iso27001信息安全體系認證流程（26262功能安全認證過程中的各種障礙）

2023-04-18 23:50:03

現今，汽車的各種應用中無不使用數百到數千種半導體和其他組件，例如觸摸界面、車載充電器、電池管理系統等等。嚴格的國際標準化組織（ISO）26262功能安全規範可確保這些日益複雜和精密的應用安全運行。然而，開發合規設計及獲得認證的過程十分耗時且成本高昂。隨著半導體行業為汽車原始設備製造商（OEM）和供應商提供完整的功能安全生態系統，這最大限度降低了完成這類認證過程的成本，同時降低了風險並縮短了開發時間，進而使這些挑戰得到緩解。

了解ISO 26262

ISO 26262標準包含安裝在批量生產的道路車輛（輕便摩託車除外）中的電氣和/或電子系統的功能安全規範。該ISO標準於2011年發布，並於2018年修訂以包含關於半導體的部分，其中規定了從規範到生產發布的開發過程。汽車OEM和供應商在對道路車輛內部需要功能安全的運行器件進行認證時，必須遵循並記錄此過程。

系統認證需由獨立評估員確認其符合ISO 26262標準的要求來完成。汽車內應用根據其安全關鍵性級別「歸類」為不同的汽車安全完整性等級（ASIL）。如果電氣或電子系統發生故障，則某些應用具有更高的固有安全風險。根據潛在傷害的嚴重程度和發生概率以及可控程度，分為A到D四個級別，每個級別都對底層組件有相關的安全要求。ASIL D表示汽車中安全氣囊、防抱死制動系統和動力轉向等危險程度最高的應用。尾燈等組件歸類為ASIL-A。頭燈和剎車燈通常歸類為ASIL-B。巡航控制等系統歸類為ASIL-C。通常，ASIL級別越高，對硬體冗餘的要求就越多。

組件供應商可通過多種方式幫助加速安全應用的設計及其ISO 26262認證過程。這些功能安全資源如圖1所示。首先，必須仔細選擇器件以包含必要的功能安全資源。這些資源包括故障模式影響和診斷分析（FMEDA）報告及安全手冊。此外，器件還必須得到有資格創建安全關鍵型應用的開發生態系統的支持。

圖1：經過認證的功能安全資源和開發生態系統

功能安全就緒

現今的汽車中使用了各種IC。尤其是單片機（MCU），它以各種形式普遍存在。所有電子控制單元（ECU）都需要用到單片機，並且全車使用單片機來提供便利功能（例如自動駕駛）和各種其他複雜功能。單片機範圍廣泛，涵蓋針對性能、電源效率和實時控制進行優化並添加基於硬體的觸摸界面的8位MCU，到可以運行多線程應用並支持圖形、連接和安全功能的32位MCU。此外，還有將MCU與DSP引擎相結合的數位訊號控制器（DSC），可為傳感器、電機或電源轉換提供可靠且快速的確定性性能。

其中每一個IC都必須首先滿足汽車電子委員會（AEC）制定的汽車級製造和性能認證標準。AEC-Q100標準定義了跨溫度等級的基於失效機制的壓力測試認證過程。根據具體應用，MCU需要通過AEC Q100 2級、1級或0級認證。0級 = 150℃，1級 = 125℃，2級 = 105℃。

除了AEC認證之外，還有額外的專用功能安全就緒特性要求，具體取決於器件和應用。例如，8位MCU通常包括用於汽車接口和智能傳感器網絡的CAN FD，並且通常用作駕駛室、方向盤、中控臺內機械和電容式按鈕的用戶界面（UI）控制器，或用作無鑰匙進入系統的一部分。8位MCU所需的集成硬體安全功能通常適用於存儲器、系統復位、安全代碼執行、安全通信和通用輸入/輸出（GPIO）保護。這些功能是通過集成專用的獨立於內核的外設（CIP）和其他功能添加的，包括上電復位（POR）、欠壓復位（BOR）、窗口看門狗定時器（WWDT）和循環冗餘校驗（CRC），用於提高操作安全性和可靠性（見圖2）。

圖2：具有功能安全硬體特性的8位MCU

對於功能安全就緒16位DSC，所需的硬體安全功能通常包括支持錯誤檢測和糾正的存儲器、存儲器內置自檢（MBIST）、時鐘監控和冗餘振蕩器等，這些功能用於故障檢測、自診斷和系統診斷以及故障修復。這些功能安全就緒器件支持設計安全關鍵型高性能嵌入式應用、傳感器接口應用、數字電源和電機控制應用。典型應用包括直流/直流系統、車載充電器（OBC）、執行器和傳感器（位置和壓力）、觸摸單元和其他符合ASIL B或ASIL C標準的控制單元。圖3顯示了功能安全就緒DSC的功能示例。

圖3：功能安全就緒16位DSC示例

與所有功能安全就緒MCU一樣，32位MCU所需的硬體功能包括支持糾錯碼（ECC）和錯誤注入的存儲器、存儲器內置自檢（MBIST）、時鐘系統（包含備用振蕩器和時鐘故障檢測）以及具有靜電放電（ESD）保護的GPIO（見圖4）。同樣重要的是系統監視器，其中包括POR、BOR、WDT和硬體CRC功能以及存儲器保護單元。32位MCU的適用範圍涵蓋從駕駛室內部系統到高級駕駛輔助系統（ADAS）等一系列應用，可用於實現功能安全。

圖4：功能安全就緒32位MCU示例

通過將主MCU/DSC與輔助MCU/DSC或安全協處理器相結合，甚至可以使用標準MCU和DSC達到ASIL C/D安全級別。這是通過使用ASIL分解原理來實現的：兩個符合ASIL B標準的子系統組合可用於達到更高的ASIL，例如ASIL C/D：

ASIL C = ASIL B (C) ASIL A (C)

ASIL D = ASIL B (D) ASIL B (D) = ASIL C (D) ASIL A (D)

分解是通過劃分安全要求與實際器件實現的。

開發工具和認證支持

作為完整開發生態系統的一部分，經過功能安全認證的設計工具包可以更輕鬆地滿足ISO 26262標準中規定的驗證和確認要求。這一點尤其適用於基於MCU和DSC的設計。工具供應商與第三方獨立評估和認證機構合作，對功能安全編譯器進行認證。這通常附帶額外的文檔，例如編譯器、集成開發環境（IDE）以及調試器和編程器的證書、功能安全手冊、安全計劃及工具分類和資格認證報告。該功能安全文檔包簡化了工具的資格認證和最終應用認證。

理想情況下，還應該在設計過程中使用代碼覆蓋率工具來衡量代碼的測試效果，並確定軟體的哪些部分已經執行或尚未執行。 代碼覆蓋率工具也應包含在分類和資格認證報告中。尋找一種可以單次運行測試的工具，此工具無需將代碼分解為各個模塊，也無需對硬體進行大量修改或使用昂貴的軟體，同時還能避免在大型數據文件中搜索相關信息的大量工作。應用認證需要代碼測試數據，因此單次運行代碼覆蓋率工具在簡化流程和縮短上市時間方面發揮著重要作用。

要開發符合ISO 26262標準的汽車應用，除了器件數據手冊之外，工程師還需要從半導體供應商處獲得一些額外資源。可用的功能安全包為汽車OEM和供應商提供了他們在評估和設計周期的各個階段所需的內容。這些功能安全包應提供經過認證的安全手冊、FMEDA報告，在某些情況下，還應提供診斷軟體，例如經過相關ASIL認證的自檢庫。

FMEDA報告量化了器件的故障模式、其故障率（FIT）分布及相應的檢測方法，可幫助制定覆蓋率計劃。另一個重要資源是安全手冊（SM）。它詳細介紹了FMEDA報告中指定的故障檢測方法，並就如何使用器件實現最安全的操作提供了建議。安全手冊中包含相關故障以及用於檢測系統故障的硬體功能說明，可使用該說明開發診斷庫。功能安全診斷庫可幫助評估系統在故障條件下的運行狀態，檢測隨機系統故障以及實現功能安全目標。選擇提供第三方認證的FMEDA報告和安全手冊以及診斷庫的器件可以簡化安全關鍵型應用的認證工作。

安全關鍵型應用開發的第一步是定義要實現的安全目標和要達到的目標安全級別。功能安全基礎包提供FMEDA、安全手冊和認證等基本資源，幫助用戶開始評估目標功能安全級別和設計安全關鍵型汽車應用。

理想情況下，基於MCU的設計的功能安全入門包應包括經過ASIL B就緒認證的FMEDA、安全手冊和符合ASIL B/C標準的診斷庫，以及幫助設計人員了解如何使用這些資源按照ISO 26262流程開發安全關鍵型應用的參考應用。入門包有助於縮短設計周期，並根據ASIL B或C合規性開發應用。

功能安全完整包可以進行擴展以包含經過認證的診斷庫，其中提供用於實現最高ASIL B/C級別的設計所需的原始碼和相關安全分析報告。鑑於許多最終客戶要求對安全關鍵型應用進行認證，完整包還有助於加快認證過程。

隨著汽車的複雜度越來越高，其中的電子元件水平也在不斷提高。越來越重要的是，現今，面向汽車應用、以功能安全為重點的產品支持開發生態系統，可提供經過認證的功能安全資源來滿足ISO 26262要求。IC供應商還可以幫助汽車客戶保護其在這種嚴密開發和認證過程中的長期投資。他們能夠確保只要客戶願意訂購，就會持續供應認證系統內使用的器件，從而消除了由於器件意外進入停產（EOL）階段而導致被迫重新設計的風險。這意味著認證不僅可以快速輕鬆地完成，而且只需完成一次，因此更加值得客戶信賴。