כלי הרכב של ימינו עושים שימוש במאות עד אלפי מוליכים למחצה ורכיבים אחרים במגוון הולך וגדל של יישומים, כגון מסכי מגע, מַַטענים מובֽנים ברכב, מערכות ניהול מצברים ועוד. מפרטים קשוחים של התקן הבינלאומי ISO 26262 בנושא בטיחות פונקציונלית מבטיחים שהיישומים האלה, שהולכים ונהיים מורכבים ומתוחכמים יותר ויותר, יפעלו באופן בטוח. עם זאת, תהליך הפיתוח של תכנים תואמים והשגת הסמכה עבורם יכול להיות יקר ולהימשך זמן רב. האתגרים האלה מופחתים במידה מסוימת הודות לכך שתעשיית המוליכים למחצה מספקת ליצרני הציוד המקורי (OEMs) ולספקים מערכות אקולוגיות פונקציונליות מלאות שממזערות את העלויות, הסיכונים וזמני הפיתוח הדרושים להשלמת תהליך ההסמכה הזה.
להבין את ISO 26262
תקן ISO 26262 מכסה את מפרטי הבטיחות הפונקציונלית של מערכות חשמליות ו/או אלקטרוניות המותקנות בכלי רכב בייצור סדרתי שנועדו לנסיעה על הכביש (למעט טוסטוסים). תקן ISO זה יצא לאור ב-2011 ותוקן ב-2018 כך שיכלול גם פרק בנושא מוליכים למחצה, והוא חל על תהליך הפיתוח כולו, החל מכתיבת מפרטים ועד לשחרור לצורך ייצור. יצרני ציוד מקורי וספקים בתעשיית הרכב חייבים לפעול על פי התהליך הזה ולתעד אותו במהלך הניסיון לקבל הסמכה עבור התקנים בכלי רכב לנסיעה על הכביש שנדרשת עבורם בטיחות פונקציונלית.
הסמכה של מערכות מתקבלת על בסיס אישורו של גורם הערכה עצמאי לכך שהן תואמות את דרישות תקן ISO 26262. היישומים בתוך הרכב “מסווגים” לרמות בטיחות שונות Automotive Safety Integrity Levels (או ASILs) על פי רמת הקריטיות הבטיחותית שלהם. יש יישומים שיש בהם סיכון בטיחותי מובנה גבוה יותר במקרה של תקלה במערכת חשמלית או אלקטרונית. רמות הקריטיות, מ-A עד D, מבוססות על מידת חומרתן וסבירותן של פציעות פוטנציאליות, והמידה שבה ניתן לשלוט בהן, ויש גם דרישות בטיחות קשורות עבור הרכיבים שמהן בנויה המערכת המדוברת. רמת ASIL D מייצגת את הסיכון הגבוהה ביותר של סיכון ברכב של יישומים כגון כריות אוויר, בלמים שאינם ננעלים והגהי כוח. רכיבים כגון פנסים אחוריים מסווגים כ-ASIL-A. פנסים ראשיים ואורות בלמים מסווגים בדרך כלל כ-ASIL-B. מערכת כמו בקרת שיוט מסווגת כ-ASIL-C. בדרך כלל, ככל שרמת ה-ASIL גבוהה יותר, כך יש דרישות רבות יותר בנוגע ליתירות (redundancy) של החומרה הרלוונטית.
יש מספר דרכים שבהן ספקי רכיבים יכולים לזרז את התכן של יישומי בטיחות ושל הסמכת ISO 26262 שלהם. משאבי הבטיחות הפונקציונלית האלה מוצגים באיור 1. תחילה יש לבחור התקנים בקפידה כך שיקיפו את משאבי הבטיחות הפונקציונלית הדרושים. משאבים אלה כוללים דוחות של ניתוח ההשפעה והאבחון של מצב הכשל (FMEDA), וכן מדריכי בטיחות. ההתקנים חייבים גם להיתמך על ידי מערכות אקולוגיות הקשורות-בפיתוח ליצירת יישומים קריטיים-לבטיחות.
איור 1: מערכת אקולוגית מוסמכת של משאבי בטיחות פונקציונלית ופיתוח
מוכנות לבטיחות פונקציונלית
בכלי הרכב של ימינו יש מבחר רחב של מעגלים משולבים (ICs). מיקרו-בקרים (MCUs) הם נפוצים במיוחד במגוון צורות. הם דרושים עבור כל יחידות הבקרה האלקטרוניות (ECUs) ומשמשים בכל חלקי כלי הרכב להוספת תכונות נוחות כגון נהיגה עצמית ומגוון יכולות מתוחכמות נוספות. ביניהם ניתן למנות MCUs החל מ-8-bit שעוברים אופטימיזציה עבור ביצועים, יעילות אנרגטית ובקרה בזמן אמת תוך כדי הוספת מסכי מגע מבוססי-חומרה, ועד ל-32-bit שיכולים להריץ יישומים מרובי-פתילים ולכלול פונקציונליות הקשורה לתצוגה, לקישוריות ולאבטחה. בנוסף יש בקרי אותות דיגיטליים (DSCs) המשלבים MCU עם מנוע DSP כדי לספק ביצועים חזקים ומהירים לחיישנים, למנועים ולהמרת הספק.
כל אחד מהמעגלים המשולבים האלה חייב תחילה לעמוד בתקני הסמכה של תעשיית הרכב בנושאי ייצור וביצועים כפי שנקבעו על ידי מועצת האלקטרוניקה ברכב (AEC). תקני AEC-Q100 מגדירים תהליך הסמכה של בדיקת סטרס מבוסס-מנגנון כשל בטווחי טמפרטורה שונים. תלוי בסוג היישום, ה-MCU יצטרך להיות בעל הסמכת AEC Q100 Grade 2, Grade 1 או Grade 0. Grade 0 = 150C, Grade 1 = 125C, ו-Grade 2 = 105C.
מעבר להסמכות AEC, הדרישות הנוספות לתכונות מוכנות לבטיחות פונקציונלית ספציפית תלויות בהתקן וביישום. לדוגמה, 8-bit MCUs מכילים בדרך כלל CAN FD עבור ממשקי רכב ורשתות חיישנים חכמים, ומשמשים בדרך כלל כבקרי ממשק משתמש (IU) עבור לחצנים מכניים וקיבוליים בתא הנהג, בהגה, בקונסולה האמצעית או כחלק ממערכת כניסה לרכב ללא מפתח. תכונות חומרת הבטיחות המשולבת שה-MCUs האלה זקוקות להן בדרך כלל הן זיכרון, איפוס מערכת, ביצוע בטוח של קוד, תקשורת בטוחה והגנה מסוג General-Purpose Input/Output (או GPIO). את אלה מוסיפים על ידי שילוב של Core Independent Peripherals (או CIPs) וכן פונקציות אחרות, כולל Power-On Reset (או POR), Brown-Out Reset (או BOR), Windowed Watchdog Timer (או WWDT) וכן Cyclic Redundancy Check (או CRC) כדי לשפר את הבטיחות והאמינות התפעוליות (ראו איור 2).
איור 2: 8-bit MCU עם תכונות חומרה של בטיחות פונקציונלית
אם מתקדמים מעלה לכיוון 16-bit DSCs המוכנים-לבטיחות פונקציונלית, התכונות של חומרת הבטיחות כוללות בדרך כלל זיכרון עם זיהוי ותיקון של שגיאות, בדיקה-עצמית מובנית של זיכרון (MBIST), ניטור שעון ומתנד עודף, ועוד, לזיהוי תקלות, אבחון עצמי ויכולות אבחון מערכת ושיכוך תקלות. התקנים מוכנים לבטיחות פונקציונלית אלה מאפשרים תכן של יישומים מוטבעים בעלי ביצועים גבוהים וקריטיים לבטיחות, ממשקי חיישנים, הספק דיגיטלי ובקרת מנוע. מערכות כאלה כוללות בדרך כלל מערכות DC/DC, מַַטענים מובֽנים ברכב (OBCs), מפעילים וחיישנים (מיקום, לחץ), מסכי מגע ויחידות בקרה אחרות המכוונים להיות מותאמים ל-ASIL B או ל-ASIL C. באיור 3 מוצגת דוגמה של התכונות של DSC בעל מוכנות לבטיחות פונקציונלית.
איור 3: דוגמה של 16-bit DSCs המוכנים-לבטיחות פונקציונלית.
כמו בכל ה-MCUs בעלי המוכנות לבטיחות פונקציונלית, , 32-bit MCUs זקוקים לתכונות חומרה כגון זיכרון עם קוד תיקון שגיאות (ECC) ו-Fault Injection, בדיקה עצמית מובנית של הזיכרון (MBIST), מערכות שעון כולל מתנדי גיבוי וזיהוי כשלי שעונים, וכן GPIO עם הגנה מפריקה אלקטרוסטטית (ESD) (ראו איור 4). כמו כן יש חשיבות לאמצעי ניטור מערכת כגון POR, BOR, WDT ויכולות CRC של החומרה, וכן יחידת הגנה על הזיכרון. 32-Bit MCUs משמשים במגוון רחב של יישומים, החל ממערכות בתוך תא הנוסעים ועד למערכות סיוע לנהג מתקדמות (ADAS) עבור בטיחות פונקציונלית.
איור 4: דוגמה של 32-bit MCU עם מוכנות לבטיחות פונקציונלית.
אפשר עם MCUs ו-DSCs סטנדרטיים להגיע גם לרמות בטיחות של ASIL C/D, זאת על ידי שילוב MCU או DSC העיקרי עם אחד משני או עם מעבד-נוסף. את זה משיגים על ידי עיקרון הפירוק (decomposition) של ASIL: ניתן להשתמש בשילוב של שתי מערכות-משנה תואמות-ASIL B כדי להגיע ל-ASIL גבוה יותר, למשל ל-ASIL C/D:
ASIL C = ASIL B (C) + ASIL A (C)
ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)
הפירוק נעשה על ידי הפרדה עם מחיצות (partitioning) של דרישות הבטיחות מול ההתקנים בפועל.
כלי פיתוח ותמיכה בהסמכה
חבילות כלי תכן שהוסמכו עבור בטיחות פונקציונליות כחלק ממערכת פיתוח אקולוגית מלאה יכולות להקל על העמידה בדרישות ההסמכה והתיקוף שהוגדרו תחת תקן ISO 26262. זה נכון במיוחד עבור תכן מבוסס-MCU ו-DSC. ספקי כלים משתפים פעולה עם סוכנויות הערכה והסמכה עצמאיות צד ג’ כדי להסמיך קומפיילרים של בטיחות-פונקציונלית. זה מגיע בדרך כלל עם תיעוד נוסף, למשל תעודה, מדריך בטיחות פונקציונלית, תוכנית בטיחות ודוחות סיווג והסמכת כלים עבור הקומפיילרים, סביבת הפיתוח המשולבת (IDE) ומנפי השגיאות (debuggers) והמתכנתים. חבילת התיעוד הזו של בטיחות פונקציונלית מפשטת את הסמכת הכלים ואת ההסמכה של היישום הסופי.
מומלץ גם להשתמש גם בכלי כיסוי קוד (code coverage tool) בתהליך התכן, כדי למדוד עד כמה הקוד נבדק ולקבוע מהם חלקי התוכנה שבוצעו או שלא בוצעו. כלי כיסוי הקוד חייב גם להיכלל בדוחות הסיווג והתיקוף. חפשו כלי שיכול לבצע בדיקה במעבר יחיד (single pass) בלי לשבור את הקוד לבלוקים ולהזדקק לכמות גדולה של שינויי חומרה, תוכנה יקרה ומאמץ ניכר של חיפוש בקובצי נתונים גדולים אחר מידע רלוונטי. הסמכה של יישומים דורשת נתוני בדיקת קוד, ולכן כלי כיסוי תוכנה במעבר-יחיד ממלאים תפקיד חשוב בפישוט התהליך ובזירוז משך זמן ההגעה לשוק.
כדי לפתח יישומי רכב שתואמים את ISO 26262, מהנדס יצטרך מספר משאבים נוספים מיצרן המוליכים למחצה מעבר לגיליון הנתונים של ההתקן. הזמינות של חבילות בטיחות פונקציונלית מעניקות ליצרני הציוד המקורי ולספקים את מה שהם צריכים בשלבים השונים של מחזור ההערכה והתכן. חבילות אלו אמורות להקיף מדריכי בטיחות מוסמכים, דוחות FMEDA, ובמקרים מסוימים תוכנת אבחון כגון ספריות בדיקה-עצמית מוסמכות עבור ASILs רלוונטיים.
דוח FMEDA מכמת את מצבי התקלה של ההתקן, את קצב הפצת ה-Failure-In-Time (או FIT) שלו, ואת שיטות הזיהוי המתאימות כדי לסייע ביצירת תוכנית כיסוי. משאב חשוב נוסף הוא מדריך הבטיחות (SM). הוא מספק פרטים על שיטות זיהוי התקלה שהוזכרו בדוח FMEDA, ומציע המלצות איך להשתמש בהתקן באופן הבטוח ביותר. הוא כולל תיאור של התקלות התלויות ותכונות התוכנה לזיהוי כשלים שיטתיים, דבר שיכול לשמש לפיתוח ספריות אבחון. ספריות האבחון של בטיחות פונקציונלית יכולות לעזור להעריך את הסטטוס התפעולי של המערכת בתנאי תקלה, לזהות תקלות אקראיות במערכת, ולעמוד ביעדי הבטיחות הפונקציונלית. בחירת התקן שמציע דוח FMEDA עם הסמכת צד ג’ וכן מדריך בטיחות וספריות אבחון, מפשטת את מאמצי ההסמכה של יישום קריטי-לבטיחות.
פיתוח יישומים קריטיים-לבטיחות מתחיל בהגדרת יעדי הבטיחות ויעד רמת הבטיחות שאותו יש להשיג. חבילת בטיחות פונקציונלית בסיסית מספקת משאבים בסיסיים כגון FMEDA, מדריך בטיחות והסמכת בטיחות כדי לעזור לכם להתחיל בהערכת רמות הבטיחות הפונקציונלית שאליהן שואפים להגיע, ובתכן יישום הרכב הקריטי-לבטיחות.
חבילת בטיחות פונקציונלית התחלתית (starter package) עבור תכן מבוסס-MCU מומלץ שתכלול FMEDA עם הסמכת מוכנות ל-ASIL B, מדריך בטיחות וספריות אבחון תואמות ASIL B/C, בשילוב עם יישום ייחוס שיסייע למהנדסים להבין כיצד ניתן להשתמש במשאבים האלה כדי לפתח יישום קריטי-לבטיחות על סמך עמידה בתקן ISO 26262. חבילה התחלתית תעזור לזירוז מחזור התכן ולפיתוח יישום התואם את ASIL B או ASIL C.
חבילת בטיחות פונקציונלית מלאה עשויה לכלול גם ספריות אבחון מוסמכות המכילות קוד מקור ודוחות ניתוח בטיחות רלוונטיים עבור רמות התכן עד ASIL B/C. בהינתן העובדה שרבים מלקוחות הקצה מעוניינים בהסמכה של יישומים קריטיים-לבטיחות, החבילה המלאה תזרז את תהליך ההסמכה.
כלי רכב הופכים כיום ליותר ויותר מתוחכמים, ורמת האלקטרוניקה בהם הולכת וגדלה. יש חשיבות הולכת וגדלה לכך שהמוצרים הפונקציונליים המתמקדים-בבטיחות עבור יישומי תעשיית הרכב יתמכו בפיתוח מערכות אקולוגיות שמציעות משאבי בטיחות פונקציונלית מוסמכים שיעמדו בדרישות ISO 26262. ספקי מעגלים משולבים גם יכולים לסייע ללקוחותיהם בתעשיית הרכב להגן על השקעותיהם לטווח ארוך על סמך תהליך הפיתוח וההסמכה הקשוח הזה. הם יכולים לוודא את המשך הספקתם של חלקים המשמשים במערכות מוסמכות כל עוד הלקוח רוצה להזמין אותם, ובכך להסיר את הסיכון לאילוץ לבצע תכן-מחדש עקב כך שחלק מסוים הגיע לסוף חייו (EOL). כך ניתן לבטוח בכך שתהליך ההסמכה לא רק שיבוצע במהירות ובקלות, אלא גם שיהיה צורך לבצע אותו רק פעם אחת.
