Fuente: El contenido fue traducido de "Arteris" por Semiconductor Industry Watch, gracias.
Los desarrolladores de dispositivos semiconductores y sistemas electrónicos automotrices deben tener cuidado: puede haber proveedores que afirmen que sus productos cumplen con los requisitos de la norma de seguridad ISO 26262, y estas afirmaciones pueden ser incorrectas si no aclaran la verificación de las personas y los procesos utilizados para fabricar productos automotrices. confiable. Si los diseñadores de sistemas no logran evaluar cuidadosamente las calificaciones de los proveedores, tendrán dificultades para obtener la aceptación de los clientes para sus productos en la cadena de suministro automotriz.
Los participantes en la cadena de suministro automotriz son responsables de realizar sus propias evaluaciones de seguridad funcional de los productos de cada proveedor, teniendo en cuenta las suposiciones de uso (AoU) documentadas del proveedor que describen cómo se utilizan los productos del proveedor en los sistemas automotrices. Los proveedores adaptan su análisis a configuraciones específicas y casos de uso que se espera que coincidan con los de sus clientes integradores. La certificación ISO 26262 de terceros para componentes utilizados en sistemas automotrices puede ayudar a los integradores de sistemas a realizar este análisis, pero no reemplaza la obligación del integrador de analizar los productos de sus proveedores en su propio contexto de uso.
Este artículo explora la justificación de la certificación ISO 26262 para las personas, los procesos y los productos involucrados en el diseño de sistemas electrónicos automotrices funcionalmente seguros. El objetivo final es hacer que los equipos de desarrollo, gerentes e inversores sean más conscientes de las responsabilidades que implica cumplir con los puntos más finos de los estándares de seguridad automotriz. A su vez, esto proporcionará más información sobre el esfuerzo y el costo del cumplimiento, y también permitirá una comunicación más efectiva entre los miembros de la cadena de suministro.
La cambiante industria automotriz: nueva electrónica y nuevos participantes
Todos los sistemas electrónicos de los automóviles de pasajeros deben cumplir estrictos requisitos de seguridad antes de integrarse en los productos de un fabricante de automóviles. Los proveedores de la industria han construido una cadena de suministro compleja para proporcionar estos sistemas, así como una prueba de la capacidad del producto para cumplir con estos requisitos de seguridad. Este sistema de intercambio de información requiere una comunicación detallada entre los proveedores de IP, los desarrolladores de SoC de semiconductores, los proveedores de componentes, los proveedores de software, los diseñadores de sistemas electrónicos y muchas otras partes interesadas para garantizar que todos los componentes críticos cumplan con las pautas, los procedimientos, los niveles de capacitación, las auditorías y las evaluaciones de la norma ISO 26262.
Figura 1: Cadena de suministro centrada en semiconductores,
Componentes clave del controlador central de asistencia al conductor Audi zFAS
(Fuentes: Audi; IHS Markit; Arteris IP)
Sin embargo, la industria automotriz está cambiando rápidamente a medida que más y más componentes mecánicos se convierten en sistemas electrónicos. Como resultado, las funciones que tradicionalmente realizaban los conductores humanos se están complementando y reemplazando por sistemas avanzados de asistencia al conductor (ADAS), que están evolucionando hacia sistemas de conducción autónomos. Estas dos tendencias están impulsando una ola de crecimiento económico e innovación tecnológica en la industria automotriz. La promesa de un rápido crecimiento del mercado está impulsando a nuevos participantes a unirse a la ola de sistemas electrónicos automotrices.
Los participantes recientes pueden carecer de experiencia en el desarrollo y la entrega de productos de acuerdo con el estándar de seguridad funcional ISO 26262. Si bien estos proveedores pueden afirmar que sus productos están listos para cumplir con los estándares de seguridad automotriz, las empresas en la cadena de suministro aún deben someterse a un escrutinio y evaluación exhaustivos y cuidadosos de las personas y los procedimientos involucrados en el desarrollo del producto antes de que puedan integrarse en sistemas adicionales. grandes sistemas.
Una forma en que los actores de la cadena de suministro de productos electrónicos automotrices pueden abordar este problema de manera proactiva es obtener la certificación ISO 26262 de un organismo de evaluación reconocido. Sin embargo, la mayoría de los dispositivos electrónicos para uso automotriz no son sistemas independientes completos que puedan certificarse según la norma ISO 26262 con pleno conocimiento de cómo se integrará y utilizará el producto en el vehículo. Por lo tanto, es importante que cualquier equipo de desarrollo que se tome en serio servir a este mercado explore las afirmaciones de sus proveedores con respecto a la seguridad funcional, ya sea que se declare la certificación o no. Si bien la certificación de productos de terceros puede ser una referencia importante, la evaluación de cualquier componente debe ser más profunda y debe realizarse mediante el uso y la integración del producto por parte de la empresa. Si no se evalúan las personas, los procesos y los productos de un proveedor, el cliente puede rechazarlo.
¿Por qué elegir ISO 26262?
La Organización Internacional de Normalización (ISO) establece lo siguiente:
La norma ISO 26262 está destinada a aplicarse a los sistemas relacionados con la seguridad que comprenden uno o más sistemas eléctricos o electrónicos (E/E) e instalados en automóviles de pasajeros producidos en serie.
ISO 26262 aborda los posibles peligros causados por el comportamiento defectuoso de los sistemas relacionados con la seguridad E/E, incluida la interacción de estos sistemas.
Primer principio: el intercambio de información es clave
La electrificación de los sistemas automotrices está ocurriendo a un ritmo acelerado. Esta tendencia impulsa la innovación al mismo tiempo que atrae más inversiones, más trabajo de I+D y nuevos participantes en el mercado de la automoción.
Lo que muchos nuevos participantes pueden no saber es que el cumplimiento de las normas de seguridad automotriz requiere que la información se comparta en cada parte de la cadena de suministro. Estos estándares desafían a los equipos de desarrollo experimentados en todos los niveles, ya que los requisitos cambian constantemente y solo hay un puñado de expertos en la industria que pueden guiar los proyectos a través del proceso. Además, los participantes en la cadena de suministro de semiconductores y software a menudo guardan secretos sobre cómo se desarrolló su propiedad intelectual y cómo funciona.
Figura 2: ADAS y cadena de valor del sistema de conducción autónoma centrada en semiconductores
La información que debe proporcionar el proveedor incluye análisis, educación y documentación de cada elemento del sistema con objetivos de seguridad. Cada miembro de la cadena de suministro debe proporcionar esta información. Los proveedores de IP de semiconductores brindan esta información a los desarrolladores de SoC, y los equipos de diseño de chips usan esta información para analizar sus sistemas personalizados y comunicar los resultados a los proveedores de sistemas electrónicos de nivel 1. Estos proveedores de nivel 1 luego realizan su propio análisis y envían los resultados a los fabricantes de vehículos y sus clientes.
Estas relaciones en la cadena de suministro automotriz se están volviendo cada vez más complejas, ya que los proveedores de semiconductores tradicionales que fabrican o diseñan chips para aplicaciones de conducción autónoma ahora a veces compiten con los diseñadores de sistemas electrónicos de nivel 1 y los OEM, que pueden estar fabricando o diseñando chips ellos mismos. Además, los nuevos participantes como Uber, Waymo y Apple están diseñando sus propios sistemas completos a pesar de su falta de experiencia en la industria automotriz. ISO 26262 requiere un alto nivel de colaboración e intercambio de información a lo largo de la cadena de valor, que puede no ser familiar para los nuevos participantes.
La complejidad requiere mejores análisis
La creciente complejidad de toda la industria automotriz requiere una mayor seguridad para estos sistemas. Los automóviles modernos utilizan sistemas "por cable", como un acelerador por cable, donde el conductor empuja el acelerador y los sensores. El pedal envía señales eléctricas a una unidad de control electrónico (ECU), que reemplaza los cables de metal que solían ir entre el pedal del acelerador y el tablero de control del acelerador mecánico. La ECU es más inteligente que un enfoque mecánico porque puede realizar más análisis, como la velocidad del motor, la velocidad del vehículo y la posición del pedal, antes de pasar comandos al acelerador.
También podemos ver que probar y validar un sistema de aceleración por cable es más difícil que probar versiones mecánicas anteriores. La complejidad explota a medida que reemplazamos los sistemas mecánicos con sistemas electrónicos, transmisiones eléctricas y agregamos ADAS y funciones de conducción autónoma a los automóviles. El objetivo de ISO 26262 es establecer un estándar de seguridad funcional unificado para satisfacer las necesidades de todos los sistemas electrónicos automotrices.
Las nuevas funciones como la asistencia al conductor, la propulsión eléctrica, el control dinámico a bordo y los sistemas de seguridad activa y pasiva están cada vez más involucrados en el campo de la ingeniería de seguridad de sistemas. La mayor complejidad técnica, el contenido del software y la implementación mecatrónica traen consigo un mayor riesgo de fallas en el hardware del sistema como resultado de un error humano durante el desarrollo del sistema. ISO 26262 proporciona orientación sobre cómo minimizar el riesgo mediante la especificación de requisitos y procesos.
Para los diseñadores de dispositivos SoC de semiconductores e IP, los requisitos para el cumplimiento de la norma ISO 26262 son más abstractos que las pautas para sistemas completos. Por lo tanto, los desarrolladores de IP deben realizar análisis adicionales sobre muchas suposiciones para determinar la preparación de la IP para la integración en sistemas automotrices funcionalmente seguros.
seguridad funcional
El objetivo de ISO 26262 es proporcionar un estándar de seguridad uniforme para todos los sistemas electrónicos automotrices. Lograr la seguridad del sistema requiere la implementación de varias medidas de seguridad en diversas tecnologías, como sistemas mecánicos, hidráulicos, neumáticos, eléctricos y electrónicos, y estas medidas de seguridad se aplican en todos los niveles del proceso de desarrollo.
ISO 26262 define varios niveles de integridad de seguridad automotriz (ASIL) - QM, A, B, C y D - para ayudar a mapear los procesos requeridos, los esfuerzos de desarrollo y los mecanismos de seguridad funcional en el producto a niveles de riesgo aceptables. Los cinco niveles de rigor cubren una amplia gama desde la gestión básica de la calidad hasta los sistemas cuyo fallo puede provocar accidentes mortales. En este último caso, ASIL D requiere que la cantidad de punto único de falla (SPFM) en el sistema automotriz sea inferior al 1%. La Tabla 1 a continuación proporciona más información sobre los niveles de ASIL y los indicadores de falla.
Tabla 1 Para lograr ASIL D, más del 99% de las fallas de un solo punto en el sistema deben estar cubiertas por mecanismos de seguridad. ASIL B y C requieren menos cobertura.
(Fuente: ISO 26262-5:2011, Tabla 4 y Tabla 5 son de ISO 26262-1:2011)
Los SoC automotrices brindan cobertura de diagnóstico a través de funciones de hardware específicas para garantizar el cumplimiento de la norma ISO 26262. Estos mecanismos de seguridad funcional en el chip incluyen tecnologías como el código de corrección de errores (ECC), la protección de paridad para los enlaces de datos y la memoria interna, la duplicación inteligente de los elementos de procesamiento a través de la estructura de interconexión inteligente, la autocomprobación integrada (BIST) y la notificación de errores. mecanismos.
Aunque ISO 26262 se centra en la seguridad funcional de los sistemas E/E, en realidad proporciona un marco que aborda todo el ciclo de vida de los sistemas relacionados con la seguridad.
ISO 26262 proporciona orientación sobre:
Gestión del ciclo de vida, desarrollo de productos, producción, operaciones, servicio, desmantelamiento y personalización de las actividades necesarias durante estas fases del ciclo de vida
Aplicar requisitos de seguridad basados en la gravedad del peligro, la probabilidad de exposición y la capacidad de control para evitar riesgos irrazonables
Medidas de verificación y validación para garantizar un nivel de seguridad adecuado y aceptable
Requisitos para las relaciones con los proveedores
Todo esto puede parecer complicado, pero la comprensión de los requisitos de la norma ISO 26262 se puede simplificar centrándose en tres aspectos principales, las "3P":
Gente
Proceso
Producto
Los proveedores deben proporcionar a los clientes documentación que detalle los pasos que han tomado para preparar a su gente, procesos y productos para cumplir con el estándar. Armados con esta perspectiva sobre el papel de las "3P" en el mercado de IP de semiconductores, los arquitectos y equipos de diseño de SoC pueden tomar decisiones informadas al elegir la IP correcta. Comprender las características organizativas y operativas de los proveedores de PI puede conducir a mejores chips, automóviles más seguros y capacidades de desarrollo más eficientes.
Figura 3: Las personas, los procesos y los productos son la base de las actividades de seguridad funcional de ISO 26262
La seguridad funcional implica todas las partes del proceso de desarrollo, incluidas la especificación, el diseño, la implementación, la integración, la certificación y la verificación, pero también los procesos de producción, gestión y servicio. Las organizaciones que construyen IP para SoC automotrices enfrentan dificultades significativas debido a los requisitos específicos de los estándares de seguridad. La capacitación, la evaluación, el análisis y la documentación adicionales necesarios para la calificación del cliente y la certificación ISO 26262 de terceros pueden agregar un gasto significativo al desarrollo de IP para la electrónica automotriz.
La evidencia de estas actividades de seguridad funcional debe comunicarse a la cadena de suministro. Por lo tanto, toda organización que suministre productos al mercado de semiconductores para automóviles debe documentar las actividades de desarrollo que cumplen con los estándares. Esta documentación debe cubrir las personas involucradas, el proceso utilizado para desarrollar la solución y el análisis de los productos necesarios para cumplir con la norma ISO 26262.
gente
El primer paso hacia el cumplimiento de la norma ISO 26262 para IP de semiconductores es la capacitación de los involucrados en el desarrollo de IP. Muchas empresas toman el "atajo" de capacitar a un pequeño grupo de personas, generalmente un Gerente de Seguridad Funcional (FSM) y un puñado de "ingenieros de seguridad" como lo exige la norma ISO 26262.
Sin embargo, debido a los requisitos de ISO 26262 Parte 2 "Gestión de seguridad funcional", especialmente las cláusulas 5.4.2 "Cultura de seguridad" y 5.4.3 "Gestión de autoridad", para garantizar una cultura de seguridad sostenible, los miembros del equipo tienen suficientes habilidades, competencias, y las calificaciones en la organización requieren un amplio conocimiento de la seguridad funcional en toda la organización. Esto requiere una amplia formación del personal.
Certificación y formación personal ISO 26262
Si bien la capacitación está dirigida principalmente a ingenieros, también debe incluir a otros dentro de la organización involucrados en el desarrollo y soporte de productos, incluidos ejecutivos, equipos de marketing, ingeniería, documentación, gerentes de control de calidad e ingenieros de aplicaciones. Un Gerente de Seguridad Funcional (FSM) asignado y capacitado por la organización tiene la tarea de promover una cultura de seguridad entre todos los involucrados en el desarrollo del producto, y el FSM a menudo es responsable de brindar capacitación interna o de terceros a todos estos empleados. Los clientes generalmente requieren IP de semiconductores, denominados "integradores" en ISO 26262, y asesores externos de ISO 26262 para proporcionar evidencia de capacitación en seguridad funcional de los empleados.
Como ejemplo de una implementación práctica, la fuerza laboral de Arteris IP de más de 50 personas ha sido capacitada y certificada como Profesional de seguridad funcional (FSP) ISO 26262 por la firma consultora ISO 26262 exida, que también es un organismo de certificación acreditado por ANSI para la Norma ISO 26262. Arteris IP cuenta con personal experimentado de FSM, no solo a través de su extenso programa de capacitación ISO 26262, sino también mediante el establecimiento de un proceso de seguridad funcional para garantizar una cultura de seguridad, asegurando la calidad de todo el proceso de desarrollo de IP de semiconductores.
proceso
Los buenos procesos son esenciales para evitar fallas en el sistema. Una falla del sistema está asociada de manera predecible con una causa específica y solo puede eliminarse mediante cambios en el diseño, la fabricación, los procedimientos operativos, la documentación u otros factores relevantes del sistema. En resumen, las fallas del sistema a menudo están "diseñadas en" el sistema, y los procesos de calidad ayudan a evitar fallas de ingeniería en el sistema.
Debido a que somos ingenieros, la mayor parte del enfoque en el proceso ISO 26262 está en el uso de tecnología y herramientas de software para abordar los detalles de lo que ISO 26262 Parte 8 llama "procesos de apoyo". Sin embargo, este es el enfoque equivocado.
La clave para un buen proceso de seguridad, o cualquier proceso de desarrollo de productos, no es el uso experto ni la integración de herramientas para la gestión de requisitos, la gestión de cambios, la validación y otras partes del proceso de desarrollo, sino el uso continuo de un sistema de gestión de calidad (SGC). ) por todos los empleados.
Sistema de gestión de calidad (SGC)
Cualquier proceso que cumpla con los requisitos de ISO 26262 Parte 8 para un sistema de gestión de calidad cumple con ISO 26262. Sin embargo, los SGC de desarrollo de software, hardware y sistemas automotrices existentes son de última generación y pueden servir como base para los procesos de los proveedores.
La Tabla 2 a continuación proporciona algunos ejemplos:
Tabla 2: Ejemplo de un Sistema de Gestión de la Calidad (SGC) según ISO 26262.
Fuente: ISO 26262-8:2011
Las empresas de evaluación de terceros brindan certificación para cada sistema de gestión de calidad. Sin embargo, como proveedor en la cadena de suministro automotriz, sus clientes tendrán una auditoría independiente de sus procesos, ya sea que tenga o no una certificación de procesos de terceros. Si bien los informes que acompañan a la certificación de procesos de terceros pueden ayudar a sus clientes a evaluar sus procesos, sus clientes aún están obligados a confirmar su cumplimiento con la norma ISO 26262.
Trazabilidad
La trazabilidad facilita el cumplimiento de la norma ISO 26262.
En el mundo del diseño de chips, la mayoría de los equipos de diseño ya cuentan con sistemas de última generación que pueden realizar un seguimiento de los proyectos de especificación a través de la implementación y luego las pruebas de verificación. Sin embargo, ISO 26262 requiere una trazabilidad bidireccional desde los requisitos relacionados con la seguridad y su implementación, desde la fase de concepto, ISO 26262 Parte 3, hasta la producción y operación, ISO 26262 Parte 7. Esto significa que los resultados de las pruebas de garantía de calidad (QA) se pueden rastrear a través de sus pruebas de verificación, implementaciones, especificaciones y requisitos. Además, las configuraciones, los cambios y la documentación deben mantenerse actualizados y formar parte de la cadena de información para la trazabilidad.
Este tipo de trazabilidad a menudo es extraño para los equipos de diseño de semiconductores que aún no han desarrollado productos para aplicaciones automotrices. Es difícil para estos equipos cambiar los sistemas de verificación y cumplimiento de códigos que han funcionado bien en el pasado para adoptar nuevos sistemas que respalden una trazabilidad más amplia. Una solución es implementar un sistema de trazabilidad diseñado para integrar y "envolver" un sistema desarrollado existente para proporcionar el nivel requerido de trazabilidad.
Por ejemplo, Arteris IP ha estado utilizando el rastreador de problemas de Atlassian Jira como el núcleo de su proceso de verificación de implementación de especificaciones de desarrollo de productos para IP de semiconductores y software IP configurable relacionado. En el pasado, los elementos de los Documentos de requisitos del mercado (MRD), los Documentos de requisitos del producto (PRD) y las especificaciones basados en Microsoft Word se usaban como entrada para el sistema Jira y se asociaban con tareas de desarrollo de ingeniería, rastreando su estado y verificando automáticamente la generación y evaluación de pruebas. documentación
Figura 4: Las herramientas de trazabilidad automatizadas proporcionan
Método de trazabilidad hacia atrás para facilitar la gestión de cambios
El resultado final del proceso ISO 26262 es que la mayoría de las empresas que apuntan al mercado automotriz deben hacer lo siguiente:
① Elija un sistema de gestión de calidad que cumpla con la norma ISO 26262, utilícelo y sea capaz de explicar su uso a evaluadores externos y evaluadores de clientes.
② Logre una trazabilidad automatizada más amplia, que cubra todos los requisitos de garantía de calidad, entrega y soporte.
producto
Si un proveedor afirma que su producto "cumple con los requisitos de seguridad de la norma ISO 26262" sin capacitar primero a su personal y documentar sus procesos, entonces no cumple. Una vez que el personal está capacitado y los procesos de calidad están implementados y en uso, el siguiente paso es analizar el producto según la norma ISO 26262 y proporcionar la documentación del análisis al integrador de semiconductores. Para los proveedores de IP de semiconductores y semiconductores, realizar este análisis requiere documentar un conjunto de suposiciones acordadas, ya que el proveedor de chips o IP no comprenderá completamente el sistema del que formará parte.
Chips de automoción e IP: personalización SEooC, AoU y ASIL
En resumen, la premisa del análisis de ISO 26262 es que un "sistema" es la entidad que se está desarrollando y analizando, mientras que la Parte 1 de ISO 26262 define un sistema como "un conjunto de elementos relacionados al menos entre sí con sensores, controladores y actuadores". " . Claramente, el chip y la IP utilizados para fabricarlo no son sistemas compatibles con ISO 26262. Entonces, ¿qué son?
Los chips y su IP generalmente se consideran (a menudo desconocidos en el momento del diseño) "elementos" del sistema. Aunque eventualmente se convertirán en parte del sistema general, su conocimiento relacionado es difícil de entender al 100% Por lo tanto, los chips y la IP se clasifican como tipos especiales de elementos en ISO 26262, llamados "SEooC" (Elementos de seguridad fuera de contexto). SEooC requiere que el proveedor o integrador de IP documente una Suposición de uso (AoU), que refleja los conceptos de seguridad esperados, los requisitos de seguridad y los mecanismos de seguridad que utilizará el integrador/usuario de la IP.
Dado que hay muchas suposiciones sobre SEooC, AoU y la personalización de chips e IP, ISO 26262 requiere que los proveedores de IP y los integradores de chips acuerden un Acuerdo de interfaz de desarrollo (DIA), que define las suposiciones y responsabilidades utilizadas por ambas partes. El documento DIA explicará la personalización de ASIL del proveedor de IP y el razonamiento detrás de esta personalización, así como una explicación de todas las suposiciones de uso.
Modos de falla y mecanismos de seguridad
Los mecanismos de seguridad funcional del producto se utilizan para detectar, mitigar y corregir fallas causadas por errores aleatorios mientras el sistema está funcionando. Los efectos de evento único (SEE, por sus siglas en inglés), las perturbaciones electromagnéticas causadas por los rayos cósmicos y la energía ionizante emitida cuando interactúan con los semiconductores, son responsables de los errores aleatorios. Estos errores aleatorios pueden tener efectos transitorios o permanentes. Los efectos transitorios aleatorios, también conocidos como "errores leves", incluyen cambios de bit único (SBU), como los que se encuentran en celdas de memoria o flip-flops lógicos, y transitorios de evento único (SET), que son fallas de voltaje que pueden no causar un error. También hay situaciones en las que estos pueden ocurrir simultáneamente, lo que resulta en alteraciones de múltiples bits (MBU). Los "errores graves" causados por SEE conducen a daños permanentes, incluido el bloqueo de evento único (SEL), el agotamiento de evento único (SEB), etc.
Figura 5: Diagrama de jerarquía de errores de efecto de evento único (SEE)
Dado que las causas de estos errores son fenómenos físicos naturales y ocurren aleatoriamente, es importante detectar y mitigar sus efectos para lograr y mantener la seguridad del sistema. Con este fin, los equipos de ingeniería desarrollan características de tecnología de seguridad específicas en sus productos.
Los siguientes son ejemplos de estas capacidades, también conocidas como mecanismos de seguridad funcional:
Agregue y verifique los bits de paridad o ECC agregados al tráfico de comunicación en el chip
Copie la lógica y compare los resultados
Triple redundancia modular (TMR) o votación por mayoría
tiempo de espera de comunicación
Comprobador de hardware para verificar el correcto funcionamiento
El controlador de seguridad recopila mensajes de error de todo el sistema y se comunica a un nivel superior dentro del sistema
Autocomprobación integrada (BIST) para todos los mecanismos de seguridad funcional
Figura 6: Análisis de diagnóstico y efectos del modo de falla (FMEDA)
Incluye análisis de mecanismos de seguridad como BIST usando inyección de fallas
Ahora que hemos descrito las suposiciones requeridas para analizar IP y chips, así como sus modos de falla y mecanismos de seguridad, el proceso de análisis real se analiza a continuación.
Análisis Cualitativo Primero (FMEA)
seguido de análisis cuantitativo (FMEDA)
Una vez que el equipo de diseño comprende sus modos de falla y mecanismos de seguridad funcional, puede realizar y documentar un análisis de seguridad cualitativo, conocido como Análisis y Efectos del Modo de Falla (FMEA). FMEA es un enfoque incremental para identificar todos los posibles modos de falla (modos de falla) en un diseño y las consecuencias de esas fallas. Con demasiada frecuencia, los equipos de diseño no prestan suficiente atención al análisis cualitativo de sus proyectos y prefieren pasar directamente al análisis cuantitativo. ¡Esto está mal! La ejecución adecuada de FMEA es la clave para definir correctamente cómo mitigar las fallas, y también es la base para el análisis cuantitativo de la validación de FMEA.
Después de completar el FMEA, el equipo de diseño debe analizar más a fondo los modos de falla y los mecanismos de seguridad utilizando un análisis cuantitativo llamado Análisis de diagnóstico de efectos de modo de falla (FMEDA). A pesar de la suposición de que se puede estimar la cobertura de diagnóstico (es decir, la "protección") de la mayoría de los mecanismos de seguridad funcional, la mayoría de los integradores de semiconductores insisten en utilizar técnicas de inyección de fallas para verificar la cobertura de diagnóstico de las medidas de seguridad funcional implementadas en un proyecto. Se requiere una comprensión detallada de la implementación de IP para determinar dónde se deben inyectar las fallas para activar los mecanismos de seguridad funcional y dónde observar de manera más efectiva la salida de los mecanismos.
Aunque el análisis de inyección de fallas es importante para validar FMEA, FMEDA por sí solo no es suficiente. Es necesario usar otras técnicas en conjunto para verificar la cobertura de diagnóstico que no se puede demostrar fácilmente mediante la inyección de fallas. Un ejemplo es la validación de supuestos de uso que definen los mecanismos de seguridad que los clientes deben integrar con los elementos. Esto es muy común para mecanismos de seguridad como relojes y monitores de voltaje que residen fuera del bloque IP. Además de la inyección de fallas para validar el FMEA, otras técnicas que se pueden usar incluyen el análisis de árbol de fallas (FTA), el análisis de fallas correlacionadas (DFA) y el FMEA a nivel de pin.
Los informes FMEDA creados por el equipo de desarrollo de IP permiten a los gerentes de seguridad totalmente capacitados revisar toda la información relacionada con el cumplimiento de la norma ISO 26262. Una empresa de evaluación externa o una empresa de consultoría contratada por el proveedor de IP o el integrador de semiconductores también puede revisar el proceso de análisis y desarrollo para ayudar a evaluar el cumplimiento de la seguridad funcional.
en conclusión
Cumplir con el estándar para componentes de seguridad funcional automotriz según la norma ISO 26262 es un proceso abrumador que involucra a las personas, los procesos y los productos de un proveedor. La creación de productos y tecnologías que satisfagan estas necesidades requiere un enfoque operativo y de ingeniería, una sólida cultura de seguridad, compromiso de gestión y una importante inversión de tiempo y dinero. Si el proveedor ofrece dichos productos, depende del integrador determinar si se han tomado todos los pasos más allá del nivel del producto para determinar si la afirmación es válida. Si no se investiga más, el integrador correrá el riesgo de utilizar componentes que no cumplan con los requisitos de evaluación y auditoría necesarios para que el cliente cumpla con los requisitos de la norma ISO 26262 en la cadena de suministro.
Los proyectos que se basan en información incompleta sobre las personas, los procesos y los análisis involucrados en el desarrollo de productos para objetivos de seguridad pueden invalidar los esfuerzos para ingresar a los diseños emergentes de sistemas electrónicos de vehículos de pasajeros, incluidos los de ADAS y vehículos autónomos. Los integradores de sistemas electrónicos deben proporcionar a los fabricantes de automóviles evidencia de que todos los componentes del sistema han sido evaluados minuciosamente para verificar las afirmaciones de que son seguros y confiables. El incumplimiento de los estándares y la falta de comunicación sobre cómo se están siguiendo puede generar trabajo adicional o reelaboración para los proveedores automotrices.
Fuente: El contenido fue traducido de "Arteris" por Semiconductor Industry Watch, gracias.
Original: https://www.design-reuse.com/articles/44611/semiconductor-iso-26262-certification.html
Lectura recomendada
¡Haz que la vista panorámica del automóvil sea más inteligente y segura!
Presentación de los productos del sistema XS GPU: la última serie de GPU dedicada a la industria automotriz
Por qué 2020 será un año decisivo para la movilidad
Optimización de renderizado del tablero de combinación de automóviles
¿Por qué estamos creando controladores de aceleradores de GPU para automóviles críticos para la seguridad?
Coches autónomos: ¿qué tan lejos están de salir a la carretera?
Acerca de Imagination WeChat ID
Publique con autoridad la información más reciente sobre GPU, inteligencia artificial, IP de conexión e IP inalámbrica de Imagination, y proporcione información de aplicaciones sobre Internet de las cosas, dispositivos portátiles, comunicaciones, electrónica automotriz y electrónica médica. Una gran cantidad de información se actualiza todos los días para mantenerlo actualizado con los desarrollos tecnológicos. ¡Bienvenido a seguir! Extiende tu manita y presiona el código QR, ¡somos buenos amigos!