進入汽車市場，IP與EDA工具廠商怎樣做才能符合ISO 26262標準？

　　如果對ISO 26262一直關注，你就會知道，采用最高質量標準開發(fā)的IP或EDA工具，仍然可能通不過ISO 26262認證。Arteris市場副總裁 Kurt Schuler在ISO 26262的多個技術委員會任職，他指出，在汽車電子系統(tǒng)開發(fā)方面，IP及EDA工具廠商還有很多方法去提升安全性，從而滿足ISO 26262標準要求。

　　首先，設定應用場景對IP和EDA工具非常重要。在高度可編程器件出現之前，很容易判斷大型系統(tǒng)中每個元器件如何工作，但現在，IP和工具廠商定義的安全元件(safety elements)99.9%與應用場景無關。因為這些安全元件可能會用在任何應用場景，所以不可能只對特定應用場景優(yōu)化。

　　汽車安全完整性水平(Automotive Safety Integrity Levels，簡稱ASIL)即引入了根據零部件應用場景來定義安全性的概念。即便是完全相同的控制器芯片，應用不同時，安全認證要求會有天壤之別，用在座椅位置調整的控制器芯片與用在自動駕駛系統(tǒng)中控制器芯片顯然承擔了不同的安全責任。

　　所以，ASIL水平根據子系統(tǒng)的每一種危險傾向而設定，例如ASIL C級與D級標準，通常是針對有致死性風險的場景，而ASIL A級標準則是針對類似汽車座椅調整這種安全級別的場景。 ASIL實際上是對事件發(fā)生的危險程度、可能性及后果可控性的度量，Kurt以定速巡航為例來說明。當定速巡航失效時，駕駛員還能操縱汽車，即便是當前先進的自動駕駛(autopilot)功能失效，當駕駛員轉動方向盤時，汽車必須改為人工駕駛模式。當然，這種切換對于系統(tǒng)反應時間要求非常嚴格，無論是駕駛員的反應，還是系統(tǒng)本身的恢復時間，每一步都需要足夠的時間窗口來完成。

　　在IP或軟件中加入一些功能，就能提高電子元器件的功能安全等級。Kurt表示，Arteris的一種做法是加入片上通信(on chip communication)功能。Arteris的片上通信方案中，還內建了通信完整性偵測器(checker)，在系統(tǒng)運行時，該偵測器會定時檢測系統(tǒng)，以確保系統(tǒng)不出現故障。Kurt還指出，偵測器本身也要被檢測，所以在Arteris的方案中，偵測器也有故障處理機制。

　　IP產品功能安全的關鍵在于覆蓋率。Kurt認為，IP廠商必須讓客戶更容易地評估IP的診斷覆蓋率。失效模式、影響和診斷分析(FMEDA)變得越來越重要，IP產品必須能應對諸如位卡死(stuck bit)、電源瞬變以及你能夠想到的所有意外狀況。在IP或者元器件層面的任何意外狀況都必須查明原因，這樣才能在系統(tǒng)層面去處理各種意外狀況。

　　根據ISO 26262標準，通過認證的系統(tǒng)維護及可追溯時間要達到十年以上，這就對系統(tǒng)的設計數據準備及維護提出了很多新要求。實際上，在系統(tǒng)維護及可追溯期，廠商必須提供完整的工具鏈，以備重新生成、分析或修改設計。ISO 26262對IP的要求主要是文檔工作，IP廠商要給系統(tǒng)工程師提供足夠的信息，以助其完成對系統(tǒng)的標準認證。

　　毫無疑問，國際標準組織正在整個半導體產業(yè)鏈中推行ISO 26262標準。這也是為無人駕駛時代做準備吧，當沒有人類駕駛員來接管時，自底至頂，汽車的每一層系統(tǒng)在開發(fā)時都必須符合可靠性與安全性標準。