汽车电子元件主要存在两种潜在的风险

现在，一辆汽车可拥有多达1亿行代码，比大型强子对撞机（5000 万行）和社交网站（6200 万行）还要多。从硬件角度来看，许多汽车都已拥有超过100个电子控制单元 （ECU），承担着各种功能。汽车工程设计领域的各种巧思不断推动自动驾驶功能进一步创新，相关技术也会变得愈发普及和复杂，因此我们必须遵循汽车的功能安全标准，以防发生芯片或软件故障。

汽车电子元件主要存在两种潜在的风险：

● 系统故障，例如程序缺陷、错误规格或错误装配，也可能是对组件如何运作的误判

● 芯片老化或电磁效应等因素导致的随机硬件故障

汽车一旦装配完成，若其中存在故障，则故障将具有长期风险。如果是系统性故障，开发者可采用不会引入且不会遗漏bug的工具进行系统设计和验证。而对于随机故障，比较有效的方法是在设计中集成安全机制，例如循环冗余校验 （CRC）等。

ISO 26262是一项由国际标准化组织 （ISO） 与国际电工委员会 （IEC） 共同制定的功能安全标准，于2011年发布（2018 年发布过第二版）。为了取得商用车辆的上市资格，汽车OEM厂商和供应商们必须遵循从规范制定到生产发布的整个功能安全开发流程并留档。ISO 26262详细说明了汽车安全性评估的内容，以及对于系统及其组件（包括 SoC 和 IP）的安全要求，该流程依据的是汽车安全完整性等级 （ASIL）（一种风险分级系统），主要目标是降低电气电子系统故障造成的潜在危险。

ASIL有四个不同的等级，每个等级都有相应的风险概率及其可接受程度。ASIL A 代表最低程度的汽车危害风险，ASIL D则代表危害程度最高的风险等级，高级驾驶辅助系统 （ADAS）、防抱死制动器和安全气囊等都是该等级所涉及的具有安全隐患的应用。我们一般通过测量车辆中每个电子组件的三个具体变量，确定其是否符合ASIL规范：

● 严重程度（对驾驶员和乘客造成危害的程度）● 风险度（车辆是否经常涉及高风险）● 可控性（驾驶员能够规避风险的程度）

每个变量都可以进一步细分为几个更为精细的子类。在逐一分析上述变量和子类之后，综合分析结果才能确定ASIL等级。ASIL等级需根据具体说明和使用情境来确定，但无论何种等级，其终极目标都是为了规避风险。

确保设计工具万无一失

只有汽车电子组件符合ISO 26262标准是不够的，用于开发组件的工具也需要经过认证（除非汽车制造商选择其他功能安全方法，例如内置的冗余设计）。这些工具必须无差错地执行和验证设计，为此，ISO 26262有一部分内容规定了工具置信水平 （TCL），TCL是根据工具作用和工具错误检测能力而确定的。TCL1级工具不需要资格认定，而TCL2级和TCL3级工具则必须接受认定，需根据ASIL确定认定方法。

换言之，设计工具本身也需要达到ASIL标准，且最终符合ISO 26262要求。通过满足这些标准，电子设计自动化 （EDA） 和半导体IP供应商可以帮助汽车工程师实现其功能安全目标和认证，甚至加快工作进度，提前达成目标，比如IP提供即用型设计模块，可加快设计流程。符合ISO 26262的车规级IP能够帮助工程师们在开发工作中遥遥领先，一些供应商还提供工具来支持ASIL规划、设计服务和解决“what if？”假设性场景问题的功能，同时还提供验证/确认解决方案，帮助验证是否满足 ASIL等级。

新思科技提供种类极为丰富的解决方案，助力汽车软硬件和系统设计满足功能安全标准。ISO 26262正式发布后，新思科技就积极履行ISO 26262合规性测试，并在我们的产品组合中纳入了相关合规文书。此类产品组合包括：

● ASIL B和D标准就绪型DesignWare IP产品组合。该产品组合专门针对随机硬件故障进行开发和评估，包括 符合ASIL D标准的DesignWare ARC EM22FS 功能安全处理器IP。此款IP已通过随机硬件故障和ASIL D系统合规性认证

● 符合ISO 26262认证标准的测试自动化、仿真、原型制作和软件安全测试解决方案

● 通过ISO 26262 TCL1级认证，可加快质量和功能安全认证的工具

● 具备复杂的功能安全分析、实现和验证能力的综合性汽车设计解决方案

● 统一的功能安全验证平台，汇聚故障模式与影响分析（FMEA）；故障模式、影响及诊断分析（FMEDA）；以及故障输入管理等相关技术

● 化解可靠性难题的解决方案，包含电迁移、IR压降、器件老化和稳健的冗余通孔插入（RVI）能力

这些解决方案由汽车专家团队提供支持，他们能够与软硬件和系统的设计团队合作，全面解决各种设计难题。

原文标题：保障汽车安全，EDA和IP扮演着哪些重要角色？

文章出处：【微信公众号：新思科技】欢迎添加关注！文章转载请注明出处。

责任编辑：haq