ISO26262-11-2018 道路車輛功能安全

目錄頁(yè)前言簡(jiǎn)介1范圍2規(guī)范性參考文獻(xiàn)13術(shù)語(yǔ)和定義14半導(dǎo)體元件及其分區(qū)24.1如何看待半導(dǎo)體元件24.1.1半導(dǎo)體元件開發(fā)24.2將半導(dǎo)體元件分區(qū)4.3關(guān)于硬件故障，錯(cuò)誤和故障模式34.3.1故障模型34.3.2故障模式44.3.3故障模式下基本故障率的分布44.4關(guān)于使半導(dǎo)體元件安全分析適應(yīng)系統(tǒng)級(jí)別54.5知識(shí)產(chǎn)權(quán)（IP）64.5.1關(guān)于IP64.5.2IP類別和安全要求74.5.3IP生命周期94.5.4IP的工作產(chǎn)品114.5.5黑盒IP的集成144.6半導(dǎo)體的基本故障率154.6.1基本故障率估算的一般說(shuō)明154.6.2永久基礎(chǔ)故障率計(jì)算方法204.7半導(dǎo)體相關(guān)故障分析414.7.1DFA簡(jiǎn)介414.7.2DFA與安全分析之間的關(guān)系424.7.3相關(guān)故障情景424.7.4級(jí)聯(lián)故障與常見故障之間的區(qū)別454.7.5相關(guān)故障發(fā)起者和緩解措施454.7.6DFA工作流程514.7.7從屬故障分析示例544.7.8軟件元素和硬件元素55之間的相關(guān)故障4.8故障注入554.8.1一般554.8.2故障注入的特征或變量554.8.3故障注入結(jié)果574.9生產(chǎn)經(jīng)營(yíng)574.9.1關(guān)于生產(chǎn)574.9.2生產(chǎn)工作產(chǎn)品584.9.3關(guān)于服務(wù)（維護(hù)和修理）和退役584.10分布式開發(fā)中的接口584.11確認(rèn)措施594.12關(guān)于硬件集成和驗(yàn)證的說(shuō)明595具體半導(dǎo)體技術(shù)和用例605.1數(shù)字組件和存儲(chǔ)器605.1.1關(guān)于數(shù)字組件605.1.2非存儲(chǔ)器數(shù)字組件的故障模型605.1.3存儲(chǔ)器的詳細(xì)故障模型615.1.4數(shù)字組件的故障模式625.1.5公共數(shù)字塊的故障模式定義示例625.1.6數(shù)字部分的定性和定量分析665.1.7關(guān)于數(shù)字組件定量分析的說(shuō)明675.1.8定量分析的例子695.1.9檢測(cè)或避免系統(tǒng)故障的技術(shù)或措施示例在設(shè)計(jì)數(shù)字組件70期間5.1.10使用故障注入模擬進(jìn)行驗(yàn)證745.1.11數(shù)字組件的安全文檔示例755.1.12數(shù)字組件和存儲(chǔ)器的安全機(jī)制示例765.1.13數(shù)字組件和存儲(chǔ)器技術(shù)概述775.2模擬/混合信號(hào)分量805.2.1關(guān)于模擬和混合信號(hào)組件805.2.2模擬和混合信號(hào)分量和故障模式825.2.3安全分析說(shuō)明915.2.4安全機(jī)制的例子945.2.5在開發(fā)階段避免系統(tǒng)故障975.2.6模擬/混合信號(hào)組件的安全文檔示例1005.3可編程邏輯器件1015.3.1關(guān)于可編程邏輯器件1015.3.2PLD105的故障模式5.3.3PLD安全性分析說(shuō)明1065.3.4PLD的安全機(jī)制示例1125.3.5避免PLD的系統(tǒng)故障1135.3.6PLD的安全文件示例1165.3.7PLD安全分析示例1165.4多核組件1165.4.1多核組件的類型1165.4.2ISO26262系列標(biāo)準(zhǔn)對(duì)多核部件的影響1175.5傳感器和換能器1195.5.1傳感器和傳感器的術(shù)語(yǔ)1195.5.2傳感器和傳感器故障模式1205.5.3傳感器和傳感器的安全分析1255.5.4傳感器和傳感器的安全措施示例1265.5.5關(guān)于避免傳感器和傳感器的系統(tǒng)故障1305.5.6傳感器和傳感器的安全文件示例131附件A（資料性附錄）關(guān)于如何使用數(shù)字故障模式進(jìn)行診斷覆蓋率評(píng)估的示例132附件B（資料性附錄）從屬故障分析的例子136附件C（資料性附錄）數(shù)字部件的定量分析示例150附件D（資料性）模擬組分的定量分析實(shí)例155附件E（資料性附錄）PLD組分的定量分析實(shí)例169參考書目175前言ISO（國(guó)際標(biāo)準(zhǔn)化組織）是一個(gè)全球性的國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)聯(lián)盟（ISO成員機(jī)構(gòu)）。準(zhǔn)備國(guó)際標(biāo)準(zhǔn)的工作通常通過ISO技術(shù)委員會(huì)進(jìn)行。對(duì)成立技術(shù)委員會(huì)的主題感興趣的每個(gè)成員機(jī)構(gòu)都有權(quán)在該委員會(huì)中有代表。與ISO聯(lián)絡(luò)的國(guó)際組織，政府和非政府組織也參與了這項(xiàng)工作。ISO在電工技術(shù)標(biāo)準(zhǔn)化的所有方面與國(guó)際電工委員會(huì)（IEC）密切合作。用于開發(fā)本文檔的程序和用于進(jìn)一步維護(hù)的程序在ISO/IEC指令第1部分中有所描述。特別是，應(yīng)注意不同類型的ISO文檔所需的不同批準(zhǔn)標(biāo)準(zhǔn)。本文件是根據(jù)ISO/IEC指令第2部分的編輯規(guī)則起草的（參見/directives）。需要注意的是，本文件的某些要素可能是專利權(quán)的主體。ISO不負(fù)責(zé)識(shí)別任何或所有此類專利權(quán)。在文件制定過程中確定的任何專利權(quán)的詳細(xì)信息將在收到的專利聲明的引言和/或ISO列表中（見/patents）。本文檔中使用的任何商標(biāo)名稱是為方便用戶而給出的信息，而不是構(gòu)成認(rèn)可。關(guān)于標(biāo)準(zhǔn)的自愿性質(zhì)的解釋，與合格評(píng)定相關(guān)的ISO特定術(shù)語(yǔ)和表達(dá)的含義，以及ISO在技術(shù)性貿(mào)易壁壘（TBT）中遵守世界貿(mào)易組織（WTO）原則的信息，請(qǐng)參見以下網(wǎng)址：/iso/foreword.html。本文件由技術(shù)委員會(huì)ISO/TC22道路車輛小組委員會(huì)SC32電氣??和電子部件和一般系統(tǒng)方面編寫。有關(guān)本文檔的任何反饋或問題，請(qǐng)直接與用戶的國(guó)家標(biāo)準(zhǔn)組織聯(lián)系。一個(gè)這些機(jī)構(gòu)的完整列表可在/members.html上找到?？梢栽贗SO網(wǎng)站上找到ISO26262系列中所有部件的列表。簡(jiǎn)介ISO26262系列標(biāo)準(zhǔn)是適應(yīng)IEC61508系列標(biāo)準(zhǔn)的解決方案公路車輛內(nèi)的電氣和/或電子（E/E）系統(tǒng)的特定行業(yè)需求。此適應(yīng)性適用于由電氣，電子和軟件組件組成的安全相關(guān)系統(tǒng)的安全生命周期內(nèi)的所有活動(dòng)。安全是公路車輛發(fā)展的關(guān)鍵問題之一。汽車功能的開發(fā)和集成增強(qiáng)了對(duì)功能安全的需求以及提供滿足功能安全目標(biāo)的證據(jù)的需求。隨著技術(shù)復(fù)雜性，軟件內(nèi)容和機(jī)電一體化實(shí)施的趨勢(shì)，系統(tǒng)故障和隨機(jī)硬件故障的風(fēng)險(xiǎn)越來(lái)越大，這些都被認(rèn)為是在功能安全范圍內(nèi)。ISO26262系列標(biāo)準(zhǔn)包括通過提供適當(dāng)?shù)囊蠛土鞒虂?lái)降低這些風(fēng)險(xiǎn)的指南。為實(shí)現(xiàn)功能安全，ISO26262系列標(biāo)準(zhǔn)：a）為汽車安全生命周期提供參考，并支持在生命周期階段（即開發(fā)，生產(chǎn)，運(yùn)營(yíng)，服務(wù)和退役）中進(jìn)行的活動(dòng)的定制;b）提供基于汽車的風(fēng)險(xiǎn)方法來(lái)確定完整性水平[汽車安全完整性等級(jí)（ASIL）];c）使用ASIL指定ISO26262的哪些要求適用以避免不合理剩余風(fēng)險(xiǎn);d）提供功能安全管理，設(shè)計(jì)，實(shí)施，驗(yàn)證，確認(rèn)和確認(rèn)措施的要求;和e）提供客戶與供應(yīng)商之間關(guān)系的要求。ISO26262系列標(biāo)準(zhǔn)涉及通過安全措施（包括安全機(jī)制）實(shí)現(xiàn)的E/E系統(tǒng)的功能安全性。它還提供了一個(gè)框架，在該框架內(nèi)可以考慮基于其他技術(shù)（例如機(jī)械，液壓和氣動(dòng)）的安全相關(guān)系統(tǒng)。功能安全的實(shí)現(xiàn)受到開發(fā)過程（包括需求規(guī)范，設(shè)計(jì)，實(shí)現(xiàn)，集成，驗(yàn)證，驗(yàn)證和配置等活動(dòng)），生產(chǎn)和服務(wù)流程以及管理流程的影響。安全性與共同的功能導(dǎo)向和質(zhì)量導(dǎo)向的活動(dòng)和工作產(chǎn)品交織在一起。ISO26262系列標(biāo)準(zhǔn)涉及這些活動(dòng)和工作產(chǎn)品的安全相關(guān)方面。圖1顯示了ISO26262系列標(biāo)準(zhǔn)的整體結(jié)構(gòu)。ISO26262系列標(biāo)準(zhǔn)基于V模型作為產(chǎn)品開發(fā)不同階段的參考過程模型。在圖中：-陰影“V”代表ISO26262-3，ISO26262-4，ISO26262-5之間的互連，ISO26262-6和ISO26262-7;-用于摩托車：-ISO26262-12：2018，第8條支持ISO26262-3;-ISO26262-12：2018，第9和10條支持ISO26262-4;-具體條款以下列方式表示：“m-n”，其中“m”代表數(shù)字特定部分和“n”表示該部分中的條款編號(hào)。圖1-ISO26262系列標(biāo)準(zhǔn)概述道路車輛-功能安全-第11部分：ISO26262在半導(dǎo)體中的應(yīng)用指南1條，適用范圍本文件旨在應(yīng)用于包括一個(gè)或多個(gè)電氣和/或電子（E/E）系統(tǒng)的安全相關(guān)系統(tǒng)，并且安裝在串聯(lián)生產(chǎn)道路車輛中，不包括輕便摩托車。本文件未涉及特殊車輛中的獨(dú)特E/E系統(tǒng)，例如為殘疾司機(jī)設(shè)計(jì)的E/E系統(tǒng)。注意存在其他專用的特定應(yīng)用安全標(biāo)準(zhǔn)，可以作為ISO26262系列的補(bǔ)充標(biāo)準(zhǔn)，反之亦然。在本文檔發(fā)布之前已經(jīng)開發(fā)的用于生產(chǎn)的系統(tǒng)及其組件或系統(tǒng)及其組件，不在本版的范圍之內(nèi)。本文檔通過根據(jù)更改量身定制安全生命周期，解決在本文檔發(fā)布之前發(fā)布的現(xiàn)有系統(tǒng)及其組件的更改。本文檔通過定制安全生命周期來(lái)解決根據(jù)本文檔開發(fā)的現(xiàn)有系統(tǒng)和根據(jù)本文檔開發(fā)的系統(tǒng)的集成。本文檔解決了安全相關(guān)E/E系統(tǒng)故障行為可能造成的危害，包括這些系統(tǒng)的相互作用。除非直接由安全相關(guān)的E/E系統(tǒng)的故障行為引起，否則它不涉及與電擊，火災(zāi)，煙霧，熱，輻射，毒性，可燃性，反應(yīng)性，腐蝕，能量釋放和類似危險(xiǎn)相關(guān)的危險(xiǎn)。本文檔描述了一個(gè)功能安全框架，以幫助開發(fā)與安全相關(guān)的E/E系統(tǒng)。該框架旨在用于將功能安全活動(dòng)集成到公司特定的開發(fā)框架中。一些要求具有明確的技術(shù)重點(diǎn)，以將功能安全性實(shí)施到產(chǎn)品中;其他人解決了開發(fā)過程，因此可以將其視為流程要求，以展示組織在功能安全方面的能力。本文檔未涉及E/E系統(tǒng)的標(biāo)稱性能。本文檔僅提供信息性特征。它包含了有關(guān)半導(dǎo)體開發(fā)的ISO26262其他部分的可能解釋。關(guān)于可能的解釋，該內(nèi)容并非詳盡無(wú)遺，即，為了滿足ISO26262的其他部分中定義的要求，其他解釋也是可能的。2規(guī)范性參考文獻(xiàn)文中提到了以下文件，其中部分或全部?jī)?nèi)容構(gòu)成了本文件的要求。凡是注日期的引用文件，僅引用的版本適用。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。ISO26262-1，道路車輛-功能安全-第1部分：詞匯3術(shù)語(yǔ)和定義就本文件而言，術(shù)語(yǔ)，定義和縮寫術(shù)語(yǔ)在ISO26262-1適用。ISO和IEC在以下地址維護(hù)用于標(biāo)準(zhǔn)化的術(shù)語(yǔ)數(shù)據(jù)庫(kù)：-IECElectropedia：可從/獲取-ISO在線瀏覽平臺(tái)：/obp4半導(dǎo)體元件及其分區(qū)4.1如何看待半導(dǎo)體元件4.1.1半導(dǎo)體元件開發(fā)如果半導(dǎo)體元件是作為符合ISO26262系列標(biāo)準(zhǔn)的項(xiàng)目開發(fā)的一部分而開發(fā)的，則它是基于通過技術(shù)安全概念從項(xiàng)目的頂級(jí)安全目標(biāo)得出的硬件安全要求而開發(fā)的。針對(duì)相關(guān)故障模式的診斷覆蓋范圍的目標(biāo)，以滿足硬件架構(gòu)指標(biāo)和隨機(jī)硬件故障（PMHF）的概率指標(biāo)或每個(gè)安全目標(biāo)違規(guī)原因（EEC）的評(píng)估分配給該項(xiàng)目：在這種情況下，半導(dǎo)體組件只是其中一個(gè)要素。如ISO26262-5：2018[66]，8.2的示例中所述，為了促進(jìn)分布式開發(fā)，可以通過在項(xiàng)目級(jí)別導(dǎo)出SPFM，LFM和PMHF的目標(biāo)值，將目標(biāo)值分配給半導(dǎo)體組件本身或?qū)EC應(yīng)用于HW零件級(jí)別。半導(dǎo)體元件的安全性分析是根據(jù)ISO26262-5：2018,7.4.3和ISO26262-9：2018[70]，第8章中定義的要求和建議進(jìn)行的。注：如果未按照ISO26262系列標(biāo)準(zhǔn)開發(fā)元件，則可以考慮ISO26262-8：2018[69]第13章中的要求。如ISO26262-10[61]中所述，半導(dǎo)體元件可以開發(fā)為SEooC。在這種情況下，開發(fā)是基于對(duì)半導(dǎo)體元件使用條件的假設(shè)（使用假設(shè)或AoU，見4.4），然后考慮到源自半導(dǎo)體元件的要求，在下一個(gè)更高的集成度下驗(yàn)證這些假設(shè)。其中使用半導(dǎo)體元件的項(xiàng)目的安全目標(biāo)。假設(shè)半導(dǎo)體組件是SEooC，提供該部分中的描述和方法，但是如果半導(dǎo)體組件不被視為SEooC，則所描述的方法（例如，用于半導(dǎo)體組件的故障率計(jì)算的方法）仍然有效。當(dāng)考慮獨(dú)立半導(dǎo)體元件進(jìn)行這些方法時(shí)，進(jìn)行適當(dāng)?shù)募僭O(shè)。第4.4小節(jié)描述了如何在系統(tǒng)或元素級(jí)別調(diào)整和驗(yàn)證這些方法和假設(shè)。在獨(dú)立的半導(dǎo)體元件級(jí)別，ISO26262-2[63]，ISO26262-5，ISO26262-6[67]，ISO26262-7[68]，ISO26262-8和ISO26262-9的要求（例如可以應(yīng)用與安全性分析，依賴性故障分析，驗(yàn)證等相關(guān)的。4.2將半導(dǎo)體元件分成幾部分如圖2所示，根據(jù)ISO26262-1：2018,3.21中的定義，半導(dǎo)體元件可以分為幾部分：注：詳細(xì)程度（例如，是否停止在部分級(jí)別或下至子部分或基本子部分級(jí)別）以及基本子部分（例如觸發(fā)器，模擬晶體管）的定義可取決于安全概念，階段分析和使用的安全機(jī)制（在半導(dǎo)體組件內(nèi)部或在系統(tǒng)或元件級(jí)別）。圖2-半導(dǎo)體，其零件和子部件4.3關(guān)于硬件故障，錯(cuò)誤和故障模式集成電路的隨機(jī)硬件故障和故障模式鏈接在一起，如下面的圖3所示。注1：故障模式可以是抽象的，也可以根據(jù)具體實(shí)施情況量身定制，例如與組件，部件或子部件的引腳相關(guān)。通常，故障模式在本文檔中描述為功能故障模式。進(jìn)一步可以表征失效模式。示例附錄A給出了數(shù)字電路故障模式的示例。本文檔中描述的錯(cuò)誤和錯(cuò)誤與給定的物理實(shí)現(xiàn)有關(guān)半導(dǎo)體元件。注2：根據(jù)ISO26262-1定義使用術(shù)語(yǔ)故障，錯(cuò)誤和故障，即故障會(huì)產(chǎn)生可能導(dǎo)致故障的錯(cuò)誤。在許多可靠性建模標(biāo)準(zhǔn)中，術(shù)語(yǔ)故障和故障可互換使用。圖3-硬件故障和故障模式之間的關(guān)系4.3.1故障模型故障模型是物理故障的抽象表示。故障模式分布與圖3中所示的故障模型相關(guān)聯(lián)。示例如果故障模式由于卡住故障導(dǎo)致X％，短路導(dǎo)致Y％，并且如果安全機(jī)制僅覆蓋覆蓋率為Z％的固定故障，則聲明的診斷覆蓋率為X％×Z％。在半導(dǎo)體組件的背景下，基于技術(shù)和電路實(shí)現(xiàn)來(lái)識(shí)別相關(guān)的故障模型。注1：有關(guān)數(shù)字組件故障模型和5.1.3存儲(chǔ)器故障模型的更多詳細(xì)信息，請(qǐng)參見5.1.2。注2：由于故障數(shù)量和所需的詳細(xì)程度，通常無(wú)法單獨(dú)評(píng)估每個(gè)可能的物理故障。4.3.2故障模式在與安全概念和相關(guān)安全機(jī)制相稱的詳細(xì)程度上描述故障模式。示例1在具有硬件鎖步安全機(jī)制的CPU的情況下，可以通過查看整個(gè)CPU功能來(lái)定義故障模式。示例2在具有基于結(jié)構(gòu)軟件的硬件測(cè)試作為安全機(jī)制的CPU的情況下，CPU功能的故障模式被更詳細(xì)地定義，因?yàn)檐浖y(cè)試將覆蓋具有不同故障模式覆蓋的不同故障模式。示例3附錄A給出了數(shù)字故障模式的不同詳細(xì)程度示例。要定義故障模式，請(qǐng)使用關(guān)鍵字（如果適用）。示例4關(guān)鍵字的示例包括：錯(cuò)誤的程序流執(zhí)行，數(shù)據(jù)損壞，訪問非預(yù)期位置，死鎖，活鎖，不正確的指令執(zhí)行。在特殊情況下，更接近物理實(shí)現(xiàn)的故障模式可能更有幫助。實(shí)施例5模擬失效模式（表36）。識(shí)別的故障模式和電路實(shí)現(xiàn)故障模型之間的關(guān)聯(lián)由證據(jù)支持，確保將任何故障模式分配給組件的部件/子部件，并且任何相關(guān)的部件/子部件具有至少一種故障模式。注意目標(biāo)是確保電路實(shí)現(xiàn)與列出的故障模式之間沒有間隙。4.3.3故障模式下基本故障率的分布基本故障率（見4.6）分布在故障模式中。該分布的準(zhǔn)確性與分析的詳細(xì)程度和可用的相關(guān)安全機(jī)制的考慮一致。例1在具有硬件鎖步安全機(jī)制的CPU的情況下，沒有必要具有詳細(xì)分配CPU故障模式。示例2在具有基于結(jié)構(gòu)軟件的硬件測(cè)試的CPU的情況下，更詳細(xì)地定義分布，因?yàn)橐赃@種方式可以足夠精確地估計(jì)故障模式的診斷覆蓋。如果沒有可用于計(jì)算具有所需精度的分布的數(shù)據(jù)，則故障率在故障模式中均勻分布，或者提供相關(guān)參數(shù)的專家判斷。注：對(duì)分布進(jìn)行靈敏度分析，以評(píng)估對(duì)診斷覆蓋率和定量安全性分析結(jié)果的影響。4.4關(guān)于使半導(dǎo)體元件安全分析適應(yīng)系統(tǒng)級(jí)半導(dǎo)體元件安全分析適應(yīng)系統(tǒng)級(jí)通過以下方式完成：-將半導(dǎo)體元件的詳細(xì)故障模式轉(zhuǎn)換為系統(tǒng)級(jí)分析期間所需的高級(jí)故障模式，如圖4所示;圖4-導(dǎo)出系統(tǒng)級(jí)故障模式的自下而上方法示例注1：通過組合自上而下（例如FTA）和自下而上的方法（例如FMEA），可以識(shí)別詳細(xì)的半導(dǎo)體元件故障模式，并將它們組合到元件級(jí)。注2：從低抽象水平開始，可以為半導(dǎo)體元件提供定量和精確的失效分布，否則將基于定性分布假設(shè)。注3：如4.2中所述，必要的詳細(xì)程度取決于分析的階段和所使用的安全機(jī)制。-可以通過部件，組件級(jí)別或系統(tǒng)或項(xiàng)目級(jí)別的措施來(lái)改進(jìn)在部分或子部分級(jí)別計(jì)算的診斷范圍;要么示例1半導(dǎo)體組件包括ADC，其沒有以硬件實(shí)現(xiàn)的安全機(jī)制。在組件獨(dú)立級(jí)別，診斷覆蓋率被認(rèn)為是零。在系統(tǒng)級(jí)，ADC包含在閉環(huán)中，其故障通過基于軟件的一致性檢查來(lái)檢測(cè)。在這種情況下，由于在系統(tǒng)級(jí)實(shí)施的安全機(jī)制，該子部分的診斷覆蓋范圍增加。-在部分或子部分計(jì)算的診斷范圍可以在某些特定假設(shè)（“使用假設(shè)”或AoU）下計(jì)算。注4：在系統(tǒng)級(jí)，可能存在不同的安全機(jī)制或故障屏蔽。當(dāng)可以進(jìn)行調(diào)整時(shí)，可以在安全性分析中考慮這一點(diǎn)。示例2：半導(dǎo)體組件包括存儲(chǔ)器，其中每個(gè)單錯(cuò)誤被ECC校正并用信號(hào)通知給CPU。在組件獨(dú)立級(jí)別，假設(shè)實(shí)現(xiàn)了軟件驅(qū)動(dòng)程序來(lái)處理此事件。在系統(tǒng)級(jí)，出于性能原因，未實(shí)現(xiàn)此軟件驅(qū)動(dòng)程序，因此未滿足該假設(shè)。半導(dǎo)體元件被編程為將糾錯(cuò)標(biāo)志直接發(fā)送到外界。4.5知識(shí)產(chǎn)權(quán)（IP）4.5.1關(guān)于IP了解IP在本子條款中，IP是指可重復(fù)使用的邏輯設(shè)計(jì)或物理設(shè)計(jì)單元，旨在作為一個(gè)部件或組件集成到設(shè)計(jì)中。術(shù)語(yǔ)“IP集成器”用于指負(fù)責(zé)將來(lái)自一個(gè)或多個(gè)源的IP設(shè)計(jì)集成到具有安全要求的設(shè)計(jì)中的組織。“IP供應(yīng)商”一詞用于指負(fù)責(zé)設(shè)計(jì)或開發(fā)IP的組織。IP集成商和IP供應(yīng)商可以是單獨(dú)的各方，也可以是同一公司中的同一公司或不同組織。根據(jù)ISO26262系列標(biāo)準(zhǔn)的要求，為基于IP的設(shè)計(jì)確定了四種可能的方法。這些方法如圖5所示.IP集成商通常根據(jù)對(duì)IP供應(yīng)商提供的信息的考慮以及IP的成熟度來(lái)選擇方法。示例如果IP供應(yīng)商沒有可用的支持信息，則可能的方法可以限于“使用中證明”參數(shù)（如果適用）。如果證明使用中的論證不適用，那么IP在安全架構(gòu)中的作用將被區(qū)別對(duì)待，例如：使用多種冗余來(lái)降低系統(tǒng)和隨機(jī)硬件故障的風(fēng)險(xiǎn)。圖5-在安全相關(guān)設(shè)計(jì)中使用IP的可能方法IP可以是具有預(yù)定義功能集的現(xiàn)有設(shè)計(jì)。在這種情況下，IP集成商有責(zé)任確定支持設(shè)計(jì)安全概念所需的一組功能。IP也可以根據(jù)商定的安全要求進(jìn)行設(shè)計(jì)。在這種情況下，IP集成商確定了支持設(shè)計(jì)安全概念所必需的IP要求。注1：本子條款中的指南適用于新開發(fā)的IP，修改后的IP和現(xiàn)有的未修改IP。注2：通常的方法是假設(shè)ISO26262-2：2018,中定義的可能的目標(biāo)用途。該選項(xiàng)在ISO26262-10[61]中描述為SEooC。SEooC的開發(fā)依賴于識(shí)別由IP集成商驗(yàn)證的假設(shè)用例和安全要求。IP的類型表1中列出了常用的IP類型。這不是涵蓋可能的IP類型的詳盡列表。本文檔考慮了應(yīng)用于半導(dǎo)體設(shè)計(jì)的IP的物理和模型表示類型。表1-IP的類型IP類型描述物理表示完整的芯片布局描述，包含特定單元庫(kù)的標(biāo)準(zhǔn)單元實(shí)例或目標(biāo)制造過程的模擬單元。示例ADC宏，PLL宏。模型表示根據(jù)硬件描述語(yǔ)言（HDL）描述設(shè)計(jì)例如Verilog或VHDL，或模擬晶體管級(jí)電路原理圖。模型表示中的邏輯設(shè)計(jì)被合成為由基本單元組成的門列表，然后是布局和布線以實(shí)現(xiàn)半導(dǎo)體設(shè)計(jì)。模擬電路原理圖組件（如晶體管，二極管，電阻器和電容器）映射到目標(biāo)技術(shù)庫(kù)組件，然后進(jìn)行布局布線以實(shí)現(xiàn)半導(dǎo)體設(shè)計(jì)。示例處理器或存儲(chǔ)器控制器設(shè)計(jì)交換而不映射到特定技術(shù)，運(yùn)算放大器晶體管級(jí)示意圖。注1：物理表示IP也稱為“硬IP”。注2：模型表示IP也稱為“軟IP”。注3：該分類適用于通用IP設(shè)計(jì)，包括數(shù)字，模擬，混合信號(hào)，PLD，傳感器和傳感器。注1：邏輯設(shè)計(jì)形式的IP也可以配置。在這種情況下，配置選項(xiàng)由IP集成商指定。示例1用于定義接口總線寬度，內(nèi)存大小和故障檢測(cè)的配置選項(xiàng)機(jī)制。注2：IP也可以使用專用工具生成（內(nèi)存編譯器，C到HDL編譯器，網(wǎng)絡(luò)上-芯片發(fā)生器）。在這種情況下：-可以使用ISO26262-8：2018，第11章中描述的方法證明對(duì)軟件工具的信心，該方法基于對(duì)生成的IP執(zhí)行的驗(yàn)證量而定制;-通過以下方式執(zhí)行必要的驗(yàn)證活動(dòng)以保證生成的IP的正確性適用的IP集成商或IP供應(yīng)商（例如DIA協(xié)議）;-提供下列條款中列出的必要工作產(chǎn)品;和-IP集成商驗(yàn)證IP在其上下文中的正確集成。4.5.2知識(shí)產(chǎn)權(quán)的類別和安全要求通常，可以基于安全要求的分配來(lái)確定兩類IP：沒有分配安全要求的IP，以及具有一個(gè)或多個(gè)分配的安全要求的IP。當(dāng)IP沒有分配安全要求時(shí)，除非在安全分析期間確定，否則ISO26262系列標(biāo)準(zhǔn)不需要額外考慮。在非安全相關(guān)IP與安全相關(guān)元件共存的情況下，使用相關(guān)故障分析來(lái)評(píng)估無(wú)干擾的自由度。有關(guān)從屬故障分析指南，請(qǐng)參閱ISO26262-9：2018，第7章以及本文件4.7中的附加指南。如果為IP分配了一個(gè)或多個(gè)安全要求，則ISO26262系列標(biāo)準(zhǔn)的要求適用。特別是ISO26262-2，ISO26262-4[65]，ISO26262-5，ISO26262-8和ISO26262-9的要求通常適用于IP設(shè)計(jì)。以下文本為具有分配安全要求的IP提供了指導(dǎo)，以及如何在有和沒有集成安全機(jī)制的情況下考慮這些IP要求。安全相關(guān)的IP可以基于安全機(jī)制的集成進(jìn)一步分類。圖6中示出了兩種可能的情況，子圖（a）示出了具有集成安全機(jī)制的IP，而子圖（b）示出了沒有集成安全機(jī)制的IP。圖6-具有分配安全要求的IP類型注1：可以包括IP安全機(jī)制，用于檢測(cè)IP的故障模式，以及IP外部的故障模式。注2：IP中實(shí)施的安全機(jī)制可以提供一組定義的故障模式的全部或部分診斷。也可能僅由IP執(zhí)行故障模式檢測(cè)，故障模式控制由IP外部的組件提供。IP提供商負(fù)責(zé)提供IP開發(fā)期間的使用假設(shè)為了讓IP集成商能夠檢查與安全要求的一致性。IP的硬件功能最初可以通過提供基于假設(shè)的安全要求的安全機(jī)制來(lái)開發(fā)，目標(biāo)是集成到安全相關(guān)的硬件環(huán)境中，該安全機(jī)制旨在控制給定的故障模式。在這種情況下，ISO26262-2，ISO26262-4，ISO26262-5，ISO26262-6（基于軟件的安全機(jī)制以涵蓋硬件故障），ISO26262-8和ISO26262-9的要求在適用的情況下，可用于在知識(shí)產(chǎn)權(quán)發(fā)展過程中設(shè)計(jì)安全機(jī)制。示例1具有內(nèi)置總線監(jiān)控器的總線“結(jié)構(gòu)”，包括故障檢測(cè)和通知邏輯（例如，中斷信號(hào)）。示例2帶監(jiān)控的電壓調(diào)節(jié)器（欠壓和過壓檢測(cè)），保護(hù)（電流限制或熱保護(hù)）和自診斷（監(jiān)控和保護(hù)電路內(nèi)置自檢）?；蛘撸琁P可以在沒有假設(shè)的安全要求或特定安全性的情況下開發(fā)檢測(cè)和控制故障的機(jī)制。示例3沒有內(nèi)置總線監(jiān)控器或錯(cuò)誤報(bào)告邏輯的總線“結(jié)構(gòu)”。例4沒有監(jiān)控，保護(hù)或內(nèi)置監(jiān)控或保護(hù)電路的電壓調(diào)節(jié)器診斷。ISO26262-9：2018中定義的安全分析，第8條可以應(yīng)用于IP?？梢韵騃P集成商提供定性安全分析，在某些情況下還可以提供定量分析，以證明安全機(jī)制的能力，以控制給定的故障模式或提供故障信息模式和相關(guān)的故障模式分配。類似地，可以提供依賴性故障分析以證明所需的獨(dú)立性或免于干擾。注3：IP供應(yīng)商根據(jù)具體的實(shí)施假設(shè)，包括安全分析結(jié)果中有關(guān)故障模式分布的示例信息。與安全機(jī)制相關(guān)的文檔可以與IP的其他安全相關(guān)文檔一起提供。此信息也可以組合成單個(gè)安全手冊(cè)或安全應(yīng)用說(shuō)明，如5.1.11（數(shù)字組件），5.2.6（模擬或混合信號(hào)組件），5.3.6（PLD）和5.5.6中所述。（用于傳感器/傳感器）。注4：基本故障率取決于實(shí)際實(shí)施，包括IP技術(shù)，集成電路中的IP以及集成電路的使用條件，如4.6所述。因此，基本故障率只能作為對(duì)IP集成商的參考，負(fù)責(zé)根據(jù)實(shí)際用例重新計(jì)算故障率。注5：該信息可包含在現(xiàn)有文檔中（例如集成指南，技術(shù)參考文檔，應(yīng)用說(shuō)明）。IP集成商可以在實(shí)施安全要求時(shí)向IP供應(yīng)商請(qǐng)求其他信息。IP供應(yīng)商可以通過提供有關(guān)用于避免系統(tǒng)故障的措施的信息以及安全分析結(jié)果來(lái)支持該請(qǐng)求。安全分析結(jié)果可用于支持對(duì)集成IP的硬件指標(biāo)的評(píng)估，以及證明不受干擾和獨(dú)立性的影響。由于IP將被集成到與安全相關(guān)的設(shè)計(jì)中，因此考慮共存對(duì)于確保集成IP不會(huì)對(duì)其他安全相關(guān)功能產(chǎn)生不利影響非常重要。為了要求不受干擾，可以使用ISO26262-9：2018，第6章和ISO26262-9：2018，第7章中描述的相關(guān)故障分析，以及本文件4.7中的附加指南。如果IP集成商確定使用提供的IP無(wú)法滿足安全要求，則可以按ISO26262-8：2018,5.4.4中的描述提出對(duì)供應(yīng)商的更改請(qǐng)求，并且在IP為SEooC，ISO26262-10[61]?；蛘撸梢詰?yīng)用IP集成商遵守安全要求的其他措施，例如集成級(jí)別的附加安全機(jī)制。安全機(jī)制可以用硬件，軟件或兩者的組合來(lái)實(shí)現(xiàn)。如果缺少合規(guī)開發(fā)的證據(jù)，ISO26262-8：2018，第13條和ISO26262-8：2018，第14條，可以提供爭(zhēng)議合規(guī)的替代方法。IP集成商負(fù)責(zé)與分配的安全要求和安全機(jī)制相關(guān)的每個(gè)集成以及相關(guān)的驗(yàn)證和測(cè)試活動(dòng)（如果適用）。注6：IP供應(yīng)商負(fù)責(zé)確保交付符合指定的屬性，并避免生成的IP中的系統(tǒng)故障。此外，IP供應(yīng)商提供支持信息，以允許IP集成商進(jìn)行集成活動(dòng)。4.5.3IP生命周期簡(jiǎn)介需要在IP生命周期中避免和檢測(cè)系統(tǒng)故障，以確保最終設(shè)計(jì)適用于具有一個(gè)或多個(gè)分配安全要求的應(yīng)用。在硬件設(shè)計(jì)的背景下，ISO26262-5：2018，第7章中提供了避免和檢測(cè)系統(tǒng)故障的要求。在本文件中，5.1.9（對(duì)于數(shù)字組件），5.2.5（對(duì)于模擬或混合信號(hào)組件），（對(duì)于PLD）和5.5.5（對(duì)于傳感器和傳感器）提供了進(jìn)一步的指導(dǎo)。該指南可用于確定在IP開發(fā)期間可用于避免和檢測(cè)系統(tǒng)故障的一般方法。對(duì)于具有可編程行為的IP，可以考慮ISO26262-4：2018,5.3中描述的指導(dǎo)原則。IP集成商負(fù)責(zé)集成提供的IP。對(duì)于集成活動(dòng)，考慮了針對(duì)IP描述的使用和集成指南的假設(shè)。通過ISO26262-8：2018，第8章中描述的變更管理，分析和考慮使用的假設(shè)的影響，這些假設(shè)對(duì)IP集成的設(shè)計(jì)無(wú)法滿足或無(wú)效，圖8提供了基于SEooC開發(fā)的示例生命周期，如ISO26262-10[61]中所提供的。圖7-將IP視為SEooC時(shí)的IP生命周期注1：圖7中所示的參考文獻(xiàn)與ISO26262系列標(biāo)準(zhǔn)有關(guān)。注2：在圖7中，ISO26262-5：2018，第10條僅部分由IP供應(yīng)商負(fù)責(zé)，因?yàn)樵S多相關(guān)要求不適用于IP供應(yīng)商，例如ESD測(cè)試。DIA可以定義由IP供應(yīng)商提供的工作產(chǎn)品（如4.5.4中所列）以支持IPIP集成活動(dòng)的集成商。IP作為SEooC在開發(fā)SEooCIP時(shí)，適用的安全活動(dòng)按照ISO26262-2：2018中的描述進(jìn)行定制，。SEooC開發(fā)的這種定制并不意味著可以省略安全生命周期的任何步驟。如果在SEooC開發(fā)期間推遲了某些步驟，則可以在項(xiàng)目開發(fā)期間完成這些步驟。如果SEooCASIL功能（參見ISO26262-1：2018,3.2）與IP集成商指定的ASIL要求之間存在不匹配，則IP集成商可以實(shí)施IP外部的其他安全機(jī)制。還考慮了系統(tǒng)故障避免的附加安全措施。可以使用ISO26262-9：2018第5章中定義的ASIL分解，前提是可以證明存在冗余和獨(dú)立的要求，并且采用系統(tǒng)故障避免和控制集成IP的方法帳戶。SEooC是基于預(yù)期功能的假設(shè)和使用上下文（包括外部接口）而開發(fā)的。這些假設(shè)的設(shè)置方式可以解決SEooC可以集成到其中的組件的超集，從而可以在以后的多個(gè)不同設(shè)計(jì)中使用SEooC。這些假設(shè)的有效性是在整合SEooC的實(shí)際組件的背景下建立的。在這種情況下，作為SEooC開發(fā)的IP通?？梢耘渲脼獒槍?duì)許多不同的設(shè)計(jì)?？梢栽诤铣芍埃铣芍?，或通過熔絲，激光切割，閃光或任何其他編程來(lái)完成配置。在這種情況下，IP供應(yīng)商提供有關(guān)測(cè)試和驗(yàn)證活動(dòng)所涵蓋的IP配置的信息。示例用于確定互連總線寬度，內(nèi)部高速緩存大小，中斷數(shù)，存儲(chǔ)器映射的配置選項(xiàng)。注1：IP配置與軟件配置數(shù)據(jù)不同：因此ISO26262-6：2018，附錄C不直接適用于IP。注2：IP集成商執(zhí)行必要的驗(yàn)證活動(dòng)，以保證生成的IP的正確性;提供下列條款所列的必要工作產(chǎn)品;IP集成商驗(yàn)證IP在其上下文中的正確集成。在情景中設(shè)計(jì)的IP在開發(fā)IP時(shí)，IP供應(yīng)商根據(jù)ISO26262-2：2018,的規(guī)定定制安全活動(dòng)。對(duì)于上下文設(shè)計(jì)，IP供應(yīng)商可以在了解安全要求的情況下開發(fā)IP。示例在系統(tǒng)級(jí)別的特定安全要求的背景下設(shè)計(jì)的模擬組件。通過評(píng)估硬件元素使用IP在沒有可用于IP的SEooC或上下文信息的情況下，可以使用ISO26262-8：2018，第13章中描述的硬件元件的評(píng)估來(lái)增加對(duì)IP的置信度。預(yù)計(jì)用于評(píng)估硬件元素的活動(dòng)可以應(yīng)用于IP，而無(wú)需預(yù)先存在的支持信息（如4.5.5中所述）。通過“使用證明”論證使用IP如果沒有系統(tǒng)故障避免的證據(jù)，ISO26262-8：2018第14章中描述的“使用證明”論證可以為IP集成商提供證明符合ISO26262的手段。圍繞“經(jīng)證實(shí)的使用”論證的有效性的條件可能是限制性的。確保ISO26262-8：2018,中描述的有效現(xiàn)場(chǎng)監(jiān)測(cè)計(jì)劃到位可能具有挑戰(zhàn)性，因?yàn)閬?lái)自包含IP的設(shè)計(jì)的典型有限的現(xiàn)場(chǎng)反饋或由于IP配置的差異。4.5.4知識(shí)產(chǎn)權(quán)工作產(chǎn)品知識(shí)產(chǎn)權(quán)工作產(chǎn)品清單示例工作產(chǎn)品在5.1.11（用于數(shù)字組件），5.2.6（用于模擬或混合信號(hào)組件），5.3.6（用于PLD）和5.5.6（用于傳感器和傳感器）中描述。以下給出了可以為IP設(shè)計(jì)提供的工作產(chǎn)品內(nèi)容的指導(dǎo)。注意DIA（參見ISO26262-8：2018，第5章）可用于指定哪些文檔可用到IP集成商以及包含的詳細(xì)程度。安全計(jì)劃對(duì)于具有一個(gè)或多個(gè)分配安全要求的IP，安全計(jì)劃是根據(jù)ISO26262-2：2018,6.4.6中的要求制定的?？梢允褂脝蝹€(gè)計(jì)劃或多個(gè)相關(guān)計(jì)劃。ISO26262-8中描述的適用支持流程包括詳細(xì)計(jì)劃，包括配置管理，變更管理，影響分析和變更請(qǐng)求，驗(yàn)證，文檔管理和軟件工具認(rèn)證。分配給IP設(shè)計(jì)的安全要求硬件安全要求可以分配給ISO26262-5：2018中定義的IP設(shè)計(jì)，第6條。示例描述了對(duì)IP中安全機(jī)制的要求，允許在適當(dāng)?shù)募杉?jí)別驗(yàn)證要求。集成和測(cè)試規(guī)范可以與技術(shù)安全概念中定義的要求相關(guān)聯(lián)。IP設(shè)計(jì)的硬件設(shè)計(jì)驗(yàn)證和驗(yàn)證審核為邏輯設(shè)計(jì)形式提供的IP設(shè)計(jì)定義設(shè)計(jì)驗(yàn)證的標(biāo)準(zhǔn)，特別是環(huán)境條件（振動(dòng)，EMI等）的標(biāo)準(zhǔn)通常是不可能的，因?yàn)槲锢硖匦愿叨纫蕾囉谖锢韺?shí)現(xiàn)。由IP集成商設(shè)計(jì)。注：對(duì)于作為數(shù)字邏輯設(shè)計(jì)提供的IP，可以使用5.1.9中列出的技術(shù)進(jìn)行硬件設(shè)計(jì)驗(yàn)證。驗(yàn)證報(bào)告包括用于驗(yàn)證IP設(shè)計(jì)的活動(dòng)的結(jié)果。驗(yàn)證可以按照ISO26262-8：2018第9章的規(guī)定進(jìn)行，包括驗(yàn)證活動(dòng)的計(jì)劃，執(zhí)行和評(píng)估。安全分析報(bào)告ISO26262-9：2018，第8章中的安全分析要求適用于IP設(shè)計(jì)。選擇適當(dāng)?shù)陌踩治龇椒ɑ贗SO26262-5：2018，表2。對(duì)于定性分析，供應(yīng)商提供已識(shí)別的IP故障模式以便支持它的整合。對(duì)于定量分析，所包含的數(shù)據(jù)支持評(píng)估硬件架構(gòu)指標(biāo)和評(píng)估由于隨機(jī)硬件故障導(dǎo)致的安全目標(biāo)違規(guī)，如ISO26262-9：2018,8.4.10中所述。示例數(shù)據(jù)包括估計(jì)的故障率和故障模式分布信息。注1：對(duì)于作為邏輯設(shè)計(jì)提供的IP，例如寄存器傳輸級(jí)（RTL），定量分析依賴于關(guān)于故障率和故障模式分布的假設(shè)，因此不能代表實(shí)際的物理設(shè)計(jì)。IP集成商驗(yàn)證具體實(shí)施的假設(shè)和定量安全分析結(jié)果。注2：在估算指標(biāo)時(shí)，嵌入在IP中的安全機(jī)制及其預(yù)期的故障模式可以考慮覆蓋（在適用于給定IP的級(jí)別）。在可配置IP的情況下，安全分析可以包括有關(guān)配置選項(xiàng)對(duì)故障模式分布的影響的信息。注3：分析配置選項(xiàng)對(duì)安全機(jī)制的實(shí)施和診斷覆蓋的影響。可以定義通過IP內(nèi)部和外部特征的組合實(shí)現(xiàn)的附加安全機(jī)制，以及在IP外部實(shí)現(xiàn)的安全機(jī)制。這些額外的安全機(jī)制可以依賴于SEooC設(shè)計(jì)的使用假設(shè)，可以在ISO26262-2：2018,中描述的適當(dāng)級(jí)別進(jìn)行驗(yàn)證。依賴故障分析可以按照ISO26262-9：2018，第7章中的描述執(zhí)行IP的相關(guān)故障分析。本文檔的4.7中包含有關(guān)如何對(duì)半導(dǎo)體器件應(yīng)用相關(guān)故障分析的其他指導(dǎo)。確認(rèn)措施進(jìn)行確認(rèn)措施的結(jié)果包括與知識(shí)產(chǎn)權(quán)發(fā)展過程有關(guān)的證據(jù)和論據(jù)以及避免系統(tǒng)性缺陷。ISO26262-2：2018，表1中描述了確認(rèn)措施。對(duì)于半導(dǎo)體IP，典型的確認(rèn)措施報(bào)告包括：-確認(rèn)審查安全計(jì)劃;-安全分析的確認(rèn)審查;-確認(rèn)審查安全案件的完整性;和-功能安全審計(jì)和評(píng)估報(bào)告。適用于系統(tǒng)故障避免的IP開發(fā)活動(dòng)的技術(shù)示例包括在5.1.9（數(shù)字組件），5.2.5（模擬或混合信號(hào)組件），（PLD）和5.5.5（傳感器和傳感器）。開發(fā)接口協(xié)議ISO26262-8：2018第5章中對(duì)分布式開發(fā)的要求適用于IP設(shè)計(jì)。DIA定義了IP設(shè)計(jì)的交換工作產(chǎn)品，以及IP供應(yīng)商和IP集成商之間的安全角色和責(zé)任。集成文檔集集成文檔集可以包括用于IP開發(fā)的安全手冊(cè)或安全應(yīng)用說(shuō)明作為一個(gè)SEooC。集成文檔集還可以包含以下信息：-描述為知識(shí)產(chǎn)權(quán)發(fā)展定制生命周期;-用于知識(shí)產(chǎn)權(quán)的假設(shè)，包括例如：-假設(shè)知識(shí)產(chǎn)權(quán)的安全狀態(tài);-適用時(shí)對(duì)最大故障處理時(shí)間間隔和多點(diǎn)故障檢測(cè)間隔（MPFDI）的假設(shè);-對(duì)IP集成環(huán)境的假設(shè)，包括接口;和-推薦的IP配置。-安全架構(gòu)的描述，包括：-故障檢測(cè)和控制機(jī)制;-故障報(bào)告功能;-自我測(cè)試能力和潛在潛在故障自我測(cè)試的附加要求，如果適用;-故障恢復(fù)機(jī)制，如果適用;如果適用，配置參數(shù)對(duì)上述項(xiàng)目的影響。-支持IP安全機(jī)制和控制所需的硬件-軟件接口檢測(cè)后失敗;-指定基于軟件的測(cè)試?yán)?，以檢測(cè)IP組件的故障（如果適用）。這也可以作為源代碼或二進(jìn)制庫(kù)提供;-知識(shí)產(chǎn)權(quán)安全分析結(jié)果的描述;和-用于IP的確認(rèn)措施的描述。IP集成商可以正式識(shí)別與安全機(jī)制相關(guān)的每個(gè)硬件功能，以便可以在IP集成商級(jí)別上完成具有硬件安全要求的映射，以及由此負(fù)責(zé)的集成驗(yàn)證和驗(yàn)證活動(dòng)?？梢宰R(shí)別IP集成商。注1：IP安全機(jī)制要求的規(guī)定方式允許它們可追溯到IP集成商的要求。注2：對(duì)于沒有用于故障檢測(cè)的特定功能的IP，提供使用假設(shè)足以符合IP集成商的要求。對(duì)于在上下文中開發(fā)的IP，通常提供類似的文檔。注3：對(duì)于上下文IP，不需要使用假設(shè)，因?yàn)镮P設(shè)計(jì)具有完整的上下文信息到位。0工作產(chǎn)品對(duì)知識(shí)產(chǎn)權(quán)類別的適用性至中描述的工作產(chǎn)品的適用性取決于其分類IP如4.5.2中所述。對(duì)于沒有集成安全機(jī)制的知識(shí)產(chǎn)權(quán)：-安全分析報(bào)告僅限于IP的故障模式分布。沒有對(duì)硬件指標(biāo)的估計(jì)，因?yàn)闆]有集成的安全機(jī)制。需要故障模式分配以使IP集成商能夠在集成級(jí)別執(zhí)行安全分析;-集成文檔集（不是特定的工作產(chǎn)品，而是中描述的信息集合）僅限于對(duì)IP集成環(huán)境的假設(shè)的描述，包括接口;-它通常不包括依賴故障的分析。4.5.5黑盒IP的集成在一些開發(fā)中，IP集成商可能遇到需要集成內(nèi)容未完全公開的IP的情況。從IP集成商的角度來(lái)看，要集成的IP是一個(gè)“黑匣子”。示例1IP集成商的客戶需要使用其專有邏輯，例如特定通信接口，定時(shí)器外設(shè)或類似邏輯。示例2要求IP集成商集成競(jìng)爭(zhēng)對(duì)手的邏輯，以促進(jìn)多源供應(yīng)協(xié)議。黑匣子IP可以多種形式集成，包括但不限于：-預(yù)硬化，或作為門級(jí)布局或晶體管級(jí)切換;-作為加密的網(wǎng)表，除了受信任的工具之外無(wú)法進(jìn)行有意義的解析;和-作為混淆的RTL源（其中有意義的變量名稱被替換為隨機(jī)字符串并且刪除了任何解釋性注釋）。注1：黑盒整合方法也適用于沒有信息的情況來(lái)自IP供應(yīng)商。當(dāng)集成黑匣子IP時(shí)，IP供應(yīng)商，IP集成商和IP集成商客戶之間的責(zé)任分工可以通過ISO26262-8：2018第5章中描述的開發(fā)接口協(xié)議來(lái)定義。示例3如果要求IP集成商使用黑匣子IP，例如由于客戶的要求，DIA可以指定客戶有責(zé)任評(píng)估并接受使用黑匣子IP的適用性在安全相關(guān)的背景下。開發(fā)接口協(xié)議還可以包括有關(guān)ISO26262-2：2018,中描述的安全活動(dòng)定制的詳細(xì)信息以及整個(gè)供應(yīng)鏈中的文檔交換。示例4開發(fā)接口協(xié)議可以指定IP供應(yīng)商以集成指南的形式提供集成詳細(xì)信息，該集成指南還包含一組驗(yàn)證測(cè)試。這些測(cè)試可用于確認(rèn)正確的集成。除非專門針對(duì)汽車市場(chǎng)開發(fā)了IP，否則可能無(wú)法獲得具體證據(jù)。在這種情況下，可以在開發(fā)接口協(xié)議中定義接受可用證據(jù)的責(zé)任。例5根據(jù)IEC61508：2010[14]等其他功能安全標(biāo)準(zhǔn)開發(fā)的IP。注2：在這種情況下，有關(guān)開發(fā)生命周期和用于開發(fā)IP的相關(guān)過程的信息可用于執(zhí)行差距分析，以評(píng)估IP在ISO26262系列標(biāo)準(zhǔn)中使用的適用性。IP集成商并不總是有足夠的數(shù)據(jù)來(lái)評(píng)估黑匣子IP的基本故障率。由于這會(huì)影響定量分析的結(jié)果，因此開發(fā)接口協(xié)議可以指定IP供應(yīng)商，IP集成商和IP集成商的客戶之間的責(zé)任，以估算基本故障率。黑匣子IP安全分析的責(zé)任可以用類似的方式定義。注3：將黑匣子IP集成到硬件開發(fā)中與軟件開發(fā)相似，例如開發(fā)人員將來(lái)自第三方供應(yīng)商的單元軟件作為編譯目標(biāo)代碼集成的情況。因此，黑匣子IP集成商可以在硬件開發(fā)中找到方法和技術(shù)包括與ISO26262-6適用表格的鏈接。在黑匣子IP需要安全機(jī)制的情況下，IP集成商無(wú)法獲得足夠的信息來(lái)實(shí)現(xiàn)IP之外的安全機(jī)制。開發(fā)接口協(xié)議規(guī)定了在這些情況下對(duì)此類安全機(jī)制的要求。4.6半導(dǎo)體的基本故障率4.6.1基本故障率估算的一般說(shuō)明簡(jiǎn)介本子條款的范圍是提供有關(guān)如何計(jì)算和使用基本（或原始）故障率的說(shuō)明，指南和示例?；A(chǔ)故障率是根據(jù)ISO26262-5計(jì)算定量安全性分析和指標(biāo)的主要輸入。注：ISO26262-5中的定量安全分析側(cè)重于隨機(jī)硬件故障，不包括系統(tǒng)故障。因此，ISO26262系列標(biāo)準(zhǔn)中使用的基本故障率僅關(guān)注隨機(jī)硬件故障。另見。可用于基本故障率估計(jì)的每種技術(shù)都假設(shè)要考慮故障機(jī)制。從不同的基礎(chǔ)故障率估計(jì)技術(shù)獲得的結(jié)果的差異通常是由于缺乏對(duì)同一組故障機(jī)制的考慮。如果不對(duì)一組共同的失效機(jī)制進(jìn)行協(xié)調(diào)，那么使用不同技術(shù)應(yīng)用于同一部件的結(jié)果就不可能具有可比性。實(shí)施例1例如，可以通過考慮相同的失效機(jī)理和相同的應(yīng)力源來(lái)進(jìn)行協(xié)調(diào)。半導(dǎo)體的失效機(jī)制取決于電路類型，實(shí)施技術(shù)和環(huán)境因素。隨著半導(dǎo)體技術(shù)的快速發(fā)展，公布的公認(rèn)的工業(yè)來(lái)源難以跟上現(xiàn)有技術(shù)的發(fā)展水平，尤其是深亞微米工藝技術(shù)。因此，考慮JEDEC（聯(lián)合電子設(shè)備工程委員會(huì)），國(guó)際設(shè)備和系統(tǒng)路線圖（IRDS）以及SEMATECH/ISMI可靠性委員會(huì)等行業(yè)組織的出版物有助于全面了解半導(dǎo)體狀態(tài)藝術(shù)。定量目標(biāo)值和可靠性預(yù)測(cè)由于隨機(jī)硬件故障（PMHF）而在項(xiàng)目級(jí)別違反每個(gè)安全目標(biāo)的最大概率的定量目標(biāo)值有時(shí)被誤解為可靠性預(yù)測(cè)的輸入。如ISO26262-5：2018,，注1中所述，這些定量目標(biāo)值沒有絕對(duì)意義，但對(duì)于將新設(shè)計(jì)與現(xiàn)有設(shè)計(jì)進(jìn)行比較非常有用。它們旨在提供設(shè)計(jì)指導(dǎo)并提供設(shè)計(jì)符合安全目標(biāo)的證據(jù)。因此，這些值不能在可靠性預(yù)測(cè)中“按原樣”使用。系統(tǒng)故障和隨機(jī)故障之間的差異ISO26262系列標(biāo)準(zhǔn)區(qū)分了系統(tǒng)故障和隨機(jī)故障。用于基本故障率估計(jì)的大多數(shù)可用技術(shù)旨在提供可靠性估計(jì)并且不做出這種區(qū)分。由于包含估計(jì)系統(tǒng)故障的因素，這些技術(shù)的結(jié)果可能過于保守。例如，基于現(xiàn)場(chǎng)故障觀察的估計(jì)技術(shù)通常不具有適當(dāng)?shù)臉颖敬笮』蛴^察質(zhì)量以區(qū)分系統(tǒng)故障和隨機(jī)故障。類似地，在ISO26262系列標(biāo)準(zhǔn)（例如參考文獻(xiàn)[9]中定義的πpm和π過程因子）的背景下，包含系統(tǒng)能力作為基本故障率計(jì)算的一部分的模型可能具有挑戰(zhàn)性。故障恢復(fù)機(jī)制的影響關(guān)注的是處理可用于增強(qiáng)可用性的診斷。這可能導(dǎo)致基本故障率與診斷混合，而ISO26262-5要求將它們分開以進(jìn)行度量計(jì)算。示例考慮在許多最先進(jìn)的汽車功能安全電子設(shè)備中使用的常見SEC-DED（單錯(cuò)誤糾正-雙錯(cuò)誤檢測(cè)）ECC。報(bào)告的具有SEC-DEDECC的SRAM的MTTF（平均故障時(shí)間）不能考慮導(dǎo)致可糾正錯(cuò)誤的故障-因此混合基本故障率和診斷的影響，這些分離用于計(jì)算ISO26262-5度量。關(guān)于非恒定故障率的考慮因素許多標(biāo)準(zhǔn)化模型利用“浴盆曲線”簡(jiǎn)化，假設(shè)供應(yīng)商有效地篩選了“早期壽命”（嬰兒死亡率）缺陷，并且“磨損”（壽命終止）故障機(jī)制，例如在有效的任務(wù)壽命期間，電遷移，時(shí)間依賴的介質(zhì)擊穿，熱載流子或負(fù)偏置溫度不穩(wěn)定性將以可忽略的速率有效地發(fā)生。在某些情況下，可靠性模型的故障率分布不符合“浴盆曲線”簡(jiǎn)化的恒定故障率。使用非恒定故障率與ISO26262-5中描述的硬件架構(gòu)度量的計(jì)算不兼容。一種可能性是通過使用近似來(lái)簡(jiǎn)化非恒定故障率分布不斷的失敗率。示例1在可靠性的最大故障率下保守地假設(shè)恒定故障率模型故障率分布。實(shí)施例2根據(jù)分布，可以限制產(chǎn)品的使用壽命，使得恒定的故障率近似更合適。這種情況通常適用于壽命終止機(jī)制在整體故障率分布中占主導(dǎo)地位的情況。注1：如果使用指數(shù)模型，在超過故障率目標(biāo)時(shí)，在產(chǎn)品壽命內(nèi)到達(dá)浴缸末端是一個(gè)系統(tǒng)性問題。如果這是可接受的，則不在ISO26262-5：2018第8章和第9章的硬件指標(biāo)內(nèi)進(jìn)行評(píng)估。這是單獨(dú)評(píng)估的，例如根據(jù)AEC-Q100的集成電路鑒定結(jié)果[62]。圖8-浴缸曲線-故障率隨時(shí)間的演變注2：在圖8中，真實(shí)的浴盆曲線可以近似為“產(chǎn)品使用壽命期間的恒定值”，或者通過指數(shù)模型計(jì)算，置信水平為70％。如果整體故障率分布是集成多個(gè)故障模型的結(jié)果，則故障模式的分離可以通過使用不同（但恒定）故障率近似分別評(píng)估每種故障模式的影響來(lái)簡(jiǎn)化安全分析，如考慮瞬態(tài)故障。基本故障率估算的技術(shù)和來(lái)源有許多不同的技術(shù)可用于基本故障率估計(jì)。通常，這些技術(shù)可歸納如下：-從實(shí)驗(yàn)測(cè)試中得出的失敗率，例如：-溫度，偏置和工作壽命測(cè)試（TBOL），也稱為高溫工作壽命（HTOL）測(cè)試或延長(zhǎng)壽命測(cè)試（ELT），用于內(nèi)在產(chǎn)品操作可靠性，-可靠性測(cè)試芯片和/或片上測(cè)試結(jié)構(gòu)，以評(píng)估硅技術(shù)的內(nèi)在可靠性，-基于暴露于輻射源的軟錯(cuò)誤測(cè)試，或注1：JEDEC標(biāo)準(zhǔn)如JESD89[17]為軟錯(cuò)誤測(cè)試提供了指導(dǎo)。-篩選加速試驗(yàn)的收斂特性。-通過觀察現(xiàn)場(chǎng)事故得出的故障率，例如分析作為現(xiàn)場(chǎng)故障返回的材料;注2：對(duì)于永久性故障：半導(dǎo)體行業(yè)提供的數(shù)據(jù)可以基于（隨機(jī)）故障的數(shù)量除以等效設(shè)備小時(shí)數(shù)。這些是從現(xiàn)場(chǎng)數(shù)據(jù)或加速壽命測(cè)試（如JEDEC和AEC等標(biāo)準(zhǔn)中定義）中獲得的，這些測(cè)試按照恒定故障率（隨機(jī)故障，指數(shù)分布）的比例縮放到任務(wù)剖面（例如溫度，開/關(guān)周期））。這些數(shù)字可以用作估計(jì)故障率的輸入，作為基于采樣統(tǒng)計(jì)置信水平的最大故障率提供。-通過應(yīng)用行業(yè)可靠性數(shù)據(jù)書或從中得出的故障率，并結(jié)合專家判斷;例1IEC61709[15]，SN29500[38]或FIDES指南[9]。示例2電子元件可靠性預(yù)測(cè)模型（原IECTR62380）在.1中描述。注3：實(shí)現(xiàn)的實(shí)際故障率預(yù)計(jì)低于從中獲得的故障率方法。示例3通過ISO26262-5：2018,8.4.3，注釋中的失效方法的物理可靠性估計(jì)6和7。-由國(guó)際半導(dǎo)體技術(shù)路線圖（ITRS[41]）等國(guó)際設(shè)備和系統(tǒng)路線圖（IRDS）維護(hù)的文件提供了每一代軟錯(cuò)誤率的預(yù)測(cè)值，因此該信息對(duì)于第一次估算非常有用當(dāng)技術(shù)數(shù)據(jù)可用時(shí)，并進(jìn)行改進(jìn)。關(guān)于基本故障率計(jì)算假設(shè)的文件在計(jì)算基本故障率時(shí)，供應(yīng)商提供描述所做假設(shè)和支持理由的文件。示例假設(shè)可以是：-選擇的計(jì)算失敗率的方法（例如行業(yè)來(lái)源或現(xiàn)場(chǎng)數(shù)據(jù)），-假設(shè)的任務(wù)簡(jiǎn)介，-使用的故障率數(shù)據(jù)的置信水平（例如，在現(xiàn)場(chǎng)數(shù)據(jù)或基于測(cè)試的數(shù)據(jù)的情況下），-應(yīng)用于故障率數(shù)據(jù)的任何縮放或降級(jí)，-如何考慮非工作時(shí)間和焊點(diǎn)，或者用于從現(xiàn)場(chǎng)數(shù)據(jù)（Weibull或指數(shù)模型）得出的故障率的模型。集成商可以在元素或項(xiàng)目級(jí)別使用此信息來(lái)評(píng)估，理解，判斷，比較和可能協(xié)調(diào)來(lái)自不同供應(yīng)商和組件的故障率。瞬態(tài)故障量化如5.1.2中所述，軟錯(cuò)誤是瞬態(tài)故障的典型示例。由內(nèi)部或外部α，β，中子或γ輻射源引發(fā)的軟錯(cuò)誤引起的瞬態(tài)故障是隨機(jī)硬件故障，可以使用測(cè)量數(shù)據(jù)支持的概率方法進(jìn)行量化。由EMI或串?dāng)_引起的瞬態(tài)故障未被量化。即使它們可以產(chǎn)生與其他瞬態(tài)故障相同的效果，它們也主要與系統(tǒng)原因有關(guān)。在設(shè)計(jì)階段（例如，在組件開發(fā)后端期間的串?dāng)_分析），可以通過適當(dāng)?shù)募夹g(shù)和方法來(lái)避免這些。ISO26262-5：2018,8.4.7，注2指出，如果由于所使用的技術(shù)而顯示出相關(guān)的瞬態(tài)故障。因此，根據(jù)故障的影響和適用時(shí)，可以在安全分析中考慮它們。瞬態(tài)故障和永久性故障的分析是分開進(jìn)行的。這適用于定性或定量分析。如果它易受軟錯(cuò)誤影響，特別是對(duì)于直接或誘導(dǎo)的α粒子和中子，則研究每個(gè)基本子部分類型（例如觸發(fā)器，鎖存器，存儲(chǔ)器元件，模擬器件）。對(duì)這些現(xiàn)象的敏感性取決于半導(dǎo)體前端技術(shù)和芯片表面頂部的材料，包括封裝，例如封裝。模塑料和焊料（倒裝芯片）會(huì)影響軟錯(cuò)誤率。實(shí)施例1α粒子的基礎(chǔ)失效率可受包裝類型的影響，例如，低α（LA）或超低α（ULA）發(fā)射半導(dǎo)體組件材料。根據(jù)技術(shù)和工作頻率等因素，參考文獻(xiàn)[2]和[22]中考慮了單事件翻轉(zhuǎn)（SEU），多比特翻轉(zhuǎn)（MBU）和單事件瞬態(tài)（SET）等瞬態(tài)故障模型。。注1：?jiǎn)问录V鎖（SEL），單事件熄火（SEB）和單事件門斷裂（SEGR）等破壞性單事件效應(yīng)不被視為瞬態(tài)故障，因?yàn)檫@些故障會(huì)導(dǎo)致永久性影響。注2有關(guān)數(shù)字故障模型的更多詳細(xì)信息，請(qǐng)參見5.1.2。JESD89[17]被認(rèn)為是與半導(dǎo)體中α粒子和地球宇宙射線引起的軟錯(cuò)誤的測(cè)量和報(bào)告有關(guān)的主要參考文獻(xiàn)。在這種情況下，軟錯(cuò)誤的基本故障率與計(jì)算或測(cè)量的條件一起提供。注3：中子粒子通量，海拔高度，溫度和電源電壓等條件與軟錯(cuò)誤的瞬態(tài)失效率估計(jì)有關(guān)。JESD89[17]用于理解這些條件。ISO26262-5：2018,8.4.3，注2指出，在應(yīng)用選定的行業(yè)來(lái)源時(shí)，以下考慮是適當(dāng)?shù)?，以避免人為減少計(jì)算的基本故障率：任務(wù)剖面，故障模式相對(duì)于運(yùn)行條件或故障率單位（每個(gè)運(yùn)行小時(shí)或每個(gè)日歷小時(shí)）。實(shí)施例2在軟錯(cuò)誤的情況下，僅通過考慮車輛的運(yùn)行時(shí)間來(lái)降低基礎(chǔ)故障率導(dǎo)致過度并因此人為地降低每小時(shí)的平均概率。注4：如果半導(dǎo)體供應(yīng)商提供降額軟錯(cuò)誤率，則可以在5.1.11（數(shù)字組件），5.2.6（模擬或類似）中定義的安全手冊(cè)中獲得有關(guān)降額系數(shù)的信息?；旌闲盘?hào)分量），5.3.6（對(duì)于PLD）和5.5.6（對(duì)于傳感器和換能器）。此外，提供軟錯(cuò)誤的基本故障率而不對(duì)“架構(gòu)漏洞因素”或ECC等安全機(jī)制的影響進(jìn)行降級(jí)。注5：架構(gòu)漏洞因子（AVF）是設(shè)計(jì)結(jié)構(gòu)中的故障將導(dǎo)致函數(shù)最終輸出中出現(xiàn)可見錯(cuò)誤的概率，例如參考文獻(xiàn)[25]中對(duì)處理器設(shè)計(jì)的描述。注6：如上所述，在考慮安全故障的數(shù)量時(shí)會(huì)考慮漏洞因素在中。組件包故障率的注意事項(xiàng)在估計(jì)硬件組件故障率時(shí)，半導(dǎo)體提供商考慮與硅管芯，外殼/封裝（例如外殼）和連接點(diǎn)（例如引腳）有關(guān)的故障。連接到電路板的連接點(diǎn)（例如焊點(diǎn)）之間的連接被認(rèn)為是電路板故障，并且通常在系統(tǒng)或元件級(jí)的安全分析期間由系統(tǒng)集成商考慮。注1：根據(jù)參考文獻(xiàn)[59]，在圖9中描述的模型中計(jì)算的封裝故障率λpackage對(duì)應(yīng)于封裝本身內(nèi)部的故障模型（包括例如管芯和引線框架之間的連接），但它還包括與封裝連接點(diǎn)和電路板（焊點(diǎn)）之間的連接有關(guān)的故障率。注2：SN29500-2中計(jì)算的硬件組件的故障率包括與芯片和封裝相關(guān)的故障模型，但與.1中描述的模型不同，它不包括連接之間的連接故障率。封裝連接點(diǎn)和在SN29500-5中單獨(dú)處理的電路板。注3：FIDES指南針對(duì)熱循環(huán)引起的封裝（外殼）和焊點(diǎn)提供單獨(dú)的故障率。注4實(shí)際上，封裝連接點(diǎn)和電路板之間連接的故障率取決于許多因素，這些因素涉及電路板的特定設(shè)計(jì)以及電路板如何封裝在保護(hù)外殼內(nèi)。隨著電子元件和電路板材料技術(shù)的迅速發(fā)展，這些因素也在不斷變化。0考慮上電時(shí)間和斷電時(shí)間根據(jù)ISO26262-5：2018,8.4.3，注2，在應(yīng)用選定的行業(yè)來(lái)源時(shí)，以下考慮因素是適當(dāng)?shù)模员苊馊藶闇p少計(jì)算的基本故障率：-任務(wù)簡(jiǎn)介;-故障模式在運(yùn)行條件方面的適用性;和-故障率單位（每個(gè)工作小時(shí)或每個(gè)日歷小時(shí)）。提供基本故障率以及使用的任務(wù)配置文件。如果在任務(wù)剖面中定義了上電和斷電時(shí)間，那么可以考慮它們用于計(jì)算應(yīng)力因子，如.1（τon和τoff）和SN29500（πw）中描述的方法所述。）。4.6.2永久基礎(chǔ)故障率計(jì)算方法使用或基于行業(yè)來(lái)源計(jì)算永久基礎(chǔ)故障率.1電子元件可靠性預(yù)測(cè)模型（原IECTR62380）前IECTR62380[40]在本文件中用作可靠性預(yù)測(cè)模型的基礎(chǔ)電子元件。本子條款中使用的數(shù)學(xué)模型如圖9所示。圖9-可靠性預(yù)測(cè)的數(shù)學(xué)模型在圖9中描述的模型中，使用了幾個(gè)參數(shù)來(lái)確定故障率：-每種晶體管使用的每個(gè)晶體管的參數(shù)（λ1）。為不同提供λ1值集成電路系列的類型如圖10所示;-與掌握技術(shù)相關(guān)的參數(shù)，對(duì)整個(gè)組件有效無(wú)論集成元件的數(shù)量（λ2）如何，如圖10所示;-與硬件組件（N）的晶體管數(shù)量相關(guān)的參數(shù);-與制造年份或技術(shù)發(fā)布/更新年份與參考年份（1998年）之間的差異相關(guān)的參數(shù)（α）;-與硬件組件看到的操作和非操作階段相關(guān)的參數(shù)（τi，τon和τoff）;-與溫度應(yīng)力因子[（πt）i]相關(guān)的參數(shù)，適用于元件的模具部分;-與集成電路可能暴露于電過應(yīng)力有關(guān)的參數(shù)（πl(wèi)和λEOS）如圖11所示;-與溫度循環(huán)的數(shù)量和幅度相關(guān)的參數(shù)硬件組件（ni和ΔTi）如圖11所示;-與電路板和封裝的熱系數(shù)之間不匹配有關(guān)的參數(shù)材料（αS和αC），如圖11和圖12所示;和-與封裝（λ3）相關(guān)的參數(shù)，或者作為封裝類型及其引腳編號(hào)S的函數(shù)（如圖14所示），或者作為封裝對(duì)角線D的函數(shù)，用于表面安裝的集成電路封裝（如圖所示）在圖15中）。參數(shù)的選擇可以基于處理技術(shù)和所使用的電路類型來(lái)完成該設(shè)計(jì)。注1：在圖10中，“實(shí)際數(shù)量”對(duì)應(yīng)于晶體管的實(shí)際數(shù)量，無(wú)論尺寸如何那些晶體管。注2：為了計(jì)算整個(gè)器件的數(shù)字元件芯片故障率，使用等效門數(shù)。通過將等效柵極數(shù)乘以每個(gè)柵極的代表性晶體管數(shù)來(lái)計(jì)算有效等效晶體管的數(shù)量。在計(jì)算由互補(bǔ)金屬氧化物半導(dǎo)體（CMOS）數(shù)字邏輯引起的微控制器芯片故障率時(shí)，模塊的每個(gè)數(shù)字邏輯（例如CPU，CAN，定時(shí)器，F(xiàn)lexRay，串行外設(shè)接口或“SPI”）的貢獻(xiàn)包含在N中。注3：考慮到摩爾定律以及設(shè)備故障率或多或少不變的事實(shí)，引入了過程成熟度降額因子。如果每個(gè)晶體管的故障率保持不變，則根據(jù)摩爾定律，故障率會(huì)增加。沒有觀察到這一點(diǎn)。因此，當(dāng)改變工藝節(jié)點(diǎn)時(shí)，晶體管故障不能保持恒定。一種選擇是使用生產(chǎn)日期。另一種選擇，為了反映工藝技術(shù)的變化，可以使用這一特定技術(shù)節(jié)點(diǎn)首次引入的年份，而不是其制造年份。為了實(shí)現(xiàn)與芯片供應(yīng)商的獨(dú)立，可以使用ITRS[41]的年份。注4：對(duì)于模擬部件或主要基于模擬處理技術(shù)構(gòu)建的數(shù)字部件，除非半導(dǎo)體供應(yīng)商提供更精確的數(shù)據(jù)，否則可以使用圖10的“線性電路”條目。注5：如果有足夠的理由支持，可以使用特定于所考慮技術(shù)的數(shù)據(jù)替換上述參數(shù)以實(shí)現(xiàn)更準(zhǔn)確的基本故障率估計(jì)。

圖10-集成電路系列的λ1和λ2值圖11-溫度和過應(yīng)力因素圖12-熱膨脹系數(shù)αs和αc圖13-氣候圖14-作為S的函數(shù)的集成電路的λ3值圖15-表面安裝集成電路封裝的λ3值一旦生成了元件芯片的基本FIT速率，就會(huì)根據(jù)熱效應(yīng)和工作時(shí)間應(yīng)用降額因子。降級(jí)因子基于以下因素確定：-組件芯片的結(jié)溫，其計(jì)算基于：-元件芯片的功耗;和-封裝熱阻，基于封裝類型，封裝引腳數(shù)和氣流;-定義1到Y(jié)使用階段的應(yīng)用程序配置文件，每個(gè)階段由應(yīng)用程序“按時(shí)”作為設(shè)備總壽命的百分比和環(huán)境溫度組成;和示例可能的汽車型材的兩個(gè)例子：“電機(jī)控制”和“乘客艙”，如圖16所示。圖16-汽車任務(wù)概況示例-每種技術(shù)類型的激活能量和頻率，以完成Arrhenius方程。注6：所考慮產(chǎn)品的具體數(shù)據(jù)，如封裝熱特性，制造工藝，Arrhenius方程等，可用于代替上述一般因素，以更準(zhǔn)確地估算基本故障率。.1.1如何組合λ1和λ2關(guān)于圖9中描述的方法，存在關(guān)于如何在具有在相同設(shè)備中實(shí)現(xiàn)的不同技術(shù)（CPU，存儲(chǔ)器等）的電路元件的情況下組合λ1和λ2的多個(gè)選項(xiàng)。在一個(gè)選項(xiàng)中，每個(gè)電路元件繼承相應(yīng)技術(shù)的λ1和λ2，所以基本上是將λ1和λ2相加-如表2所示。注意λ2值是加權(quán)的，例如使用各個(gè)電路元件的晶體管計(jì)數(shù)如等式（1）所示。在這個(gè)例子中，我們假設(shè)基于CMOS技術(shù)的微控制器單元（MCU）消耗0.5W功率。數(shù)字元件芯片采用144引腳四方扁平封裝，并通過自然對(duì)流進(jìn)行冷卻。MCU暴露在“電機(jī)控制”溫度曲線下。結(jié)溫ΔTj的增加為26,27℃。對(duì)于Arrhenius方程，假設(shè)活化能為0.3eV。使用圖9中的模型，這導(dǎo)致降額因子（即λdie的第二因子）為0.17。表2-總和λ2的數(shù)字分量示例作為一種替代方法，有可能（見表3）將方程（2）與單一（保守）一起使用最大λ2為代表值：表3-最大值為λ2的混合信號(hào)示例在以下示例中，集成電路由三個(gè)元件組成。它的成分和表4中示出了來(lái)自圖10的相應(yīng)的λ1和λ2值。表4-BiCMOS技術(shù)中示例IC的組成使用電機(jī)控制配置文件（圖16）作為任務(wù)配置文件，2018年作為制造年份，如在等式（3）至（8）中那樣計(jì)算模具失效率的λ1相關(guān)項(xiàng)。為了簡(jiǎn)化計(jì)算，如果用戶可以識(shí)別其產(chǎn)品與圖10中列出的集成電路系列類型之一的匹配，那么-如下表5所示-用戶可以直接應(yīng)用故障率計(jì)算方法，如圖9所示。表5-具有匹配設(shè)備類型的數(shù)字組件示例.1.2溫度降額圖9中用于計(jì)算溫度降額因子δT的模型使用以下參數(shù)：-與集成電路任務(wù)的第i結(jié)溫度相關(guān)的溫度系數(shù)輪廓;-τi：用于任務(wù)的第i結(jié)溫度的集成電路的工作時(shí)間比輪廓;集成電路的總工作時(shí)間比率，和τoff:集成電路存儲(chǔ)（或休眠）的時(shí)間比率;-τon+τoff=1。對(duì)于保守溫度降額因子的計(jì)算，關(guān)斷時(shí)間τoff可以設(shè)置為零，導(dǎo)致溫度降額因子的δT略有修改版本δT,conservative在表2，表3和表4中，在考慮τon和τoff時(shí)間之后計(jì)算降額因子。在表5的上述數(shù)字分量示例中，將τoff設(shè)置為零給出降額因子2,91，因此有效故障率值從0,31變?yōu)?,24FIT。.1.3包基本故障率計(jì)算圖9中計(jì)算的封裝故障率λpackage對(duì)應(yīng)于封裝本身內(nèi)部的故障模式（包括例如管芯和引線框架之間的連接），但它還包括與封裝連接點(diǎn)之間的連接相關(guān)的故障率。電路板（焊點(diǎn)）占參考文獻(xiàn)[54]中描述的整個(gè)λpackageFIT率的約20％。然后，半導(dǎo)體提供商可以使用80％的λpackage值來(lái)分配硬件組件包FIT速率。如.1中所述，包故障率計(jì)算考慮了以下因素參數(shù)：-πα：影響因素與安裝之間的熱膨脹系數(shù)差異有關(guān)基材和包裝材料;-（πn）i：與包裝所見的熱變化的年周期數(shù)有關(guān)的影響因子，幅度ΔTi;-ΔTi：任務(wù)剖面的熱幅度變化;和-λ3：集成電路封裝的基本故障率。表6-包基本故障率計(jì)算示例使用圖11中所示的公式計(jì)算影響因子πα，其中αs，αc分別是襯底和部件的線性熱膨脹系數(shù)。在這個(gè)例子中，我們假設(shè)FR4作為安裝基板和塑料封裝，圖12提供的值αs=16和αc=21,5。對(duì)于循環(huán)次數(shù)/年≤8760的汽車型材，參數(shù)（πn）i使用圖11中的公式計(jì)算，其中ni：具有幅度ΔTi的年度循環(huán)數(shù)。為了計(jì)算FIT中的λ3，使用外圍連接封裝的公式，使用20mm的寬度和0.5mm的間距，如圖15所示。使用圖16中所示的“電機(jī)控制”溫度曲線，這個(gè)結(jié)果在沒有焊點(diǎn)的封裝的總故障率中：λpackage=166FIT。假設(shè)封裝故障率在引腳之間均勻分布，導(dǎo)致引腳故障比率：λpin=1,15FIT。注1：示例中的封裝是144引腳四方扁平封裝，通過自然對(duì)流冷卻。功耗為0.5W，導(dǎo)致結(jié)溫ΔTj增加26,27°C。使用圖15基于以下值計(jì)算D和λ3的值：間距=0.5mm和寬度=20mm。注2：并非所有包都包含在圖14或圖15中的表中。在這種情況下，專家判斷可以用于估計(jì)包裹對(duì)總體失敗率的貢獻(xiàn)。示例1封裝故障率估計(jì)基于結(jié)構(gòu)和熱量的知識(shí)器件封裝和系統(tǒng)印刷電路板的特性。注3：在本例中可以使用引腳的相等概率，但不能用于所有情況。示例2在BGA中，某些位置可以具有比其他位置更高的分布。.1.4電氣過應(yīng)力引起的故障率示例可以使用圖9中所示的公式計(jì)算由于電過載導(dǎo)致的整個(gè)裝置的故障率。如果裝置具有與外部環(huán)境的直接連接，即裝置是接口，則πI等于1。如果設(shè)備不是接口，即它沒有直接連接到外部環(huán)境，則πI等于零。圖11顯示了各種電氣環(huán)境的不同λEOS。不幸的是，汽車沒有給出電氣環(huán)境。相反，可以選擇“民用航空電子設(shè)備（車載計(jì)算器）”：λEOS=20FIT。這導(dǎo)致由于整個(gè)裝置的電過載而導(dǎo)致的故障率λoverstress=20FIT，如果設(shè)備與外部環(huán)境直接接觸，或者λoverstress=0在所有其他情況下都適用。預(yù)測(cè)電氣過應(yīng)力對(duì)設(shè)備的影響并非易事。如果沒有特別的影響爭(zhēng)辯說(shuō)，然后可以將λoverst添加到λdie以增加整個(gè)器件的整體芯片故障率。注：電氣過應(yīng)力可視為系統(tǒng)故障模式，并降至零FIT計(jì)算隨機(jī)硬件故障指標(biāo)。.2SN29500SN29500遵循桌面查找方法。給出了在特定參考條件下的故障率的預(yù)期值。使用產(chǎn)品類型，技術(shù)和晶體管數(shù)量作為輸入，在表格中查找值。如果集成電路在不同于參考條件的條件下操作，則應(yīng)使用參考操作條件的計(jì)算。計(jì)算考慮了溫度，電壓和漂移（對(duì)于模擬元件）。對(duì)于運(yùn)行條件的計(jì)算的溫度部分，使用修正的Arrhenius方程。.2.1半導(dǎo)體元件的計(jì)算示例使用SN29500計(jì)算故障率所需的參數(shù)：-N，等效晶體管的數(shù)量;-λref，基于工藝技術(shù)的硬件組件的基本故障率;-ΔTj，結(jié)溫升高;和-硬件組件的任務(wù)配置文件。注1：在SN29500-2：2010的故障率系列表1,2或3中未列出等效晶體管數(shù)N的情況下，用戶可以使用插值或外推法確定等效的λref和θvj，1（虛擬結(jié)溫）值。示例對(duì)于SN29500-2：2010，表2中定義的“微處理器和外圍設(shè)備，微控制器和信號(hào)處理器”系列，進(jìn)行以下插值示例以確定λref和θvj，1值。假設(shè)一個(gè)具有500K門的微控制器，可以使用以下步驟計(jì)算λref：-第1步：將表2中的λref值轉(zhuǎn)換為相同的虛擬參考溫度qvj，1示例90°C使用溫度相關(guān)因子πT：第二步：在90°C下對(duì)λref進(jìn)行線性插值以獲得所需的復(fù)雜度，即500K晶體管：第3步：θvj的線性插值，1為所需的復(fù)雜度，即500K晶體管：第4步也是最后一步：使用溫度相關(guān)系數(shù)πT將λref（500K@90°C）轉(zhuǎn)換為θvj，1（500K）：注2：關(guān)于任務(wù)剖面的值僅是示例。ECU內(nèi)所有半導(dǎo)體的要求與各自ECU規(guī)范的要求一致。.2.2沒有非工作階段的半導(dǎo)體元件示例的故障率計(jì)算對(duì)于前面條款中描述的數(shù)字元件示例，在具有500k到500萬(wàn)個(gè)晶體管的CMOS技術(shù)中，我們?cè)?0°C參考溫度條件下獲得80FIT。表7和表8中列出了以下參數(shù)：-A，不變;-Ea1，Ea2，eV中的恒定激活能量。表7-SN29500故障率計(jì)算示例所需的參數(shù)假設(shè)每年工作500小時(shí)并使用中定義的電機(jī)控制任務(wù)配置文件圖16，我們得到了表8的結(jié)果。表8-SN29500的數(shù)字組件故障率計(jì)算示例.2.3具有非工作階段的半導(dǎo)體元件示例的故障率計(jì)算在考慮非運(yùn)行階段的方式中，.1和SN29500中描述的模型之間存在差異。在.1中描述的模型中，非運(yùn)行時(shí)間默認(rèn)包含在產(chǎn)品的任務(wù)配置文件中，而在SN29500中，僅默認(rèn)考慮運(yùn)行時(shí)間。如.1.2所述，計(jì)算故障率的另一種方法是將τoff時(shí)間設(shè)置為零。以類似的方式，在SN29500中也可以考慮操作和非操作階段來(lái)計(jì)算故障率。這是通過應(yīng)用SN29500-2：2010中描述的應(yīng)力因子πω來(lái)完成的，4.4。使用圖16中定義的電機(jī)控制任務(wù)配置文件和平均溫度10,5°C給出的應(yīng)力因子值為0.06。將計(jì)算的應(yīng)力因子應(yīng)用于數(shù)字分量示例故障率給出表9的結(jié)果。表9-有或沒有非運(yùn)行階段的SN29500故障率計(jì)算注：非工作平均溫度是從圖13中定義的全球平均夜間和日光溫度（分別為5°C和15°C）獲得的，并考慮到夜間和白天之間的50％比率。.2.4將SN29500整體故障率分為芯片和封裝故障率的方法如SN29500的維護(hù)者所述，使用SN29500計(jì)算的基本故障率值僅對(duì)整個(gè)硬件組件有效，并且不提供在軟件包故障率和芯片故障率之間進(jìn)行分配的方法。因此，如果需要，基于專家判斷估計(jì)模具故障率和包裝失敗率的比率。示例作為專家判斷的示例，可以使用方法.1確定的相同比率或基于提供的其他行業(yè)來(lái)源，計(jì)算SN29500基本故障率的封裝和模具故障率的分配。此類數(shù)據(jù)或可用時(shí)的現(xiàn)場(chǎng)數(shù)據(jù)統(tǒng)計(jì)。.3FIDES指南以下是使用FIDES指南[9]中詳述的方法支持定量分析所需的硬件故障率估算示例。根據(jù)FIDES指南，半導(dǎo)體的故障率模型將設(shè)備的故障率視為以下因素：-物理貢獻(xiàn)（λPhysical）;-過程貢獻(xiàn)（πProcess）;和-零件制造貢獻(xiàn)（πPM）。第一個(gè)是添加劑構(gòu)造術(shù)語(yǔ)，包括可靠性的物理和技術(shù)貢獻(xiàn)因素。第二個(gè)是乘法術(shù)語(yǔ)，包括對(duì)包含該設(shè)備的產(chǎn)品的開發(fā)，制造和使用過程的質(zhì)量和技術(shù)控制。第三個(gè)因素代表制造場(chǎng)地的質(zhì)量和供應(yīng)商的經(jīng)驗(yàn)。πProcess和πPM設(shè)置為1，因?yàn)檫@些因素與系統(tǒng)問題有關(guān)。物理貢獻(xiàn)包括由于使用條件引起的應(yīng)力加速因子和包含該裝置的產(chǎn)品的應(yīng)用所固有的誘導(dǎo)（即，意外的過應(yīng)力）乘法項(xiàng)。然而，為了簡(jiǎn)單起見，在當(dāng)前示例中，該誘導(dǎo)乘法因子被設(shè)置為1.當(dāng)實(shí)際應(yīng)用它時(shí)，確定基于放置，使用控制和對(duì)部件的過應(yīng)力的敏感度的值。FIDES集成電路指南中使用的模型包括以下物理壓力系列：-熱;-溫度循環(huán);-機(jī)械;和-濕度。注意為了使示例簡(jiǎn)單，以下計(jì)算不包括與機(jī)械和濕度相關(guān)的故障模式。這些額外的故障模式在實(shí)際應(yīng)用中被考慮。計(jì)算數(shù)字組件芯片和封裝基礎(chǔ)故障??率（即在應(yīng)用降級(jí)之前）對(duì)于運(yùn)行條件），有必要考慮以下因素：-λ0TH，與設(shè)備和工藝技術(shù)類型相關(guān)的基本故障率;和-與包類型相關(guān)的物理應(yīng)力參數(shù)a和b。這些因素使用FIDES進(jìn)行組合。參數(shù)選擇可以基于工藝技術(shù)，電路類型和設(shè)計(jì)使用的封裝?？商峁┡c微處理器，微控制器，DSP和SRAM以及具有144個(gè)引腳的PQFP封裝相關(guān)的值。下面的表10和表11示出了在基于CMOS技術(shù)的MCU的定量示例中使用的故障率的計(jì)算，其消耗0.5W功率。數(shù)字元件芯片采用144引腳四方扁平封裝，采用自然對(duì)流和低導(dǎo)電板冷卻。表10-來(lái)自UTEFIDES的模具的基本故障率表11-UTEFIDES包裝的基本故障率一旦生成了數(shù)字組件芯片和封裝的基本故障率，則降級(jí)因子應(yīng)用基于熱效應(yīng)和操作時(shí)間。降級(jí)因素考慮到：-數(shù)字組件芯片的結(jié)溫，其計(jì)算基于：-數(shù)字元件芯片的功耗;和-封裝熱阻，基于封裝類型，封裝引腳數(shù)和氣流。-定義1到Y(jié)使用階段的應(yīng)用程序簡(jiǎn)檔，每個(gè)階段由應(yīng)用程序“準(zhǔn)時(shí)”，“循環(huán)時(shí)間”，“循環(huán)增量溫度”和“循環(huán)最大溫度”以及“環(huán)境溫度”組成。注意模型中使用的配置文件比參考文獻(xiàn)[40]的配置文件中提供的參數(shù)更多/更多參數(shù)。首先，考慮表12中所示的簡(jiǎn)化任務(wù)簡(jiǎn)檔示例。表12-簡(jiǎn)化的任務(wù)概要示例具有降額因子的管芯基礎(chǔ)故障率如表13所示計(jì)算。表13-具有溫度降額因子的管芯基礎(chǔ)故障率為了評(píng)估這些降額因子，計(jì)算結(jié)溫，即由于自加熱引起的ΔTj為18K，使用FIDES中描述的參數(shù)和公式（見表14）。表14-具有溫度循環(huán)降額因子的封裝基礎(chǔ)故障率然后，考慮表15中所示的精心設(shè)計(jì)的任務(wù)簡(jiǎn)檔示例。降級(jí)因子列于表16中。表15-詳細(xì)說(shuō)明的任務(wù)概況示例表16-有效故障率為了評(píng)估這些降額因子，使用FIDES中描述的參數(shù)和公式計(jì)算由于自加熱引起的結(jié)溫即ΔTj為18K。如表17所示，組件封裝故障率為0.25FIT。表17中的焊點(diǎn)失效率值僅作為信息給出，不被視為封裝失效率的一部分。表17-封裝和焊點(diǎn)故障率使用現(xiàn)場(chǎng)數(shù)據(jù)統(tǒng)計(jì)計(jì)算永久基礎(chǔ)故障率謹(jǐn)慎使用現(xiàn)場(chǎng)數(shù)據(jù)統(tǒng)計(jì)非常重要，因?yàn)楹茈y得到適當(dāng)?shù)墓浪恪?duì)場(chǎng)返回過程進(jìn)行全面分析，并將分析結(jié)果用于定量評(píng)估。特別是評(píng)估以下主題：-現(xiàn)場(chǎng)退貨流程如何處理已知的質(zhì)量問題;-有關(guān)真實(shí)任務(wù)概況的可用信息;和-現(xiàn)場(chǎng)監(jiān)測(cè)過程的有效性如何。由于用于根據(jù)現(xiàn)場(chǎng)數(shù)據(jù)計(jì)算故障率的方法對(duì)產(chǎn)生的故障率值的置信水平有影響，因此半導(dǎo)體供應(yīng)商會(huì)考慮以下幾點(diǎn)：-根據(jù)ISO26262-2：2018,的要求建立適當(dāng)?shù)默F(xiàn)場(chǎng)數(shù)據(jù)采集系統(tǒng)，注意到位;-該方法的目標(biāo)不是盡可能接近真實(shí)的故障率，而是提供一個(gè)故障率值，對(duì)于該故障率值，它高于實(shí)際故障率值;-如果減輕了系統(tǒng)故障的來(lái)源，則只從現(xiàn)場(chǎng)統(tǒng)計(jì)中刪除重要的系統(tǒng)故障源;示例1系統(tǒng)故障的主要來(lái)源的示例是EOS。注1：記錄了減輕系統(tǒng)故障源的證據(jù)。-由于半導(dǎo)體供應(yīng)商無(wú)法意識(shí)到現(xiàn)場(chǎng)的所有故障，因此可以將修正系數(shù)（CF）應(yīng)用于總回報(bào)數(shù)。該因素可以取決于許多參數(shù)，例如應(yīng)用和用于估計(jì)基于場(chǎng)的故障率的設(shè)備數(shù)量;注2：基于此估算故障率的半導(dǎo)體供應(yīng)商提供了基本原理現(xiàn)場(chǎng)退貨。-可以使用適用的，經(jīng)驗(yàn)證的熱應(yīng)變或脆性斷裂模型分別計(jì)算對(duì)應(yīng)于溫度應(yīng)力或熱循環(huán)應(yīng)力效應(yīng)的加速因子（AF）。實(shí)施例2Coffin-Manson或Englemaier-Clech方法。-可以使用產(chǎn)品的任務(wù)概況估計(jì)現(xiàn)場(chǎng)產(chǎn)品的總運(yùn)行時(shí)間。通過估算現(xiàn)場(chǎng)使用的小時(shí)數(shù)，例如每年平均500小時(shí)，標(biāo)準(zhǔn)偏差為145小時(shí)，也可以考慮駕駛員對(duì)汽車使用的可變性;和-記錄現(xiàn)場(chǎng)數(shù)據(jù)的任務(wù)概況，并在定量中適當(dāng)考慮評(píng)估。.1指數(shù)模型法指數(shù)模型通?？捎糜诖_定場(chǎng)返回的恒定故障率。在該模型中，χ2（卡方）統(tǒng)計(jì)函數(shù)給出了故障率的良好近似