本系列文章包含上下两篇内容,本文着重介绍关于ISO 26262标准的产生与重要理念,及其对于行业的影响;下篇内容将深入探讨ISO 26262标准下的产品应用与设计流程,敬请关注。
1 什么是ISO 26262标准?
ISO 26262标准全称为《道路车辆功能安全》,这是一项有关汽车电气和(或)电子(E/E)系统功能安全的国际标准。该标准于2011年由国际标准化组织 (ISO)进行定义,并于2018年进行修订。
在我们进入ISO 26262标准主题之前,首先讨论一下何谓“功能安全”。
2 “功能安全”简史
追溯到很久以前的农业社会,当时社会保存记录的水平很差,人口密度也很低。但事故发生率很高,而事故原因鉴定能力却十分低下。因此,农业社会时期并没有系统性地尝试提高安全性。
随后到了工业革命时代。人类向城市迁移导致人口密度增加,同时也提高了保存记录的水平。大家意识到工人们的受伤率极高,而工会则成为了提高工人安全性的关键力量之一。
20世纪50年代末、60年代初,太空竞赛的开始与 “永不言败” 的宣言促成了系统安全性的出现,并且开发出一些关键的分析技术,包括故障模式影响分析(FMEA)技术和故障树分析(FTA)技术。
20世纪70年代中期发生在英国和意大利的两起重大工业事故,导致《英国COMAH规则》和《欧盟塞维索指令(重大事故和危险控制)》的出台。1998年,由此产生了IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》标准。这是一项来源于工业方法的、并不特定于任何专项应用的通用标准。这项标准涵盖了软件并且引入了安全性的概率评估。该标准后来成为后续各项标准 (包括ISO 26262标准) 的母标准。
第一级衍生标准用于工业制程(石油和天然气)、工业机械、核能和铁路,陆续于2001年至2005年间出台。采用这种方法解决了许多问题并将其推广到汽车行业:
危险分析和风险评估(HARA)不包括驾驶员可控性概念
安全功能不易与主控制系统区分开来
缺乏设定所需风险降低水平的规范方法
不支持汽车行业内所用的分层(原始设备制造商、第1层、第2层...)供应链(见下图)
3 第一版ISO 26262标准
2011年发布的第一版ISO 26262标准完全取代了IEC 61508标准,并且仅涵盖汽车领域:该标准单独针对车辆 (称之为 “Item/物品”) 、系统、硬件和软件;仅包括3500公斤以下量产汽车的电气和电子系统;未包括液压和机械系统、专业车辆(例如一级方程式赛车、卡车、公共汽车、摩托车或越野车)。但对于大家所驾驶的普通汽车来说,芯片和嵌入式软件正是该标准的中心目标。
标准中载有详细规则说明如何将车辆按层次分解,然后再应用该标准的不同部分。
该标准根据危险严重程度、危险暴露程度(发生危险的概率)以及驾驶员减轻危险的可控性来定义汽车安全完整性等级(ASIL)。设定安全目标是为了实现必要的风险降低。下列表格中说明ASIL等级:
对于硬件来说,存在很多将各项要求归入层次的定义。该标准不假设没有可使用的历史记录和现有部件(特别是“简单”部件)。
硬件有四种合规选项
开发环境中的默认选项,即与功能安全方法一起开发硬件。大多数真正的硬件都具有较低等级部件,因此该选项通常适用于SOC/ASIC。
硬件认证,将“简单”硬件集成到符合ISO 26262标准的产品中(其意图是包括电阻器之类的基本部件,但显然对“简单”没有严格的定义)。
SEOOC (即SEooC,无背景安全元素)是指整个车辆环境中的安全重用系统要素。在此似乎适合半导体知识产权,其中默认假设必须为该硬件可能在安全关键环境使用。
经使用验证,即根据运作历史记录证明使用的合理性
4 第二版ISO 26262:2018标准及后续版本
ISO 26262:2018是ISO 26262的第二版标准。其中的一个变化是第一版使用术语“硬件资格” ,但其含义与我们在半导体领域内讨论的认证或品质有所不同。该术语将变成 “硬件评估” 。
ISO标准对于待使用的新标准以及出现的问题有一个三年观望周期。有关ISO 26262:2018标准的工作始于2015年初。在此期间发行了四个重要的中间出版物:
《关于ISO 26262标准ASIL危险分类的SAE J2980注意事项》(2015年)
《ISO/PAS 19695摩托车—功能安全标准》(2015年)
《ISO 26262:2011-2012标准在半导体领域内的ISO/PAS 19451应用》(2016年)
《关于网络实物车辆系统的SAE J3061网络安全指导手册》(2016年)
摩托车具有专用标准的原因在于:只有当用户已承担此类高风险时才需尽最大努力改进摩托车的电子设备。提高摩托车安全性的最简单方法就是改用汽车。
ISO 26262:2018标准出版于2018年,将一些变更内容纳入上述出版物。除一般更新外,该标准还明确针对车辆中半导体部件的设计作出规定(该标准第11章)。并扩展了车辆定义以包含未归入第一版的更主流车辆:卡车、公共汽车和摩托车。尽管该标准将包括部分网络安全内容,但网络安全有其自身的指导标准(即上述最后一份出版物),其出版工作正在进行中并将纳入ISO标准。
另外一个新概念是SOTIF(即预期功能安全)。该概念针对无故障时的安全问题:在诸如照相机和激光雷达等装置中的图像传感器及其基于神经网络的相关控制系统中存在固有误差。SOTIF的目的是针对自动驾驶的一些方面,其安全不仅仅与某种类型故障有关(无论是晶体管故障、阿尔法粒子故障还是其它类似故障)——比如耀眼的阳光使摄像机超载也包含在内。简而言之,SOTIF寻求正常运行期间的安全性,而ISO 26262寻求车辆在发生实际故障时能够继续运行的方法。相比之下,SOTIF的视角更为全面并承认“有些事情总会发生”:耀眼的灯光、灰尘、烟雾、暴风雪都会影响传感器数据,而汽车的“大脑”需要根据概率进行处理并作出决策。神经网络实际上是基于概率的,而算法代码则并非如此。在某种程度上,SOTIF的目的是尽可能降低发生故障的概率。
5 如何处理ISO 26262标准制定之前的知识产权?
回到现实,在ISO 26262标准之前就已经存在许多汽车电子产品。使用ISO 26262方法从头开始重新开发成本太高:
“试着去找你的微处理器供应商,要求其重新开发符合ASIL标准的产品”。
但是我们知道,这些已有产品无论是芯片还是知识产权都是“安全可靠”的,因为这些产品在数百万次出货后一直没有出现过大故障,并且一直在出货和销售而没有进行任何修改。
其挑战在于ISO 26262标准第8部分第13条要求我们根据该标准开发第三类部件,并提供有关避免/控制系统故障适当措施的证据。但传统知识产权不适合这些选项,因为这些产品已经开发完成。
ISO 26262标准将部件分为三类
第一类-没有或仅有几个零件的部件:电阻器,电容器,晶体管
第二类-功能可通过黑箱进行验证:燃料传感器,独立模数转换器
第三类-功能过于复杂而无法通过黑箱验证:
关于产生系统故障的根源只能通过有关具体实施和开发过程的知识来理解和分析
具有与控制或检测内部故障相关内部安全机制的部件(例如ASIC或ASSP芯片)
所以最大的问题是我们如何让这些部件适应ISO 26262标准实施后的时代?当然我们主要关注的是第三类部件,Cadence公司主要关注半导体知识产权,因为我们不制造生产芯片(不包括Cadence Palladium®和Protium™产品)。
那么,我们可以进行ASIL-X合规吗?不幸的是, ASIL不允许改装。但是传统知识产权已经存在并将继续存在至少好几年。我们并不希望产品获得“不符合ASIL”的结果,有什么可以说明一定程度的安全相关应用中的合宜性呢?
ASIL-X READY项目是由SGS-TuV Saar公司(一家提供检查、验证、测试和认证服务的公司)创建的、用于为传统知识产权提供安全检查的项目。特别是考虑到ISO 26262标准不允许改装的事实。该项目在故障模式影响和诊断分析(FMEDA)中经受了类似的严格审查和分析,以符合不同ASIL准备等级指标以及编写安全手册的要求。当然,这并不是一个未经分析就可被贴在任何知识产权上的标签。有关传统知识产权的“安全适用性”证据是一项要求,并非所有知识产权都具备该资格。更具体的要求如下:
对范围内传统知识产权稳健性的初步反馈
有关SPFM、LFM、PMHF、SFF的计算
嵌入故障模式排名基准
安全手册提供与相关安全环境整合的附加资料
这是知识产权有关ASIL-X认证基本上可能会经历的所有内容,但不包括使用ASIL合规程序的实际设计过程。
这并不是说如何设计不重要。ISO 26262标准功能安全活动的三个“P”仍然是人、流程与产品(见上图)。
汽车开发在嵌入式系统的安全性、保全性和可靠性方面提出了独特的挑战。有关汽车应用的端对端测试费用过于昂贵也过于复杂。但是,失败的代价应当作为寻找减轻风险方法的动力。《功能安全文档集》是Cadence公司帮助客户遵守ISO 26262标准的方式之一。
