通關ISO 26262軟硬兼施　元件生態系助攻車規安全認證

然而，開發合乎規定的設計及獲得認證的過程不僅耗時，成本也高。隨著半導體產業開始為汽車原始設備製造商(OEM)和供應商提供完整的功能安全生態系統，認證成本得以降低，同時也降低風險並縮短開發時間，讓ISO 26262認證不再是難以克服的關卡。

ISO 26262四級別ASIL規範車輛安全要求

ISO 26262的功能安全規範包括電動自行車外，量產道路車輛中安裝的所有電氣和電子系統。該ISO標準於2011年發布，並於2018年增修半導體相關規範，規定從規範到生產發布的開發過程。汽車OEM和供應商針對功能安全對道路車輛內部元件進行認證時，必須遵循規定並記錄此過程。

系統認證須由獨立評估員確認是否符合ISO 26262要求。車內應用根據其安全關鍵性級別歸為不同車輛安全完整性等級(ASIL)。若電氣或電子系統發生故障，某些應用將具有更高的自帶安全風險， ASIL根據潛在傷害的嚴重程度、發生概率及可控程度，分為A到D四個級別，每個級別都對底層元件有相關的安全要求。汽車中安全氣囊、防鎖死煞車系統(ABS)和動力方向盤等應用屬於ASIL D，亦即危險程度最高的應用；尾燈等組件歸為ASIL A；頭燈和煞車燈通常歸為ASIL B；定速巡航等系統則為ASIL C。一般來說，ASIL級別越高，對硬體備援的要求就越多。

元件供應商可透過多種方式加速安全應用設計及ISO 26262認證過程，這些功能安全資源如圖1所示。首先，必須仔細選擇元件以包含必要的功能安全資源，包括失效模式影響和診斷分析(FMEDA)報告及安全手冊(Safety Manual)。此外，元件還必須得到有資格建立安全關鍵型應用開發生態系統的支援。

IC整合硬體功能實現功能安全

現代汽車中使用各種IC，尤其是微控制器(MCU)，以各種形式普遍存在。所有電子控制單元(ECU)皆須使用MCU，車輛可透過MCU達成自動駕駛等便利功能和其他複雜功能。MCU範圍廣泛，涵蓋針對效能、電源效率和即時控制進行優化，並加入基於硬體的觸控介面的8位元MCU，以及可運行多執行緒應用並支援圖形、連接和安全功能的32位元MCU。此外，還有將MCU與DSP引擎相結合的數位訊號控制器(DSC)，可為感測器、馬達或電源轉換提供可靠且快速的確定性效能。

每一個車用IC都必須先滿足汽車電子協會(AEC)制定的汽車級製造和效能認證標準。AEC-Q100標準定義跨溫度等級且基於失效機制的壓力測試認證過程，根據具體應用，MCU需要通過AEC Q100 2級、1級或0級認證，三個等級條件分別為0級150℃、1級125℃、2級105℃。 除了AEC認證之外，IC還須取決於元件和應用，額外具備安全就緒的專用功能。例如，8位元MCU通常包括用於汽車介面和智慧感測器網路，並且具備靈活資料傳輸率的控制區域網路(CAN FD)，常作為駕駛艙、方向盤、中控台內機械和電容式按鈕的使用者介面(UI)控制器，或作為無鑰匙進入系統的一部分。8位元MCU須整合的硬體安全功能通常適用於記憶體、系統重置、安全碼執行、安全通訊和通用輸入/輸出(GPIO)保護。這些功能整合專用核心獨立周邊(CIP)和其他功能，包括上電復位(POR)、欠壓重定(BOR)、窗口式看門狗計時器(WWDT)和迴圈備援校驗(CRC)，可協助提高操作安全性和可靠性(圖2)。

對於功能安全就緒的16位元DSC，須整合的硬體安全功能通常包括支援錯誤檢測和糾正的記憶體、內建的記憶體自我檢測(MBIST)、時脈監控和備援振盪器等，用於故障檢測、自診斷和系統診斷以及損毀修復。這些功能安全就緒元件支援的設計包括安全關鍵型高效能嵌入式應用、感測器介面應用、數位電源和馬達控制應用。典型應用則如直流對直流(DC/DC)系統、車載充電器(OBC)、致動器和位置/壓力感測器、觸控單元和其他符合ASIL B或ASIL C標準的控制單元(圖3)。

與所有功能安全就緒MCU一樣，32位元MCU須整合的硬體功能包括支援錯誤更正碼(ECC)和防止故障注入(Fault Injection)的記憶體、MBIST、含備用振盪器和時脈故障檢測的時脈系統，以及具有靜電放電(ESD)保護的GPIO(圖4)。此外，同樣重要的是系統監視器，其中包括POR、BOR、WDT和硬體CRC功能以及記憶體保護單元(MPU)。32位元MCU的適用範圍涵蓋駕駛艙內部系統到先進駕駛輔助系統(ADAS)等一系列應用，有助實現功能安全。

標準MCU和DSC可能透過將主MCU/DSC與輔助MCU/DSC或安全輔助處理器相結合的方式，達到ASIL C/D安全級別，以ASIL分解原理實現，其原理為兩個符合ASIL B標準的子系統組合可達到更高的ASIL，如ASIL C/D。

ASIL C = ASIL B (C) + ASIL A (C)

ASIL D = ASIL B (D) + ASIL B (D) 

             = ASIL C (D) + ASIL A (D)

分解以劃分安全要求和實際元件的方式完成。

從開發生態系統著手 認證資源協助ISO驗證

作為完整開發生態系統的一部分，經過功能安全認證的設計工具套件可以更輕鬆地滿足ISO 26262所規定的驗證和確認要求，尤其適用基於MCU和DSC的設計。工具供應商與協力廠商和獨立的認證機構合作，對功能安全編譯器進行認證，通常牽涉到額外的文件，例如編譯器、整合式開發環境(IDE)以及除錯器和程式設計器的證書、功能安全手冊、安全計畫及工具分類和資格認證報告。這些功能安全資料簡化工具的資格認證和最終應用認證過程。

理想情況下，還應該在設計過程中使用程式碼覆蓋率工具來衡量程式碼的測試效果，並確定軟體已執行和未執行的部分。分類和資格認證報告中也應涵蓋程式碼覆蓋率工具。工程師可使用能以單次運行完成測試的工具，其毋須將程式碼分解為各個模組，也毋須對硬體進行大量修改或使用昂貴的軟體，同時還能避免在大型資料檔案中搜索相關資訊的浩大工程。應用認證需要程式碼測試資料，因此單次運行程式碼覆蓋率工具在簡化流程和縮短上市時間方面發揮關鍵作用。

要開發符合ISO 26262標準的汽車應用，除了產品規格手冊外，工程師還需要從半導體供應商身上獲得一些額外資源。功能安全套件為汽車OEM和供應商提供他們在評估和設計週期各個階段所需的資源。這些套件應提供經過認證的安全手冊、FMEDA報告，在某些情況下，還應提供診斷軟體，例如可供ASIL相關認證使用的自行檢測函式庫(Self-test Library)。

FMEDA報告量化元件的故障模式、故障率(FIT)分布及相應檢測方法，可協助制訂覆蓋率計畫。另一個重要資源是安全手冊。手冊詳細介紹FMEDA報告中指定的故障檢測方法，並就如何使用元件實現安全操作提供建議。安全手冊中包含相依故障(Dependent Failure)以及用於檢測系統故障的硬體功能說明，可診斷函式庫的開發情形。功能安全診斷函式庫可協助評估系統在故障情況下的運行狀態，檢測隨機系統故障並實現功能安全目標。選擇使用提供第三方認證FMEDA報告、安全手冊及診斷函式庫的元件，可簡化安全關鍵型應用的認證工作。 安全關鍵型應用開發的第一步為定義安全目標和目標安全級別。功能安全基礎套件提供FMEDA、安全手冊和認證等基本資源，協助使用者著手評估目標功能安全級別並設計安全關鍵型汽車應用。

理想情況下，基於MCU的設計，其功能安全入門套件應包含經ASIL B就緒認證的FMEDA、安全手冊和符合ASIL B/C標準的診斷庫，以及能夠幫助設計人員瞭解如何使用這些資源，並按照ISO 26262流程開發安全關鍵型應用的參考應用。入門套件有助於縮短設計週期，並根據ASIL B/C合規性開發應用。

功能安全完整套件可擴展增加涵蓋項目，諸如經認證且內含原始碼的診斷函式庫，以及ASIL B/C級別設計的相關安全分析報告。許多終端客戶希望取得經過認證的安全關鍵型應用，而完整套件可加快認證過程。

隨著汽車的複雜度越來越高，車用電子元件水準跟著提高。面向汽車應用、以功能安全為重點的產品是否支援為滿足ISO 26262要求，而提供通過認證之功能安全資源的開發生態系統，正逐漸成為關鍵。IC供應商可藉由保障汽車廠商在開發和認證過程中的長期投資協助廠商進行認證，確保只要他們願意訂購，就會持續供應已認證系統所使用的元件，解除元件意外進入停產(EOL)階段而被迫重新設計的風險。如此一來，不僅認證過程輕鬆快速，也毋須重複設計認證，可提升客戶信賴感。

(本文作者任職於Microchip Technology)