安全初学者经常对安全如何影响硬件设计和BOM中组件的选择感到困惑。“我是否应该在ASIL程序中使用ASIL认证的微控制器、CAN收发器、电源芯片和交换机?电阻和电容呢?我们市场上甚至有ASIL认证的无源器件吗?”他们问。
这篇博文将涉及以下问题:
1. 背景-ASIL认证是如何开始的
2. 硬件ASIL认证使用的范围-哪些硬件元件需要通过ASIL认证,哪些不需要通过?
在ISO26262-2018版第8部分第13条中的“硬件元件评估”首次提出了“ASIL认证”的集成电路的概念。在这一条款中,标准规定,用于安全关键系统的非常复杂的集成电路,如微控制器或电源管理芯片,必须经过ASIL认证。在此之前,“ASIL认证”集成电路的概念并不为人所知。然而,在ISO26262正式引入功能安全的概念之前,Micros就提供了“安全相关”的功能或机制,如看门狗、ECC或时钟监控或锁步处理。
除了“硬件元件评估”的概念,2018年版还引入了如何将ISO26262应用于半导体的指南。该引入加上OEM厂商对功能安全的认识不断提高,以及几款针对ADAS、驾驶员监控系统和电动汽车的安全关键型新一代ECU的出现,导致半导体领域ASIL认证发生了翻天覆地的变化。很快,市场开始看到很多ASIL认证的微控制器。今天,市场上充斥着几种ASIL-D认证的微控制器、电源管理芯片、传感器甚至存储器(DDR4、DDR5等)。
ISO标准将硬件元件大致分为三种:Ⅰ类,Ⅱ类,Ⅲ类
Ⅰ类元件是非常简单的元件,Ⅲ类元件是非常复杂的元件。第二类是介于第一类和第三类之间'既不简单也不极其复杂'的元件,下表总结了这些元件的特点以及一些例子。
该标准指导我们根据上表所述的特性将硬件元件分为Ⅰ类、Ⅱ类或Ⅲ类。ASIL认证仅适用于Ⅲ类复杂性元件。
为什么我们对Ⅰ类和Ⅱ类元件不需要ASIL认证?
其原因是多方面的:
通常,汽车应用中使用的所有硬件元件都符合全球质量标准,如AEC-Q100或AEC-Q200。这确保了硬件元件具有足够高的质量和性能。
Ⅰ类和Ⅱ类硬件元件本身并不提供任何安全机制。这些硬件元件的故障可以通过系统层的安全机制来检测。硬件元件也可以在使用它们的系统中进行充分的测试。
Ⅰ类元件和许多Ⅱ类元件的故障模式是相似的,无论供应商是谁,这些模式及其分布可以从硬件故障模式库(如MIL标准库和IEC故障模式库)。例如,这里是MIL标准库的一个片段,显示了不同类型电阻器的故障模式和分布。与电阻器的供应商无关,这些都是相同的。
Ⅰ类和Ⅱ类复杂度级别的硬件元件不需要“ASIL认证”,因为现有的质量措施、系统级集成和系统级测试措施足以确保这些元件具有足够高的质量并执行其预期功能。然而,对于Ⅲ类硬件元件则是不足够的。
Ⅲ类表示硬件元件非常高的复杂性。由于其复杂性,这些元件需要严格的工艺措施,以确保在不同的操作条件下正确的功能。他们实现了安全机制,这意味着需要根据ISO26262进行开发,以确保安全机制正常工作。此外,鉴于Ⅲ类元件的FIT相对高于Ⅰ类或Ⅱ类元件,供应商需要确保Ⅲ类元件的FIT对于集成该元件的系统来说足够低。
将硬件元件分为不同类别的整个想法是为了执行相应的“硬件评估”活动。在我们的下一篇文章中,我们将介绍硬件评估,并触及硬件评估的复杂性。我们还将进一步探讨硬件元件ASIL认证背后的东西。
聊聊自动驾驶应用层软件开发
一文搞懂CAN收发器TJA1145
车载抬头显示系统(HUD)历史及发展
车身控制器功能规范
小鹏P7的热管理系统详解
大众ID4.X内部ECU技术细节整理
比亚迪海豹整车技术整理
揭秘理想的整车电子电气架构
国内主机整车EEA架构汇总
谈谈Bootloader自更新
谈谈对两家AUTOSAR工具看法
汽车软件需求是如何变成用户功能?
汽车E/E架构的网络安全分析
电子电气架构设计需要考虑哪些方面?
分享不易,恳请点个【👍】和【在看】
