有些时候你真的不该太深思考事情。上周我沿着高速公路开车从伦敦到温彻斯特。虽然加速超越,我看到引擎通过4000 rpm,我想知道关于每个活塞从固定在上死点到固定在底部死点然后回到顶部死点50次。(极客?嗯?)可悲的是,我不能在我的头的总和计算每个活塞的速度移动的速度是最快的,但它必须非常迅速,周期的运动将各种压力各种各样的金属零件。我缓解精神压力,安慰自己,至少在我15岁的高尔夫,没有软件运行在硅控制引擎。
所以我不需要担心这样的软件可以在丰田可能遭受意外加速。还没有决议是否软件问题引起的。软件大师迈克尔•巴尔的证据是如此的诅咒,而他不能说软件引起的事件,他的丰田律师担心。再加上对方的法律团队被成功地把尘土变成了陪审团的眼睛和播种怀疑到他们的思想,并清楚为什么丰田庭外和解。
在网上有很多关于代码的问题,包括巴尔自己的演讲但是,从理论上讲,像丰田的软件问题不应该再发生。我们有ISO 26262: 2011公路车辆-功能安全,电气和电子的功能安全标准(E / E)系统批量生产的汽车。我已经做了大约ISO 26262并没有道歉之前,有几个原因:
1)汽车越来越多地依赖于硅。在现代汽车中,有成百上千的硅组件,其中许多都是可编程的。这意味着数百万行代码。碗的面条吗?
2)芯片公司已经确定了汽车作为一个关键市场,并在本月早些时候电子乐,他们把他们的产品。
3)节奏宣布工具专门针对芯片公司设计设备ISO 26262应用程序。
4)有传言说,中国将是一个功能安全标准的强制性,ISO 26262或一个基于它。
5)现在标准的存在,在诉讼案件中,它将被视为最先进的产品开发。一个公司必须想出很好的理由不遵循它。
首先,标准的一个简短的概述。在大规模的十卷,它提供了一个基于风险的方法来确定的安全水平。这些是ASIL(汽车安全完整性水平),评级的D, D是一个系统能导致最伤害司机和其他人应该不能正常工作。它还建议产品生命周期,从需求到生命的结束,包括如何验证和确认系统满足ASIL水平。
因此,不仅仅是“这挡风玻璃刮水器系统满足适当的ASIL水平?“但包括”的工具,被用来设计和测试系统适合ASIL水平?”和“是这个系统的组件适合这ASIL水平吗?”
最后一个就是我要看。现在从一开始就必须清楚,芯片本身不能满足ASIL D”之类的。它只能自称是适合使用在ASIL D系统。但这一说法需要大量的芯片公司:他们必须满足产品生命周期方法的要求。在与不同的公司(列出的一些公司年底我跟),很明显,这不是一个简单的打勾练习,但是他们需要进行端到端审查的程序和流程需要指定,设计,制造和测试他们的汽车产品。
一些确定的一个问题是,他们的一些客户还没有开始构建一个ISO 26262的过程。一天早已不复存在,当亨利·福特把煤炭、铁和其他原材料从头开始生产汽车。今天的汽车制造商组装汽车元素由一系列的供应商。OEM(汽车制造商)买的一级供应商。背后有一个供应链二级,三级等在这里,芯片公司出售。虽然许多oem和一级年代有一个完整的欣赏标准的要求,进一步链,知识是不太清楚。这从一开始就导致并发症。
芯片设计可以开始之前,需要有人进行目标系统识别安全风险分析系统的目标。这是一个整体的评估结果与系统如果事情出错,即会车祸、爆炸起火,还是缓慢停止?使用一个数组的分析工具,结果确定ASIL系统。一旦目标确立,更详细的安全要求进行了分析。这分钟详细地确定系统中可能出错的事情——例如,可以怎么了转向控制单元。反过来,这是用于创建一个规范的系统,识别不同的需求需要满足如果系统是安全的。这个规范可能会被分解,也许到硬件和软件的需求,然后通过供应链,最终到达芯片公司。
然而今天,通常只有ISO 26262的芯片公司知识,那么多的第一芯片进入市场分析的结果是由芯片公司与客户进行协商。
芯片公司提供汽车市场已经准备很长一段时间和ISO 26262已经通过的任务所需的设计和制造流程。
这不是一项容易的任务。ISO 26262流程遵循传统的V模型,这也是由芯片设计者使用。这意味着公司已经拥有的经验和工具来验证最终的芯片设计的要求,而且,就像向我指出的那样,芯片公司已经成为更复杂的使用这些工具在过去的几年里。需要一个设计正确的第一次变得更强,随着新的面具的成本急剧增加。
不过,即使有了工具,已经到位,每个芯片公司说,有很多工作需要。虽然没有人我甚至会估计总体价格,它显然已经耗时,需要管理的支持和最高水平的支持。一件事改变26262流的工作量需要在开始设计之前。安全要求必须识别和定义这些能满足的方式。这些都有记录,所以做任何后来的设计决策。建立安全要求和发现如何满足它们意味着一个ISO 26262设计周期严重前端加载相比,一个正常的设计。
跟踪需求,然后验证需要更详细的工作。和验证任务本身需要文档证明设备满足要求。节奏发起了ISO 26262扩张其敏锐的验证平台。公司的解释产品的总结为什么建立一个设计流程的任务被证明是复杂的。节奏声称现在的满足可追溯性的标准ISO 26262的要求,安全验证,工具的信心水平。它还会自动生成回归概要文件和结果,创建跟踪审计跟踪。
这允许芯片制造商转身对客户说,这是我们的验证说什么芯片如何满足需求,这是我们测试什么以及如何,这是我们使用的工具,以及它如何符合ISO 26262的要求。
最后与软件也是一个问题。许多软件开发工具的家伙正在与认证机构去背书,他们的工具适合特定ASIL开发软件。
阿尔特拉和Xilinx提供设计流认证是适合ISO 26262(阿尔特拉和德国莱茵TUV SUD Xilinx。
飞思卡尔还宣布,它将提供软件(一个AutoSAR系统和复杂的司机在其他人)已经为ISO 26262开发的应用程序。
在一个对话,一个处理器制造商建议26262年的变化要更要求在软件团队在他的顾客。以及工作的范围内严格的开发流程,他们不再为一个抽象的写作目标:他们需要有一个清晰的目标设备的不同部分和写专门匹配的结构。这应该意味着告别面条碗。
谈话的东西出来,即使是那些硅公司认为他们有很好的开发过程中学会了很多在实施ISO 26262 -兼容的程序。“文化转变”这个词被使用,在某些情况下有意见,这一领域的经验教训是渗透到其他应用领域。
ISO 26262是汽车公司的开发者关心他们的车的安全。的结果,他们的工作是创建一个电子行业的全面改革,在硬件和软件。
确认:在提供输入这一块的人代表的模拟设备,飞思卡尔、英飞凌、微科,NXP和瑞萨。早些时候讨论已经与许多工具公司。当然,任何错误的责任和错误都是我,和所有的好位来自他们的帮助。
你在汽车工作吗?你努力ISO 26262吗?你想分享什么?