風=險管理 – 美光 SAFER 記憶體
雖然功能安全要求歷來由汽車一級廠商和 OEM 解決,但隨著當今和未來車輛的系統級複雜性和電子系統的不斷增加,功能安全顯然已成為半導體供應商高度重視的領域。美光的汽車產品符合 JEDEC 標準並被指定為符合車用,滿足了汽車業對遵循美光指定的 SAFER 方法的功能安全支援的需求。美光在其 SAFER 架構下設計的 LPDDR5 記憶體,是專為業界最複雜的先進駕駛輔助系統(ADAS)設計的解決方案,現已上市並可投入生產。
在元件和系統層級管理風險
ADAS 在當今汽車中的加速部署凸顯了功能安全的重要性。隨著 OEM 和一級供應商開發安全關鍵 ECU 時的半導體含量越來越高,如今汽車對 ADAS 效能要求的大幅提高凸顯了半導體功能安全的重要性。隨著車用資訊娛樂功能與 ADAS 相互交融,功能安全變得越發重要,進而影響系統級功能安全。在系統層面,半導體記憶體和儲存裝置需要滿足嚴格的安全要求,例如 ISO 26262。
ISO 26262 將功能安全定義為「沒有因電氣/電子系統故障行為造成的危害,而產生不合理的風險」。該標準還規定,故障分為兩種類型:系統性故障和隨機性故障。功能安全的兩個關鍵組成部分——系統性故障覆蓋和隨機性故障覆蓋——專注於支援裝置按設計和預期運轉,以便在發生間歇性隨機錯誤時可對其進行標記。透過標記隨機性故障,整個系統可以分析這些故障並做出適當回應。
在半導體開發過程中,可採取多項額外措施來降低系統性故障的風險:
- 教育(例如對員工進行 ISO 26262 培訓)
- 組織(例如設立專門的安全辦公室並獲得外部或內部安全認證)
- 資訊性(例如提供額外文件和審查要求)
每提高一級 ASIL(汽車安全完整性等級)就需要在產品開發過程中執行更多步驟。ASIL D 是最嚴格的功能安全認證等級,因此在產品開發過程中增加的步驟最多。
符合 ISO 26262 可降低風險
雖然完全通過 ISO 26262、ASIL-D 認證的元件為整合商提供最嚴格的安全等級,但 ISO 26262 標準概述了三種公認的替代方法來降低系統性故障的風險層級:
- 品質管理硬體(QM HW)要素評估(硬體評估)
- 經使用證明的 QM 硬體要素
- ASIL 分解
根據 ISO 26262-8:2018 第 13.4.4.1 條,對於第三類硬體要素,硬體評估方法只能在過渡期內使用,下一版的硬體要素計畫按照 ISO 26262 開發。對於採用相同第三類裝置的未來設計,該裝置應經過正式的合規認證流程。如果市場上有符合 ISO 26262 規範認證的現有零件,則應在設計中使用該裝置,而非採用硬體評估方法。這種選擇可以管理風險、降低整合複雜性並最終降低整體成本。
根據 ISO 26262-8 標準第 13.4.1.1 條,LPDDR DRAM 應歸類為第三類硬體要素。
分類標準表
來自功能安全顧問公司 exida 的硬體要素分類標準。1
經使用證明的品質管理(QM)硬體要素方法依賴對退貨材料概況的評估,並根據少量退貨授權(RMA)。這種方法可以證明其在安全應用程式中的使用是合理的,並且現場需要大約 500 萬個元件。
這種方法還需要四到六年時間才能獲得 ASIL-D 認證。考慮到供應鏈、出貨量和操作時數可能出現的延誤,經使用證明的方法提供的安全保證水準較低,存在固有的高風險,不建議作為永續性方法。
ISO26262-9:2018 第 5 條介紹了 ASIL 分解。簡單來說,ASIL 分解是一種為系統添加冗餘的結構化方法,以減少系統各部分所需的 ASIL。雖然 ASIL 分解可用於連續幾代產品,但與硬體評估不同,它可能因冗餘而導致系統總成本和元件數量顯著增加。此外,由於 ASIL 分解側重於故障檢測而非避免,因此可能對整體系統的可用性產生重大影響。
結論
雖然可以採用替代方案來實現目標 ASIL KPI,但風險最低、上市時間最快的方法是採用 ASIL-D 認證/符合 ASIL-D 的元件,例如美光符合 LPDDR5 ASIL-D 標準的記憶體。
深入瞭解業界首款符合 JEDEC、ISO 26262、ASIL-D 標準及認證的記憶體,該產品現已投入生產。有關詳情,請參閱 Micron.com 上的功能安全頁面,瞭解有關安全關鍵型汽車系統中的 DRAM、汽車產業大趨勢等的見解。
美光 SAFER 汽車記憶體部落格系列
此系列提供評估突破性汽車記憶體解決方案和支援時的見解和指導。SAFER 包含五個關鍵概念:(S)業界目前最安全的解決方案、(A)汽車思維、(F)故障覆蓋、(E)工程領導力和(R)風險管理。與縮寫 SAFER 相關的每個字母都有一個包含相關內容的相應部落格。有關其他部落格的資訊,請查看美光的功能安全頁面:領先業界的功能安全產品 | Micron Technology, Inc.
