The Blog

SiFive - July 22, 2024

SiFive 赋能 RISC-V 汽车技术革新:通过关键功能安全认证

汽车市场对质量和安全性的要求非常高。随着汽车內芯片和电子系统数量的快速增加——有些汽车可能有多达 3,000 个或更多的芯片——对安全性的需求以及测试/认证这些系统的能力变得更加具有挑战性和重要性。SiFive 早期就认识到质量和安全的重要性,组建了一支由世界领先的汽车功能安全(FuSa)专家所组成的团队,以帮助我们的客户迅速交付安全、可靠且经过认证的产品。这些功能安全产品同样适用于其他许多市场,包括航空航天和国防。在这篇文章中,我们将分享更多有关功能安全的信息,并說明 SiFive 如何将其集成到广泛的产品组合中。

什么是功能安全?

汽车领域中,功能安全确保车辆中的电子系统在发生故障时不会对人构成风险或伤害。ISO 26262 是定义功能安全要求的国际标准。要获得该认证须通过复杂的过程,包括严格的测试、分析和文档编制,才能最大限度降低潜在危险故障的风险。 该标准将功能安全定义为“不存在由电子电气系统功能异常表现引起的危害而导致不合理的风险”。功能安全标准如 ISO 26262 使用安全完整性级别(ASIL)作为量化车辆系统中合理风险的手段。汽车安全标准定义了从 ASIL A(最不严格)到 ASIL D(最严格)的汽车安全完整性级别分类。 为了达到功能安全标准的要求完整性级别并充分降低风险,公司須满足流程要求(方法和技术)和/或增加功能特性以检测和控制故障。 功能安全主要关注预防两种类型的故障:

  • 系统性故障,这些故障从一开始就存在(例如设计缺陷),并可能在最终产品中显现出来。通过采用稳健的开发流程可以避免这些故障,对应的风险缓解通过系统性能力进行量化。
  • 随机硬件故障,这些故障是由于使用中随机出现的事件,有时可能是因为老化而发生的。通过称为安全机制的特定特性来检测或控制这些故障,并通过硬件随机(或诊断)能力进行量化。

SiFive 用分而治之的方法实现功能安全

SiFive 采用分割再各自实现的方法来解决汽车功能安全的复杂性。我们认识到,一辆安全的汽车是整个供应链协同努力的结果。我们的策略從在硬件 IP 中嵌入安全性開始。这不仅确保了我们 IP 的完整性,还使客户能够自信地将这些组件集成到更大的系统中。这种拆分问题逐步解决的方法允许每个供应商专注于其专业领域,最终有助于创建一个整体安全的车辆。

其运作方式如下:分配给特定系统(例如制动系统)的完整性级别可以分解为系统中每个组件必须达到的完整性级别。这是一种典型的分布式开发。此方法允许不同团队或供应商专注于独立实现其特定组件的安全要求。SiFive 确保在产品中解决随机硬件故障(通过安全机制)和系统性故障(通过严格的开发流程)。 通过采取这种有条理的协作方法,SiFive 简化了构建安全车辆的复杂任务。这是一个双赢的局面:我们创造了更安全、更可靠的组件,客户可以順利地将 SiFive 的认证 IP 集成到他们的系统中,進而加速为终端消费者开发安全、高质量的车辆。

为什么功能安全如此重要?

随着车辆越来越依赖于从发动机控制到高级驾驶辅助系统(ADAS)等方面的电子系统,功能安全的重要性不容低估。这些系统中的故障可能导致灾难性后果,不仅可能造成生命损失,还可能对制造商产生严重的影响。

此外,随着行业向自动驾驶汽车迈进,当驾驶员不再控制车辆,机械系统被数字系统取代时,电子系统的安全性也随之加重。这些系统还需要在车辆中使用数十年。因此,自动驾驶汽车中的电子系统非常复杂,涉及许多系统之间的交互,并且必须在许多不同的条件下正常工作,即使在初始设计时未曾设想的情况下也是如此。

另一个挑战是,消费类汽车制造商对成本非常敏感,尤其是在电子产品总成本上升的情况下。为了具有竞争力,甚至是负担得起,电子系统的成本需要相对较低。为了控制成本,在航空电子和航空航天应用中常用的通过完全复制甚至三重复制来解决安全问题的方法在这里不可行。

如果没有正确的程序来支持,在低成本下实现高性能和高复杂性的系统会增加故障的风险。例如,使用先进的技术节点可能导致新的故障类型,而人工智能可能导致不可预测的行为。尽管将更多功能整合到同一系统中(例如 IVI 和 ADAS)可以降低成本,但这会产生潜在的干扰,需要大量的关注。

简而言之,功能安全不仅仅是一个技术问题;它还关乎保护生命和建立对日益复杂的汽车技术的信任。

加速开发和上市时间

SiFive 使系统集成商能够利用我们作为安全元素独立开发(SEooC)的预认证 IP,从而显著减少开发时间、精力和风险。这使得系统集成商不必进行审计或将其供应商的流程对应到 ISO 26262 的要求上。这使得为将 IP 纳入更广泛系统而开发安全案例变得更容易且快速。

预认证 IP 附带完整的文档,说明了已分析的内容、方法以及在系统级别的需求。

对客户的主要好处包括:

  • 降低风险: 严格的认证过程让系统集成商对集成到其系统中的 IP 质量和可靠性充满信心且安心。系统集成商知道已完成的工作和需要覆盖的内容,避免在开发周期后期发现漏洞风险。
  • 节省成本/精力: 预认证 IP 已经通过认证过程,因此集成商无需重复认证,可将精力集中在系统的剩余部分和他们擅长的领域。在系统的认证范围内使用第三方 IP 可能非常复杂,因为用户通常对其了解有限,所以 SiFive 通过我们的预认证 IP 避免这种情况。
  • 缩短开发时间: 预认证 IP 的认证活动已经完成并得到适当记录,显著减少了开发时间和精力。
  • 提高竞争优势: SiFive 的认证 IP 为客户在汽车市场中提供了竞争优势。此外,SiFive 致力于保持在最新标准的前沿,并积极参与标准组织以帮助识别新技术和方法,更好地理解标准的意图,并确保最新的技术和方法可实现。通过对安全的承诺,我们带给客户安心,并成为他们的宝贵资源。

SiFive 功能安全领导地位

通过提供作为 SEooC 的预认证 IP,我们确保汽车系统的核心组件是按照符合 ASIL D 的严格开发流程进行开发的。这些流程是防止系统性故障的基石。此 IP 还设计有适当的安全机制,以提供针对随机硬件故障的保护,支持应用达到 ASIL B 和 ASIL D 的硬件完整性。

这些流程经过第三方(TÜV SÜD)的独立审核和评估,作为 SiFive 汽车产品的功能安全评估的一部分。这些产品经过认证,符合 ASIL D 的系统完整性,并达到 ASIL B 和 ASIL D 的硬件完整性。 指定产品具有专用的安全包,其中包括用户在安全相关系统中正确使用它们所需的所有信息,包含:

  • 安全手册
  • 安全分析报告,包括故障模式、影响和诊断分析(FMEDA)和相关故障分析(DFA)
  • 开发接口协议(DIA)

哪些 SiFive 产品获得了认证?

目前,以下 SiFive 汽车产品已经成功获得 ISO 26262 认证:

  • E6-AB:32 位嵌入式处理器,适用于需要 ASIL B 硬件安全完整性的实时应用。
  • E6-AD:32 位嵌入式处理器,专为高级驾驶辅助系统(ADAS)和其他要求严格的关键安全应用而设计。
  • E6-AS:32 位嵌入式处理器,支持可配置的锁步与非锁步模式,在配置为锁步模式时支持 ASIL D 完整性等级。
  • S7-AD:64 位嵌入式处理器,支持关键安全功能的应用,提供卓越性能,适用于区域控制器和其他复杂的汽车系统。

SiFive 最近还成为首家获得汽车 ISO/SAE 21434:2021 产品认证的 IP 供应商,该认证提供了一个全面的框架,以识别、评估和缓解供应链中的网络安全风险。

总而言之,SiFive 的认证 IP 降低了风险和开发时间。通过利用 SiFive 的认证 SEooC IP,客户可以实现:

  • 降低风险: 显著减少产品召回、事故和法律责任的风险。
  • 增强信心: 增强对其产品安全性和可靠性的信心。
  • 简化认证: 简化其组件/系统的整体认证流程。

如需更多信息,请联系您的 SiFive 销售代表或通过 sifive.cn 与我们联系。