如果对ISO26262仍然注目,你就不会告诉,使用最低质量标准研发的IP或EDA工具,依然有可能通不过ISO26262证书。Arteris市场副总裁KurtSchuler在ISO26262的多个技术委员会供职,他认为,在汽车电子系统研发方面,IP及EDA工具厂商还有很多方法去提高安全性,从而符合ISO26262标准拒绝。首先,原作应用于场景对IP和EDA工具十分最重要。
在高度可编程器件经常出现之前,很更容易辨别大型系统中每个元器件如何工作,但现在,IP和工具厂商定义的安全性元件(safetyelements)99.9%与应用于场景牵涉到。因为这些安全性元件可能会用在任何应用于场景,所以不有可能只对特定应用于场景优化。汽车安全性完整性水平(AutomotiveSafetyIntegrityLevels,全称ASIL)即引进了根据零部件应用于场景来定义安全性的概念。
即便是完全相同的控制器芯片,应用于不同时,安全性证书拒绝不会有天壤之别,用在座椅方位调整的控制器芯片与用在自动驾驶系统中控制器芯片似乎分担了有所不同的安全性责任。所以,ASIL水平根据子系统的每一种危险性偏向而原作,例如ASILC级与D级标准,一般来说是针对有丧命性风险的场景,而ASILA级标准则是针对类似于汽车座椅调整这种安全级别的场景。ASIL实质上是对事件再次发生的危险性程度、可能性及后果可控性的度量,Kurt以定速巡航为例来解释。
当定速巡航过热时,驾驶员还能操控汽车,即便是当前先进设备的自动驾驶(autopilot)功能过热,当驾驶员旋转方向盘时,汽车必需改回人工驾驶员模式。当然,这种转换对于系统反应时间拒绝十分严苛,无论是驾驶员的反应,还是系统本身的完全恢复时间,每一步都必须充足的时间窗口来已完成。在IP或软件中重新加入一些功能,就能提升电子元器件的功能安全等级。
Kurt回应,Arteris的一种作法是重新加入片上通信(onchipcommunication)功能。Arteris的片上通信方案中,还内置了通信完整性侦测器(checker),在系统运营时,该侦测器不会定点检测系统,以保证系统不经常出现故障。Kurt还认为,侦测器本身也要被检测,所以在Arteris的方案中,侦测器也有故障处置机制。
IP产品功能安全性的关键在于覆盖率。Kurt指出,IP厂商必需让客户更容易地评估IP的临床覆盖率。过热模式、影响和临床分析(FMEDA)显得更加最重要,IP产品必需能应付诸如位卡死(stuckbit)、电源瞬变以及你需要想起的所有车祸状况。
在IP或者元器件层面的任何车祸状况都必需查明原因,这样才能在系统层面去处置各种车祸状况。根据ISO26262标准,通过证书的系统维护及可追溯时间要超过十年以上,这就对系统的设计数据打算及确保明确提出了很多新的拒绝。
实质上,在系统维护及可追溯期,厂商必需获取原始的工具链,以待新的分解、分析或改动设计。ISO26262对IP的拒绝主要是文档工作,IP厂商要给系统工程师获取充足的信息,以助其已完成对系统的标准证书。
毫无疑问,国际标准的组织正在整个半导体产业链中实行ISO26262标准。这也是为无人驾驶时代做到打算吧,当没人类驾驶员来接管时,自底至顶,汽车的每一层系统在研发时都必需合乎可靠性与安全性标准。
本文来源:6966集团官网直营-www.houses2fix.com