汽车半导体的功能安全性改进

1、简介
ISO 26262:2011的发布给业界带来了比IEC 61508更丰富的内容，从系统、硬件和软件开发领域，为汽车行业的设计和安全团队提供了支持。然而，对于许多半导体供应商而言，相较于Tier 1或Tier 2及OEM，还没有在第一版中拿到与他们相关的要求。
许多半导体器件按照SEooC开发，最终应用也是未知的，需要根据使用假设制定安全目标和ASIL等级。虽然定义相关项的设计团队可以定义和评估系统级安全机制和诊断覆盖率，但这对于半导体供应商来说并不容易。许多半导体制造商的担忧集中在组件的瞬态失效，这个问题在ISO 26262第一版中没有很好地解决。第二版第11部分补充了支持DFA的内容。
第11部分也将是航空业团队非常有用的参考资料，因为它极大地扩展了DO-254 中覆盖的一些主题。本文主要回顾DIS ISO 26262:2018 中提出的解决方案，并讨论它补充的细节内容。

2、ISO 26262 第 11 部分概念
标准第5部分和第11部分中推荐的技术比较，第11部分的内容为那些不作为IP来设计的产品提供了很多额外信息。第11部分很好地参考了JEDEC标准，以了解半导体的失效机制和可靠性，另外，对可靠性标准IEC TR 62380、SN 29500和FIDES的内容介绍也非常有价值。
第11部分重复了一些其他部分已经涉及的主题，并将它们与IP相关联，如果一些信息引用标准的其他部分，例如第4.10节分布式开发接口，那么第11部分的篇幅可以压缩一下。

2.1 瞬态故障量化
新版本第11部分中对瞬态故障的定义比老版本更详细。比如第11部分第4.6.2节，有许多关于瞬态故障的考量，包括a、ß、中子或辐射源。第一版在这个主题上没有提供太多内容。

2.2 器件封装失效率
第11部分的4.6.2.2节讨论了关于封装的不同可靠性标准的优缺点，它还提到了设备封装和引脚相关的考量，这些在老版本中不是特别容易理解或者没有很好的展开。

2.3永久基础失效率计算
第11部分以简洁的方式论述了基础失效率分布，阐述了基于裸片和封装的失效率计算方法，基于面积或等效门数的裸片计算方法。图1说明了影响硬件器件失效率的典型因素。

图 1 基础失效率分布

图 1 基础失效率分布

第4.6.3.5节介绍了多芯片模块主题，但并未就其所指内容提供太多指导。

2.4 诊断覆盖率
第11部分在模拟诊断覆盖率的定义方面仍然薄弱，标准也承认了模拟诊断覆盖率的准确估计不是很容易实现的。其他标准（如ISO 13849-1）中使用的技术可能具有潜在的优势，附录E给出了特定应用的诊断覆盖率示例，但是在汽车的各种应用场景上实现会更复杂。标准在计算数字器件诊断覆盖率方面提供了更好的例子，比如附录A中的DMA控制器案例。
2.5 相关失效分析（DFA）
第11部分的DFA部分为识别和分析给定元素之间可能的共因和级联失效，评估违反安全目标（或衍生的安全需求）的风险并定义必要时采取的风险轻减措施做了介绍。主要目的是评估功能安全概念的薄弱点，并提供满足独立性或免于干扰（根据要素共存分析（参见ISO26262-9:2018，第6条）识别）的证据。
第11部分的第4.7.4节还讨论了在半导体设备中共因失效和级联失效的区别，并强调在特定失效场景下，这种区分并不总是可能的或有用的。这是与ISO 26262其他部分明显不同的一个地方。
DFI表示安全范围内相关失效的根本原因。考虑不同的系统、环境和随机硬件问题，图2是一个环境问题列表。

图 2. 环境条件导致的系统性相关失效

图 2. 环境条件导致的系统性相关失效

DFA和安全分析之间关系的说明：安全分析主要侧重于识别单点和双点/多点失效来评估ISO 26262的指标，并在必要时定义安全机制来改进指标。DFA进行补充分析，确保安全机制的有效性不受相关失效触发条件的影响。

2.5.1 DFA 工作流程
第11部分提供了一个很好的方法来识别DFI，确定DFI是否充分发掘，确定必要的安全机制并确保这些机制是充分的。这个方法对从事汽车系统开发的团队很有用，而且不限于半导体或IP（图3）。

图 3. 相关失效分析工作流程

图 3. 相关失效分析工作流程

2.6 故障注入
第11部分给出了关于故障注入的潜在好处和应用指导，例如测试计划和测试技术。第11部分可能有点弱的地方是没有定义故障注入的时间和频率，即更多地验证安全机制的有效性，而没有验证诊断覆盖率的合理性。
3、半导体器件分类和用例
3.1 数字器件
数字器件和存储的处理在一定程度上可以说是在第11部分里最强大的领域。关于诸如存储器部件的故障模型的详细定义和指南，常见数字块的失效模式、瞬态分析和诊断覆盖率估计都已经文档化。对于开发纯数字器件的团队，第11部分是一个非常有用的参考资料。第11部分也支持开发流程，是ISO 26262第5部分的一个合适的附加示例。

3.2模拟和混合信号器件
关于模拟器件，第11部分对潜在失效模式有很好的覆盖，特别是在表35中。同样，关于模拟单事件瞬态（ASET）的讨论非常好。第11部分的弱点是缺乏关于诊断覆盖率的说明。附录D给出了模拟器件定量评估的一个很好的例子,但是欠压和过压检测给出了99.9%的诊断覆盖率，没有给出关于如何计算的理由。典型的电路案例和估计/计算的诊断覆盖率将会非常有帮助。

3.3 可编程逻辑器件（PLD）
如图所示，PLD的生命周期映射与ISO 26262中给出的SEooC映射非常吻合，清楚地表示了PLD制造商生成的硬件假设(必须由PLD用户验证)。第11部分详细描述了PLD裸片失效率与IEC TR 62380之间的关系，给出了完整的基于逻辑、存储等的FIT率示例，并给出降额数据。此外，还有参考JESD89A对瞬态失效的考量（图4）。

图 4. ISO 26262 生命周期映射到 PLD

图 4. ISO 26262 生命周期映射到 PLD

3.4 多核
多核器件的分析很好地概述了简化的多核应用，并通过分解讨论很好地支持这一点。然而，第11部分没有详细说明软件锁步或松散耦合锁步技术，这些被认为超出了第11部分的范围。随着微控制器技术的进步，我们现在有标准的3核或多核处理器。这些核如何相互作用，并在功能安全背景下进行评估，需要比第11部分给出的内容更加详细的评估。第11部分也介绍了多核器件，如图5和图6。

图 5. 多核器件的类型

图 6 双核系统

图 6 双核系统

如第11部分第5.4节所述，共享资源是一种已知的DFI。对于软件元素，其共享资源可以是硬件元素（例如RAM、缓存），也可以是软件元素（例如，驱动）。多核内共享资源（例如内存、时间、运行或信息交换干扰）导致的问题可以通过将相应的软件元素分配给没有共享资源的独立可编程软件元素(PE)来解决。其他问题（例如，共享存储器、共用软件元素）采用单核系统的方式解决（例如OS通过MPU封装内存、开发符合初始ASIL的共用软件元素）。第11部分也介绍了帮助实现软件分区的虚拟化等技术，但读者应该需要更加详细的调查才能发挥其效用。
3.5 传感器及变换器
第5.5节很好地概述了传感器、失效模式、生产过程。并给出了微机电系统（MEMS）不同阶段的功能安全评估的例子，主要着眼于安全分析，安全措施、DFA和器件的特定失效。本节确实对这些主题给出了一个很好的介绍，但仍然只是介绍性的（图 7）。

图 7复杂分层传感器示例

图 7复杂分层传感器示例

4、结论和未来工作
在ISO 26262:2011 中没有得到很好支持的领域，特别是如何评估硬件失效率和DFA方面，ISO 26262:2018为设计团队和安全团队提供了补充的支持信息。在第11部分中的许多附加信息侧重于介绍性的内容，而不是更详细地实践指导。特别是模拟器件的诊断覆盖率没有得到很好的解读。2011版标准在这方面给予了团队更好的支持。第11部分不仅为汽车行业设计和安全团队提供了有用的参考，航空业也会发现这是一个有价值的信息来源。