摩尔芯闻 > 行业新闻 > 半导体 > 你真的懂ISO 26262吗?

你真的懂ISO 26262吗?

半导体行业观察 ·2018-02-21 10:16·半导体行业观察
阅读:2338

来源:内容来自「新通讯」,谢谢。


在自动驾驶车上市之前,先进驾驶辅助系统 (ADAS) 成为最新车款的标准配备,此类车电系统已由高阶豪华车种,普及到入门平价车款,以因应日渐高涨的安全意识,与逐步完善的安全法规。


根据财团法人车辆研究测试中心 (ARTC) 产业调查资料 [ 车辆研测资讯 2015/8] 显示, 2013 年全球 ADAS 销售 1.24 亿套,产值约为 147.6 亿美元,预测至 2018 年全球销售将提升至 3.55 亿套以上,产值也将超过 350 亿美元,全球 ADAS 市场成长二倍,而其复合成长率为 19.2%


为协助我国车辆产业与电子产业参与 ADAS 产值跃升的趋势, ARTC 开发多项车电系统,如紧急煞车辅助系统 (Advanced Emergency Braking System, AEB) ,研发之雏型性能优异,已对国内业者技术移转,为确保符合消费市场注重之安全议题,在 2015 12 月通过 ISO 26262 功能安全流程认证,使开发产品可能的危害风险降到最低,系统功能安全符合国际标准。

ISO 26262 功能安全标准剖析


ISO 26262 是国际标准组织 (ISO)2011 年公告最新车电系统之功能安全国际标准,与车辆安全相关的车电系统均被要求须实现之,本标准是调适自 IEC 61508 ,将功能安全聚焦在车辆议题。 ISO 26262 提供车辆安全生命周期各阶段重要活动、车辆专属风险基础之整合水准、避免不合理风险的应用需求、确保合适安全水准之验证与确认,以及与供应商的关系需求等。


有关功能安全,最初的国际标准是国际电工委员会 (IEC)1998 年公告的 IEC 61508 ,针对一般工业领域的电机 / 电子 / 可程式电子 (Electrical/Electronic/Programmable Electronic, E/E/PE) 相关系统之功能安全评估与管控方法加以规范,而车电系统与一般工业用 E/E 系统有着一些差异,如成本考量或可靠度要求等,因此在 2011 年公告专属车辆领域之国际标准 ISO 26262 ,其适用于 3.5 吨以下客车 (M ) 所装载之车电系统,本标准使得研发专案清楚定义功能安全相关系统、硬体与软体所应遵循的共同目标,并明确标示系统达成的安全门槛,可作为保安设计之产品开发资料。


近年来,功能安全是否适用其他车辆种类,如货车 (N ) 或是机车 (L ) 、如何调适车电系统之零组件如微控制单元 (MCU) 认证需求、或是 ADAS 系统防护骇客入侵的保全 (Security) 议题,均将纳入 2016 年新修的标准草案,以期满足车辆使用之最新需求。


ISO 26262 标准概述


ISO 26262 涵盖车辆整个生命周期,称为安全生命周期 (Safety Lifecycle) ,由管理、开发、生产、经营、维修至报废皆有相应的要求,本标准包含十个章节,计有 Part 1 名词解释 ( Vocabulary) Part 2 功能安全管理 (Management of Functional Safety) Part 3 概念阶段 (Concept Phase) Part 4 产品开发在系统层级 (Product Development at the System Level) Part 5 产品开发在硬体层级 (Product Development at the Hardware Level) Part 6 产品开发在软体层级 (Product Development at the Software Level) Part 7 生产与操作 (Production and Operation) Part 8 支援流程 (Supporting Processes) Part 9 车辆安全完整性等级导向与安全导向分析 (Automotive Safety Integrity Level-oriented and Safety-oriented Analyses) Part 10 ISO 26262 指南 (Guideline on ISO 26262)


ISO 26262 采行所谓车辆安全完整性等级 (ASIL) 的指标来评估车电系统符合之功能安全程度,使得研发专案清楚定义功能安全相关系统、硬体与软体所应遵循之共同目标,明确标示 ASIL 可作为产品开发之安全目标。 ASIL 由严重度 (Severity) 、暴露机率 (Probability of Exposure) 与可控度 (Controllability) 决定,等级分为 QM(Quality Management) ASIL A D 五种, QM 等级无须适用 ISO 26262 ,比照一般车辆产业品质管理系统 ISO/TS 16949 要求即可,而 ASIL 等级愈高,系统功能安全要求愈多,故 ASIL D 设计开发的安全考量最严密。


何谓产品安全生命周期


车辆产品的安全议题,要包含功能导向与品质导向之开发活动与工作产品, ISO 26262 正是清楚定义研发专案的功能安全相关系统、硬体与软体所应完成之开发活动与工作产品,形成产品的安全生命周期之各个阶段 ( 1) ,完整标准架构即成为车辆开发模型 (V-model)


图1 安全生命周期(Safety Lifecycle)

安全生命周期涵盖 ISO 26262 Part 2 Part 7 ,整个生命周期分为概念阶段、产品开发与生产交付后等三阶段,由综合说明之功能安全管理起始,往下就是大 V-model 开始之概念阶段,接续是产品开发在系统层级、产品开发在硬体层级、产品开发在软体层级与结束之生产与操作,其间产品开发在系统层级包含产品开发在硬体层级与产品开发在软体层级两章,形成系统、子系统的阶层架构,而软、硬体开发又各成一小 V-model ,两者并有相互关联,确保系统开发是软硬兼顾。


ISO 26262 安全生命周期之细项,依章节如下: 2-5 Overall safety management 2-6 Safety management during the concept phase and the product development 2-7 Safety management after the item's release for production 3-5 Item definition 3-6 Initiation of the safety lifecycle 3-7 Hazard analysis and risk assessment 3-8 Functional safety concept 4-5 Initiation of product development at the system level 4- 6 Specification of the technical safety requirement 4-7 System design 4-8 Item integration and testing 4-9 Safety validation 4-10 Functional safety assessment 4-11 Release for production 5-5 Initiation of product development at the hardware level 5-6 Specification of hardware safety requirements 5-7 Hardware design 5-8 Evaluation of the hardware architectural metrics 5-9 Evaluation of safety goal violations due to random hardware failures 5-10 Hardware integration and testing 6-5 Initiation of product development at the software level 6-6 Specification of software safety requirements 6-7 Software architectural design 6-8 Software unitdesign and implementation 6-9 Software unit testing 6-10 Software integration and testing 6-11 Verification of software safety requirements 7-5 Production 7-6 Operation, service 安全生命周期涵盖 ISO 26262 Part 2 Part 7 ,整个生命周期分为概念阶段、产品开发与生产交付后等三阶段,由综合说明之功能安全管理起始,往下就是大 V-model 开始之概念阶段,接续是产品开发在系统层级、产品开发在硬体层级、产品开发在软体层级与结束之生产与操作,其间产品开发在系统层级包含产品开发在硬体层级与产品开发在软体层级两章,形成系统、子系统的阶层架构,而软、硬体开发又各成一小 V-model ,两者并有相互关联,确保系统开发是软硬兼顾。


另外, Part 8 Part 9 之细项包括: 8-5 Interfaces within distributed developments 8-6 Specification and management of safety requirements 8-7 Configuration management 8-8 Change management 8-9 Verification 8-10 Documentation 8-11 Confidence in the use of software tools 8-12 Qualification of software components 8-13 Qualification of hardware components 8-14 Proven in use argument 9-5 Initiation of product development at the system level 9 -6 Specification of the technical safety requirement 9-7 System design 9-8 Item integration and testing


ISO 26262 融入 CMMI-DEV 流程


ISO 26262 只专注于功能安全,与适用于发展的能力成熟度整合模式 (CMMI-DEV) 之等级 2 3(ML2/ML3) 流程相当,两者搭形成完整的路线图 (Road Map) ,才能有效导入组织运作。 CMMI-DEV 为美国软体工程学院 (SEI) 1984 年起所发展的一套组织品质管理标准,以确保软 / 硬体产品的研发品质,已广为世界各研发组织流程改善所遵循;而 2004 年另一套标准 ISO/IEC 15504 ,就是俗称 SPICE(Software Process Improvement and Capability dEtermination) ,此软体流程改善与能力检定是与 CMMI-DEV 相当的系统工程要求。


功能安全技术搭配系统工程之路线图,形成完整的机制,为研发流程融入功能安全之可行方案,以满足车电系统安全又可靠的需求, CMMI-DEV ISO 26262 的关联汇整如表 1 所示, ARTC 透过 ML3 流程与安全生命周期之相互关联性,融合两者建立完整的开发机制。


表1 CMMI-DEV与ISO 26262关联

检视 ISO 26262 流程认证的 ARTC 案例


ARTC 研发品质管理流程符合 ISO 9001 CMMI-DEV ML3 ,也着手将功能安全融入 ML3 流程,让研发专案形成由组织支持专业分工的系统工程团队。为因应车辆电子产业最新功能安全标准 (ISO 26262) ,已于 2015 年历经功能安全训练与落差分析、功能安全文件准备与融入流程、功能安全流程认证等作业,最终在年底 12 月份通过 ISO 26262 流程认证,进一步呼应车电产业的安全需求。


标准训练与落差分析


ISO 26262 为车电系统功能安全之流程 / 产品认证标准, ARTC 为服务车电产业需求,基于科专计画所开发技术,均须再行移转车辆电子产业商品化,确立只进行 ISO 26262 流程认证,开始与台湾检验科技股份有限公司 (SGS) 合作内训专案,从 2014 年起对研发同仁开办多场 ISO-26262 标准训练,也有 6 人通过车辆功能安全专业人员 (Automotive Functional Safety Professional, AFSP ) 专业证照,此证照为 3 年效期,可用工作实绩加以延长。接着, 2015 年专案重点为安全生命周期 V Model 左半段 ( 2) ,进行落差分析、功能安全管理、功能安全概念与技术安全概念等阶段,预计年底完成 ISO 26262 功能安全流程认证,以因应后续技转产品认证需求。


图2 ISO 26262功能安全认证流程

因应功能安全流程认证专案,选择 AEB 为试行标的,并组成安全小组,依第三方认证单位要求,安全经理 (Safety Manager) 应由非 AEB 计画成员担任,其主要负责项目为选择计画成员、建立并维护专案安全计画 (Safety Plan) 、管理内部介面 ( 各部门 ) 与外部介面 (SGS 台湾与德国专家,合称 SGS-TÜV)


完整团队组成与分工包括:第三方
(I3) 负责流程认证 ( 含辅导与咨询 ) ;工作产品审核 (PM) 专案计画之部门主管负责;安全经理 (SM) 负责安全计画;计画主持人 (PL) 负责计画执行规划书 (IPEP) 系统工程师 (SE) 负责系统规划,包含项目定义 (Item Definition) 、危害分析与风险评估 (HARA) 、安全目标 (Safety Goals) 、技术安全需求 ( TSR) ;软 / 硬体工程师 (DE/SW/HW) 负责硬体规划,承接系统层级之功能安全需求 (FSR) ,转为软 / 硬体层级之设计文件;测试工程师 (TE) 负责测试规划,承接系统层级之 FSR ,转为测试文件。 因应功能安全流程认证专案,选择
AEB 为试行标的,并组成安全小组,依第三方认证单位要求,安全经理 (Safety Manager) 应由非 AEB 计画成员担任,其主要负责项目为选择计画成员、建立并维护专案安全计画 (Safety Plan) 、管理内部介面 ( 各部门 ) 与外部介面 (SGS 台湾与德国专家,合称 SGS-TÜV)


SGS-TÜV 落差分析 (Gap Analysis) 作业为期两天,由 SGS-TÜV 稽核员 ( 简称主评 ) ARTC 研发专案流程、 AEB 计画资料与 ISO 26262 功能安全标准要求之 122 项工作产品加以比对,将落差评比分为四类成熟等级 (Maturity Level) :符合 (OK) 、部分符合 (Conditionally OK, COK) 、尚未符合 (Not OK, NOK) 与无须符合 (Tailored) 等,提供第二阶段文件准备之参考,目标完成部分符合与尚未符合之工作产品。


功能安全文件准备与融入流程说明


准备功能安全系统、硬体与软体层级之设计与测试文件,逐步进行 V Model 左半段之功能安全管理、功能安全概念与技术安全概念等阶段,由安全小组依专业分工,完成各项工作产品,并与 SGS 专家讨论相关产出,以对应落差分析之主评建议,也以 AEB 试行计画制定功能安全融入研发流程之可行方案


首先是 V Model 的功能安全管理阶段,由安全经理完成安全计画并定期更新,故此项工作产品会在资料纪录表各个章节重复出现,以表现安全计画的最新进度或内容修订。安全计画主要包含项次、标准章节、内容、输入文件、输出文件、负责人、起 / 迄时间与备注等,这些项目同样与 ISO 26262 标准要求之工作产品一致,如此逐项检讨安全计画,就可完成功能安全要求,此一安全计画采用附件形式纳入计画执行规划书 (Integrated Project Execution Plan, IPEP) 。计画主持人也在 IPEP 新增安全经理之专业分工,因须由非计画成员担任,故列在计画成员之上,以显示其独立性。


另外,为查证各项工作产品,须制定功能安全评估计画 (Functional Safety Assessment Plan) ,其不同于安全计画,研发流程已透过里程碑审查,进行工作产品的查证,故功能安全评估计画可与里程碑审查整合,又因为 ISO 26262 针对工作产品之确认措施,皆不可由该工作产品之相关人员执行,所以规划须依 Part2 车电系统之 ASIL 执行分级查证,如表 2 所示。


表2 执行确认措施所需之独立性


研发专案之 IPEP 包含许多流程次计画,如文件管理、计画监控管理、风险管理、建构管理、流程与产品品质保证、度量与分析、供应商协议管理、查证与确认等,这些次计画与 Part8 之供应商、建构管理、变更管理、文件章节要求一致。


再来是 V Model 的功能安全概念阶段,应在项目定义说明文件目的、 AEB 之功能与目的、功能方块图、边界条件与内 / 外部介面、安全与可靠度之潜在冲击来源、其他需求 ( 含环境条件 ) 、法规与标准、外部措施与最小风险,这些内容与 IPEP 之计画目标与范围、假设与限制,产品规格需求书 (SRS) 之产品介绍、产品用户、产品范围、客户的期望、限制与介面、系统架构等重复,由系统工程师整理为英文的资料,整合式计画管理 (IPM) 与需求发展 (RD) 流程维持原订之 IPEP SRS


危害分析与风险评估 (Hazard Analysis and Risk Assessment, HARA) 是指车辆因电子电机系统故障所产生的风险,如非预期加速、非预期减速或燃烧 / 爆炸等,透过故障所生风险之严重度 ( S) 、暴露机率 (E) 与可控度 (C) 三项参数,分析车辆安全完整性等级 (ASIL) ,共有五阶段度量 (QM A B C D) 之整车层级安全目标 (Safety Goal) ,自 ASIL A 开始,必须采取额外之风险降低措施,而 ASIL D 表示最高之潜在风险。


AEB 计画所得 HARA 为例,总计 33 项整车故障之危害,因不同的操作情境、潜在危害、可能失效与外部减轻等,依据 Part3 决定 ASIL ,如某一项危害是非预期加速,其严重性为 S3 、发生机率为 E4 与可控性为 C2 ,所以 ASIL C ,各项 ASIL 取最高阶段度量也是 ASIL C ,代表 AEB ASIL 就是 C 。依前列表 2 HARA 工作产品须经第三方 (I3) 查证, SGS 专家多次检讨各种 AEB 危害情境之 S/E/C 三项参数的想定,确认 AEB ASIL C


功能安全概念 (Functional Safety Concept, FSC) 是依据 HARA 所得高层之安全目标 ( 安全目标可能与数个危害相关,也可能数个安全目标与一个危害相关 ) ,规范系统之功能安全需求 (Functional Safety Requirements , FSR) ,并推导功能安全参数 ( 包含安全状态、容许故障时间等 ) ,加以配置至相关元件的活动,另外,因应车电系统量产的成本考量, ISO 26262 制定 ASIL 分解 (Decomposition) 作法,将 ASIL 需求分配到数个元件中,使得单一需求可以降低,这只在专案架构中,被分解元件存在足够独立性条件下才能施行,可以透过「相依性」故障分析,确认独立性之存在。


AEB 计画所得 FSC 为例,总计有 9 项安全目标,建立 25 FSR ,如第 1 项安全目标 (SG1) FSR1 FSR2 FSR3 FSR15 FSR16 建立相关,而单一 FSR 也与多个安全目标相关,如第 1 项功能安全需求 (FSR1) SG1 SG3 SG4 SG5 相关, SG FSR 非属直线关系,而是交互关联。


最后是 V Model 之技术安全概念阶段,延续系统之功能安全需求展开为软 / 硬体之功能安全需求规格,由系统工程师完成技术安全需求 (Technical Safety Requirements, TSR) ,再交开发工程师制定软 / 硬体技术安全需求之规格,进而迈入 V Model 的设计与整合测试阶段。


AEB 计画所得 TSR 为例,总计有 64 TSR ,如第 1 TSR(TSR1) FSR 1 FSR 9 相关,系统工程师也订定容许故障时间、分配元件与软 / 硬体单元,以利后续软 / 硬体开发工程师加以设计,再辅以测试工程师进行整合测试,确认 AEB 功能安全需求已经实现。


进行功能安全流程认证


为确保 SGS-TÜV ARTC 进行 ISO 26262 功能安全流程认证顺利, 10 月底先以电话会议进行预评,德国主评检讨安全经理所提报资料,包含会前询问中心安全文化与建构管理机制,德国主评对安全小组执行状况的评价良好,只请小组补充计画训练规划与修正工具安全评价 (Tool Confidence Level, TCL) 档案,并约 12 月初办理流程稽核 (Process Audit)


为期一天的流程稽核作业,安全经理以流程稽核简报,逐项说明工作产品之执行状况,德国主评对 ARTC 研发流程表示很好,符合 ISO 26262 标准,对于各项工作产品,建议注意可读性 (Accountability) 、可追溯 (Traceability) 与透明度 (Transparency) 等资料属性,如同 ISO 9001 标准之说写作一致要求,并强调安全文化,以期中心的研发专案能更完整对应功能安全。


SGS-TÜV 2015 12 月中旬签署与发行功能安全流程认证证书 ( 证书编号为 FS/71/220/15/0112) ,代表 ARTC 通过 ISO 26262 功能安全流程认证,此证书是依稽核报告 (Audit Report Process) 发行。而稽核报告需德国认证单位 (Deutsche Akkreditierungss- telle GmbH, DAkkS) 授权才能发行,此一关系如同台湾各检测实验室需获全国认证基金会 (TAF) 认证,所发行之检测报告才能追溯至国际系统。


获颁认证,不仅展显 ARTC 在研发上的专业,更是对国内汽车电机、电子系统技术水准的肯定,因为 ARTC 各项研发系统雏型均具备初步功能安全设计与测试资料,在技转予厂商后可缩短开发认证时程,让车电系统更接近世界需求,在开发的前端协助完成了最后一哩路的规划,将加速技术商品化进程,符合车厂对功能安全要求,进而快速加入供应链


今天是《半导体行业观察》为您分享的第1505内容,欢迎关注。

R

eading

推荐阅读(点击文章标题,直接阅读)

最具发展潜力的中国半导体新贵盘点

指纹识别之王:指尖上的战争从未停止

中国芯片创业者的黄埔军校:Marvell



关注微信公众号 半导体行业观察 ,后台回复关键词获取更多内容

回复 科普 ,看更多半导体行业科普类的文章

回复 比特币 ,看更多与比特币、挖矿机相关的文章

回复 晶圆 ,看晶圆制造相关文章

回复 紫光 ,看更多与紫光公司相关的文章

回复 ISSCC ,看《从ISSCC论文看半导体行业的走势》

回复 京东方 ,看更多与京东方公司相关的文章

回复 存储 ,看更多与存储技术相关的文章

回复 A股 ,看更多与上市公司相关的文章

回复 展会 ,看《2017最新半导体展会会议日历》

回复 投稿 ,看《如何成为“半导体行业观察”的一员 》

回复 搜索 ,还能轻松找到其他你感兴趣的文章!

分享到:
微信 新浪微博 QQ空间 LinkedIn

上一篇:2018年持续缺货涨价的元器件汇总

下一篇:【对抗】高通收购NXP加码16%至440亿美元,每股127.5美元

打开摩尔直播,更多新闻内容
半导体大咖直播分享高清观看
立即下载