ISO26262认证辅导流程是什么费用一般是多少钱
ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。
简介
ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。
ISO26262从2005年11月起正式开始制定,经历了大约6年左右的时间,已于2011年11月正式颁布,成为国际标准。中国也正在积极进行相应国标的制定。
安全在将来的汽车研发中是关键要素之一,新的功能不仅用于辅助驾驶,也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来,这些功能的研发和集成必将加强安全系统研发过程的需求,同时,也为满足所有预期的安全目的提供证据。
随着系统复杂性的提高,软件和机电设备的应用,来自系统失效和随机硬件失效的风险也日益增加,制定ISO 26262标准的目的是使得人们对安全相关功能有1个更好的理解,并尽可能明确地对它们进行解释,同时为避免这些风险提供了可行性的要求和流程。。
ISO 26262为汽车安全提供了1个生命周期(管理、开发、生产、经营、服务、报废)理念,并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程(包含需求规划、设计、实施、集成、验证、确认和配置)。
ISO 26262标准根据安全风险程度对系统或系统某组成部分明确区划由A到D的安全需求等级(Automotive Safety Integrity Level 汽车安全完整性等级ASIL),其中D级为最高等级,必须最苛刻的安全需求。伴随着ASIL等级的增加,针对系统硬件和软件定制流程的要求也随之增强。对系统供应商而言,除了必须满足现有的高质量要求外还必须满足这些由于安全等级增加而提出的更高的要求。
应用
系统安全能够从大量的安全措施中获得,包含各种技术的应用(如:机械,液压,气动,电力,电子,可编程电子元件)。尽管ISO26262是相关于E/E系统的,但它仍然提供了基于其他相关技术的安全相关系统的框架。
ISO26262:
-提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的改装活动。
-提供了决定风险等级的具体风险评估方法(汽车安全综合等级,ASILs)
-使用ASILs方法来明确获得可接受的残余风险的必要安全要求。
-提供了确保获得足够的和可接受的安全等级的有效性和明确性措施。
功能安全受研发过程(包含具体要求,设计,执行,整合,验证,有效性和配置),生产过程和服务流程以及管理流程的影响。
安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。ISO26262强调了研发活动和产品的安全相关方面。
ISO26262主要用于安装在最大毛重不超过3.5吨的乘用车上的1个或多个E/E系统的安全相关系统。ISO26262唯一不适用于为残疾人设计的特殊目的车辆的E/E系统。系统研发早于ISO26262出版日期的,也不在标准的要求之内。ISO26262表述了由E/E安全相关系统,包含这些系统的互相影响,故障导致的可能的危险行为,不包含电击,火灾,热,辐射,有毒物质,可燃物质,反应物质,腐蚀性物质,能量释放及类似的危险,除非这些危险是由于E/E安全相关系统故障导致的。
组成ISO26262对E/E系统的标称性能没有要求,对这些系统的功能性性能标准也没有什么要求(例如:主被动安全系统,刹车系统,ACC等)
ISO26262主要包含以下几个部分:
Part 1:定义
Part 2:功能安全管理
Part 3:概念阶段
Part 4:产品研发:系统级
Part 5:产品研发:硬件级
Part 6:产品研发:软件级
Part 7:生产和操作
Part 8:支持过程
Part 9:基于ASIL和安全的分析
Part 10:ISO26262导则
ISO26262认证辅导内容:
工厂条件审核 --> 硬件配备指导 --> 咨询师驻厂辅导 --> 资料编写整改 --> 整改后模拟验厂 --> 陪同验厂
ISO26262认证基本原理是什么
汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO26262安全标准要求,假如这些说法未能阐明用于制造汽车产品的人员和流程验证,则这些说法可能是不可靠的。假如系统设计人员未能仔细评估供应商的资质,他们就很难在汽车供应链中让顾客接受其产品。
汽车供应链的参与者负责对每个供应商的产品进行自己的功能安全评估,同时考虑供应商记录的使用假设(AoU),描述供应商的产品怎样用于汽车系统。供应商根据特定配置和用例来定制自己的分析,这些配置和用例有望与其集成商顾客的配置相匹配。针对汽车系统中使用的元件的第三方ISO26262认证能够协助系统集成商执行此分析,但它不会取代集成商在其自己的使用环境中分析其供应商产品的义务。
本文探讨了ISO26262认证的基本原理,该认证涉及设计功能安全的汽车电子系统所涉及的人员,流程和产品。最终目标是让开发团队,管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来,这将提供有关合规性的工作和成本的更多信息,还将使供应链成员之间的沟通更加有效。
不断转变的汽车行业:新电子设备和新进入者
所有乘用车电子系统在集成到汽车制造商的产品以前必须满足严格的安全要求。该行业的供应商已经建立了1个复杂的供应链,以提供这些系统,以及产品满足这些安全要求的能力的证明。这种信息共享系统必须IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流,以确保所有关键组件符合ISO26262指南、程序、培训水平、审核和评估。
然而,随着越来越多的机械部件转变为电子系统,汽车工业正在迅速发生转变。其结果是,过去由人类驾驶员执行的功能正在由先进的驾驶员辅助系统(ADAS)补充和替代,其正在演变为自动驾驶系统。这两个趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的希望正在刺激新进入者,参与到汽车电子系统的浪潮之中。
最近进入者可能缺乏根据ISO26262功能安全标准开发和交付产品的经验。尽管这些供应商可能声称其产品已准备好符合汽车安全标准,但供应链中的公司仍必须对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估,其次才能将其集成到更大的系统中。
汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO26262认证。然而,大多数针对汽车用途的电子产品并非完整的独立系统,能够通过ISO26262标准认证,并完全了解产品怎样在车辆中集成和使用。因此,对于认真服务于该市场的任何开发团队而言,重要的是探索其供应商关于功能安全的声明,无论是否声明了认证。尽管第三方产品认证能够成为重要参考,但对任何组件的评估必须更深入,并且必须通过公司使用和集成产品来完成考察与认证。假如未能对供应商的人员,流程和产品进行评估,则可能导致顾客拒绝。
为何选择ISO 26262?
国际标准组织(ISO)声明如下:
ISO 26262旨在应用于安全相关系统,其包含1个或多个电气或电子(E / E)系统并且安装在批量生产的乘用车中。
ISO 26262解决了E / E安全相关系统故障行为可能造成的危害,包含这些系统的相互作用。
第一原则:信息共享是关键
汽车系统的电气化在快速进行。这一趋势推动着创新,同时也吸引了更多投资、更多研发工作,以及汽车市场的新进入者。
许多新进入者可能不清楚的是,遵守汽车安全标准要求通过供应链的每个部分共享信息。各级经验丰富的开发团队都受到这些标准的挑战,由于需求在不断转变,整个行业中仅有少数专家能够指导项目完成这一过程。除此之外,半导体和软件供应链的参与者通常对其IP的开发方式以及工作原理保密。
供应商必须提供的信息包含具有安全目标的系统的每个元件的分析,教育和文档。供应链的每个成员都必须提供这些信息。半导体IP供应商向SoC的开发人员提供此信息,芯片设计团队使用这些信息来分析他们的定制系统,并将结果传递给Tier-1电子系统供应商。其次,这些一级供应商执行自己的分析并将结果发送给车辆制造商以及顾客。
汽车供应链中的这些关系正变得越来越复杂,由于制造或设计自动驾驶应用芯片的传统半导体供应商现在有时与Tier-1电子系统设计人员和OEM竞争,他们可能正在自己制造或设计芯片。除此之外,Uber,Waymo和Apple等新进入者正在设计自己的整套系统,尽管他们在汽车行业缺乏经验。ISO26262要求整个价值链中的高水平协作和信息共享,新进入者可能不熟悉这些。
复杂性要求更好的分析
整个汽车行业日益复杂,必须加强这些系统的安全性。现代汽车使用“线控”系统,例如线控油门,驾驶员推动加速器和传感器。踏板将电信号发送到电子控制单元(ECU),该电子系统取代了过去使用连接在加速踏板和机械节流控制板上的金属电缆。ECU比机械方法更智能,由于它能够做更多分析工作,如发动机转速,车速和踏板位置,其次将命令传递给油门。
我们也能够看到,测试和验证线控油门系统比测试旧机械版本更困难。随着我们用电子系统,电动传动系统以及为汽车增加ADAS和自动驾驶功能取代机械系统,复杂性呈现爆炸式增长。ISO26262的目标是建立1个统一的功能安全标准,以满足所有汽车电子系统的需求。
驾驶员辅助,电力推进,车载动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。更大的技术复杂性、软件内容和机电一体化实施带来了系统硬件故障的更大风险,系统硬件故障是由系统开发期间的人为错误产生的。ISO26262提供了怎样通过规定要求和流程来最小化风险的指导。
对于半导体SoC器件和IP的设计人员而言,与完整系统的指南相比,ISO26262合规性的要求更加抽象。因此,IP开发人员必须对许多假设进行额外的分析,以明确集成到功能安全的汽车系统中的IP准备情况。
功能安全
ISO26262的目标是为所有汽车电子系统提供统一的安全标准。实现系统安全要求在机械、液压、气动、电气和电子系统等各种技术中实施若干安全措施,并且这些安全措施应用于开发过程的各个层面。
ISO26262定义了各种汽车安全完整性等级(ASIL)——QM,A,B,C和D-,以协助将所需的流程、开发工作和产品内功能安全机制映射到可接受的风险等级。这5个级别的严格范围涵盖从基本质量管理到故障可导致致命事故的系统的广泛范围。在后一种情况下,ASILD要求汽车系统中的单点故障量(SPFM)小于1%。下面的表1提供了有关ASIL水平与故障指标的更多信息。
汽车SoC通过特定的硬件功能提供诊断覆盖,以确保符合ISO26262标准。这些片上功能安全机制包含纠错码(ECC)、数据链路和内部存储器的奇偶校验保护等技术,通过智能互连结构智能复制处理元件,内置自测(BIST)和错误报告机制。
尽管ISO 26262关注的是E / E系统的功能安全性,但它实际上提供了1个框架,能够解决安全相关系统的整个生命周期。ISO26262提供以下指导:
生命周期管理,产品开发,生产,运营,服务,退役以及在这些生命周期阶段定制必要的活动
根据危险的严重程度,暴露概率和可控性来应用安全要求,以避免不合理的风险
验证和确认措施,以确保足够和可接受的安全水平
与供应商关系的要求
所有这些看起来很复杂,可是通过关注3个主要方面,即“3P”,能够简化对ISO 26262的要求的理解:
人(People)
流程(ProCEss)
产品(Product)
供应商必须向顾客提供文档,详细说明其为准备符合标准的人员,流程和产品所采取的措施。有了“3P”在半导体IP市场中所起作用这一视角,SoC架构师和设计团队能够在选择合适的IP时做出明智的选择。了解IP供应商的组织和运营特征能够实现更好的芯片、更安全的汽车,以及更高效的开发能力。
功能安全涉及开发过程的所有部分,包含规范,设计,实现,集成,认证和验证,还包含生产,管理和服务流程。由于安全标准的特定要求,构建为汽车SoC设计IP的组织存在很大困难。顾客资格认证和第三方ISO26262认证所需的额外培训、评估、分析和文档可能会使汽车电子的IP开发增加大量费用。
必须在供应链上传达这些功能安全活动的证据。因此,为汽车半导体市场提供产品的每个组织都必须记录符合标准的开发活动。该文档内容必须涵盖相关人员、用于开发解决方案的流程,以及符合ISO26262标准所需产品的分析。
朝着半导体IP的ISO 26262合规迈出的第1步是培训参与IP开发的人员。许多公司采取培训一小群人的“捷径”,通常是ISO26262要求的功能安全管理员(FSM)和少数“安全工程师”。
然而,由于ISO26262第2部分“功能安全管理”的要求,特别是条款5.4.2“安全文化”和5.4.3“权限管理”,要确保可持续的安全文化,团队成员具有与其职责相对应的足够技能、能力和资格,就要求在整个组织中广泛了解功能安全知识。这必须大量的员工培训。
ISO 26262个人培训和认证
尽管培训的主要对象是工程师,但还必须包含组织内参与产品开发和支持的其别人员,包含高管、营销人员、工程人员、文档团队、质量保证经理和应用工程师等。该组织指定和培训的职能安全经理(FSM)的任务是在所有参与产品开发的人员中推广安全文化,而FSM通常负责为所有这些员工提供内部或第三方培训。顾客通常必须在ISO26262中称为“集成商”的半导体IP以及第三方ISO 26262评估员提供员工功能安全培训证明。
作为实际实施的1个例子,超过50人的Arteris IP员工已通过ISO 26262咨询公司exida的ISO26262功能安全从业者(FSP)培训和认证,该公司也是ANSI认证的ISO 26262标准认证公司。ArterisIP拥有经验丰富的FSM员工,不仅通过其广泛的ISO 26262培训计划,还通过建立功能安全流程来确保安全文化,确保整个半导体IP开发过程的质量。
流程
良好的流程对于避免系统故障至关重要。系统故障以可预测的方式与特定原因相关联,只能通过改变设计、制造、操作程序、文档或系统的其他相关因素来消除。简而言之,系统故障通常是被“设计到”系统中的,而质量流程有助于避免将故障设计到系统中。
由于我们是工程师,因此对ISO 26262流程的大部分注意力都集中在使用技术和软件工具来解决ISO 26262 Part8称为“支持流程”的细节上。然而,这是错误的方法。
良好的安全流程或任何产品开发流程的关键不是专家使用和集成需求管理,变更管理,验证和开发过程的其他部分的工具,而是由所有员工持续使用质量管理系统(QMS)。
质量管理体系(QMS)
符合ISO 26262第8部分质量管理体系要求的任何流程都符合ISO26262标准。可是,现有的软件、硬件和汽车系统开发QMS是最先进的,能够作为供应商流程的基础。
第三方评估公司为每个质量管理体系提供认证。然而,作为汽车供应链中的供应商,无论您是否已获得第三方流程认证,您的顾客都将对您的流程进行独立审核。尽管伴随第三方流程认证的报告能够协助您的顾客评估您的流程,但您的顾客仍有义务确认您是否符合ISO26262。
可追溯性
可追溯性有助于实现ISO 26262合规性。
在芯片设计领域,大多数设计团队已经拥有最先进的系统,能够通过实施跟踪规范项目,其次再进行验证测试。可是,ISO26262要求从安全相关要求以及实施的双向可追溯性,从概念阶段——ISO 26262第3部分到生产和操作——ISO26262第7部分。这代表着质量保证(QA)测试结果能够通过其验证测试、实施、规范和要求来追溯。除此之外,配置、更改和文档必须保持最新,并且是可跟踪性信息链的一部分。
对于尚未开发出服务于汽车产品的半导体设计团队而言,这种可追溯性通常是陌生的。这些团队很难改变过去运作良好的规范实施和验证系统,以采用支持更广泛可追溯性的新系统。一种解决方案是实现可追溯性系统,该系统通过工程集成并“包装”现有的开发系统,以提供所需的可追溯性水平。
例如,Arteris IP一直使用AtlassianJira问题跟踪工具作为其半导体IP和相关IP可配置软件的产品开发规范实施验证流程的核心。过去,基于MicrosoftWord的市场需求文档(MRD),产品需求文档(PRD)和规范中的项目被用作Jira系统的输入并与工程开发任务相关联,跟踪其状态,并自动验证测试生成并记录。
ISO 26262流程的底线是大多数针对汽车市场的公司必须执行以下操作:
选择符合ISO 26262标准的质量管理体系,使用它,并能够向第三方评估员和顾客评估员解释您对它的使用。
实现更广泛的自动化可追溯性,涵盖质量保证、交付和支持的所有要求。
产品
假如供应商声称其产品“符合ISO26262的安全要求”而没有首先培训其员工并记录其流程,那么它就不符合要求。一旦人员接受培训并且质量流程到位并正在使用,下1步就是根据ISO26262分析产品,并向半导体集成商提供分析文档。对于半导体和半导体IP供应商而言,执行此分析必须记录一组商定的假设,由于芯片或IP供应商不会完全了解它将成为系统的一部分。
汽车芯片和IP:SEooC,AoU和ASIL定制
简而言之,ISO 26262分析的前提是“系统”是正在开发和分析的实体,而ISO26262的第1部分将系统定义为“一组至少与传感器,控制器和执行器彼此相关的元件”。显然,芯片和用于制造它的IP不是符合ISO26262标准的系统。那么,它们是什么呢?
芯片以及IP通常被看作(通常在设计时未知)系统的“元素”。尽管他们最终将成为整个系统的一部分,但其相关知识很难被100%理解,因此,芯片和IP被归类为ISO26262中的特殊类型的元素,称为“SEooC”(Safety Elements out ofContext)。SEooC要求IP提供商或集成商记录使用假设(AoU),其反映了IP的集成商/用户将使用的预期安全概念、安全要求和安全机制。
由于有许多关于SEooC、AoU以及芯片和IP定制的假设,ISO26262要求IP供应商和芯片集成商就开发接口协议(DIA)达成一致,该协议定义了双方使用的假设和责任。DIA文件将解释来自IP供应商的ASIL定制以及这种定制背后的原因,以及对所有使用假设的解释。
故障模式和安全机制
产品内功能安全机制用于检测、缓解和纠正系统运行时由随机错误引起的故障。单事件效应(SEE)——由宇宙射线引起的电磁干扰和当它们与半导体相互作用时发射的电离能量——是产生随机错误的原因。这些随机错误可能具有瞬态或永久性影响。随机瞬态效应也称为“软错误”,包含单个位翻转(SBU),例如存储器单元或逻辑触发器中的“位翻转”,以及单个事件瞬变(SET),它们可能是电压故障,可能不会导致错误。还存在这些能够同时发生的情况,导致多个位扰乱(MBU)。由SEE引起的“硬错误”导致永久性损坏,包含单事件闩锁(SEL)、单事件烧毁(SEB)等。
由于导致这些错误的原因是自然物理现象,并且是随机发生,因此检测并减轻其影响以实现和维持系统安全非常重要。为此,工程团队在其产品中开发特定安全技术特性。以下是这些功能的示例,也称为功能安全机制:
添加和检查添加到片上通信流量的奇偶校验或ECC位
复制逻辑并比较结果
三模冗余(TMR)或多数表决
通讯超时
验证操作正确性的硬件检查程序
安全控制器从整个系统收集错误消息,并在系统中进行更高级的通信
内置自检(BIST),适用于所有功能安全机制
我们已经描述了分析IP和芯片所需的假设,以及它们的故障模式和安全机制,下面将探讨实际的分析过程。
首先进行定性分析(FMEA),其次进行定量分析(FMEDA)
一旦设计团队了解其故障模式和功能安全机制,就能够执行并记录定性安全分析,称为故障模式影响和分析(FMEA)。FMEA是一种渐进的方法,用于识别设计中的所有可能的故障方式(故障模式)以及这些故障产生的后果。设计团队往往没有足够重视对其项目的定性分析,而是偏向于直接进入定量分析。这是错误的!正确执行FMEA是正明确义怎样减轻故障的关键,也是用于验证FMEA定量分析的基础。
完成FMEA后,设计团队必须使用称为故障模式影响诊断分析(FMEDA)的定量分析进1步分析故障模式和安全机制。尽管能够估计大多数功能安全机制的诊断覆盖范围(即“保护”)的假设,但大多数半导体集成商都坚持使用故障注入技术来验证项目中实施的功能安全措施的诊断覆盖范围。必须详细了解IP实施,以明确必须注入故障的位置,以触发功能安全机制,以及最有效地观察机制输出的位置。
尽管故障注入分析对于验证FMEA很重要,但仅靠FMEDA是不够的。必须将其他技术一起用于验证使用故障注入无法轻易证明的诊断覆盖率。1个示例是验证使用假设,该假设定义了顾客必须与元素一起集成的安全机制。这对于驻留在IP块之外的安全机制(例如时钟和电压监视器)非常常见。除了故障注入以验证FMEA之外,还能够使用的其他技术包含故障树分析(FTA)、相关故障分析(DFA)和引脚级FMEA。
由IP开发团队创建的FMEDA报告容许经过全面培训的安全管理人员审查有关遵守ISO26262的所有信息。由IP提供商或半导体集成商聘请的第三方评估公司或咨询公司也能够审查分析和开发过程,以协助评估功能安全合规性。
结论
在ISO26262下满足汽车功能安全组件的标准是1个涉及供应商的人员,流程和产品的艰巨过程。创建满足这些需求的产品和技术必须运营和工程重点、强大的安全文化、管理承诺以及对时间和金钱的重大投资。假如供应商提供此类产品,则由集成商决定是否已采取超出产品级别的所有步骤来明确索赔是否有效。未能进1步调查将使集成商面临使用不符合评估和审核要求的组件的风险,这些组件是顾客在供应链中进1步遵守ISO26262要求所必需的。
依赖于有关安全目标的产品开发中涉及的人员、流程和分析的不完整信息的项目可能使进入新兴的乘用车电子系统设计的努力无效,包含ADAS和自动驾驶汽车的设计。电子系统集成商必须向汽车制造商提供证据,证明系统的所有组件都经过彻底评估,以验证其安全可靠的说法。假如不遵守标准、不传达怎样遵循标准,可能会导致汽车供应商的额外工作或返工。