在談到汽車相關標準的時候,除了AECQ-100/101以外,還有個經常被提及的標準,那就是ISO 26262。
羅姆半導體(上海)有限公司技術中心副總經理李春華日前在一場活動上告訴記者,所謂ISO 26262,是汽車的電氣/電子相關的功能安全標準,該標準制定於2011年11月,並且在2018年又發佈了第二版,追加了半導體指南內容。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/68/a7578924a6eadc1e.jpg)
“如上圖所示,大家熟悉的ISO 26262概況,像V字模型,針對於各個部分的一個要求都有闡述,包括一些功能安全的管理,包括一些Safety Goal的建立,還包括硬件、軟件、生產、應用等多個部分”,李春華補充説。
什麼是ISO 26262
從他的介紹我們得知,ISO 26262認證也可以分成兩個方面,第一個是以流程,主要是以開發流程的標準。這是以之前IATF 16949為基礎,引入像賬票類、可追溯類的管理這些內容;第二個是產品,主要是產品性能的標準,產品性能標準就是大家平時聽到的ASIL的各種等級,產品的安全機制不但需要符合ASIL的要求,同時還要根據安全等級,追加自我診斷的功能的認證。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/0e/682402ad32a9e8e5.jpg)
“我們可以根據部件的不同,為這些功能安全做定義,像QM等級、ASIL-A等級、ASIL-B等級、C、D等。這些主要是參照危險度的一個重要性,對於人身相關性的重要性來劃分的”,李春華告訴記者。“而這裏所説的功能安全,我們將其定義為安全是沒有不可容忍的風險”,李春華接着説。
從他的介紹我們得知,安全本身也分為“本質安全”和“功能安全”:其中“本質安全”就是説降低機器設備以及人命的環境因素,徹底排除這個誘因;而“功能安全”就是我們可以通過一個有效的改善方法,把危險係數降到一個可容忍的範圍。
李春華指出,“本質安全”的優勢就在於可以徹底去排除涉及到危險的誘因,但大規模的改造成本很高。”而功能安全”就是説可以通過一些低成本的方式來實現可容忍範圍內的安全,但危險還是存在的,具體就要看設立系統的時候是不是可以把危險係數降到可容忍的範圍,這個就是對於安全的一個定義。
“‘本質安全’和‘功能安全’就看從哪種角度去出發設置系統的產品定義”,李春華強調。
據介紹,ISO 26262流程這塊的認證需要109個工作成果物,而對工作成果物的規範化也進行了一些分類。例如第二的管理、第三的概念、第四的系統、第五的硬件、第六的軟件、第七的生產、第八的支持程序、第九的安全分析。“對於羅姆來説,我們是針對於第二類管理、第五類硬件、第七類生產、第八類支援、第九類安全分析在流程上經過認證”,李春華説。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/d5/5b8cb9077cad01dd.jpg)
對於芯片設計來説,則首先要去定義對應哪個ASIL等級的產品開發,對於ASIL等級產品開發的項目,立項當中要完全符合ISO 26262認證流程,包括項目經理的設立,開發負責人的設立,開發擔當的設立。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/17/8690d49aa5d78c68.jpg)
從技術上去實現的話,則需要設立的一些職位,這也包括要符合功能安全認證這塊,公司內部也需要有功能安全管理者。針對於在開發流程當中,這個流程是不是符合功能安全相關工作成果物的製作、管理,都是由公司內的功能安全管理者來執行。同時,這個流程當中還需要第三方組織來做一個監管,第三方組織的功能安全管理者和公司內部的管理安全做一個對接,針對於功能安全橫向的流程構建、管理進行策略的提供和流程監控。
只有通過這些流程設立和針對流程的開發,才可以去開發符合ISO 26262流程的產品。
羅姆為取得ISO 26262認證做了什麼
作為一個汽車元器件供應商,羅姆也取得了ISO 26262標準認證,而為了達成這個目標,公司還建立了專門的工作組。
“對於羅姆來説要開展車載業務,勢必要給客户提供符合ISO 26262標準的產品。所以,羅姆必須在內部實施開發流程,包括第三方機構認證,推出符合客户要求的車載產品”,李春華説。
在具體的實現過程中,羅姆是分成五個大方面進行的。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/ce/c9527126472b01ff.jpg)
據介紹,羅姆建立了包括流程、產品、教育、工具和生產在內的五個不同的分科。其中流程分科,主要針對於流程管理和方向,包括對於2018年第二版的流程認證調查包括實施,同時還包括軟件錯誤的調查;產品分科則主要針對於像FIT值、FMEDA值成果物製作的支持;來到工具分科,也是對於現有工具認定和管理,包括新規工具的導入、考量和管理,當然對於故障注入仿真,也都是羅姆工作所負責的內容;至於教育分科,則包括了像公司內以科為單位的學習,包括對外功能安全經理的資格認證取得;生產分科主要針對於像生產相關的對於功能安全認證所需要的賬票製作、管理等等。
“藉助這五個分科會,羅姆從認證到後面開展工作,都是有具體的小組去進行負責和推進的”,李春華強調。
如下圖所示,在公司團隊的努力下,羅姆也取得了相關的流程認證。而在2018年3月份,公司也通過TüV Rheinland審核,取得了ISO 26262的相關認證證書。而目前,羅姆符合工藝要求的產品有PMIC三種機型正在開發中。即使不符合工藝,也有能夠支持ISO 26262的應用的產品,如PMIC、電源監視IC、T-CON、EEPROM和復位IC等也廣泛地擴展到車規級,當中有超過1000種機型。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/bd/4376887888361598.jpg)
例如羅姆推出的液晶面板芯片組,面對客户提出的類似會不會導致黑屏、誤顯示、死機功能安全這些目標,羅姆可以提供由時序控制器、源極驅動器、柵極驅動器、PMIC等組成的芯片組。其原理是通過IC之間互相的協作,把各個芯片錯誤的狀態進行監控包括進行回覆,一旦有錯誤,通過控制器來傳達給後端的MCU達到一個對於整體液晶面板Safety Goal的實現。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/82/3387a85e55bf5420.jpg)
在車載ECU外圍電源配置方面,羅姆也針對功能安全在電源方面做了提升。
據李春華介紹,羅姆推出了一個簡便的方案,在現有的電源構架不變的情況下,加一個電源監控的IC BD39040MUF,通過向電源輸出的狀態進行監控,再通過芯片對於監控的狀態實時的反饋狀態給到ECU,來傳達供電給的各個部分哪一路出問題了,對於系統端也可以有效的去進行功能安全策略上的對應。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/a5/2fe813296bc356db.jpg)
“它的優勢就在於可以沿用現有的電源構架,只要加上羅姆的芯片就可以幫助客户系統端去提升。”李春華説。
“羅姆已經取得了ISO 26262的開發流程認證,正在致力於進行考慮到功能安全的產品開發和設計(羅姆的LSI是考慮到高品質和安全的產品)。羅姆可以提供客户對應規格所需的數據(FMEA、FIT、FMEDA等)”,李春華強調。
關於ISO 26262的更多知識
為了幫助大家更進一步瞭解ISO 26262,李春華還對其進行了深入的科普。他指出,對於企業來説,想取得ISO 26262認證,可以通過TüV Rheinland、TüV SUD和GS TüV等德系檢測機構獲得,但其中的“流程認證”和“產品認證”也有不同之處。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/55/f77699e25a8d1ca5.jpg)
如上圖所示,流程認證是審核其認證是否確定符合ISO 26262標準的流程。至於產品認證,則是為MCU等超通用品取得認證。為了讓大家對不同ASIL級別工作成果物的要求有更深入的瞭解,李春華把ASIL A、B、C、D分成四類,針對於安全分析各個成果物的要求數據和確證策略的要求數據都進行了羅列。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/30/bcdb5e3ef79b9615.jpg)
由上圖可以看到,對於最右邊的ASIL-D,對於安全分析各個成果物要求非常高,對於像一些數據它要求也是非常高,我們看到ASIL-D的SPFM達到了99%以上,LFM也達到90%以上,這樣的一些數據約束是達到ASIL-D一些失效數據必須要滿足這樣的條件。而相對於ASIL-A,像單點失效的要求數據就沒有具體要求,相對而言也要求也寬鬆很多。
在ISO 26262的介紹中,有一點也是必須關注的,那就是SEooC。據介紹,SEooC是Safety Element out of Context的一個簡稱。目標是針對開發不受條件侷限的獨立安全單元,類似於我們平常説的一些獨立安全的獨立芯片或者IP。它的關鍵就是要制定針對通用品開發的規定。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/c5/0cfdf16a941e6416.jpg)
李春華指出,這通常是根據各個元器件的安全目標當中導出的安全要求來確定產品規格,從而進行硬件及軟件開發。但通用產品因為沒有安全目標和主要的安全要求,所以需要假設這部分內容來進行開發的規定。在實際操作中,則通過自上而下的一步步拆解而完成的。
“OEM必然有自己的安全目標,針對這個目標有怎樣的功能安全要求,他們都非常清楚。而Tier 1供應商在收到這些功能安全要求之後,就會從技術上對其進行拆解,並分別對軟件和硬件的安全提出明確的需求。最後,芯片廠商也必須根據Tire 1提出的目標和要求,去定義相關產品開發”。李春華舉例説。
在SEooC之後,李春華同時還介紹了DIA(Development Interface Agreement)、FIT(Failure In Time)和FMEDA(Failure Modes Effects and Diagnostics Analysis)等屬於ISO 26262裏面需要關注的內容。
DIA是開發接口協議的一個簡稱,是指確定ISO 26262流程對應開發所必要的工作成果由客户還是由芯片廠商(如羅姆)來負責而製作的書面協議。換而言之就是説作為芯片廠商和Tier1,如何去針對於功能安全認證當中一些成果物進行明確,這需要一個DIA開發接口協議的文檔,關鍵在於由誰來做。
“這個是針對於像ISO 26262通用的流程。哪些是Tier1來做,哪些是芯片廠商(如羅姆)來做,對於成果物提出的責任要明確”,李春華説。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/86/fb4f0e257ea90dd1.jpg)
FIT則是Failure In Time的一個簡稱,它是針對於單位時間的故障數定義。1FIT就是每小時10的負9次方,簡單來説是每小時發生10的負9次方的故障簡寫。換而言之,10萬個產品在運行1萬個小時之後出現一個不良定義。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/de/26a07d6e08bc0951.jpg)
李春華表示,FIT數也有很多標準,每個國家每個協會可能定義方式不同,也會有不同的值出來。現在我們把FIT值計算的種類的幾個標準大致羅列了一下:有MIL-HDBK計算方法,還有JEDEC計算方法,IEC/TR 62380國際電氣標準會議的計算方法。還有一些類似的像Siemens SN 29500、IEC 61709的計算方式。從方向上來説,今後會過渡到IEC 61709的方式,包含SN 29500的方式。而羅姆都會要求客户按照每個標準來提供FIT值,這個是明確的。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/2f/76138eb70c1e9558.jpg)
FMEDA主要針對於故障模式影響診斷解析的説明,主要是分不同區域板塊對故障模式的發生率、故障的影響,對於安全方故障率和危險方故障率的方法解析。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/84/5ae6bc5f3d4d977c.jpg)
最後,我們談一下最近的一些更。在2018年12月,ISO 26262第二版公佈了追加條款,當彙總特別是對於像硬件元素評估和器件要求,提出了不同變更的説明。
![當我們談ISO 26262時,談的是什麼?](http://p1.nanmuxuan.com/images/70/ea2f8831bd6670e8.jpg)
免責聲明:本文由作者原創。文章內容系作者個人觀點,半導體行業觀察轉載僅為了傳達一種不同的觀點,不代表半導體行業觀察對該觀點贊同或支持,如果有任何異議,歡迎聯繫半導體行業觀察。
【來源:半導體行業觀察】
聲明:轉載此文是出於傳遞更多信息之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]