0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

ISO 26262:2018新增的半导体在汽车功能安全环境中的设计和使用指南

高工智能汽车 来源:lq 2019-01-29 15:35 次阅读

汽车制造商正稳步将更多数量的自动驾驶功能整合到量产新车中,由此带来的功能安全成为整个行业的重中之重。

为了解决这一问题,国际标准化组织(ISO)在2011年制定的ISO 26262标准基础之上,将于2019年3月正式发布国际标准版ISO 26262:2018(最终国际标准版草案已于2018年底发布)。

ISO 26262的第一版是在2006年开始开发并于2011年发布。它完全取代了IEC 61508,分别处理车辆、系统、硬件和软件。这一版本只涵盖了3500公斤以下车型的电气电子系统。不包括液压和机械系统,专业车辆,如一级方程式赛车,卡车,公共汽车,摩托车,或越野车。

ISO 26262很快成为汽车开发过程中功能性安全的指导标准。但随后的7年时间里,随着汽车共享化、ADAS及自动驾驶技术的快速导入,这一标准的瓶颈也开始出现。

随着汽车技术的进步,对电子系统能够正常运行而不出故障的绝对确定性的需求也越来越大。而ADAS和自动驾驶技术的快速发展,正在挑战半导体行业将汽车行业使用的严格安全标准引入其设计过程。

尤其是ISO 26262第一版本虽然包含了硬件开发的部分,但该标准对半导体本身没有具体的指导方针。

ISO 26262:2018包括许多升级,取消了车型重量限制,从而将其覆盖范围扩大到其他车辆类别,包括重型公路汽车、卡车、公共汽车和摩托车。值得注意的是,第二版还将包括半导体在汽车功能安全环境中的设计和使用指南。

这一版本将为数字和模拟组件、可编程逻辑器件(PLDs)、多核处理器传感器以及IP领域的半导体供应商提供更多的支持。

当然,任何汽车半导体的应用还必须满足汽车电子委员会的AEC- Q100《封装集成电路的应力测试合格证书》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光电子器件)、AEC- Q104(用于多芯片模块)和AEC- Q200(用于无源元件)所规定的汽车可靠性要求。

新的版本同样也提出了很多新的问题:功能安全标准化的下一步是什么?如何保证概率系统的安全性?如何将功能安全融入产品整体安全战略?

然而,ISO 26262:2018仍然缺少的是如何处理自动驾驶汽车发展过程中所遇到的一些细节问题。这个缺失将在第二个ISO 26262版本ISO/PAS 21448之后的新标准中得到解决,它通常被称为SOTIF,代表“预期功能的安全性”。

ISO 26262和SOTIF最终解决的问题将涉及汽车供应链的所有部分。例如,需要设计自动化软件来解决汽车产品环境中组件的质量和可靠性问题;以及所有应用于汽车设计、制造和系统内操作的软件的工具资格文件的要求。

ISO 26262仍然是提供安全系统、安全硬件和安全软件的基础。其目的是在故障发生时确保独立、安全的操作。ISO 26262标准建立了最先进的流程和体系结构,明确地设置了允许系统安全的规则。

目前仍在开发中的SOTIF标准将为L0级、L1级和L2级自动驾驶(AD)车辆提供指导方针。即使是这些级别的自动驾驶,全球汽车行业专家仍然在努力定义如何使系统安全。

他们面临着一个难题是,自动驾驶汽车必须是安全的,即使它们不会发生故障。因此,SOTIF标准正在起草中,以提供指导,确保自动驾驶汽车在正常运行期间的功能和行为安全。

传统汽车行业有一个安全流程来开发符合ISO 26262汽车标准的安全系统。但是,这个过程只涉及到由于E/E系统故障而导致的不合理风险。

然而,这些系统的安全性不仅与E/E故障导致的故障行为有关。它还与驾驶员可预见的功能滥用、传感器或系统的性能限制或道路环境的意外变化有关。

在汽车E/E系统没有出现故障的情况下,如何应对其他不合理的风险,一个新的课题“预期功能的安全性”(SOTIF)成为当今汽车行业的热门话题。新的安全标准“ISO PAS 21448”提供了如何解决这些问题的指导,与ISO 26262功能安全互补。

即将发布的SOTIF所涵盖的主题将包括:如何评价不同于ISO 26262的SOTIF危害;如何识别和评估场景和触发事件;如何降低SOTIF相关风险;如何验证SOTIF相关风险和自动驾驶汽车上路前必须满足的条件。

接下来是自动驾驶系统验证必须满足许多测试,从模拟到整车,这些测试包括整个4D环境的因素,如天气、道路状况、周围景观、对象纹理和可能的驾驶员误用。

SOTIF将提供许多方法和指导方针,以便在高级概念分析和随后的验证过程中使用环境场景。SOTIF委员会希望通过不同场景的文档、场景的安全分析、安全场景和各种触发事件的验证以及应用安全系统在环境中对车辆的验证来指导用户。

这些高级的概念、评估和测试将远远超出以前的开发过程。考虑到这一点,未来对测试平台、软件工具、数字双仿真或循环中的硬件依赖将变得比以往任何时候都更加重要。

今天,我们重点讲一下ISO 26262:2018新增的半导体在汽车功能安全环境中的设计和使用指南。

众所周知,在接下来的智能网联汽车中,半导体的使用量将快速增长。根据相关机构的数据显示,在2018年实现24%的强劲同比增长之后,2019年全球半导体收入预计将连续第三年增长,达到4500亿美元,较2018年增长7.7%,到2022年将达到4820亿美元。

其中,汽车应用市场将是预计到2022年的增长的主要领域之一(电气化、互联互通、信息娱乐、高级驾驶员辅助(ADAS)和自动驾驶驱动),从2018年开始以9.6%的年复合增长率增长,到2022年达到547.8亿美元。

ISO 26262:2018对半导体行业的挑战是什么?作为二级汽车供应商的半导体公司必须满足OEM和一级客户的许多严格要求。他们必须证明交付给这些客户的集成电路和系统的开发遵循使用合格软件工具的设计、验证和验证流程。

ISO 26262:2018第11部分全面概述了半导体产品开发中的功能安全相关项目。它包括半导体元件及其发展和可能的划分的一般描述。包括关于硬件故障、错误和故障模式的部分。它还涉及知识产权(IP),特别是与ISO 26262相关的具有一个或多个安全要求的知识产权。

不过,第11部分仅仅是描述了一个功能安全框架,以帮助开发与安全相关的E/E系统。此框架用于将功能性安全活动集成到特定于公司的开发框架中。它包含了ISO 26262关于半导体开发的其他部分的可能解释。就可能的解释而言,内容并不详尽,即,也可以作其他解释,以符合ISO 26262其他部分的规定。

当然,过去的主要挑战之一是不同参与者对ISO标准的理解。第11部分现在提供了一个更好的信息指导我们需要做什么来开发一个安全产品,但另一个巨大的挑战是教育工程师需要做什么,因为这需要从传统的工程实践中进行相当大的思维转变。

此外,未来半导体公司必须执行的安全分析,将被迫向客户提供更多以前没有共享的信息。错误的理解可能导致错误的系统,并带来安全后果。

当然,ISO26262仍然缺少一些部分,比如如何处理遗留产品、完全操作和自动驾驶。但我们也不能指望一个安全标准为你详细说明所有方面。

另外一个挑战是如何通过降低成本来提高安全性。这对每个人来说都是一个大问题。如果没有完整的系统环境和允许灵活性的假设,有时可能会非常保守地增加成本。

如果你的目标是一些已知的系统,如安全气囊,转向,刹车,这是相当容易的。但是,如果我们正在转向用于自动驾驶芯片的复杂系统,并不是今天所有的东西都是已知的,那么我们就不得不采取非常保守的假设,即成本上升,或者让客户来处理,从而增加风险和挑战性,以证明其适用性。

如果你和潜在客户的关系不是很好,你最终可能会得到比原来贵得多的东西。这是目前最大的挑战之一,要真正降低成本,你需要更多地了解这个系统,并进行合作。

现在,据说半导体公司正在游说,反对将FMEDA和FTA(主要应用在系统级别)纳入ISO 26262的指导方针。这些故障测试方法并不是唯一的解决方案,尤其是对于复杂的组件和新的挑战。

还有一个需要重视的是,SOTIF (ISO/PAS 21448:预期功能的安全性)在半导体公司将扮演什么角色?

SOTIF可能对组件有潜在的两个方面的影响:一个是安全概念的定义。因为在SEooC组件的情况下,我们需要定义我们的概念(基于假设),以理解SOTIF和含义,这将有助于创建更现实的定义。

第二个是与冗余有关,由于SOTIF的存在,冗余也可能需要一定程度的多样性。因此,不可能多次使用相同的组件来实现潜在的完整操作系统,但是您可能需要多样性,然后这些可能会对系统研发产生影响。

然而,SOTIF仍然是一个相对年轻的标准,仍然有很多问题需要解决。比如,此前福特汽车发布的自动驾驶安全报告中,除了行业内通用的汽车安全标准(ISO 26262),福特还集成和应用危害分析技术,如系统理论过程分析(STPA),以及预期功能安全(SOTIF)草案标准。

SOTIF对自动驾驶系统分解成26个事故、九类危害(共176个),这个过程需要分解全自动驾驶的架构、在每个体系结构级别应用STPA、制定全自动驾驶的操作安全概念、生成测试用例来评估架构设计、开发/分配可靠的关键软件系统的设计模式。

未来对于自动驾驶汽车,系统代替了人的操作,即使系统不发生故障,也可能因识别、决策或执行过程的不准确,导致交通事故发生。这类非故障情况下因系统功能不足导致的自动驾驶安全风险,归为预期功能安全领域(SOTIF)。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 半导体
    +关注

    关注

    334

    文章

    27253

    浏览量

    217926
  • 自动驾驶
    +关注

    关注

    784

    文章

    13779

    浏览量

    166346
  • 智能网联
    +关注

    关注

    4

    文章

    603

    浏览量

    23232

原文标题:功能安全标准拖累自动驾驶?ISO26262:2018的改进与遗留问题 | GGAI视角

文章出处:【微信号:ilove-ev,微信公众号:高工智能汽车】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    车用半导体标准将出炉,将成各企业下一个主战场

    ,完整ISO 26262内容将会对外公开。专家指出,先前ISO发布Part 1-10时,多达400页的规范项目就曾引起汽车制造界不小的混乱,此次新增
    发表于 05-16 09:26

    ISO 26262功能安全标准:重要的汽车安全完整性等级(ASIL)更新

    安森美半导体ISO 26262工作组的积极成员,并有优势为汽车制造商和一级供应商提供建议和指导以最佳方式实现合规性。在这里,我们提供了一个关于标准的快速更新,包括其第二版的进展,并探
    发表于 10-23 08:59

    ISO 26262功能安全标准体系解读

    和报废Part 8:支持过程Part 9:基于ASIL和安全的分析Part 10:ISO 26262导则Part 11:半导体应用指南Par
    发表于 07-22 18:10

    符合ISO 26262功能安全平台工具

    汽车电子电气系统的功能安全随着智能驾驶、新能源等新兴技术的发展而愈发受到重视。国际功能安全标准
    发表于 12-29 07:17

    新品# RISC-V 32 位通用 CPU,支持汽车应用的 ISO 26262 ASIL D 级功能安全

    NSITEXE(电装公司的分拆公司)推出了一种新的基于 RISC-V 的 32 位通用 CPU,该 CPU 支持汽车应用的 ISO 26262 ASIL D 级功能
    发表于 08-19 14:02

    地平线通过 ISO 26262 功能安全流程认证

    26262功能安全流程认证 该证书为 SGS TV 国内半导体领域颁发的首张 ISO
    的头像 发表于 09-24 11:57 3886次阅读
    地平线通过 <b class='flag-5'>ISO</b> <b class='flag-5'>26262</b> <b class='flag-5'>功能</b><b class='flag-5'>安全</b>流程认证

    SGS携手飞仙智能达成ISO 26262:2018汽车功能安全认证合作

    近日,国际公认的测试、检验和认证机构SGS与深圳市飞仙智能科技有限公司(以下简称:飞仙智能)深圳成功举办ISO 26262:2018汽车
    的头像 发表于 11-17 17:54 1896次阅读

    SGS为芯耀辉颁发ISO 26262:2018汽车功能安全流程认证证书

    广州2023年6月12日 /美通社/ -- 近日,SGS通标标准技术服务有限公司(以下简称"SGS")为芯耀辉科技有限公司(以下简称"芯耀辉")颁发了ISO 26262:2018半导体
    的头像 发表于 06-13 06:06 773次阅读
    SGS为芯耀辉颁发<b class='flag-5'>ISO</b> <b class='flag-5'>26262</b>:<b class='flag-5'>2018</b><b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>流程认证证书

    ISO 26262:保障驾驶安全汽车功能安全标准

    化组织于2011年发布了ISO26262标准,该标准汽车行业成为功能安全的基石。《
    的头像 发表于 08-29 08:29 2632次阅读
    <b class='flag-5'>ISO</b> <b class='flag-5'>26262</b>:保障驾驶<b class='flag-5'>安全</b>的<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>标准

    微半导通过ISO 26262汽车功能安全ASIL D流程认证

    半导体(深圳)股份有限公司(以下简称“微半导”,股票代码:688380)近日深圳总部取得重大突破,国际公认的测试、检验和认证机构SGS正式向
    的头像 发表于 01-31 13:39 554次阅读

    钰泰半导体通过ISO 26262 ASIL-D汽车功能安全管理体系认证

    2024年3月19日,钰泰半导体股份有限公司正式通过ISO 26262:2018 ASIL-D汽车功能
    的头像 发表于 03-28 16:58 512次阅读

    美行科技通过ISO26262:2018汽车功能安全ASIL D流程认证

    近日,沈阳美行科技股份有限公司获得了TUV莱茵颁发的ISO 26262:2018汽车功能安全AS
    的头像 发表于 05-08 09:33 441次阅读
    美行科技通过<b class='flag-5'>ISO26262</b>:<b class='flag-5'>2018</b><b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>ASIL D流程认证

    芯弦半导体获得ISO 26262 ASIL-D功能安全流程认证证书

    5月21日,国内知名高性能嵌入式处理器芯片供应商芯弦半导体成功获得由DEKRA德凯颁发的ISO 26262 ASIL-D功能安全流程认证证书
    的头像 发表于 05-23 09:09 439次阅读
    芯弦<b class='flag-5'>半导体</b>获得<b class='flag-5'>ISO</b> <b class='flag-5'>26262</b> ASIL-D<b class='flag-5'>功能</b><b class='flag-5'>安全</b>流程认证证书

    ISO26262 汽车功能安全标准第二版

    ISO26262 汽车功能安全标准第二版
    发表于 07-03 14:07 19次下载

    什么是汽车ISO 26262功能安全标准?

    随着各行业引进一系列产品设计和测试的标准化流程,安全保障也日益规范化。ISO26262是针对汽车零部件的关键电气和电子(E/E)系统的功能
    的头像 发表于 07-23 08:28 3985次阅读
    什么是<b class='flag-5'>汽车</b><b class='flag-5'>ISO</b> <b class='flag-5'>26262</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>标准?