中文 英语

学习ISO 26262 - 第2版

解释功能安全标准并不像看文档那么简单。

受欢迎程度

你可能会认为当你与客户或供应商就某方面的确切解释展开辩论时ISO 26262在美国,你所要做的就是找到标准,查一查,就会得到你们需要的答案,显而易见。这将是理想的,但往往不能反映现实。要了解原因,你必须了解标准的背景。

一个简短的ISO 26262起源故事

ISO 26262最初由机电系统市场中的专家撰写,只有几个半导体专家。这种不平衡导致重点关注过程,不太关注半导体功能安全分析细节。(并且这对我来说是一个巨大的动机,许多其他经验丰富的半导体和半导体IP专家志愿者参与其中!)也是ISO 26262是一个大规模的规范,我们称之为“零件”,每个都是由独立的国际工作组开发的“零件”,意味着这些部分之间存在不可避免的不一致。在2018年第二版中,我们添加了第11部分,“关于ISO 26262的应用指南”,具有半导体和知识产权公司的指导方针和示例,堵塞了一个主要洞。工作组还试图清理同一部分内部甚至条款和图表之间的一些不一致,以更好地澄清要求。第二版绝对是一个改善。但猜猜是什么 - 它仍然并不完美。

模糊性是一种特性,而不是bug!

为什么?部分歧义。因为我想的很清楚,你可能觉得不清楚。其中一些模棱两可是有意为之的:这是一个自愿的(尽管被广泛遵循)标准,旨在保持创新和差异化的灵活性。委员会不想太规定性,这不可避免地会导致一些模棱两可。

这些都是可以理解的,但我们这些在战壕里的人最终会陷入很多解释的辩论。并不是所有和我们一起工作的人多年来都过着这样的生活。例如,他们会读到第11部分的内容,然后告诉我我们必须准确地用这种方式做XYZ。我知道他们为什么这么看,但他们错了。我告诉他们需要看看第11部分和第5、10部分中的一些语句。第11部分是指导和示例,但是需求在前面的部分中。一般来说,经过讨论后,我们会达成一致,但这需要时间。这种情况经常发生在ISO 26262相对较新的客户身上。

理解安全要素是半导体功能安全的关键

提示大量争论的一个主题(许多)是外观(Seooc)之外的安全元素。我的客户应该在测试和文档中对我的期望是什么 - 对于我提供的东西 - 一种高度可配置的软件IP / RTL?I can’t verify its safety metrics in every possible customer use case because I don’t control its use in a chip, have any idea a priori of the architecture of the chip, or understand how that chip will be used at the system level in a module, or the use of that module in a car.

SEooC是一个概念,旨在约束IP提供商在我期望的条件下分析的重点,并提供一个框架来解释这种分析和使用假设我的IP用户。这有助于价值链中的集成商知道如何将我的安全能力和文档整合到他们的分析和文档中。SEooC似乎有很大的回旋余地,但价值链上下的专家已经就他们在实践中所期望的达成了一致。上面的图表显示了其中的一部分——分析了哪些条款完全适用于软IP,哪些条款只部分适用于软IP。(顺便说一下,这个过程叫做“裁剪”。)

投资于学习和持续改进

随着时间的推移,我建立了电子表格来交叉参考标准的部分和我关于集体解释的注释(它太大了,已经变成了一个数据库!)它包括指向ISO 26262文本和图表中潜在的歧义或漏洞的指针,以及对特定条款的参考,以帮助我分析某些情况。在将我的数据库从第一版更新到第二版时,我发现了一些有趣的事实。例如FMEA和FMEDA在第一版标准中没有出现,只在最新版中出现!除此之外,从知识产权开发者到汽车oem厂商,专家开发者和ISO 26262标准用户的工作理解指导下,仍然有相当多的领域的解释依赖于经验和/或事实上的最佳实践协议。从本质上讲,在这个汽车生态系统中,我们所有人都要与供应商、集成商/客户进行谈判,以确定从技术和流程的角度看什么才是有意义的,而熟悉规范是高效谈判过程的关键。

换句话说,ISO 26262的专业知识不仅仅是阅读文档甚至设置过程。它也是为了彻底沉浸在今天标准的实践方式以及如何在规范内的基本要求适用于您的特定情况。我们都在持续学习和改进过程中共同努力。

相关的
ISO 26262知德赢vwiniOS识中心
技术讲座:ISO 26262深入研究
要想在汽车电子市场站稳脚跟。



发表评论


(注意:此名称将被公开显示)