ISO 26262'yi gerçekten anlıyor musunuz?
Otomotiv yarı iletken ekipman ve elektronik sistem geliştiricileri dikkatli olmalıdır: Bazı tedarikçiler, ürünlerinin ISO 26262 güvenlik standardı gerekliliklerini karşıladığını iddia edebilir.Bu iddialar, otomotiv ürünlerini üretmek için kullanılan personel ve süreçlerin doğrulanmasını netleştiremezse, bu iddialar yanlış olabilir. dürüst. Sistem tasarımcıları, tedarikçinin niteliklerini dikkatli bir şekilde değerlendiremezlerse, müşterilerin ürünlerini otomotiv tedarik zincirinde kabul etmelerini sağlamak onlar için zor olacaktır.
Otomotiv tedarik zincirindeki katılımcılar, tedarikçinin ürünlerinin otomotiv sistemlerinde nasıl kullanıldığını açıklayan tedarikçi tarafından kaydedilen kullanım varsayımını (AoU) dikkate alırken, her bir tedarikçinin ürünleri için kendi işlevsel güvenlik değerlendirmelerini yürütmekten sorumludur. Tedarikçiler, analizlerini, entegratör müşterilerinin konfigürasyonlarına uyması beklenen belirli konfigürasyonlara ve kullanım senaryolarına göre özelleştirir. Otomotiv sistemlerinde kullanılan bileşenler için üçüncü taraf ISO 26262 sertifikası, sistem entegratörlerinin bu analizi gerçekleştirmesine yardımcı olabilir, ancak entegratörün kendi kullanım ortamlarında tedarikçilerinin ürünlerini analiz etme yükümlülüğünün yerini almayacaktır.
Bu makale, işlevsel olarak güvenli otomotiv elektronik sistemlerinin tasarımında yer alan personeli, süreçleri ve ürünleri içeren ISO 26262 sertifikasyonunun temel ilkelerini araştırmaktadır. Nihai hedef, geliştirme ekiplerini, yöneticileri ve yatırımcıları, otomotiv güvenlik standartlarının ayrıntılarına uymaya dahil olan sorumluluklar konusunda daha bilinçli hale getirmektir. Bu da uyum çabaları ve maliyetleri hakkında daha fazla bilgi sağlayacak ve ayrıca tedarik zinciri üyeleri arasındaki iletişimi daha etkili hale getirecektir.
Değişen otomotiv endüstrisi: yeni elektronik cihazlar ve yeni girişler
Tüm binek otomobil elektronik sistemleri, otomobil üreticisinin ürünlerine entegre edilmeden önce katı güvenlik gereksinimlerini karşılamalıdır. Bu sektördeki tedarikçiler, bu sistemlerin ve ürünlerinin bu güvenlik gereksinimlerini karşılama becerisinin kanıtını sağlamak için karmaşık bir tedarik zinciri oluşturmuştur. Bu bilgi paylaşım sistemi, tüm temel bileşenlerin ISO 26262 yönergelerine ve prosedürlerine uygun olmasını sağlamak için IP satıcıları, yarı iletken SoC geliştiricileri, bileşen tedarikçileri, yazılım sağlayıcıları, elektronik sistem tasarımcıları ve diğer birçok ilgili personel arasında ayrıntılı iletişim gerektirir. , Eğitim seviyesi, denetim ve değerlendirme.
Şekil 1: Audi'nin zFAS merkezi sürücü destek kontrolörünün temel bileşenleri için kullanılan yarı iletken merkezli bir tedarik zinciri (Kaynak: Audi; IHS Markit; Arteris IP)
Bununla birlikte, giderek daha fazla mekanik bileşen elektronik sistemlere dönüştürüldükçe, otomotiv endüstrisi de hızla değişiyor. Sonuç olarak, daha önce insan sürücüler tarafından gerçekleştirilen işlevler, otonom sürüş sistemlerine dönüşen gelişmiş sürücü destek sistemleri (ADAS) ile desteklenmekte ve değiştirilmektedir. Bu iki eğilim, otomotiv endüstrisinde ekonomik büyümeyi ve teknolojik yeniliği yönlendiriyor. Hızlı pazar büyümesi umudu, yeni girenleri otomotiv elektronik sistemleri dalgasına katılmaya teşvik ediyor.
Yeni giren kişiler, ISO 26262 fonksiyonel güvenlik standardına göre ürün geliştirme ve sunma konusunda deneyimden yoksun olabilir. Bu tedarikçiler, ürünlerinin otomotiv güvenlik standartlarına uymaya hazır olduğunu iddia etseler de, tedarik zincirindeki şirketlerin, ürün geliştirme sürecine dahil olan kişilerin ve prosedürlerin daha fazlasına entegre edilmeden önce kapsamlı ve dikkatli bir şekilde gözden geçirilmesi ve değerlendirilmesi gerekir. Büyük bir sistemde.
Otomotiv elektroniği tedarik zincirindeki katılımcıların bu sorunu proaktif olarak çözmelerinin bir yolu, akredite bir değerlendirme kuruluşundan ISO 26262 sertifikası almaktır. Bununla birlikte, otomotiv kullanımına yönelik çoğu elektronik ürün tam ve bağımsız sistemler değildir, ISO 26262 standardına göre sertifikalandırılabilir ve ürünün araca nasıl entegre edilip kullanıldığını tam olarak anlayabilir. Bu nedenle, bu pazara hizmet vermeyi ciddiye alan herhangi bir geliştirme ekibi için, sertifikasyon beyan edilmiş olsun veya olmasın, tedarikçisinin işlevsel güvenlik konusundaki iddialarını araştırmak önemlidir. Üçüncü taraf ürün sertifikasyonu önemli bir referans olabilse de, herhangi bir bileşenin değerlendirilmesi daha derinlemesine olmalı ve denetim ve sertifikasyon, şirketin ürünleri kullanması ve entegrasyonu yoluyla tamamlanmalıdır. Tedarikçinin personelinin, süreçlerinin ve ürünlerinin değerlendirilmemesi, müşterinin reddedilmesine neden olabilir.
Neden ISO 26262'yi seçmelisiniz?
Uluslararası Standartlar Organizasyonu (ISO) şu şekilde beyan eder:
ISO 26262'nin, bir veya daha fazla elektrikli veya elektronik (E / E) sistemi içeren ve seri üretilen binek araçlara takılan güvenlikle ilgili sistemlere uygulanması amaçlanmıştır.
ISO 26262, bu sistemlerin etkileşimi de dahil olmak üzere, E / E güvenlikle ilgili sistemlerin arızasından kaynaklanabilecek tehlikeleri ele alır.
İlk ilke: bilgi paylaşımı anahtardır
Otomotiv sistemlerinin elektrifikasyonu hızla ilerliyor. Bu eğilim inovasyonu teşvik ediyor, ancak aynı zamanda daha fazla yatırım, daha fazla araştırma ve geliştirme ve otomotiv pazarına yeni girenlerin ilgisini çekiyor.
Pek çok yeni katılımcının bilmeyeceği şey, otomotiv güvenlik standartlarına uygunluğun tedarik zincirinin her parçası aracılığıyla bilgi paylaşımını gerektirdiğidir. Her seviyedeki deneyimli geliştirme ekipleri bu standartlara meydan okuyor çünkü ihtiyaçlar sürekli değişiyor ve sektördeki yalnızca birkaç uzman bu süreçte projeye rehberlik edebiliyor. Ek olarak, yarı iletken ve yazılım tedarik zincirindeki katılımcılar genellikle IP'lerinin nasıl geliştirildiğini ve nasıl çalıştığını bir sır olarak saklar.
Şekil 2: ADAS ve yarı iletkenlere odaklanan otonom sürüş sistemi değer zinciri
Tedarikçinin sağlaması gereken bilgiler, sistemin her bileşeninin güvenlik hedefleriyle birlikte analizini, eğitimini ve belgelerini içerir. Tedarik zincirinin her üyesi bu bilgileri sağlamalıdır. Yarıiletken IP satıcıları bu bilgileri SoC geliştiricilerine sağlar ve yonga tasarım ekipleri bu bilgileri özelleştirilmiş sistemlerini analiz etmek ve sonuçları Katman-1 elektronik sistem satıcılarına iletmek için kullanır. Bu 1. Kademe tedarikçiler daha sonra kendi analizlerini gerçekleştirir ve sonuçları araç üreticisine ve müşterilerine gönderir.
Otomotiv tedarik zincirindeki bu ilişkiler gittikçe daha karmaşık hale geliyor çünkü otonom sürüş uygulamaları için çipler üreten veya tasarlayan geleneksel yarı iletken tedarikçileri artık bazen Tier-1 elektronik sistem tasarımcıları ve OEM'ler ile rekabet ediyor ve çipleri kendileri üretiyor veya tasarlıyor olabilirler. . Ek olarak, Uber, Waymo ve Apple gibi yeni başlayanlar, otomotiv endüstrisindeki deneyimsizliklerine rağmen kendi komple sistemlerini tasarlıyorlar. ISO 26262, yeni girenlere aşina olmayabilecek değer zinciri boyunca yüksek düzeyde işbirliği ve bilgi paylaşımı gerektirir.
Karmaşıklık daha iyi analiz gerektirir
Tüm otomotiv endüstrisi giderek daha karmaşık hale geliyor ve bu sistemlerin güvenliğinin artırılması gerekiyor. Modern otomobiller, sürücünün gaz pedalına ve sensörlere bastığı bir tel kontrol gazı gibi "telli kontrol" sistemleri kullanır. Pedal, gaz pedalını ve mekanik gaz kelebeği kontrol panosunu bağlamak için geçmişte kullanılan metal kabloların yerini alan elektronik kontrol ünitesine (ECU) elektrik sinyalleri gönderir. ECU, mekanik yöntemden daha akıllıdır çünkü motor hızı, araç hızı ve pedal konumu gibi daha fazla analiz çalışması yapabilir ve ardından gaza komutlar iletebilir.
Uzaktan kumandalı gaz kelebeği sistemini test etmenin ve doğrulamanın eski mekanik versiyonu test etmekten daha zor olduğunu da görebiliriz. Mekanik sistemleri elektronik sistemler, elektrikli tahrik sistemleri ile değiştirdikçe ve arabalara ADAS ve otonom sürüş fonksiyonları ekledikçe, karmaşıklık patladı. ISO 26262'nin amacı, tüm otomotiv elektronik sistemlerinin ihtiyaçlarını karşılamak için birleşik bir işlevsel güvenlik standardı oluşturmaktır.
Sürücü yardımı, elektrikli tahrik, yerleşik dinamik kontrol ve aktif ve pasif güvenlik sistemleri gibi yeni işlevler, sistem güvenliği mühendisliği alanında giderek daha fazla yer almaktadır. Daha fazla teknik karmaşıklık, yazılım içeriği ve mekatroniğin uygulanması, sistem geliştirme sırasında insan hatalarının neden olduğu sistem donanımı arızaları için daha büyük riskler getirir. ISO 26262, gereksinimleri ve süreçleri belirleyerek riskin nasıl en aza indirileceğine dair rehberlik sağlar.
Yarı iletken SoC cihazları ve IP tasarımcıları için, ISO 26262 uyumluluğunun gereksinimleri, eksiksiz sistemler için yönergelerden daha soyuttur. Bu nedenle, IP geliştiricilerinin, işlevsel olarak güvenli otomotiv sistemlerine entegrasyon için IP hazırlığını belirlemek için birçok varsayım üzerinde ek analiz gerçekleştirmesi gerekir.
Fonksiyonel güvenlik
ISO 26262'nin amacı, tüm otomotiv elektronik sistemleri için birleşik bir güvenlik standardı sağlamaktır. Sistem güvenliğinin sağlanması, mekanik, hidrolik, pnömatik, elektrik ve elektronik sistemler gibi çeşitli teknolojilerde çeşitli güvenlik önlemlerinin uygulanmasını gerektirir ve bu güvenlik önlemleri, geliştirme sürecinin tüm seviyelerine uygulanır.
ISO 26262, ürün içindeki gerekli süreçleri, geliştirme çalışmalarını ve işlevsel güvenlik mekanizmalarını kabul edilebilir risk seviyelerine eşlemeye yardımcı olmak için çeşitli otomotiv güvenlik bütünlük seviyelerini (ASIL) --QM, A, B, C ve D - tanımlar. . Bu beş seviyenin katı kapsamı, temel kalite yönetiminden, arızaların ölümcül kazalara yol açabileceği sistemlere kadar geniş bir yelpazeyi kapsar. İkinci durumda, ASIL D, otomotiv sistemindeki tek arıza noktasının (SPFM)% 1'den az olmasını gerektirir. Aşağıdaki Tablo 1, ASIL seviyeleri ve arıza göstergeleri hakkında daha fazla bilgi sağlar.
Tablo 1'deki ASIL D'yi gerçekleştirmek için, sistemdeki tek nokta arızalarının% 99'undan fazlası güvenlik mekanizmalarıyla karşılanmalıdır. ASIL B ve C daha az kapsam gerektirir. (Kaynak: ISO 26262-5: 2011, Tablo 4 ve Tablo 5'in içeriği ISO 26262-1: 2011'den alınmıştır)
Otomotiv SoC'leri, ISO 26262 standardıyla uyumluluğu sağlamak için belirli donanım işlevleri aracılığıyla teşhis kapsamı sağlar. Bu yonga üzerinde işlevsel güvenlik mekanizmaları, hata düzeltme kodu (ECC), dahili belleğin veri bağlantısı ve eşlik koruması, akıllı ara bağlantı yapısı aracılığıyla akıllı kopya işleme öğeleri, yerleşik kendi kendine test (BIST) ve hata raporlama mekanizmaları gibi teknolojileri içerir.
ISO 26262, E / E sistemlerinin işlevsel güvenliğine odaklanmasına rağmen, aslında güvenlikle ilgili sistemlerin tüm yaşam döngüsünü ele alabilen bir çerçeve sağlar. ISO 26262 aşağıdaki rehberliği sağlar:
Yaşam döngüsü yönetimi, ürün geliştirme, üretim, operasyon, servis, hizmetten çıkarma ve bu yaşam döngüsü aşamalarında gerekli faaliyetlerin özelleştirilmesi
Mantıksız riskleri önlemek için tehlikenin ciddiyetine, maruz kalma olasılığına ve kontrol edilebilirliğe göre güvenlik gereksinimlerini uygulayın
Yeterli ve kabul edilebilir bir güvenlik seviyesi sağlamak için doğrulama ve doğrulama önlemleri
Tedarikçilerle ilişki gereksinimleri
Tüm bunlar karmaşık görünebilir, ancak üç ana konuya, yani "3P" ye odaklanarak, ISO 26262 gereksinimlerinin anlaşılması basitleştirilebilir:
İnsanlar
İşlem
Ürün
Tedarikçiler, müşterilere standartları karşılayan personeli, süreçleri ve ürünleri hazırlamak için aldıkları önlemleri detaylandıran belgeler sunmalıdır. Yarı iletken IP pazarında "3P" nin rolü perspektifiyle, SoC mimarları ve tasarım ekipleri doğru IP'yi seçerken akıllıca seçimler yapabilirler. IP satıcılarının organizasyonel ve operasyonel özelliklerini anlamak, daha iyi çipler, daha güvenli arabalar ve daha verimli geliştirme yetenekleri elde edebilir.
Şekil 3: İnsanlar, süreçler ve ürünler, ISO 26262 fonksiyonel güvenlik faaliyetlerinin temelidir
İşlevsel güvenlik; şartname, tasarım, uygulama, entegrasyon, sertifikasyon ve doğrulama ile üretim, yönetim ve hizmet süreçleri dahil olmak üzere geliştirme sürecinin tüm bölümlerini kapsar. Güvenlik standartlarının belirli gereklilikleri nedeniyle, otomotiv SoC'leri için IP tasarlayan bir organizasyon oluşturmak çok zordur. Müşteri kalifikasyonu ve üçüncü taraf ISO 26262 sertifikası için gereken ek eğitim, değerlendirme, analiz ve dokümantasyon, otomotiv elektroniği için IP'nin geliştirilmesine önemli maliyetler ekleyebilir.
Bu işlevsel güvenlik faaliyetlerinin kanıtı tedarik zincirinde iletilmelidir. Bu nedenle, otomotiv yarı iletken pazarı için ürünler sağlayan her kuruluş, standartları karşılayan geliştirme faaliyetlerini kaydetmelidir. Bu belgenin içeriği, ilgili personeli, çözümü geliştirmek için kullanılan süreci ve ISO 26262 standardına uyması gereken ürünlerin analizini kapsamalıdır.
insanlar
Yarı iletken IP için ISO 26262 uyumluluğuna yönelik ilk adım, IP geliştirmeye dahil olan personeli eğitmektir. Çoğu şirket, küçük bir grup insanı eğitmenin "kısayolunu" kullanır, genellikle ISO 26262'nin gerektirdiği işlevsel güvenlik yöneticisi (FSM) ve az sayıda "güvenlik mühendisi".
Bununla birlikte, ISO 26262 Bölüm 2 "Fonksiyonel Emniyet Yönetimi" gereklilikleri, özellikle de 5.4.2 "Emniyet Kültürü" ve 5.4.3 "Yetki Yönetimi" maddeleri, sürdürülebilir bir emniyet kültürü sağlamak için, ekip üyeleri buna karşılık gelen sorumluluklara sahiptir. Yeterli beceriler, yetenekler ve nitelikler, organizasyon genelinde kapsamlı işlevsel güvenlik bilgisi gerektirir. Bu, çok sayıda personel eğitimi gerektirir.
ISO 26262 kişisel eğitim ve sertifikasyon
Eğitimin ana hedefi mühendisler olmakla birlikte, yöneticiler, pazarlamacılar, mühendislik personeli, dokümantasyon ekipleri, kalite güvence yöneticileri ve uygulama mühendisleri dahil olmak üzere, ürün geliştirme ve destekle ilgili diğer personeli de dahil etmesi gerekir. Kuruluş tarafından atanan ve eğitilen işlevsel güvenlik yöneticisinin (FSM) görevi, ürün geliştirmeye dahil olan tüm personel arasında güvenlik kültürünü teşvik etmektir ve FSM genellikle tüm bu çalışanlar için dahili veya üçüncü taraf eğitim sağlamaktan sorumludur. Müşteriler, çalışanlara işlevsel güvenlik eğitimi sertifikası sağlamak için genellikle ISO 26262'de "entegratörler" olarak adlandırılan yarı iletken IP'ye ve üçüncü taraf ISO 26262 değerlendiricilerine ihtiyaç duyar.
Gerçek uygulamaya bir örnek olarak, 50'den fazla Arteris IP çalışanı, aynı zamanda bir ANSI sertifikalı ISO 26262 standart sertifikasyon kuruluşu olan ISO 26262 danışmanlık şirketi exida'nın ISO 26262 Fonksiyonel Güvenlik Uygulayıcısı (FSP) eğitimini ve sertifikasını geçmiştir. Arteris IP, yalnızca kapsamlı ISO 26262 eğitim programı aracılığıyla değil, aynı zamanda bir güvenlik kültürü sağlamak ve tüm yarı iletken IP geliştirme sürecinin kalitesini sağlamak için işlevsel güvenlik süreçlerinin oluşturulması yoluyla FSM çalışanlarını deneyimlemiştir.
İşlem
Sistem hatalarını önlemek için iyi süreçler gereklidir. Sistem arızaları belirli nedenlerle öngörülebilir bir şekilde ilişkilidir ve yalnızca sistemin tasarımını, üretimini, işletim prosedürlerini, belgelerini veya diğer ilgili faktörleri değiştirerek ortadan kaldırılabilir. Kısacası, sistem arızaları genellikle sistemde "tasarlanır" ve kalite süreçleri, sistemdeki arızaların tasarlanmasının önlenmesine yardımcı olur.
Mühendis olduğumuz için, ISO 26262 sürecine olan ilginin çoğu, "destek süreci" olarak adlandırılan ISO 26262 Bölüm 8'in ayrıntılarını çözmek için teknoloji ve yazılım araçlarının kullanımına odaklanmıştır. Ancak bu yanlış bir yaklaşımdır.
İyi bir güvenlik sürecinin veya herhangi bir ürün geliştirme sürecinin anahtarı, gereksinim yönetimi, değişiklik yönetimi, doğrulama ve geliştirme süreci araçlarının diğer bölümlerinin uzman kullanımı ve entegrasyonu değil, kalite yönetim sisteminin (KYS) tüm çalışanlar tarafından sürekli olarak kullanılmasıdır.
Kalite Yönetim Sistemi (KYS)
ISO 26262 bölüm 8 kalite yönetim sisteminin gereksinimlerini karşılayan herhangi bir süreç, ISO 26262 standardını karşılar. Ancak, mevcut yazılım, donanım ve otomotiv sistem geliştirme KYS'si en gelişmiş olanıdır ve tedarikçi süreçlerinin temeli olarak kullanılabilir.
Aşağıdaki Tablo 2 bazı örnekler sunmaktadır:
Tablo 2: ISO 26262 ile uyumlu kalite yönetim sistemleri (KYS) örnekleri. Kaynak: ISO 26262-8: 2011
Üçüncü taraf değerlendirme şirketleri, her kalite yönetim sistemi için sertifika sağlar. Ancak, otomotiv tedarik zincirinde bir tedarikçi olarak, üçüncü taraf süreç sertifikası almış olsanız da olmasanız da müşterileriniz süreçlerinizin bağımsız denetimlerini gerçekleştireceklerdir. Üçüncü taraf süreç sertifikasyonuna eşlik eden raporlar, müşterilerinizin süreçlerinizi değerlendirmesine yardımcı olsa da, müşterilerinizin yine de ISO 26262 ile uyumlu olduğunuzu onaylama yükümlülüğü vardır.
İzlenebilirlik
İzlenebilirlik, ISO 26262 uyumluluğuna ulaşılmasına yardımcı olur.
Çip tasarımı alanında, çoğu tasarım ekibi halihazırda en gelişmiş sistemlere sahiptir, bu sistem spesifikasyon projelerini uygulama yoluyla takip edebilir ve ardından doğrulama testleri gerçekleştirebilir. Bununla birlikte, ISO 26262, güvenlikle ilgili gereksinimlerden ve bunların uygulanmasından, kavramsal aşamadan - ISO 26262 Bölüm 3'ten üretim ve operasyon - ISO 26262 Bölüm 7'ye kadar iki yönlü izlenebilirlik gerektirir. Bu, kalite güvence (QA) test sonuçlarının, doğrulama testleri, uygulaması, spesifikasyonları ve gereksinimleri aracılığıyla izlenebileceği anlamına gelir. Ek olarak, konfigürasyonların, değişikliklerin ve belgelerin güncel tutulması ve izlenebilirlik bilgi zincirinin bir parçası olması gerekir.
Bu tür bir izlenebilirlik, otomotiv uygulamaları için henüz ürün geliştirmemiş yarı iletken tasarım ekiplerine genellikle yabancıdır. Bu ekiplerin geçmişte iyi işleyen uygulama ve doğrulama sistemini değiştirerek daha geniş izlenebilirliği destekleyen yeni bir sistemi benimsemeleri zordur. Çözümlerden biri, gerekli izlenebilirlik düzeyini sağlamak için mevcut geliştirme sistemlerini mühendislik yoluyla bütünleştiren ve "paketleyen" bir izlenebilirlik sistemi uygulamaktır.
Örneğin, Arteris IP, yarı iletken IP'sinin ve ilgili IP yapılandırılabilir yazılım ürünü geliştirme spesifikasyon uygulama doğrulama sürecinin çekirdeği olarak Atlassian Jira sorun izleme aracını kullanıyor. Geçmişte, Microsoft Word tabanlı pazar gereksinimleri belgeleri (MRD), ürün gereksinimleri belgeleri (PRD) ve özelliklerdeki öğeler, Jira sistemine girdi olarak kullanıldı ve mühendislik geliştirme görevleriyle ilişkilendirildi, durumunu izledi ve test üretimini ve kaydını otomatik olarak doğruladı. .
Şekil 4: Otomatik izlenebilirlik araçları, yönetim değişikliğine yardımcı olmak için ileri ve geri izlenebilirlik yöntemleri sağlar
ISO 26262 sürecinin en önemli kısmı, otomotiv pazarını hedefleyen çoğu şirketin aşağıdakileri yapması gerektiğidir:
ISO 26262 standardına uyan bir kalite yönetim sistemi seçin, kullanın ve kullanımınızı üçüncü taraf değerlendiricilere ve müşteri değerlendiricilere açıklayabilme.
Kalite güvencesi, teslimat ve destek için tüm gereksinimleri kapsayan daha geniş otomatik izlenebilirlik elde edin.
ürün
Bir tedarikçi, önce çalışanlarını eğitmeden ve süreçlerini belgelemeden ürününün "ISO 26262 güvenlik gereksinimlerine uygun" olduğunu iddia ederse, gereksinimleri karşılamıyor demektir. Personel eğitildikten ve kalite süreci tamamlandıktan ve kullanımdayken, bir sonraki adım, ürünü ISO 26262'ye göre analiz etmek ve analiz belgesini yarı iletken entegratörüne sağlamaktır. Yarı iletken ve yarı iletken IP tedarikçileri için, bu analizi gerçekleştirmek, üzerinde anlaşmaya varılan bir dizi varsayımın kaydedilmesini gerektirir, çünkü çip veya IP tedarikçisi, bunun sistemin bir parçası olacağını tam olarak anlayamayacaktır.
Otomotiv çipleri ve IP: SEooC, AoU ve ASIL özelleştirmesi
Kısacası, ISO 26262 analizinin dayanağı, "sistem" in geliştirme ve analiz altında olan bir varlık olmasıdır, ISO 26262 Bölüm 1 ise bir sistemi "en azından sensörler, kontrolörler ve aktüatörlerle ilgili bir dizi bileşen" olarak tanımlar. . Açıkçası, çip ve bunu yapmak için kullanılan IP, ISO 26262 standardına uygun sistemler değil. Peki bunlar nedir?
Çip ve IP'si genellikle sistemin "öğeleri" olarak görülür (genellikle tasarım sırasında bilinmez). Sonunda tüm sistemin bir parçası olacaklarsa da, ilgili bilgilerinin% 100 anlaşılması zordur.Bu nedenle, yongalar ve IP, ISO 26262'de "SEooC" (Bağlam Dışı Güvenlik Öğeleri) olarak adlandırılan özel öğe türleri olarak sınıflandırılır. ). SEooC, IP sağlayıcısının veya entegratörün, IP'nin entegratörünün / kullanıcısının kullanacağı beklenen güvenlik kavramlarını, güvenlik gereksinimlerini ve güvenlik mekanizmalarını yansıtan kullanım varsayımını (AoU) kaydetmesini gerektirir.
SEooC, AoU ve yonga ve IP özelleştirmesi hakkında birçok varsayım olduğundan, ISO 26262, IP satıcılarının ve yonga entegratörlerinin, her iki tarafın da kullandığı varsayımları ve sorumlulukları tanımlayan Geliştirme Arayüzü Anlaşması (DIA) üzerinde bir anlaşmaya varmasını gerektirir. DIA belgesi, IP sağlayıcısından ASIL özelleştirmesini ve bu özelleştirmenin arkasındaki nedenleri ve tüm kullanım varsayımlarının bir açıklamasını açıklayacaktır.
Arıza modları ve güvenlik mekanizmaları
Üründeki fonksiyonel güvenlik mekanizması, sistem çalışması sırasında rastgele hatalardan kaynaklanan arızaları tespit etmek, azaltmak ve düzeltmek için kullanılır. Tek olay etkisi (SEE) - kozmik ışınların neden olduğu elektromanyetik girişim ve yarı iletkenlerle etkileşime girdiklerinde yayılan iyonlaşma enerjisi - rastgele hataların sebebidir. Bu rastgele hataların geçici veya kalıcı etkileri olabilir. Rastgele geçici efektler aynı zamanda "yumuşak hatalar" olarak da adlandırılır ve bellek hücrelerindeki veya mantık flip-floplarındaki "bit dönüşleri" gibi tek bit dönüşleri (SBU) ve voltaj arızaları olabilen tek olay geçişlerini (SET) içerir veya Hatalara neden olmaz. Bunların aynı anda gerçekleşebileceği ve birden fazla bit bozukluğuna (MBU) yol açabileceği durumlar da vardır. SEE'nin neden olduğu "kesin hatalar", tek olay mandalı (SEL), tek olay yanması (SEB) vb. Dahil kalıcı hasara neden olur.
Şekil 5: Tek olay etkisi (SEE) hata hiyerarşi diyagramı
Bu hatalar doğal fiziksel olaylardan kaynaklandığı ve rastgele meydana geldiği için, sistem güvenliğini sağlamak ve sürdürmek için etkilerini tespit etmek ve azaltmak çok önemlidir. Bu amaçla, mühendislik ekibi ürünlerinde belirli güvenlik teknik özellikleri geliştirir. Aşağıdakiler, aynı zamanda işlevsel güvenlik mekanizmaları olarak da bilinen bu işlevlerin örnekleridir:
Çip üstü iletişim trafiğine eklenen eşlik veya ECC bitlerini ekleyin ve kontrol edin
Mantığı kopyalayın ve sonuçları karşılaştırın
Üçlü Modüler Yedeklilik (TMR) veya çoğunluk oyu
İletişim zaman aşımı
İşlemin doğruluğunu onaylamak için donanım kontrol programı
Güvenlik kontrolörü, tüm sistemden hata mesajlarını toplar ve sistemde daha gelişmiş iletişim gerçekleştirir
Tüm işlevsel güvenlik mekanizmalarına uygulanabilen yerleşik kendi kendine test (BIST)
Şekil 6: Arıza Modu Etki ve Teşhis Analizi (FMEDA), BIST gibi güvenlik mekanizmalarını analiz etmek için arıza enjeksiyonunun kullanımını içerir
IP ve çipleri analiz etmek için gerekli varsayımların yanı sıra arıza modları ve güvenlik mekanizmalarını açıkladık. Asıl analiz süreci aşağıda tartışılacaktır.
Önce kalitatif analizi (FMEA), ardından kantitatif analizi (FMEDA) gerçekleştirin
Tasarım ekibi, arıza modlarını ve işlevsel güvenlik mekanizmalarını anladıktan sonra, arıza modu etkisi ve analizi (FMEA) adı verilen niteliksel bir güvenlik analizi gerçekleştirebilir ve kaydedebilir. FMEA, tasarımdaki tüm olası arıza modlarını (arıza modları) ve bu arızaların sonuçlarını tanımlamak için kullanılan aşamalı bir yöntemdir. Tasarım ekipleri genellikle projelerinin nitel analizine yeterince dikkat etmezler, ancak doğrudan nicel analize gitme eğilimindedirler. Bu yanlış! FMEA'nın doğru bir şekilde yürütülmesi, arızaların nasıl azaltılacağını doğru bir şekilde tanımlamanın anahtarıdır ve aynı zamanda FMEA kantitatif analizini doğrulamanın temelidir.
FMEA'yı tamamladıktan sonra, tasarım ekibi, arıza modlarını ve güvenlik mekanizmalarını daha fazla analiz etmek için Arıza Modu Etki Teşhis Analizi (FMEDA) adı verilen nicel bir analiz kullanmalıdır. Çoğu fonksiyonel güvenlik mekanizmasının teşhis kapsamı (yani "koruma") varsayımı tahmin edilebilmesine rağmen, çoğu yarı iletken entegratörü, projede uygulanan fonksiyonel güvenlik önlemlerinin teşhis kapsamını doğrulamak için hata enjeksiyon tekniklerini kullanmakta ısrar eder. Fonksiyonel güvenlik mekanizmasını tetiklemek için arızanın nereye enjekte edilmesi gerektiğini ve mekanizmanın çıktısının en etkili şekilde nerede gözlemlendiğini belirlemek için IP uygulamasının ayrıntılı olarak anlaşılması gerekir.
FMEA'nın doğrulanması için hata enjeksiyon analizi önemli olsa da, FMEDA tek başına yeterli değildir. Hata ekleme kullanılarak kolayca kanıtlanamayan teşhis kapsamını doğrulamak için diğer tekniklerin birlikte kullanılması gerekir. Bir örnek, müşterinin öğeyle entegre etmesi gereken güvenlik mekanizmasını tanımlayan kullanım varsayımını doğrulamaktır. Bu, IP bloğunun dışında bulunan güvenlik mekanizmaları (saatler ve voltaj monitörleri gibi) için çok yaygındır. FMEA'yı doğrulamak için hata enjeksiyonuna ek olarak, kullanılabilecek diğer teknikler arasında hata ağacı analizi (FTA), ilişkili hata analizi (DFA) ve pin düzeyinde FMEA bulunur.
IP geliştirme ekibi tarafından oluşturulan FMEDA raporu, tam eğitimli güvenlik yöneticilerinin ISO 26262 ile uyumlulukla ilgili tüm bilgileri gözden geçirmesine olanak tanır. IP sağlayıcıları veya yarı iletken entegratörleri tarafından işe alınan üçüncü taraf değerlendirme şirketleri veya danışmanlık şirketleri, işlevsel güvenlik uyumluluğunu değerlendirmeye yardımcı olmak için analiz ve geliştirme sürecini de inceleyebilir.
sonuç olarak
ISO 26262 kapsamında otomotiv fonksiyonel güvenlik bileşenleri standartlarını karşılamak, tedarikçinin personelini, süreçlerini ve ürünlerini içeren zorlu bir süreçtir. Bu ihtiyaçları karşılayan ürünler ve teknolojiler oluşturmak, operasyonel ve mühendislik odağı, güçlü bir güvenlik kültürü, yönetim taahhüdü ve zaman ve paraya önemli bir yatırım gerektirir. Tedarikçi bu tür ürünleri temin ederse, talebin geçerli olup olmadığını belirlemek için ürün seviyesinin ötesinde tüm adımların atılıp atılmadığına karar vermek entegratörün sorumluluğundadır. Daha fazla araştırma yapılmaması, entegratörü, müşterilerin tedarik zincirindeki ISO 26262 gerekliliklerine daha fazla uyması için gerekli olan değerlendirme ve denetim gerekliliklerini karşılamayan bileşenleri kullanma riskine maruz bırakacaktır.
Güvenlik hedefleriyle ilgili ürün geliştirmeye dahil olan kişiler, süreçler ve analizler hakkında eksik bilgilere dayanan projeler, ADAS ve otonom araçların tasarımı da dahil olmak üzere, ortaya çıkan binek otomobil elektronik sistemlerinin tasarımına girme çabalarını geçersiz kılabilir. Elektronik sistem entegratörleri, otomobil üreticisine, güvenlik ve güvenilirlik iddialarını doğrulamak için sistemin tüm bileşenlerinin kapsamlı bir şekilde değerlendirildiğine dair kanıt sağlamalıdır. Standartlara uyulmaması ve standartlara nasıl uyulacağı konusunda bilgi verilmemesi, otomotiv tedarikçisi için ek çalışma veya yeniden çalışma ile sonuçlanabilir.
