汽车功能安全为什么要达到 ASIL D？

shuizhonghua

随着汽车的自动驾驶（ADAS）级别从 L2 升级到 L2+ 和 L3，并且逐步向全自动驾驶 L4 和 L5 奋进。随着自动紧急制动、车道保持辅助、交通标志识别、环绕视图、疲劳监测等新应用和新功能不断引入，车辆和驾乘人员的安全性得到了进一步提升。在这一变化中，新的汽车应用不仅要求半导体 SoC 具备更多的功能、更大的带宽和更低的功耗，还要求整个汽车的硬件、软件供应链，包括不断发展的电子/电气（E/E）系统中所使用的复杂的 SoC，均必须满足 ISO 26262 车辆功能安全标准。

01汽车产品需严格遵守一定的开发流程下图 1 是广泛应用于汽车行业的标准 V 模型产品开发流程。所有汽车产品均应参照紫色部分的流程进行开发。对于安全关键型产品，ISO 26262 规定，需要以绿色所示的额外开发步骤来补充标准的定义、实施和验证/确认活动。


图 1：汽车产品开发模型
那么，应该如何提升大家对于安全关键型产品开发的重视呢？在企业中建立定义和践行安全关键型产品开发的安全文化，包括任命一名独立的功能安全（FuSa）组织经理，该经理对产品开发团队具有独立权限。安全监督和开发活动包括所记录的定义和对安全计划的遵守以及安全要求的定义/文件。安全计划和安全规范包括功能硬件/软件安全机制，如 ECC、奇偶校验、双核互锁机制和其他功能。这些机制由设计团队按照安全概念规范中的要求实施。将硬件/软件安全机制设计到安全关键型 SoC 的汽车 IP 产品中，需要对IP产品进行评估和验证，实现 ADAS 功能的最新 SoC 处理器采用的汽车级 IP 必须符合特定 ISO 26262 汽车安全完整性等级 (ASIL)，并符合安全关键型 SoC 的 ISO 26262 功能安全开发流程。对于半导体 SoC 和构成这些 SoC 的 IP 产品而言，在产品设计中就引入安全机制是很重要的一环。硬件/软件指标用于确定安全机制对于识别和纠正 IP 中可能故障的影响。通过在 SoC 开发流程的验证和确认阶段对这些指标予以分析，并要求评估、模拟和故障注入，以确定产品是否符合安全要求规范中设定的目标ASIL等级。为了完全符合 ISO 26262:2018 标准，需要进行随机故障分析。其中， ASIL 随机故障分析是一项评估，它重点关注 ISO 26262:2018 安全标准第 5 部分第 8 条（硬件级别的产品开发）。在此评估期间，仅对安全关键型 IP 产品进行硬件安全分析。设计和评估所得出的可交付成果/工作成果包括失效模式、效应和诊断分析 (FMEDA) 以及安全手册。作为随机故障分析的一部分，ISO 26262定义了单点故障指标 (SPFM) 和潜在故障指标 (LFM) 比率的关键结果，以满足特定的 ASIL 等级。ASIL 等级从 ASIL A 到 ASIL D 共分 4 个等级，ASIL D 代表层级最高的完整性要求。在以达到这些指标为目的的设计中，涉及到设计失效模式与效应分析 (DFMEA)。DFMEA 是一种定性分析，可捕获设计中的失效模式及其对 IP 级别元素的影响。
02实现 ASIL D 该如何做？除了硬件/软件安全开发（包括针对这些硬件/软件安全机制随机故障的功能安全评估），汽车行业最佳方式还要求对所有安全关键型产品的系统开发流程进行安全评估。系统开发流程涉及产品的所有开发阶段，例如规划阶段、开发阶段、验证/确认阶段、评估和产品发布以及持续维护和产品监控。在以上各个阶段中，安全关键型产品的开发需要 FuSa 安全管理团队和产品开发团队执行多个步骤和审查（包括持续监控），以确保遵循 ISO 26262  系统开发流程（图 2）。


图 2：ISO 26262 ASIL D系统开发流程
虽然 ISO 26262 标准中已经定义了图 2 中展示的 ISO 26262 FuSa 系统开发流程，而且该流程是整个产品合规性中不可或缺的一部分，但开发团队可以决定是仅遵循 ASIL 随机硬件/软件故障评估，还是同时遵循 ASIL 随机硬件/软件故障和 ASIL D 系统故障评估。但是，针对 ASIL D 系统安全等级进行 ASIL 系统故障评估是行业普遍最认可的做法。对于同时遵循 ASIL 随机硬件/软件故障和 ASIL D 系统故障评估的产品，开发团队需要确保开发的所有方面都经过严格的程序，并具有多重制衡。这些程序包括多次审核和批准流程迭代，随后进行内部审计和可选的第三方独立检查/审计。不仅需要执行并记录审核和批准，还必须记录并证明审核和批准已经发生。为确保执行、记录和审核所有步骤，必须制定汽车行业最先进的质量管理体系 (QMS)，以跟踪和证明开发已执行。QMS 系统包括从要求设置直至执行和确认的完整要求跟踪。在 ASIL D 系统开发流程中，第一步是规划阶段，包括所定义和跟踪产品的每个工作成果。开发阶段将需要完成大多数工作成果/可交付成果。但是，在验证/确认阶段以及评估和产品发布阶段会生成多个工作成果。在每个开发阶段，在 QMS 系统中创建和独立跟踪确认审核报告、功能安全审计报告和功能安全评估报告。图 2 所示的 ASIL D 系统开发流程通常可产生 80 多种安全工作成果/可交付成果。
03
IP 供应商向 ASIL D 迈进

为了让芯片供应商大幅缩减花费在设计、认证和发布安全攸关 ADAS / 自动驾驶车 SoC 所需的时间，IP 供应商们希望能够以预先建立且经验证的处理器 IP 授权的方式，协助他们更快地进入市场。

在这方面，新思科技的汽车级 IP 采用符合 ISO 26262 功能安全要求的ASIL D 系统开放流程予以实现，随机硬件故障安全等级可达到 ASIL B 和ASIL D，帮助设计人员加速其 ISO 26262 SoC 级功能安全评估，从而实现目标 ASIL 等级。

除了定义和遵守符合 FuSa 要求的 ASIL D 系统开发流程外，独立地确认 ASIL D 系统开发流程也很重要。为确保新思科技定义的 ISO 26262 FuSa  开发流程符合 ISO 26262 标准，新思科技利用 SGS TUV Saar 来评估此开发流程。如图 3 中的证书所示，新思科技制定的通用开发流程已符合行业标准。



图 3：SGS TUV Saar 证书（表明新思科技通用流程符合 ISO 26262:2018 标准）
新思科技对汽车 IP 行业的重视，还体现在接口方面的支持。他们最近升级了 PCI Express 控制器 IP、MIPI CSI-2 主机和设备控制器 IP 和新思科技  10Gb 以太网控制器 IP，支持完全 ASIL 随机和 ASIL D 系统合规性。新思科技也是首家为这些任务关键型接口协议提供完全 ISO 26262 合规性的 IP 供应商，这些协议广泛用于 L3、L4 和 L5 自动驾驶汽车的 ADAS 域模块、分区 ECU 和中央计算处理。

汽车级接口 IP 可与现有的 ARC 处理器相辅相成，共同加速新汽车平台架构的安全关键型 SoC 设计。这些都将为不断发展的 E/E 架构车辆设计安全的 SoC 保驾护航。

04结束语对于汽车芯片供应商而言，要认证 ASIL D 不是一件容易的事，尤其是一些的复杂的汽车 SoC。如新思科技这样的 IP 厂商，从底层 IP 开始实现 ASIL D 的支持，无论是新思科技的汽车级接口 IP，还是处理器 IP，两者均可提供最高水平的安全性。这也将为芯片供应商大幅缩减花费在设计、认证和发布安全攸关 ADAS / 自动驾驶车 SoC 所需的时间。
正文 END