現在，一輛汽車可擁有多達1億行代碼，比大型強子對撞機（5000 萬行）和社交網站（6200 萬行）還要多。從硬件角度來看，許多汽車都已擁有超過100個電子控制單元 （ECU），承擔著各種功能。汽車工程設計領域的各種巧思不斷推動自動駕駛功能進一步創新，相關技術也會變得愈發普及和復雜，因此我們必須遵循汽車的功能安全標準，以防發生芯片或軟件故障。

汽車電子元件主要存在兩種潛在的風險：

● 系統故障，例如程序缺陷、錯誤規格或錯誤裝配，也可能是對組件如何運作的誤判

● 芯片老化或電磁效應等因素導致的隨機硬件故障

汽車一旦裝配完成，若其中存在故障，則故障將具有長期風險。如果是系統性故障，開發者可采用不會引入且不會遺漏bug的工具進行系統設計和驗證。而對于隨機故障，比較有效的方法是在設計中集成安全機制，例如循環冗余校驗 （CRC）等。

ISO 26262是一項由國際標準化組織 （ISO） 與國際電工委員會 （IEC） 共同制定的功能安全標準，于2011年發布（2018 年發布過第二版）。為了取得商用車輛的上市資格，汽車OEM廠商和供應商們必須遵循從規范制定到生產發布的整個功能安全開發流程并留檔。ISO 26262詳細說明了汽車安全性評估的內容，以及對于系統及其組件（包括 SoC 和 IP）的安全要求，該流程依據的是汽車安全完整性等級 （ASIL）（一種風險分級系統），主要目標是降低電氣電子系統故障造成的潛在危險。

ASIL有四個不同的等級，每個等級都有相應的風險概率及其可接受程度。ASIL A 代表最低程度的汽車危害風險，ASIL D則代表危害程度最高的風險等級，高級駕駛輔助系統 （ADAS）、防抱死制動器和安全氣囊等都是該等級所涉及的具有安全隱患的應用。我們一般通過測量車輛中每個電子組件的三個具體變量，確定其是否符合ASIL規范：

● 嚴重程度（對駕駛員和乘客造成危害的程度）● 風險度（車輛是否經常涉及高風險）● 可控性（駕駛員能夠規避風險的程度）

每個變量都可以進一步細分為幾個更為精細的子類。在逐一分析上述變量和子類之后，綜合分析結果才能確定ASIL等級。ASIL等級需根據具體說明和使用情境來確定，但無論何種等級，其終極目標都是為了規避風險。

確保設計工具萬無一失

只有汽車電子組件符合ISO 26262標準是不夠的，用于開發組件的工具也需要經過認證（除非汽車制造商選擇其他功能安全方法，例如內置的冗余設計）。這些工具必須無差錯地執行和驗證設計，為此，ISO 26262有一部分內容規定了工具置信水平 （TCL），TCL是根據工具作用和工具錯誤檢測能力而確定的。TCL1級工具不需要資格認定，而TCL2級和TCL3級工具則必須接受認定，需根據ASIL確定認定方法。

換言之，設計工具本身也需要達到ASIL標準，且最終符合ISO 26262要求。通過滿足這些標準，電子設計自動化 （EDA） 和半導體IP供應商可以幫助汽車工程師實現其功能安全目標和認證，甚至加快工作進度，提前達成目標，比如IP提供即用型設計模塊，可加快設計流程。符合ISO 26262的車規級IP能夠幫助工程師們在開發工作中遙遙領先，一些供應商還提供工具來支持ASIL規劃、設計服務和解決“what if？”假設性場景問題的功能，同時還提供驗證/確認解決方案，幫助驗證是否滿足 ASIL等級。

新思科技提供種類極為豐富的解決方案，助力汽車軟硬件和系統設計滿足功能安全標準。ISO 26262正式發布后，新思科技就積極履行ISO 26262合規性測試，并在我們的產品組合中納入了相關合規文書。此類產品組合包括：

● ASIL B和D標準就緒型DesignWare IP產品組合。該產品組合專門針對隨機硬件故障進行開發和評估，包括 符合ASIL D標準的DesignWare ARC EM22FS 功能安全處理器IP。此款IP已通過隨機硬件故障和ASIL D系統合規性認證

● 符合ISO 26262認證標準的測試自動化、仿真、原型制作和軟件安全測試解決方案

● 通過ISO 26262 TCL1級認證，可加快質量和功能安全認證的工具

● 具備復雜的功能安全分析、實現和驗證能力的綜合性汽車設計解決方案

● 統一的功能安全驗證平臺，匯聚故障模式與影響分析（FMEA）；故障模式、影響及診斷分析（FMEDA）；以及故障輸入管理等相關技術

● 化解可靠性難題的解決方案，包含電遷移、IR壓降、器件老化和穩健的冗余通孔插入（RVI）能力

這些解決方案由汽車專家團隊提供支持，他們能夠與軟硬件和系統的設計團隊合作，全面解決各種設計難題。

原文標題：保障汽車安全，EDA和IP扮演著哪些重要角色？

文章出處：【微信公眾號：新思科技】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq