半导体企业ISO-26262-11-2018-中文文档格式.docx

半导体企业ISO-26262-11-2018-中文文档格式.docx

《半导体企业ISO-26262-11-2018-中文文档格式.docx》由会员分享，可在线阅读，更多相关《半导体企业ISO-26262-11-2018-中文文档格式.docx（122页珍藏版）》请在冰点文库上搜索。

4.8.3故障注入结果57

4.9生产经营57

4.9.1关于生产57

4.9.2生产工作产品58

4.9.3关于服务（维护和修理）和退役58

4.10分布式开发中的接口58

4.11确认措施59

4.12关于硬件集成和验证的说明59

5具体半导体技术和用例60

5.1数字组件和存储器60

5.1.1关于数字组件60

5.1.2非存储器数字组件的故障模型60

5.1.3存储器的详细故障模型61

5.1.4数字组件的故障模式62

5.1.5公共数字块的故障模式定义示例62

5.1.6数字部分的定性和定量分析66

5.1.7关于数字组件定量分析的说明67

5.1.8定量分析的例子69

5.1.9检测或避免系统故障的技术或措施示例

在设计数字组件70期间

5.1.10使用故障注入模拟进行验证74

5.1.11数字组件的安全文档示例75

5.1.12数字组件和存储器的安全机制示例76

5.1.13数字组件和存储器技术概述77

5.2模拟/混合信号分量80

5.2.1关于模拟和混合信号组件80

5.2.2模拟和混合信号分量和故障模式82

5.2.3安全分析说明91

5.2.4安全机制的例子94

5.2.5在开发阶段避免系统故障97

5.2.6模拟/混合信号组件的安全文档示例100

5.3可编程逻辑器件101

5.3.1关于可编程逻辑器件101

5.3.2PLD105的故障模式

5.3.3PLD安全性分析说明106

5.3.4PLD的安全机制示例112

5.3.5避免PLD的系统故障113

5.3.6PLD的安全文件示例116

5.3.7PLD安全分析示例116

5.4多核组件116

5.4.1多核组件的类型116

5.4.2ISO26262系列标准对多核部件的影响117

5.5传感器和换能器119

5.5.1传感器和传感器的术语119

5.5.2传感器和传感器故障模式120

5.5.3传感器和传感器的安全分析125

5.5.4传感器和传感器的安全措施示例126

5.5.5关于避免传感器和传感器的系统故障130

5.5.6传感器和传感器的安全文件示例131

附件A（资料性附录）关于如何使用数字故障模式进行诊断覆盖率评估的示例132

附件B（资料性附录）从属故障分析的例子136

附件C（资料性附录）数字部件的定量分析示例150

附件D（资料性）模拟组分的定量分析实例155

附件E（资料性附录）PLD组分的定量分析实例169

参考书目175

ISO（国际标准化组织）是一个全球性的国家标准机构联盟（ISO成员机构）。

准备国际标准的工作通常通过ISO技术委员会进行。

对成立技术委员会的主题感兴趣的每个成员机构都有权在该委员会中有代表。

与ISO联络的国际组织，政府和非政府组织也参与了这项工作。

ISO在电工技术标准化的所有方面与国际电工委员会（IEC）密切合作。

用于开发本文档的程序和用于进一步维护的程序在ISO/IEC指令第1部分中有所描述。

特别是，应注意不同类型的ISO文档所需的不同批准标准。

本文件是根据ISO/IEC指令第2部分的编辑规则起草的（参见www.iso.org/directives）。

需要注意的是，本文件的某些要素可能是专利权的主体。

ISO不负责识别任何或所有此类专利权。

在文件制定过程中确定的任何专利权的详细信息将在收到的专利声明的引言和/或ISO列表中（见www.iso.org/patents）。

本文档中使用的任何商标名称是为方便用户而给出的信息，而不是

构成认可。

关于标准的自愿性质的解释，与合格评定相关的ISO特定术语和表达的含义，以及ISO在技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则的信息，请参见以下网址：

www.iso.org/iso/foreword.html。

本文件由技术委员会ISO/TC22道路车辆小组委员会SC32电气​​和电子部件和一般系统方面编写。

有关本文档的任何反馈或问题，请直接与用户的国家标准组织联系。

一个

这些机构的完整列表可在www.iso.org/members.html上找到。

可以在ISO网站上找到ISO26262系列中所有部件的列表。

ISO26262系列标准是适应IEC61508系列标准的解决方案

公路车辆内的电气和/或电子（E/E）系统的特定行业需求。

此适应性适用于由电气，电子和软件组件组成的安全相关系统的安全生命周期内的所有活动。

安全是公路车辆发展的关键问题之一。

汽车功能的开发和集成增强了对功能安全的需求以及提供满足功能安全目标的证据的需求。

随着技术复杂性，软件内容和机电一体化实施的趋势，系统故障和随机硬件故障的风险越来越大，这些都被认为是在功能安全范围内。

ISO26262系列标准包括通过提供适当的要求和流程来降低这些风险的指南。

为实现功能安全，ISO26262系列标准：

a）为汽车安全生命周期提供参考，并支持在生命周期阶段（即开发，生产，运营，服务和退役）中进行的活动的定制;

b）提供基于汽车的风险方法来确定完整性水平[汽车安全完整性等级（ASIL）];

c）使用ASIL指定ISO26262的哪些要求适用以避免不合理

剩余风险;

d）提供功能安全管理，设计，实施，验证，确认和确认措施的要求;

和

e）提供客户与供应商之间关系的要求。

ISO26262系列标准涉及通过安全措施（包括安全机制）实现的E/E系统的功能安全性。

它还提供了一个框架，在该框架内可以考虑基于其他技术（例如机械，液压和气动）的安全相关系统。

功能安全的实现受到开发过程（包括需求规范，设计，实现，集成，验证，验证和配置等活动），生产和服务流程以及管理流程的影响。

安全性与共同的功能导向和质量导向的活动和工作产品交织在一起。

ISO26262系列标准涉及这些活动和工作产品的安全相关方面。

图1显示了ISO26262系列标准的整体结构。

ISO26262系列标准基于V模型作为产品开发不同阶段的参考过程模型。

在图中：

-阴影“V”代表ISO26262-3，ISO26262-4，ISO26262-5之间的互连，

ISO26262-6和ISO26262-7;

-用于摩托车：

-ISO26262-12：

2018，第8条支持ISO26262-3;

2018，第9和10条支持ISO26262-4;

-具体条款以下列方式表示：

“m-n”，其中“m”代表数字

特定部分和“n”表示该部分中的条款编号。

图1-ISO26262系列标准概述

道路车辆-功能安全-

第11部分：

ISO26262在半导体中的应用指南

1条，适用范围

本文件旨在应用于包括一个或多个电气和/或电子（E/E）系统的安全相关系统，并且安装在串联生产道路车辆中，不包括轻便摩托车。

本文件未涉及特殊车辆中的独特E/E系统，例如为残疾司机设计的E/E系统。

注意存在其他专用的特定应用安全标准，可以作为ISO26262系列的补充

标准，反之亦然。

在本文档发布之前已经开发的用于生产的系统及其组件或系统及其组件，不在本版的范围之内。

本文档通过根据更改量身定制安全生命周期，解决在本文档发布之前发布的现有系统及其组件的更改。

本文档通过定制安全生命周期来解决根据本文档开发的现有系统和根据本文档开发的系统的集成。

本文档解决了安全相关E/E系统故障行为可能造成的危害，包括这些系统的相互作用。

除非直接由安全相关的E/E系统的故障行为引起，否则它不涉及与电击，火灾，烟雾，热，辐射，毒性，可燃性，反应性，腐蚀，能量释放和类似危险相关的危险。

本文档描述了一个功能安全框架，以帮助开发与安全相关的E/E系统。

该框架旨在用于将功能安全活动集成到公司特定的开发框架中。

一些要求具有明确的技术重点，以将功能安全性实施到产品中;

其他人解决了开发过程，因此可以将其视为流程要求，以展示组织在功能安全方面的能力。

本文档未涉及E/E系统的标称性能。

本文档仅提供信息性特征。

它包含了有关半导体开发的ISO26262其他部分的可能解释。

关于可能的解释，该内容并非详尽无遗，即，为了满足ISO26262的其他部分中定义的要求，其他解释也是可能的。

2规范性参考文献

文中提到了以下文件，其中部分或全部内容构成了本文件的要求。

凡是注日期的引用文件，仅引用的版本适用。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

ISO26262-1，道路车辆-功能安全-第1部分：

词汇

3术语和定义

就本文件而言，术语，定义和缩写术语在

ISO26262-1适用。

ISO和IEC在以下地址维护用于标准化的术语数据库：

-IECElectropedia：

可从http:

//www.electropedia.org/获取

-ISO在线浏览平台：

https:

//www.iso.org/obp

4半导体元件及其分区

4.1如何看待半导体元件

4.1.1半导体元件开发

如果半导体元件是作为符合ISO26262系列标准的项目开发的一部分而开发的，则它是基于通过技术安全概念从项目的顶级安全目标得出的硬件安全要求而开发的。

针对相关故障模式的诊断覆盖范围的目标，以满足硬件架构指标和随机硬件故障（PMHF）的概率指标或每个安全目标违规原因（EEC）的评估分配给该项目：

在这种情况下，半导体组件只是其中一个要素。

如ISO26262-5：

2018[66]，8.2的示例中所述，为了促进分布式开发，可以通过在项目级别导出SPFM，LFM和PMHF的目标值，将目标值分配给半导体组件本身或将EEC应用于HW零件级别。

半导体元件的安全性分析是根据ISO26262-5：

2018,7.4.3和ISO26262-9：

2018[70]，第8章中定义的要求和建议进行的。

注：

如果未按照ISO26262系列标准开发元件，则可以考虑ISO26262-8：

2018[69]第13章中的要求。

如ISO26262-10[61]中所述，半导体元件可以开发为SEooC。

在这种情况下，开发是基于对半导体元件使用条件的假设（使用假设或AoU，见4.4），然后考虑到源自半导体元件的要求，在下一个更高的集成度下验证这些假设。

其中使用半导体元件的项目的安全目标。

假设半导体组件是SEooC，提供该部分中的描述和方法，但是如果半导体组件不被视为SEooC，则所描述的方法（例如，用于半导体组件的故障率计算的方法）仍然有效。

当考虑独立半导体元件进行这些方法时，进行适当的假设。

第4.4小节描述了如何在系统或元素级别调整和验证这些方法和假设。

在独立的半导体元件级别，ISO26262-2[63]，ISO26262-5，ISO26262-6[67]，ISO26262-7[68]，ISO26262-8和ISO26262-9的要求（例如

可以应用与安全性分析，依赖性故障分析，验证等相关的。

4.2将半导体元件分成几部分

如图2所示，根据ISO26262-1：

2018,3.21中的定义，半导体元件可以分为几部分：

详细程度（例如，是否停止在部分级别或下至子部分或基本子部分级别）以及基本子部分（例如触发器，模拟晶体管）的定义可取决于安全概念，阶段分析和使用的安全机制（在半导体组件内部或在系统或元件级别）。

图2-半导体，其零件和子部件

4.3关于硬件故障，错误和故障模式

集成电路的随机硬件故障和故障模式链接在一起，如下面的图3所示。

注1：

故障模式可以是抽象的，也可以根据具体实施情况量身定制，例如与组件，部件或子部件的引脚相关。

通常，故障模式在本文档中描述为功能故障模式。

进一步

可以表征失效模式。

示例附录A给出了数字电路故障模式的示例。

本文档中描述的错误和错误与给定的物理实现有关

半导体元件。

注2：

根据ISO26262-1定义使用术语故障，错误和故障，即故障会产生可能导致故障的错误。

在许多可靠性建模标准中，术语故障和故障可互换使用。

图3-硬件故障和故障模式之间的关系

4.3.1故障模型

故障模型是物理故障的抽象表示。

故障模式分布与图3中所示的故障模型相关联。

示例如果故障模式由于卡住故障导致X％，短路导致Y％，并且如果安全机制仅覆盖覆盖率为Z％的固定故障，则声明的诊断覆盖率为X％×

Z％。

在半导体组件的背景下，基于技术和电路实现来识别相关的故障模型。

有关数字组件故障模型和5.1.3存储器故障模型的更多详细信息，请参见5.1.2。

由于故障数量和所需的详细程度，通常无法单独评估每个可能的物理故障。

4.3.2故障模式

在与安全概念和相关安全机制相称的详细程度上描述故障模式。

示例1在具有硬件锁步安全机制的CPU的情况下，可以通过查看整个CPU功能来定义故障模式。

示例2在具有基于结构软件的硬件测试作为安全机制的CPU的情况下，CPU功能的故障模式被更详细地定义，因为软件测试将覆盖具有不同故障模式覆盖的不同故障模式。

示例3附录A给出了数字故障模式的不同详细程度示例。

要定义故障模式，请使用关键字（如果适用）。

示例4关键字的示例包括：

错误的程序流执行，数据损坏，访问非预期位置，死锁，活锁，不正确的指令执行。

在特殊情况下，更接近物理实现的故障模式可能更有帮助。

实施例5模拟失效模式（表36）。

识别的故障模式和电路实现故障模型之间的关联由证据支持，确保将任何故障模式分配给组件的部件/子部件，并且任何相关的部件/子部件具有至少一种故障模式。

注意目标是确保电路实现与列出的故障模式之间没有间隙。

4.3.3故障模式下基本故障率的分布

基本故障率（见4.6）分布在故障模式中。

该分布的准确性与分析的详细程度和可用的相关安全机制的考虑一致。

例1在具有硬件锁步安全机制的CPU的情况下，没有必要具有

详细分配CPU故障模式。

示例2在具有基于结构软件的硬件测试的CPU的情况下，更详细地定义分布，因为以这种方式可以足够精确地估计故障模式的诊断覆盖。

如果没有可用于计算具有所需精度的分布的数据，则故障率在故障模式中均匀分布，或者提供相关参数的专家判断。

对分布进行灵敏度分析，以评估对诊断覆盖率和定量安全性分析结果的影响。

4.4关于使半导体元件安全分析适应系统级

半导体元件安全分析适应系统级通过以下方式完成：

-将半导体元件的详细故障模式转换为系统级分析期间所需的高级故障模式，如图4所示;

图4-导出系统级故障模式的自下而上方法示例

通过组合自上而下（例如FTA）和自下而上的方法（例如FMEA），可以识别

详细的半导体元件故障模式，并将它们组合到元件级。

从低抽象水平开始，可以为半导体元件提供定量和精确的失效分布，否则将基于定性分布假设。

注3：

如4.2中所述，必要的详细程度取决于分析的阶段和所使用的安全机制。

-可以通过部件，组件级别或系统或项目级别的措施来改进在部分或子部分级别计算的诊断范围;

要么

示例1半导体组件包括ADC，其没有以硬件实现的安全机制。

在组件独立级别，诊断覆盖率被认为是零。

在系统级，ADC包含在闭环中，其故障通过基于软件的一致性检查来检测。

在这种情况下，由于在系统级实施的安全机制，该子部分的诊断覆盖范围增加。

-在部分或子部分计算的诊断范围可以在某些特定假设（“使用假设”或AoU）下计算。

注4：

在系统级，可能存在不同的安全机制或故障屏蔽。

当可以进行调整时，可以在安全性分析中考虑这一点。

示例2：

半导体组件包括存储器，其中每个单错误被ECC校正并用信号通知给CPU。

在组件独立级别，假设实现了软件驱动程序来处理此事件。

在系统级，出于性能原因，未实现此软件驱动程序，因此未满足该假设。

半导体元件被编程为将纠错标志直接发送到外界。

4.5知识产权（IP）

4.5.1关于IP

4.5.1.1了解IP

在本子条款中，IP是指可重复使用的逻辑设计或物理设计单元，旨在作为一个部件或组件集成到设计中。

术语“IP集成器”用于指负责将来自一个或多个源的IP设计集成到具有安全要求的设计中的组织。

“IP供应商”一词用于指负责设计或开发IP的组织。

IP集成商和IP供应商可以是单独的各方，也可以是同一公司中的同一公司或不同组织。

根据ISO26262系列标准的要求，为基于IP的设计确定了四种可能的方法。

这些方法如图5所示.IP集成商通常根据对IP供应商提供的信息的考虑以及IP的成熟度来选择方法。

示例如果IP供应商没有可用的支持信息，则可能的方法可以限于“使用中证明”参数（如果适用）。

如果证明使用中的论证不适用，那么IP在安全架构中的作用将被区别对待，例如：

使用多种冗余来降低系统和随机硬件故障的风险。

图5-在安全相关设计中使用IP的可能方法

IP可以是具有预定义功能集的现有设计。

在这种情况下，IP集成商有责任确定支持设计安全概念所需的一组功能。

IP也可以根据商定的安全要求进行设计。

在这种情况下，IP集成商确定了支持设计安全概念所必需的IP要求。

本子条款中的指南适用于新开发的IP，修改后的IP和现有的未修改IP。

通常的方法是假设ISO26262-2：

2018,6.4.5.7中定义的可能的目标用途。

该选项在ISO26262-10[61]中描述为SEooC。

SEooC的开发依赖于识别由IP集成商验证的假设用例和安全要求。

4.5.1.2IP的类型

表1中列出了常用的IP类型。

这不是涵盖可能的IP类型的详尽列表。

本文档考虑了应用于半导体设计的IP的物理和模型表示类型。

表1-IP的类型

IP类型

描述

物理表示

完整的芯片布局描述，包含特定单元库的标准单元实例或目标制造过程的模拟单元。

示例ADC宏，PLL宏。

模型表示

根据硬件描述语言（HDL）描述设计

例如Verilog或VHDL，或模拟晶体管级电路原理图。

模型表示中的逻辑设计被合成为由基本单元组成的门列表，然后是布局和布线以实现半导体设计。

模拟电路原理图组件（如晶体管，二极管，电阻器和电容器）映射到目标技术库组件，然后进行布局布线以实现半导体设计。

示例处理器或存储器控制器设计交换而不映射到特定技术，运算放大器晶体管级示意图。

物理表示IP也称为“硬IP”。

模型表示IP也称为“软IP”。

该分类适用于通用IP设计，包括数字，模拟，混合信号，PLD，传感器和传感器。

逻辑设计形式的IP也可以配置。

在这种情况下，配置选项由IP集成商指定。

示例1用于定义接口总线宽度，内存大小和故障检测的配置选项

机制。

IP也可以使用专用工具生成（内存编译器，C到HDL编译器，网络上-

芯片发生器）。

在这种情况下：

-可以使用ISO26262-8：

2018，第11章中描述的方法证明对软件工具的信心，该方法基于对生成的IP执行的验证量而定制;

-通过以下方式执行必要的验证活动以保证生成的IP的正确性

适用的IP集成商或IP供应商（例如DIA协议）;

-提供下列条款中列出的必要工作产品;

-IP集成商验证IP在其上下文中的正确集成。

4.5.2知识产权的类别和安全要求

通常，可以基于安全要求的分配来确定两类IP：

没有分配安全要求的IP，以及具有一个或多个分配的安全要求的IP。

当IP没有分配安全要求时，除非在安全分析期间确定，否则ISO26262系列标准不需要额外考虑。

在非安全相关IP与安全相关元件共存的情况下，使用相关故障分析来评估无干扰的自由度。

有关从属故障分析指南，请参阅ISO26262-9：

2018，第7章以及本文件4.7中的附加指南。

如果为IP分配了一个或多个安全要求，则ISO26262系列标准的要求适用。

特别是ISO26262-2，ISO26262-4[65]，ISO26262-5，ISO26262-8和ISO26262-9的要求通常适用于IP设计。

以下文本为具有分配安全要求的IP提供了指导，以及如何在有和没有集成安全机制的情况下考虑这些IP要求。

安全相关的IP可以基于安全机制的集成进一步分类。

图6中示出了两种可能的情况，子图（a）示出了具有集成安全机制的IP，而子图（b）示出了没有集成安全机制的IP。

图6-具有分配安全要求的IP类型

可以包括IP安全机制，用于检测IP的故障模式，以及IP外部的故障模式。

IP中实施的安全机制可以提供一组定义的故障模式的全部或部分诊断。

也可能仅由IP执行故障模式检测，故障模式控制由IP外部的组件提供。

IP提供商负责提供IP开发期间的使用假设

为了让IP集成商能够检查与安全要求的一致性。

IP的硬件功能最初可以通过提供基于假设的安全要求的安全机制来开发，目标是集成到安全相关的硬件环境中，该安全机制旨在控制给定的故障模式。

在这种情况下，ISO26262-2，ISO26262-4，ISO26262-5，ISO26262-6（基于软件的安全机制以涵盖硬件故障），ISO26262-8和ISO26262-9的要求在适用的情况下，可用于在知识产权发展过程中设计安全机制。

示例1具有内置总线监控器的总线“结构”，包括故障检测和通知逻辑（例如，

中断信号）。

示例2带监控的电压调节器（欠压和过压检测），保护

（电流限制或热保护）和自诊断（监控和保护电路内置自检）。

或者，IP可以在没有假设的安全要求或特定安全性的情况下开发

检测和控制故障的机制。

示例3没有内置总线监控器或错误报告逻辑的总线“结构”。

例4没有监控，保护或内置监控或保护电路的电压调节器

诊断。

ISO26262-9：

2018中定义的安全分析，第8条可以应用于IP。

可以向IP集成商提供定性安全分析，在某些情况下还可以提供定量分析，以证明安全机制的能力，以控制给定的故障模式或提供故障信息

模式和相关的故障模式分配。

类似地，