随着汽车的自动驾驶（ADAS）级别从L2升级到L2+和L3，并且逐步向全自动驾驶L4和L5奋进。随着自动紧急制动、车道保持辅助、交通标志识别、环绕视图、疲劳监测等新应用和新功能不断引入，车辆和驾乘人员的安全性得到了进一步提升。在这一变化中，新的汽车应用不仅要求半导体SoC具备更多的功能、更大的带宽和更低的功耗，还要求整个汽车的硬件、软件供应链，包括不断发展的电子/电气（E/E）系统中所使用的复杂的SoC，均必须满足ISO 26262车辆功能安全标准。

　　✦  +

+

　　汽车产品需严格遵守一定的开发流程

　　下图1是广泛应用于汽车行业的标准V模型产品开发流程。所有汽车产品均应参照紫色部分的流程进行开发。对于安全关键型产品，ISO 26262规定，需要以绿色所示的额外开发步骤来补充标准的定义、实施和验证/确认活动。

　　图 1：汽车产品开发模型

　　那么，应该如何提升大家对于安全关键型产品开发的重视呢？

　　在企业中建立定义和践行安全关键型产品开发的安全文化，包括任命一名独立的功能安全（FuSa）组织经理，该经理对产品开发团队具有独立权限。安全监督和开发活动包括所记录的定义和对安全计划的遵守以及安全要求的定义/文件。安全计划和安全规范包括功能硬件/软件安全机制，如 ECC、奇偶校验、双核互锁机制和其他功能。这些机制由设计团队按照安全概念规范中的要求实施。将硬件/软件安全机制设计到安全关键型SoC的汽车IP产品中，需要对IP产品进行评估和验证，实现ADAS功能的最新SoC处理器采用的汽车级IP必须符合特定 ISO 26262 汽车安全完整性等级 (ASIL)，并符合安全关键型SoC的ISO 26262功能安全开发流程。

　　对于半导体SoC和构成这些SoC的IP产品而言，在产品设计中就引入安全机制是很重要的一环。硬件/软件指标用于确定安全机制对于识别和纠正IP中可能故障的影响。通过在SoC开发流程的验证和确认阶段对这些指标予以分析，并要求评估、模拟和故障注入，以确定产品是否符合安全要求规范中设定的目标ASIL等级。

　　为了完全符合 ISO 26262:2018标准，需要进行随机故障分析。其中，ASIL随机故障分析是一项评估，它重点关注 ISO 26262:2018安全标准第5部分第8条（硬件级别的产品开发）。在此评估期间，仅对安全关键型IP产品进行硬件安全分析。设计和评估所得出的可交付成果/工作成果包括失效模式、效应和诊断分析 (FMEDA) 以及安全手册。作为随机故障分析的一部分，ISO 26262定义了单点故障指标 (SPFM) 和潜在故障指标 (LFM) 比率的关键结果，以满足特定的ASIL等级。ASIL等级从ASIL A到ASIL D共分4个等级，ASIL D代表层级最高的完整性要求。

　　在以达到这些指标为目的的设计中，涉及到设计失效模式与效应分析 (DFMEA)。DFMEA 是一种定性分析，可捕获设计中的失效模式及其对IP级别元素的影响。

　　✦  +

　　+

　　实现ASIL D安全该如何做？

　　除了硬件/软件安全开发（包括针对这些硬件/软件安全机制随机故障的功能安全评估），汽车行业最佳方式还要求对所有安全关键型产品的系统开发流程进行安全评估。系统开发流程涉及产品的所有开发阶段，例如规划阶段、开发阶段、验证/确认阶段、评估和产品发布以及持续维护和产品监控。在以上各个阶段中，安全关键型产品的开发需要FuSa安全管理团队和产品开发团队执行多个步骤和审查（包括持续监控），以确保遵循ISO 26262 系统开发流程（图 2）。

　　虽然ISO 26262标准中已经定义了图2中展示的 ISO 26262 FuSa 系统开发流程，而且该流程是整个产品合规性中不可或缺的一部分，但开发团队可以决定是仅遵循ASIL随机硬件/软件故障评估，还是同时遵循ASIL随机硬件/软件故障和ASIL D系统故障评估。但是，针对ASIL D系统安全等级进行ASIL系统故障评估是行业普遍最认可的做法。

　　对于同时遵循ASIL随机硬件/软件故障和ASIL D系统故障评估的产品，开发团队需要确保开发的所有方面都经过严格的程序，并具有多重制衡。这些程序包括多次审核和批准流程迭代，随后进行内部审计和可选的第三方独立检查/审计。不仅需要执行并记录审核和批准，还必须记录并证明审核和批准已经发生。为确保执行、记录和审核所有步骤，必须制定汽车行业最先进的质量管理体系 (QMS)，以跟踪和证明开发已执行。QMS系统包括从要求设置直至执行和确认的完整要求跟踪。

　　在ASIL D系统开发流程中，第一步是规划阶段，包括所定义和跟踪产品的每个工作成果。开发阶段将需要完成大多数工作成果/可交付成果。但是，在验证/确认阶段以及评估和产品发布阶段会生成多个工作成果。在每个开发阶段，在QMS系统中创建和独立跟踪确认审核报告、功能安全审计报告和功能安全评估报告。图2所示的ASIL D系统开发流程通常可产生80多种安全工作成果/可交付成果。

　　✦  +

　　+

　　IP供应商向ASIL D迈进

　　为了让芯片供应商大幅缩减花费在设计、认证和发布安全攸关ADAS /自动驾驶车SoC所需的时间，IP供应商们希望能够以预先建立且经验证的处理器IP授权的方式，协助他们更快地进入市场。

　　在这方面，新思科技的汽车级IP采用符合ISO 26262功能安全要求的ASIL D系统开放流程予以实现，随机硬件故障安全等级可达到ASIL B和ASIL D，帮助设计人员加速其ISO 26262 SoC级功能安全评估，从而实现目标ASIL等级。

　　除了定义和遵守符合FuSa要求的ASIL D系统开发流程外，独立地确认ASIL D系统开发流程也很重要。为确保新思科技定义的ISO 26262 FuSa 开发流程符合 ISO 26262 标准，新思科技利用SGS TUV Saar来评估此开发流程。如图3中的证书所示，新思科技制定的通用开发流程已符合行业标准。

　　新思科技对汽车IP行业的重视，还体现在接口方面的支持。他们最近升级了PCI Express控制器IP、MIPI CSI-2主机和设备控制器IP和 新思科技 10Gb以太网控制器 IP，支持完全ASIL随机和ASIL D系统合规性。新思科技也是首家为这些任务关键型接口协议提供完全ISO 26262合规性的IP供应商，这些协议广泛用于L3、L4和L5自动驾驶汽车的ADAS域模块、分区 ECU和中央计算处理。

　　汽车级接口IP可与现有的 ARC处理器相辅相成，共同加速新汽车平台架构的安全关键型SoC设计。这些都将为不断发展的E/E架构车辆设计安全的SoC保驾护航。

　　✦  +

　　+

　　结语

　　对于汽车芯片供应商而言，要认证ASIL D不是一件容易的事，尤其是一些的复杂的汽车SoC。如新思科技这样的IP厂商，从底层IP开始实现ASIL D的支持，无论是新思科技的汽车级接口IP，还是处理器IP，两者均可提供最高水平的安全性。这也将为芯片供应商大幅缩减花费在设计、认证和发布安全攸关ADAS /自动驾驶车SoC所需的时间。