隨著自駕車市場的加速成長,運用在傳統汽車、油電混合車與電動車中的功能安全性,成為能否取得認證的關鍵。汽車製造商必須通過許多的政府法規,這對安全性與可靠度有更高的要求,而這些嚴格的要求會應用到所有層級的各組件,包括所使用的IP與SoC。
ISO 26262:2018與預期功能安全性(Safety of the Intended Functionality, SOTIF)或ISO/PAS 21488:2019,都是在汽車中界定功能安全性規範的標準。
現今的汽車可以說是安裝在車輪上已充分開發的電子系統,每一部份都相互關聯。因此,在開發汽車系統時,能採用全面性的方法更形重要。如圖1所示,在汽車供應鏈中的每個利害關係者,均致力於在車輪上完成安全且可驅動的電腦。
圖1 在汽車供應鏈中的不同層級
現今汽車仰賴多重駕駛輔助系統
依據美國國家公路交通安全管理局(NHTSA),2019年有36,096人死於機動車輛的碰撞車禍。大量的碰撞車禍肇因於人為的錯誤。為了減少人為錯誤,現今的汽車具有數種駕駛輔助技術,而所有的技術均建構在半導體元件上。此等系統的範例包含:前方碰撞預警、自動緊急煞車、車道監控、盲點偵測、適路性照明等等。
半導體元件通常包括多個IP核心,以及執行軟體的嵌入式處理器或微型電腦,而系統性的錯誤與隨機性的硬體錯誤,會為對汽車安全運作有決定性因素的半導體元件帶來重大的影響。
系統性的錯誤由以下因素造成:故障的軟體—因為故障的軟體導致汽車回收的範例不勝枚舉;建構半導體元件的邏輯錯誤。 隨機性的硬體錯誤則會由以下因素造成:元件的老化(固定型故障-短路或開路);暫態誤差(Transient Error,由粒子擾動所造成)。
一個固定型的故障(Stuck-at Fault),可經由啟動時間軟體測試,或邏輯內建自測(LBIST)的配置進行偵測。而暫態故障會更難以進行偵測,因為它必須在因單事件翻轉(SEU)而使該位元改變狀態時,進行準確的偵測。對於嵌入式處理器等元件來說,來自於軟體、開發過程與隨機硬體故障等錯誤,會帶來災難性的影響。處理器依賴正確的程式排序,這與順序和時間相關。一個故障或粒子撞擊會改變一個位元,並造成鎖定或不正確的程式執行。
雖然可以施行安全性機制,但評定安全性分析與開發過程的徹底獨立評估,提供一套統一的衡量標準來驗證IP。對於能挽救生命的技術而言,技術經過適當的認證與完成獨立的評估,以驗證是否符合ISO 26262:2018標準,這是至關重要的。
供應鏈
在汽車供應鏈的關鍵性利害關係者之中,有業者如新思科技(Synopsys)以其獨立安全單元(Safety Element out of Context, SEooC)的IP解決方案,發揮重要的作用,該方案經設計與測試,以符合一系列汽車應用的嚴格要求,如圖2所示。 在一輛車子中的每個模組或子系統,都可能包含混合著框架內安全單元(Safety Elements in-context)和獨立安全單元的智慧財產權(IP),通常在設計時,並未考量任何特定使用案例。本文描述了一個獨立安全單元IP的完整合規流程。每一模組/子系統/IP,都會產出各種安全性文件(亦被稱為工作成果),誠如安全標準所定義,這些文件均涉及產品開發。然而並非所有的半導體IP供應商,都能提供完整符合ASIL規範,包括符合ISO 26262:2018標準的系統性與隨機性故障分析。
圖2 各模組SEooC的配置範例
本文將舉出符合ISO 26262:2018規範所認證的IP,意謂著此IP可偵測隨機(硬體)與系統性(開發過程)的錯誤。對於來自不同廠商的各種終端產品,重要的是能認知到ISO 26262:2018標準提供統一的規範,適用於IP元件(如SEooC)以及諸如攝影機、雷達、LiDAR或控制單元等子系統元件。符合ASIL規範的認證是一種指標,藉由對系統性與隨機的硬體衡量標準的開發過程,進行稽核與評估,以消除對SEooC品質的臆測。
認證類型
符合ASIL規範
符合ASIL規範為一種評定認證,其涵蓋所有符合ISO 26262:2018標準所量身打造的相關部份。對功能安全性開發過程、系統性的方法與隨機性的硬體故障分析,進行第三方的稽核與評估。
.對系統性符合性進行的稽核與評估:
包括對套用於產品開發生命週期過程中的功能安全性過程的評定。
.對隨機錯誤的一項符合性所進行的稽核與評估:
包含針對所有硬體安全性分析的評估,包括歸納與演繹;以及針對套用於該產品的所有驗證項目進行評估。
總體而言,此認證包括開發一個安全性產品所涉及的過程與該產品本身(包括設計、分析與驗證項目)。
功能安全性過程稽核
功能安全性過程的稽核包括在開發一個安全性產品的同時,對依循ISO 26262:2018安全性標準的系統性過程,所進行的稽核與評估。此過程評定僅包括該安全性標準的一個子集合,諸如:工作成果範本的評估、功能安全性開發過程的評估等。
ASIL隨機
ASIL隨機為一種評估方式,僅集中在ISO 26262:2018安全性標準的第5部分第8款(在硬體層級處的產品開發)。在認證期間,僅針對該安全性產品的硬體安全進行分析,包括工作成果、失效模式、影響與診斷分析(FMEDA)以及安全性手冊等。
符合第三方稽核員/評定者的ASIL合規性
ISO 26262:2018標準為半導體公司到汽車製造商等遍及汽車產業的所有利害相關者,提供統一的安全性指南。需要在每一層級施行數個安全性措施,以達成整體的安全性。
業者如新思的DesignWare ARC處理器IP,開發出80多種安全性工作產品,其中所有的工作產品均通過具有多重檢查與制衡的嚴格程序。此過程包括多次反覆運算的檢查與核准過程,並在送往第三方進行符合規範評估前,進行一項內部的稽核與評估。在新思科技,IP開發團隊與功能安全性(FuSa)團隊共同作業,依循由ISO 26262:2018標準所界定的獨立性層級,執行各項確認措施,包括確認檢查、FuSa稽核與FuSa評估。
至於新思科技擁有的安全性文化,其亦包括:
1.過程:
FuSa內部團隊與第三方稽核員/評定者共同作業,以開發出一項符合ISO 26262規範的FuSa開發過程。
2.品質管理系統(QMS)。
圖3是兩個基於流程的關鍵實踐方式,針對第三方稽核員/評定者系統性和隨機故障實現完整和成功的ISO 26262:2018 ASIL合規性是不可或缺的。
圖3 相關業者安全性文化確保高品質已獲認證的處理器IP
下列各步驟詳細說明本文在產品開發過程中所遵循的過程(圖4):
圖4 進行第三方認證的藍圖
.步驟1:規畫階段
在規畫階段過程中,每一工作成果均使用專案管理與追蹤技術進行規畫以確保達成下列目標:
1.所有工作成果的開發均符合特定的里程碑。
2.里程碑均易於轉換至一項專案計畫。
3.從產品規格到驗證的追蹤要求,均進行有效能的管理。
.步驟2:開發階段
任務執行包含工作成果的開發,以及內部的檢查;並呈現完整的工作成果。
.步驟3:內部的FuSa稽核與評估
任務執行包含工作成果的評估,以及確認檢閱;成果則包括確認檢查報告、功能安全性稽核報告,以及功能安全性評估報告。 內部的稽核與評估,由遵守獨立層級(I3,ISO 26262:2018-部分2:2018,表1)的內部FuSa團隊獨立成員所執行。通常一旦完成此階段,內部的FuSa稽核與評估過程便確保了遵循該功能安全性的開發流程。隨後該流程將藉由一個第三方的評估者來補充進行第三方的稽核與評估(圖5)。
圖5 獨立層級的圖例
獲得認證IP的關鍵做法
卓越的安全性文化
涉及此流程的每一個參與者,在產品開發的生命週期中均負有最大的責任,以確保IP符合功能安全性的要求。「安全至上」是落實良好安全文化的最佳印證。並非僅是一個團隊,而是需要整個組織層級的投入,來自不同領導者與團隊間的相互合作與貢獻。有效的安全性文化包括:負責達成和維持功能安全性的人員、組織中執行或支援安全性活動的個人奉獻精神和誠信;當「安全至上」的精神被整個組織貫徹且提倡時,將有利於避免自滿的作為、追求卓越的承諾、承擔責任,以及企業的自律。
以新思科技為例,根據安全性標準的「團隊職能」是使其能維持實踐安全文化的有效工作成果。此工作成果針對涉及該成果開發的每一個參與者進行辨別並將其納入,並明確校準和記錄他們獲得的安全性技能、培訓和安全認證(圖6)。
圖6 各團隊在IP開發與認證的合作
集中式來源控制系統
通常在產品開發的過程中,將同時涉及許多負責各項工作成果的人員。因此,在開發的過程中,控管工作成果的版本及對工作成果的範本所做的任何更新都相當重要。使用中央原始碼管理系統,對於維護技術內容的檢核與一致性,以及保持頻繁的範本更新至關重要。使用此系統可明確的界定諸如簽入/簽出日期、最新版本、修訂數量與追蹤整體更新等關鍵標記。
需求管理系統與可追溯性
一個整合式的需求管理系統用於開發「技術安全性概念」。在此工作成果中,對於符合ASIL規範的評估與稽核準則包括:
1.應用於該施行所需各元件與介面的相關功能性、相依性、限制與屬性的所有技術安全性要求;
2.降低在該元件中可能導致錯誤故障之安全性機制;
3.避免錯誤並滿足安全性要求,同時保持不受干擾(FFI);
4.驗證該元件架構的設計滿足所述的ASIL要求。
對於獨立安全單元而言,頂級安全性要求(Top-Level Safety Requirements, TLSR)是最至高無上的,而技術安全性要求(Technical Safety Requirements, TSR)則是為能符合TLSR而衍生出來,如圖7所示。
圖6 各團隊在IP開發與認證的合作
若透過新思科技的Verdi工具,可對所有的要求進行驗證(Verified)、連結(Linked)與參數回傳(Back Annotated),並對驗證過程與可追溯性提供完整可見度。而第三方的評估可以確認:
1.該技術安全性要求的所有屬性與特性,均為完整且正確。隨後經由關鍵性的利害關係者進行內部審閱;
2.所有的安全性要求,均經由硬體驗證測試計畫(HVP)進行驗證,以產生出可追溯性。
硬體安全性分析
產品開發階段確保硬體安全性分析,並以安全性機制降低該過程中所辨識出的故障,最終符合該硬體ASIL的目標。就算作為技術安全性要求的部分,硬體安全性分析亦被要求為正確且完整的。
本文遵循以下3步驟過程,進行硬體分析:
.步驟1:定性分析(Qualitative Analysis)
分析所有故障模式及其於系統上的影響,並在模組層級中列出客戶安全的預估診斷涵蓋範圍。
.步驟2:錯誤注入/驗證(Fault Injection/Verification)
一旦分析完所有的故障模式,即進行錯誤注入,以驗證在安全性機制上所宣稱的診斷涵蓋範圍。
.步驟3:定量分析(Quantitative Analysis)
在FMEDA中進行錯誤注入,並確認與實際且可宣告的涵蓋範圍校準後,最終單點錯誤指標(Single Point Fault Metric, SPFM)與潛在錯誤指標(Latent Fault Metric, LFM)的度量可推論出該元件是否符合所取得的特定ASIL目標。
針對SEooC安全性認證進行歸納與演繹的硬體安全性分析。
圖8則顯示用於第三方IP認證的詳細硬體產品開發流程。此流程包含安全要求的開發、規畫、設計、驗證與安全性分析,並產生以下工作成果:安全性計畫、設計規格、硬體安全性要求、驗證報告、安全性分析報告,以及安全性案例報告等。安全性案例報告為建立全面性的安全性案例報告,總結用於達成功能安全性目標與對象的所有安全性活動與論證。
圖8 在硬體層級處對IP憑證的產品開發流程
符合ASIL規範的ARC處理器IP
節省時間與資源
隨著SEooC供應商數量的快速成長,能否適應自動與半自動系統的需求成為關鍵。因此對於汽車供應鏈的整體利害關係者而言,意識到並非所有的廠商均提供符合ISO 26262:2018標準的產品是相當重要的。同樣地,IP廠商可能不會完全遵守該安全性指南,以滿足進行整合的安全性要求。雖然這些宣言看似微不足道,但它的重要性體現於產品開發的每一階段,例如強制實行的良好安全性文化與嚴格檢查等關鍵作為。符合ASIL規範是一種統一的衡量標準,可以套用於IP與SoC,進而建立一個品質與功能安全性的遵守等級。
認證處理器IP之優點
.具有成本效益
當工程師選擇在其系統中施行認證IP時,可將整體SoC的認證成本降至最低。此外,使用認證的IP有助於加速車用SoC等級的設計。
.較小的工作量投入
當設計人員在其SoC中整合認證IP時,可將整體SoC認證所需的工作量與資源降至較低。SEooC IP等級的產品開發生命週期中所展現的一致性,不僅簡化SoC,從安全性角度來看,也減輕了安全性工程師在整合與簽核(Sign-off)投入的工作量。
.高度信心水準
新思科技認證SEooC IP提升其適用於安全關鍵系統的信心。
.逐漸形成信任:
在汽車電子子系統中完成認證的IP元件,逐漸形成可信度與保證。最好在SEooC IP層級處施行一致性,以確保符合ISO 26262:2018標準並加速SoC層級的認證。此可經由施行新思科技的DesignWare ARC EM22FS安全性處理器完成,且其已通過完全符合ASI規範認證,符合隨機硬體故障偵測與系統性的功能安全性開發流程的要求。
車用系統追求合規
汽車系統中使用的知識產權經認可的獨立稽核員評估符合ISO 26262:2018標準的所有面向時,就完全符合ASIL標準。經由在組織內提倡卓越安全性文化,可進一步達成安全性系統的建構。而像新思科技的ARC功能安全性處理器,通過ISO 26262:2018標準所定義的多重檢查與制衡等嚴格程序,有助於減輕設計人員進行晶片整合的工作量。
(本文作者Pavithra C. Suriyanarayanan為新思科技ARC處理器功能安全性研發工程師;Srini Krishnaswami為新思科技功能安全性資深研發經理)