ISO 26262，难住了IP供应商

在许多层面上，为汽车行业设计知识产权类似于针对航空航天或医疗设备——如果出现问题，人的生命就会面临风险，而且法规清单也很重要。在实践中，它可以将一个有趣的芯片设计项目变成一个复杂且常常令人沮丧的清单练习。就ISO 26262而言，其中包括由 12 部分组成的汽车安全标准。

Cadence产品营销总监 Marc Greenberg 表示：“您应该遵循一整套 ISO 26262 流程才能达到该标准下的 ASIL 评级。” “而且你还会有一名外部审计员。”

要达到汽车行业所需的质量水平需要做大量的工作，并且在大多数情况下，对于这种质量的知识产权会收取额外费用。

“这是一个与未经认证的 IP 截然不同的领域，”西门子 EDA Tessent 部门产品营销总监 Lee Harrison 说。“IP 供应商努力确保可以并且将在汽车应用中使用的 IP 已准备好、经过预先认证以及适当的文档。它通常被称为“汽车级”或“汽车认证”。”

事实上，即使是用于开发安全关键电子产品的工具也需要经过评估和批准。

“作为准备工作的一部分，所涉及的工具必须获得正确的认证，”Arteris 解决方案和业务开发副总裁 Frank Schirrmeister说道。“您需要获得 TCL（工具置信度）认证，证明该工具在 ISO 26262 的背景下可以安全使用”

事实上，正如 Synopsys 在博客中所解释的那样：“该标准非常详细，涵盖的主题范围很广，因此很难完全理解和实施……满足该标准的要求可能既耗时又昂贵，并且可能需要大量的投入改变现有的开发流程。”

尽管如此，工程师不应该被吓倒。“没有人说你必须从头开始，”Greenberg说。“您可以重复使用许多已经完成的事情，但要在 ISO 框架内并以汽车安全的方式进行。”

Synopsys解决方案小组汽车 IP 部门经理 Ron DiGiuseppe 表示，汽车级需要满足四个标准。“第一个事实是，大多数进入汽车领域的 SoC 都进入了安全关键型应用。其中包括 ADAS、动力总成、电池管理，甚至许多信息娱乐 IVI，具体取决于应用。因此，遵守 ISO 26262 汽车功能安全是一项关键的开发挑战。”

ISO 21434下的网络安全要求非常相似。“此外，SoC 和 IP 的开发需要满足 15 年的预期运行寿命，”DiGiuseppe 解释道。“通常，SoC 必须符合 AEC-Q 100 长期责任标准。这是为了确保实施稳健，能够满足温度曲线，并且更高的温度运行速率[最终]满足长期可靠性标准。”

由于需要实施能够应对可能的故障的设计，第四个标准不仅仅是设计工程。它需要新的方法来管理开发团队。“所有开发团队都必须在汽车级质量管理体系 (QMS) 下进行管理，以便遵循所有不同的开发流程，”DiGiuseppe 说。

对于任何在国防承包商工作过的工程师来说，这个系统都很熟悉。“汽车级质量管理体系可确保进行规格和设计审查，并确保您签入和检查 IP 的不同版本，”DiGiuseppe 继续说道。“我们的目标是从开发开始到结束都有可追溯性。质量管理体系是能否通过审核的关键，而这并不是很多商业开发需要做的事情。开发工程师需要针对每一项标准实施特殊实践。”

这意味着使用开源代码是不受欢迎的。“有一些开源的汽车级 Linux，它主要用于信息娱乐，”DiGiuseppe 说。“你想避免开源；这是业界传统的最佳实践。”

所有这些也相当于对单个工程师和团队进行额外培训，以及增加一个关键职位。

“通常情况下，进行审计的公司也会提供培训，”Cadence 的Greenberg说。“ISO 26262 流程的一部分是人员需要接受培训，并且您需要任命人员担任组织中的职位来监督开发的安全性。安全经理是 ISO 26262 的要求。否则，您将无法通过审核。”

图 1：典型 IP 安全包的内容

除了安全（或者可以说是安全的一部分）之外，汽车设计的最大考虑因素是环境。“所有 IP 都是根据假设的任务概况设计的，”DiGiuseppe 说。“您必须在了解不同的工作温度可能对时序产生影响的情况下进行模拟。AEC 定义了四种不同的温度等级。例如，ADAS 通常为grade 2 温度，在 SoC 周围的最大环境热量为 105°C 的情况下运行。温度可以升至grade zero，这是一个更高的温度。温度影响很大，它驱动整个工程开发流程。它是您设计时所依据的规范的一部分。您必须在开发过程的早期修复该温度曲线。”

同时，它与气候控制数据中心相去甚远。“车辆的环境很恶劣，”Greenberg说。“它们有极端温度。它们有电压偏移。它们可能会以您意想不到的方式产生静电放电。汽车可能会被闪电击中。它可能会遇到严重的振动问题。人们可能会使用一辆车 20 年或更长时间，因此您还需要考虑终生问题。”

生命周期问题还可能意味着额外的工程开销。通常，汽车产品支持期限为 15 年，以防零件退回失败。工程支持必须到位，可以调试它，因此长期支持是另一个要求。

与所有电子元件一样，汽车IP都会发生故障。但工程师需要从两个角度来处理这些设计。“尽可能稳健地实施设计，以确保不会发生故障，”DiGiuseppe 说。“然后，假设会发生故障，并询问系统将如何响应。”

汽车工程师迫于标准必须同时做到这两点。“当我们生产汽车安全 IP 时，我们通常会添加额外的汽车安全功能，以使其达到应用所需的安全等级，”Greenberg 说。“例如，汽车 IP 的基本原则之一就是拥有错误检测机制。然后你需要有一个错误注入机制，你可以在其中创建检测器应该检测到的错误类型，以便你可以确认检测器正在工作。”

与此同时，故障注入并不是公司自己临时想出的办法。

Cadence 的 Tensilica Vision、雷达和激光雷达 DSP 产品管理和营销总监 Amit Kumar 表示：“在 ISO 26262 记录的安全手册中，有一套模拟故障的程序。” “汽车制造商和软件开发商都遵循这一点，并且随着新形式的出现而不断升级。”

尽管可以用非汽车安全部件制造汽车安全系统，但这需要额外的技术，例如冗余。Greenberg说：“也许你拥有三个非安全摄像头和三组硬件来解释这些摄像头的结果并比较结果，而不是一个汽车安全摄像头。” “如果其中一个不同意，那么你就会收到系统故障警报，然后退回到另外两个。”

冗余可能与包含重复的 SoC 一样严格且昂贵。“汽车 IP 和 SoC 开发与商业 IP 开发的不同之处在于，为了应对可能的故障，您必须实施实际的设计技术，例如为存储器添加 ECC 或为数据路径添加奇偶校验，”DiGiuseppe 解释道。“它不会改变功能。但它改变了设计，因为例如，您添加了新的奇偶校验逻辑，以确保如果数据中存在某种变化（例如故障），它会被识别并可以被标记。”

另一种可能的方法是完全冗余。“对于处理器来说，拥有两个处理器是很常见的，软件的执行通常会错开一两个时钟周期，这样就有一个主处理器在运行，如果遇到故障，冗余处理器可以接管， “ 他说。“一些汽车制造商使用的另一种技术是实际复制整个 SoC。这可能是最昂贵的方法，但值得赞扬，因为它是最完整的方法。”

另外一个考虑因素是你需要有多么的前瞻性。Arteris 的 Schirrmeister 表示：“随着汽车行业的时间线那么长，你基本上比正在发生的事情提前了几年。”“为五到七年后投入生产的 IP 做好准备并非易事。从版税的角度来看，你需要很长时间才能看到回报，而且预测当时的驱动因素也非常具有挑战性。”

此外，当制造商考虑得那么远时，可能很难准确估计材料成本。更糟糕的是，法规可能会被修改。他说，到目前为止，还无法预测华盛顿或布鲁塞尔是否会改变主意。“你必须把赌注押在获胜者身上。如果您从五家系统公司和五家半导体公司获得反馈，您就必须就需要支持哪种协议做出明智的决定。”

最后，一切都需要安全。但在如此复杂的系统中，看似微小的变化可能会对安全性产生重大影响。

“在重新使用任何需要定制的组件时，安全和安全测试的基本原则都适用，”Synopsys 解决方案集团的汽车系统安全架构师 Chris Clark 说道。“这通常不是 IP 的主要问题，因为一致性测试的水平远高于将在硬件上使用的软件的水平。然而，对于适应新环境的任何组件都应该应用相同级别的严格测试。开发人员必须评估威胁分析和风险评估结果，并将其与他们将要进入的环境进行比较。这些变化可能意味着重大的 IP 变化以及对在所述硬件上运行的技术堆栈的附带影响。IP 的重用很有帮助，但仍然需要进行广泛的安全测试。”

尽管汽车生态系统的设计 IP 要求复杂，但这些要求是可以克服的。“一旦你做过一两次，就会变得很自然，”Greenberg说。“ISO 26262、ISO 9001 等中的许多内容都是良好的设计实践。这并不是要让任何人的生活变得困难。这是为了确保车辆安全并遵循规定的流程。”

事实上，这个过程可能会让许多工程师想起他们的本科时光。“当我上大学时，他们教给我们非常有条理的设计方法，”他说。“当我找到第一份工程工作时，我周围的所有工程师都说，‘哦，是的，不要这样做！“因此，遵循这些标准实际上是回到了大学所教授的原则。这是一个以安全的方式开发芯片的有条不紊的过程。”

*免责声明：本文由作者原创。文章内容系作者个人观点，半导体行业观察转载仅为了传达一种不同的观点，不代表半导体行业观察对该观点赞同或支持，如果有任何异议，欢迎联系半导体行业观察。

今天是《半导体行业观察》为您分享的第3483期内容，欢迎关注。