Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-11:2018 道路车辆——功能安全——第11部分:半导体应用指南
半导体功能安全技术指南——故障模型、失效率估算、IP集成与相关失效分析
一、半导体功能安全——ISO 26262的新前沿
ISO 26262-11:2018 是第一版,作为2018年ISO 26262系列重大扩展的一部分发布。该部分满足了汽车功能安全中对半导体专用指导的迫切需求。现代车辆包含数十个复杂的半导体组件——微控制器、SoC、存储器、传感器、电源管理IC和ASIC——每个组件都必须按照所需的ASIL等级进行开发。第11部分提供了有效将这些组件应用于ISO 26262所需的专业知识。
半导体行业在功能安全方面面临独特挑战:复杂的故障模型、基础失效率估算的需求、知识产权(IP)集成、芯片级别的相关失效分析,以及硬件和软件安全机制之间的相互作用。第11部分通过详细的技术指导解决了所有这些主题,弥合了ISO 26262-5(硬件)和ISO 26262-6(软件)的一般要求与半导体设计和制造的具体现实之间的差距。
第11部分是任何为ASIL级应用开发半导体组件的工程团队的必读材料,同时也是需要了解半导体安全机制能力和限制的系统集成商的必备参考。
| 主题 | 条款 | 关键技术内容 |
|---|---|---|
| 半导体划分 | 4.1–4.2 | 如何分解半导体组件进行安全分析 |
| 故障模型与失效模式 | 4.3 | 固定故障、跳变故障、耦合故障;失效模式分布 |
| IP开发与集成 | 4.5 | IP生命周期、分类、黑盒IP集成、工作成果 |
| 基础失效率估算 | 4.6 | IEC TR 62380、SN 29500、永久失效率计算方法 |
| 相关失效分析 | 4.7 | 级联失效、共因失效、半导体DFA工作流 |
| 故障注入 | 4.8 | 基于仿真和基于仿真的故障注入技术 |
| 数字组件与存储器 | 5.1 | 逻辑电路、SRAM、DRAM、闪存、寄存器文件的故障模型 |
| 模拟与混合信号 | 5.2–5.6 | ADC、DAC、电源管理、传感器、执行器 |
| 可编程逻辑(FPGA) | 5.7 | 配置存储器、SEU考虑、综合安全 |
二、半导体功能安全的关键技术概念
第11部分引入了超出ISO 26262-5一般故障分类的半导体专用故障模型。对于数字组件,故障模型包括固定故障(SA0/SA1)、跳变故障(慢上升/慢下降)和耦合故障(针对存储器)。标准为常见数字模块(如CPU、DMA控制器、中断控制器和存储器控制器)提供了详细的失效模式定义指导。每个失效模式必须与其相关的失效率分布一起评估,以支持定量分析。
基础失效率估算(第4.6条)是半导体安全分析的关键主题。第11部分提供了使用行业可靠性标准(如IEC TR 62380和SN 29500)的详细指导,并根据半导体的具体考虑进行了调整。标准解释了在计算失效率时如何考虑工艺节点影响、工作温度、电压应力和任务剖面。该指导对于为半导体组件生成可信的定量安全分析(PMHF计算)至关重要。
半导体的失效率估算需要仔细考虑任务剖面。用于乘用车发动机舱(高温、高振动)的组件与用于座舱信息娱乐系统的相同组件将具有根本不同的失效率。务必使用实际用例的任务剖面,而非通用假设。
芯片级别的相关失效分析(DFA,第4.7条)解决了可能影响单个芯片内多个功能的特定失效机制。这些包括:衬底耦合、电源分配、热耦合、时钟分配和复位分配。第11部分描述的DFA工作流提供了一种系统方法:识别相关失效引发因素、定义缓解措施、证明同一芯片上安全相关要素之间存在充分独立性。
三、实用工程设计洞察
对于实施功能安全的半导体设计人员,第11部分中出现了几个实用的工程洞察。IP集成(第4.5条)需要仔细关注IP提供者和IP集成者的安全要求。标准定义了三种IP类别:脱离上下文的安全要素(SEooC)、具有假定安全要求的安全相关IP以及非安全IP。每个类别对IP生命周期、工作成果和集成证据都有特定要求。
IP集成的最佳实践:要求您的IP提供商随每个IP模块交付安全手册。安全手册应记录:假定的安全要求、故障模型、含失效率的失效模式、诊断功能和集成约束。没有这些信息,将IP集成到安全相关设计中极难论证。
故障注入(第4.8条)是半导体安全机制的关键验证技术。第11部分描述了基于仿真的故障注入和基于仿真的方法。标准规定了故障注入活动中需要控制的特征或变量:故障类型、故障位置、故障时序和运行条件。故障空间的适当统计覆盖对于获得有意义的结果至关重要。
一个常被忽略的关键洞察:故障注入结果的评估不仅要看安全机制是否检测到故障,还要看检测花费了多长时间。正确检测到故障但超过FTTI的安全机制是不合规的机制。务必在故障注入活动中包含时序测量。
特定技术章节(第5条)为不同类型的半导体提供了详细指导。对于存储器,标准涵盖了ECC(纠错码)、奇偶校验、内置自测试(BIST)和冗余。对于模拟/混合信号组件,涉及ADC/DAC环回测试、电源监视和基于比较器的诊断。对于FPGA,涵盖配置存储器保护、单粒子翻转(SEU)缓解以及综合和实现工具的安全影响。
常见问题解答
问1:半导体组件可以声称的最低失效率是多少?
没有固定的最低值。基础失效率必须来自公认的行业标准(IEC TR 62380、SN 29500)或具有适当统计置信度的现场数据。标准警告不要在没有支持证据的情况下使用任意低的失效率。对于现代深亚微米工艺,每百万门的实际基础失效率通常在10 FIT到1000 FIT之间,具体取决于工艺技术、电压和温度。
没有固定的最低值。基础失效率必须来自公认的行业标准(IEC TR 62380、SN 29500)或具有适当统计置信度的现场数据。标准警告不要在没有支持证据的情况下使用任意低的失效率。对于现代深亚微米工艺,每百万门的实际基础失效率通常在10 FIT到1000 FIT之间,具体取决于工艺技术、电压和温度。
问2:针对硬件故障在软件中实现的安全机制应如何分类?
针对硬件故障的基于软件的安全机制可以获得诊断覆盖率的认可,但标准要求软件诊断本身必须免受系统性故障的影响(按照适当的ASIL开发)。对于相同的故障,基于软件机制诊断覆盖率通常低于硬件实现的机制,这必须在定量分析中得到反映。
针对硬件故障的基于软件的安全机制可以获得诊断覆盖率的认可,但标准要求软件诊断本身必须免受系统性故障的影响(按照适当的ASIL开发)。对于相同的故障,基于软件机制诊断覆盖率通常低于硬件实现的机制,这必须在定量分析中得到反映。
问3:IP模块能否作为”脱离上下文的安全要素”(SEooC)开发?
可以,这是半导体IP最常见的方法。SEooC使用安全手册中记录的假定安全要求进行开发。集成者负责验证IP的假定安全要求与系统的实际安全要求一致。IP开发者必须提供充分的证据(安全手册、分析报告、验证结果)以便集成者执行此验证。
可以,这是半导体IP最常见的方法。SEooC使用安全手册中记录的假定安全要求进行开发。集成者负责验证IP的假定安全要求与系统的实际安全要求一致。IP开发者必须提供充分的证据(安全手册、分析报告、验证结果)以便集成者执行此验证。
问4:第11部分如何处理AI加速器和神经处理单元等新兴技术?
第11部分提供了适用于数字组件的通用指导,涵盖了大多数AI加速器架构(数字计算、存储器、数据路径)。然而,AI/ML安全的独特方面(如神经网络计算的正确性、张量运算的数据路径完整性)可能需要超出第11部分范围的额外分析。通用故障模型和DFA方法仍然适用,并为AI加速器安全分析提供了起点。
第11部分提供了适用于数字组件的通用指导,涵盖了大多数AI加速器架构(数字计算、存储器、数据路径)。然而,AI/ML安全的独特方面(如神经网络计算的正确性、张量运算的数据路径完整性)可能需要超出第11部分范围的额外分析。通用故障模型和DFA方法仍然适用,并为AI加速器安全分析提供了起点。
