故=障覆蓋 — 美光 SAFER 記憶體
美光 LPDDR5 是業界首款通過 ISO 26262 ASIL-D 認證的記憶體。美光的記憶體產品組合符合 JEDEC 及車用標準,可滿足汽車產業對支援功能安全的 LPDRAM 的要求。
LPDRAM 對功能安全的要求遠遠超出先進駕駛輔助系統(ADAS)的應用範圍,並擴展至車用資訊娛樂(IVI)和駕駛員資訊系統,因為這些應用不斷融合並相應地影響車輛的功能安全。
如果您讀過一些早期的 SAFER 部落格,您可能知道功能安全的定義是,在運行期間不存在因電氣和電子(E/E)系統故障引起的危險而導致的不合理風險。功能安全著重於協助改善安全性、偵測故障與控制失敗的層面,即盡量降低不確定性。
讓我們深入瞭解兩種類型的故障覆蓋和硬體要素分類。
系統性故障覆蓋
系統性故障覆蓋透過使用 ISO-26262 標準指定的明確流程和方法,確保產品出現系統性問題的風險足夠低,進而達到目標 ASIL 等級。系統性故障可能發生在規格、設計、製造、測試或任何其他步驟中。與隨機性硬體故障不同,系統性故障可能影響車隊中的每輛車,因此可能產生非常大的影響。
隨機性故障覆蓋
隨機性故障是在裝置使用壽命期間隨機出現的故障。隨機性故障可進一步分為兩類:瞬態故障(單次事件中斷或軟錯誤)或永久故障(硬錯誤,例如停留在邏輯電平)。解決這些類型故障的方法通常是引入安全機制,幫助識別故障,使系統能夠採取適當措施,包括糾正故障或使系統在發生故障時仍能保持安全狀態。
由於採用嚴格的流程相關預防方法以及實施故障偵測安全機制可能會產生間接成本,因此 ISO 26262 認證界定了多達四種不同的汽車安全完整性等級(ASIL)。它們反映了違反安全目標的嚴重程度和影響,因此,為每個 ASIL 定義了用於避免系統性問題的強制性規範的增量關聯清單,以及一組隨機性故障偵測能力的嚴格指標目標(其中 ASIL-D 是要求最高的等級)。這樣可以根據故障的影響來調整系統或元件的成本。ASIL 計算的簡化視圖如下圖所示。
汽車安全完整性等級(ASIL)要點
圖 1:對比發生機率與傷害嚴重程度的 ASIL 圖表
關於隨機性故障偵測指標,ISO 26262 規定 ASIL-D 系統在系統層級衡量的故障率需低於 10 次的 FIT。ASIL-B 系統需要在系統層級實現低於 100 次的 FIT。一次 FIT 定義為 109 小時內發生一次故障。
符合 ISO 26262 功能安全標準的記憶體需求和案例
在第二版 ISO 26262 標準(於 2018 年發佈,距 2011 年推出原始 ISO 26262 標準幾年後)對第 8 部分第 13 條進行了修訂,新增與特定硬體系統的底層複雜性相關的分類,以及可用於在系統層級實現特定 ASIL 合規性的相應方法。
系統整合商最初錯誤地將 DRAM 裝置歸類為第二類硬體要素,即需要進行安全分析的操作模式和狀態很少,沒有內部安全機制。這種分類不符合當今 DRAM 裝置的底層複雜性,這些裝置的複雜性與某些最先進的 SoC 和 GPU 相當。
業界領先的安全顧問公司 exida 認為,用於安全應用的 DRAM 應歸類為第三類硬體要素,這樣才能符合 ISO 26262-8 第 13.4.1.1 條中列出的標準。此外,還要求在設計中採用第三類硬體要素的任何安全應用程式必須使用符合 ISO 26262 的裝置(一旦此類裝置可用)。
LPDDR DRAM 應歸類為第三類硬體要素
根據 ISO 26262-8 標準第 13.4.1.1 條的硬體要素分類。
圖2:安全分類標準及安全等級表
來自功能安全顧問公司 exida1 的硬體要素分類標準。
根據 ISO 規範,「第三類硬體要素的開發應符合 ISO 26262」,並且只允許作為過渡期的例外情況:「……『第三類硬體要素的評估』不是首選方法,因此計劃按照 ISO 26262 開發下一版本的硬體要素。
1. exida 是一家產品認證和知識公司,專門從事自動化系統安全和其他安全專業領域。
總結
若要深入瞭解業界首款符合 JEDEC 標準的 ISO 26262 ASIL-D 認證記憶體,請參考白皮書《安全關鍵型汽車系統中的 DRAM》,該白皮書詳細介紹了更廣泛且非常重要的功能安全主題。
美光 SAFER 汽車記憶體部落格系列提供評估突破性車用記憶體解決方案和支援時的見解和指導。SAFER 包含五個關鍵概念:(S)業界目前最安全的解決方案、(A)汽車思維、(F)故障覆蓋、(E)工程領導力和(R)風險管理。與縮寫 SAFER 相關的每個字母都有一個包含相關內容的相應部落格。
有關其他部落格的資訊,請查看美光的功能安全頁面: 汽車功能安全
