汽车正在变成车轮上的虚拟数据中心,以处理计算密集型系统所产生的海量数据,让高级驾驶辅助系统 (ADAS) 成为现实。这些系统需要符合 ISO 26262 严格的功能安全 (FuSa) 标准。
为了证明符合 ISO-26262 最严格的汽车安全完整性等级 (ASIL) ASIL D标准,系统集成商需要提供安全要求合格验证报告。传统上,所有的安全分析和报告由系统集成商单独执行。美光改变了这一点。我们是率先提供通过安全评估的 LPDDR5 产品的内存供应商,该产品符合 ASIL D 等级标准。如今,我们率先实现在销售产品时提供新的汽车安全文件:由开发人员编写的 LPDDR5 硬件评估报告。
扩展汽车产品安全文件
将质量管理级(QM 级)内存组件集成至 ASIL系统时,越来越需要产品安全文件的支持。美光提供三份文件来协助集成商实现系统层面的 ISO 26262 合规,最高可满足 ASIL D 级标准:
1. 安全分析报告 — 该报告总结了产品故障模式、影响和诊断分析 (FMEDA) 结果。FIT 定量数字应由系统集成商进行验证,用于应用任务配置文件。其中一个关键标准是集成商对安全应用说明中所列出的使用假设的接受情况。
2. 安全应用说明 — 本文件与安全手册类似,有助于美光 QM 产品集成,并帮助系统开发人员创建嵌入美光内存产品的安全系统。其中介绍了内存设备在出现故障时的特征,如何检测和/或纠正故障,集成商如何配置主机系统以改进故障通知,以及其他因素。包括产品应用场景、最高等级安全要求、故障模式、安全状态、限制、设计方法、使用假设以及关于集成商应用内存产品的外部措施指导。
3. 硬件评估报告 —对电子元件进行硬件评估的目的是确保功能行为满足集成商及其系统的安全需求,这样一来因组件系统性故障而违反这些需求的风险就会非常低。
虽然以上两份文件很常见,但由供应商提供的硬件评估报告却是独一无二的。让我们深入了解一下。
为什么需要硬件评估报告?
根据系统集成商的评估,QM 部件可能用于符合 ISO 26262 标准的系统。标准第 8 部分第 13 款规定,如果集成商可以执行硬件评估,“证明硬件组件和部件适用性”,那么组件就视为能够满足给定的安全要求。如果硬件组件原本没有按照 ISO 26262 标准开发,却集成至安全合规项目中,且硬件组件有特定安全要求,则需要进行硬件评估。依据这一解释,美光新成立的功能安全部门为客户正式制定了这一文档。
强烈建议系统集成商在硬件开发人员的支持下执行硬件评估。评估由作为硬件元件(例如通过功能安全评估的 LPDDR5)开发商和供应商的美光执行,美光能够获取关于设计内部情况和制造流程的详细信息。
exida 是知名的第三方顾问,已确认了我们的硬件评估方案,使其在使用商业现货 (COTS) 硬件组件时,可用于替代 ISO-26262 合规集成电路开发。美光的分析加上 exida 的独立评估,可通过支持文档帮助集成商将自己的产品评估为三级 (Class III) 硬件。
下表显示了与全面详尽的硬件 (HW) 评估相关的多方面信息:
硬件评估依据的是一套有据可查的假定最高等级安全要求,以及其他功能性和非功能性要求。这种方法可与 ISO 26262 中常用的独立安全单元 (SEooC) 概念相媲美。美光的文件包含与 ISO 26262-8 工作产品相关的要求:WP 13.5.1: 硬件单元评估计划和 WP 13.5.3:硬件单元评估报告。
为什么美光的硬件评估报告如此有用?
系统设计师和集成商必须证明在安全至关重要的应用中使用 QM 级汽车部件不会产生不可接受的风险。美光提供供应商执行的硬件评估来协助评估,该评估依赖于以下几个方面:
• 美光成熟的汽车内存开发和制造流程
• 审核和检查需求、设计规范和执行,以及产品开发和生产过程中产生的其他工作产品
• 全面硅前验证,包括仿真、设计分析和形式验证方法
• 严格的硅后验证,包括校验、表征和 AEC-Q100 汽车认证
• 满足对硅前验证和硅后验证可追溯性的扩展需求
• 先进的汽车内存生产测试
• 定性故障和安全分析(概念-FMEA、设计-FMEA、DFA)
随机硬件故障定量分析 (FMEDA)
美光实现了哪些行业“首例”?
美光是率先开发车用低功耗 DDR5 DRAM (LPDDR5) 的内存供应商,并让该产品可以用于符合 ASIL-D 标准的汽车安全系统。美光的车用 LPDDR5 是率先配备硬件评估报告和其它更多资料的内存产品解决方案,用于支持集成商开发功能安全系统。
美光秉承对汽车市场 30 年来的承诺,在功能安全系统内存和合规文件方面处于领先地位。