這便是國際標準ISO 26262的目的–將開發過程標準化,以確保維持功能安全;尤其如果汽車的電氣或電子系統失效時,仍然能夠維持功能上的安全。
ISO 26262成廠商重要課題
ISO 26262規定了組織內如何制定和管理安全計畫、如何在製造商和部件供應商之間分擔分配安全,以及如何在開發計畫中記錄和展示追溯性、如何審查安全合規性等。汽車工業及其供應鏈的相關安全計畫和管理要求,現在正轉向採用ISO 26262標準,與工業製造品質轉向ISO 9000合規性的過程和程序非常類似。
ISO 26262的目標是要在公司內建立一種安全文化,將安全視為從開始到結束的整個產品開發過程中所不可或缺的要素。這種安全文化將可以把電子系統故障而發生危險事件的可能性減至最低,從而避免造成人命傷亡,並將公司打造成為汽車工業中一家重要的產品供應商。為了實現此一目標,公司應建立一組專用的資源,其唯一的作用是就實施、維護和審查公司安全過程的合規性。
在專案層面,就必須把安全整合到開發過程中,從開始一路到結束;憑藉穩健的開發流程,可以大幅降低系統性故障的風險。在客戶參與進來之前,公司內必須建立起功能安全管理系統,這些系統也必須要讓所有的專案相關人員瞭解,並且將明確的角色和職責分配給他們。專案計畫必須有專門的安全會議,包括內部會議及客戶參加的會議,其中,必須對專案和相關工作產品進行審查,確認是否符合相關安全程序。
由於安全適用於開發過程的所有領域,儘早對合規性進行評估是非常重要的。例如,相對半導體產品,ISO 26262要求在積體電路(IC)開發時所使用的工具(簡圖擷取、布局、模擬等)都要通過認證過程。這些工具的合規性必須在開發開始前進行認證,從而確保開發過程會被客戶或其指定的安全審查員視為是符合標準的。IC產品所不可少的任何嵌入式韌體也必須在安全合規過程之下進行開發,而且其結果所得的代碼必須經過檢驗,要符合編碼的標準。為其他非安全關鍵市場開發半導體產品時,這種工具認證並不普遍,意味著要成功地進入汽車市場,便必須投資更多時間、資源和費用。
 |
|
圖1 ISO 26262簡化的上層圖 |
ISO 26262要求各方要肩負起一組更具組織性及更加明確的職責,因而影響了客戶/供應商之間的關係(圖2)。在客戶和供應商之間維持一種不正式的介面,其中對責任的定義較為鬆散且有彈性,ISO 26262面世前,這種情形是可以接受的。但是,現在為了要符合ISO 26262標準,客戶/供應商之間的介面將會由一份名為開發介面協定(DIA)的文件來明確定義。DIA明確規定了分配給各相關單位在其各自介面層級上的職責,這些職責包括所要求的資訊,和交換活動所產生的工作產品、安全生命週期的聯合制定、雙方安全經理的任命等。
 |
| 圖2 客戶/供應商介面 |
落實ISO 26262 嚴密安全分級必不可少
ISO 26262的一個重要部分,是被稱為是汽車安全完整性等級(ASIL)的危害分類。ASIL通常由OEM利用危害分析和風險評估(Hazard Analysis & Risk Assessment, HARA)來決定,為每個安全目標分配ASIL之前,先分析每一潛在的危害、暴露的可能性,及嚴重的程度和可控制性。ISO 26262劃分出了QM、ASIL A、B、C和D等等級,其中ASIL D是最高安全等級。例如,相對A級和B級設計,ASIL C或D級設計就要通過嚴格許多的審查過程、認證和驗證,及記錄過程。一如所料,被歸為ASIL D級別的系統要素將可能具有最全面的技術安全概念,此一概念可提供技術安全要求與架構要素之間的對照。
技術安全要求(TSR)如何引入到指定要素的開發過程之內,這將取決於該要素在汽車開發過程層級中的位置。例如,汽車本身的總體安全目標和相關功能安全概念,在汽車層面概念階段的最初期間就憑藉HARA完成。接著,功能安全要求(FSR)向下融入到主要系統(底盤、傳動系統等),然後流到主要子系統,最後流到個別的元件。一般來說,在層級位置越低的要素,FSR分配給供應商所需的時間可能越長;一旦FSR完成分配,供應商就可產生出TSR,此後將由個別元件的架構和設計來實施。
FSR分配的潛在延遲,將會對IC等複雜部件的開發帶來挑戰。為汽車應用開發IC產品可能會用上好幾年,至於與指定IC功能有關的FSR,則可能要在安全要求最終從汽車流到子系統、到IC部件之後的相關汽車開發過程後期,才能清楚定義出來;若IC是客制化設備(特別為汽車中的一種指定用途所定義的),FSR通常包括在該特定IC的規範中。某種程度上,這樣使IC開發商較容易遵循ISO 26262所要求的開發過程,實現被分配到的安全要求。
標準IC應用需重新思考
雖然汽車應用中通常使用客制化IC,但在許多情況下,標準產品IC或許能夠實現汽車指定功能。標準IC的開發通常在安全要求提供之前很久就已經開始了,對將IC整合到汽車工業的開發人員而言,這裡所面臨的挑戰之一是:如何確保標準IC涵蓋其目標應用的安全要求?
使事情更複雜的是,標準IC可能應用於汽車的不同系統或子系統。例如,檢測機械運動的電感式感測器IC,如美高森美的LX3302(圖3),可用於檢測變速器的齒輪運動、轉向力矩的角度運動檢測、車燈開關時的接近性檢測、電動座椅控制的位置檢測,或各種其他機械運動應用。雖然LX3302可能滿足這些應用中每種應用的要求,但是應用本身可能具不同的ASIL等級和安全目標–正如大家所料,電動座椅控制的功能安全要求(ASIL A)與檢測方向盤扭矩的安全要求(ASIL D)截然不同。
 |
| 圖3 採用美高森美LX3302感測器介面IC的電感式感測器系統 |
對標準IC來說,供應商承擔的責任是為指定產品定義FSR和撰寫TSR,然後實施滿足這些TSR的安全特點和診斷;在這些情況下,IC開發人員將IC視為一種獨立的安全單元(Safety Element out of Context, SEooC),意味著元件(即IC)的開發並非針對特定汽車、系統、子系統或客戶。換句話說,供應商心中可能有幾種目標應用,然後預估應對這些應用ASIL等級所必需的FSR和TSR。一如預期般,汽車應用安全要求的新供應商可能對TSR的瞭解或經驗都非常有限。因此,這種新供應商制定的TSR可能主要由「最準確猜測」的要求所組成。當供應商從實際應用中獲得經驗,知識基礎獲得改善,TSR會越來越準確,越來越全面。
如何與成本、效率達成平衡維持診斷水平為一大挑戰
IC開發商面臨的另一挑戰涉及IC內提供的診斷水準,以及相關成本、性能影響之間的權衡。ISO 26262的主要目標是確保即使電子器件內或周圍發生故障、也不會產生不安全的行為。為了實現這個目標,IC開發人員必須分析IC架構,憑藉IC本身的故障或環境或IC介面和周圍介面的異常情況,來確定IC故障可能發生的方式。鑒於可能導致IC故障或失效的情況組合很多,分析起來將非常複雜,為達到切實可行的水準,ISO 26262於多數情況下將此種分析限制到兩點故障(Dual Point Fault)–換句話說,分析通常並不需要考慮三種(或更多)故障同時發生的情況。
IC開發人員的初步步驟是實施失效模式、影響及其診斷分析(FMEDA)。這種分析能夠確定IC內故障的原因及故障對系統的相關影響。除分析可能的故障之外,為了檢測這些故障,FMEDA還可識別所實施的診斷。由診斷所覆蓋的故障百分比,是一項重要的指標,可用來確定安全目標違反(由於隨機的硬體故障)是否位於相應ASIL等級要求之內。請注意,FMEDA文件是客戶在IC開發過程初期通常所要求的工作項目。
大抵來說,這些診斷將利用IC內的現有資源,從而將成本影響或複雜性降至最低。例如,早早把類比/數位轉換器(ADC)包括在內、將之當作功能一部分的IC,可能將關鍵的類比訊號多工(Multiplex)傳輸到此ADC之內,以執行診斷。此情況下,添加的硬體僅限於多工器開關;其他情況下,執行診斷可能需要增加電路或韌體,因此該電路(或韌體)的唯一作用是執行診斷功能。這樣做不僅會增加成本,而且因為新電路或韌體也會發生故障,所以也會增加故障分析的複雜性。例如,增加專門檢測類比訊號完整性的ADC將提高那些類比訊號的故障覆蓋水準;但是,ADC是IC中的新元件,有自己的故障機制。如果ADC引入的故障機制超過ADC診斷的故障機制,則ADC可能並非實現所需故障覆蓋率的有效診斷方法。
一旦完成FMEDA,識別出相關的診斷,IC供應商必須將安全特徵實施到產品中,並對這些特徵的有效性進行驗證,並回溯到上層的安全目標;為實現這一目標,在整個設計和驗證過程中都需要進行以安全為中心的會議和審查。這種驗證過程,以及為符合ISO 26262標準所需要進行的其他活動,本質上都是非常好的工程方法和原則。但是,為了符合ISO 26262標準,必須將這些良好的工程方法提升到更高的水準,這需要培訓、專用的資源、基礎設施及瞭解和尊重安全,以及將安全作為汽車零件供應商關鍵要素的公司文化。
