来检测信号路径上的错误，或者添加可以充当故障保护装置的奇偶校验。

“您为安全处理器添加了功能，但您还必须添加安全机制，即您添加的功能，例如循环冗余校验，如果出现信号问题，可能会发出警报。如果您的控制逻辑出现故障，您可能需要添加奇偶校验等安全机制，或者您可以在数据路径上使用奇偶校验，或者在内存上使用 ECC，”DiGiuseppe 解释道。“这是添加到汽车芯片中的功能，您在消费设备芯片甚至数据中心芯片上实际上并不需要它。对于不同的应用程序，您不需要在控制逻辑上使用奇偶校验。但对于汽车，您必须在整个芯片中添加这种额外的安全功能，包括其中的 IP。”

结论

ISO 26262 十多年前制定，对汽车芯片的设计产生了巨大影响，随着汽车向软件定义和自动驾驶控制的转变，其重要性只会继续增长。由于严格而全面的功能安全要求，该标准还被用于汽车领域以外的一些用途，例如自动无人机、机器人和航空航天。设计师必须牢记的 26262 的关键方面包括文档，鉴于这些系统所用芯片缺乏标准化的功能安全测试，文档尤为重要。设计工程师还应该意识到，满足 ISO 26262 认证的努力可能会对芯片架构产生影响，因为可能需要冗余来防止因随机故障和其他错误而导致的灾难。