ISO 26262-11(2018)半导体细化:IC 供应商工作产品交付指南

功能安全L3别名 ISO 26262 Part 11 · 26262-11 · semiconductor functional safety · IP 安全 · hard IP soft IP · AoU Assumption of Use · 数字模拟 PLD 多核传感器 · λdie λ1 λ2 λ3 · mission profile · SEooC IC supplier

本质与导读

本质 Part 11(2018 新增)解决的不是"标准要求什么",而是 SEooC IC 供应商在不知道客户最终应用时,如何交付可被各系统集成商 reuse 的安全工作产品。胜负手是 Assumption of Use:它把 IC 厂"假设客户怎么用"写成可追溯文档,客户违反 AoU 即免除 supplier 责任、责任转移给客户。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. Part 11 的覆盖范围

Part 11 是 informative(指导性,非 normative)。它给的是**"如何把 Part 5 的硬件要求适用到半导体"**的具体方法学,不强制——可以用,也可以用 IEC 61508 / ISO/PAS 19451 等其它方法。但实务上,车规 IC 评审基本都要求 Part 11 一致性(TÜV/SGS 评审基线)。

下图把 Part 11 的半导体特定要点串成一条链:从 die 的基础失效率(base failure rate λdie,按 λ1 工艺 / λ2 封装 / λ3 温循三项加权 × mission profile)→ 故障如何分到 SBSC(单点&安全故障比例)/ FMC(每故障模型被安全机制检出的覆盖率)两桶 → IP 作为 SEooC(脱离上下文安全单元)交付且分 hard/soft → 数字 / 模拟 / 存储分治 → 落到 片上分布式安全机制(lockstep 双核延一周期比对 / on-chip redundancy 片上冗余 / ECC 纠错码)→ 以及多 die / 封装相关失效。

ISO 26262-11 半导体特定 — 基础失效率 + 故障模型分布(SBSC/FMC)+ IP/SEooC + 数字/模拟/存储分治 + 片上分布式安全机制

Part 11 主体 Section 5 按元件类型分:

子节	元件类型
5.1	Digital components(CPU / 内存 / 总线 / 数字 IP)
5.2	Analogue / mixed signal(运放 / ADC / DAC / 稳压器 / HS-LS 驱动)
5.3	Programmable Logic Devices(FPGA / CPLD / 可重构)
5.4	Multi-core components(多核 SoC,lockstep / asymmetric)
5.5	Sensors and transducers(MEMS / 霍尔 / 温度 / 资源传感器)

每子节有相同结构:About / Failure modes / Safety analysis notes / Example SMs / Avoidance of systematic faults / Documentation example / Quantitative analysis example。

2. IP 概念与四种集成方式(Section 4.5)

2.1 Hard IP vs Soft IP

这一节先把“Hard IP vs Soft IP”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

类型	描述	例
Physical representation(hard IP)	完整 chip layout,绑特定 process / cell library	ADC macro / PLL macro / 模拟运放
Model representation(soft IP)	HDL / 模拟电路原理图,未绑 process	CPU 设计(Verilog)/ 接口控制器(VHDL)

两者 ISO 26262 处理差异:

Hard IP:制造工艺已固化,IP 集成方不能改 layout。FMEDA 数字必须由 IP supplier 提供
Soft IP:可在不同 process 上实现,DC / FIT 数字依赖 target process。IP supplier 给"通用方法 + 配置说明",IP 集成方按目标 process 重算

工程含义:hard IP 是"现成的可衡量的",soft IP 是"指南 + 自己量"。

2.2 4 种集成方式

Figure 5 给出 4 种 IP 在 safety 设计里的处理方式:

方式	适用条件
Integrate as is	IP supplier 全部满足 ISO 26262 documentation,集成方直接用
SEooC(Safety Element out of Context)	IP supplier 假设 use case + safety reqs,集成方验证假设是否符合
修改 + 重 verify	集成方修改 IP,要按 modified IP 全流程重 verify
Proven in Use	历史 field data 充分,可豁免完整 ISO 26262 流程(典型旧 IP 多年量产)

实操:SEooC 是 IC 厂主动做的"半成品",详见 SEooC。Proven in use 越来越难——field data 要 IC 用 2-5 年量产 + 数百万颗 + 失效率统计可信,新 IP 没法用。

3. Assumption of Use (AoU)

SEooC 流程的关键是 AoU——IC 供应商假设"客户系统怎么用我的 IC"。每条 AoU 是一行可追溯的"使用前提",客户违反 AoU 时:

IC supplier 责任免除(失效不算 supplier 的)
客户必须自己承担(自己加 SM 或重做评估)

3.1 典型 AoU 内容

例 ADC IP 的 AoU(部分):

AoU-001:输入信号阻抗 < 5kΩ
AoU-002:VAREF 稳定度 < ±0.5%
AoU-003:System 在 VAREF 故障时有外部 plausibility check
AoU-004:周期诊断频率 ≤ 1ms
AoU-005:工作温度 -40 to +150°C(超出无 FIT 数据)

每条 AoU 都进 Datasheet "Functional Safety" 章节 + Safety Manual。

3.2 AoU 违反的实例(Section 4.4 Example 2)

Part 11 里举例:IC 内某 memory 的 ECC,假设系统级有软件驱动 handle 错误事件(AoU)。客户为性能省了软件驱动,改让 ECC error flag 直接送外面——违反 AoU,系统级 DC 实际比 IC supplier 标的低,需要客户自己重新评估 SPFM/LFM。

4. 5 类元件 Failure Mode 矩阵

4.1 Digital(Section 5.1)— Failure mode keywords

数字元件的 failure mode 用关键词描述:

Wrong program flow execution
Data corruption
Accessing unintended locations
Deadlock / Livelock
Incorrect instruction execution

诊断 SM 例:lockstep CPU(高 DC 99%)、software-based hardware test(中 DC 60-90%,依赖测试覆盖)、memory ECC + CRC(高 DC 99%)、MPU 配合 watchdog。

4.2 Analog(Section 5.2 Table 36)— 22 个 failure mode

模拟元件按 part / subpart 分。voltage regulator 部分含 7 类 failure mode:

Failure mode	例 SM
Output OV / UV	OV/UV monitor
Output 受 spikes(瞬态)影响	Filter + edge detection
启动时间不正确	Power-on monitor with timeout
输出精度太低 / 漂移	周期 ADC 检查
在阈值内振荡	Oscillation detector(双采样)
阈值外快速振荡	RMS 计算 + 范围比较
静态电流超过最大值	系统级电流监控

ADC / DAC 失效模式(同表)分两组:

Static errors:offset / gain / INL / DNL
Absolute accuracy errors:静态 + 量化 + 满量程

工程实操:ADC AoU 通常不要求覆盖所有 22 项,只覆盖 3-5 项 dominant 失效——按 fault distribution 把没列的归到 "safe" 或 "system-level mitigated"。

4.3 PLD(Section 5.3)— FPGA/CPLD

PLD 特殊性:**配置 SRAM 单粒子翻转(SEU)**导致功能改变。Failure modes:

Incorrect routing(连接错)
Logic table corruption
Memory cell SEU
Clock distribution faults

SM 典型:配置 readback + scrubbing(周期重写 SRAM)、TMR 三模冗余(area 3×)、ECC on configuration RAM(需 FPGA 支持)。

4.4 Multi-core(Section 5.4)— lockstep vs asymmetric

这一节先把“Multi-core(Section 5.4)— lockstep vs asymmetric”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

类型	适用 ASIL	注意
Lockstep dual-core	ASIL D	必须 RCCU 在每输出比对,延迟一周期(防 transient 共因)
Asymmetric multi-core	ASIL B/C	不同核跑不同任务,共享缓存 / 总线必须做 freedom from interference 证明
单核 + 软件冗余	ASIL B	software lockstep,DC 中等

多核共享资源(L2 cache / NoC / 内存控制器)是 dependent failure 主要源,Part 11 强制做 DFA。

4.5 Sensors and transducers(Section 5.5)

传感器与 ASIC 集成度高时按"集成系统"分析。Failure modes:

Drift(慢漂移)
Stuck-at(卡值)
Out-of-range
Latency excessive
Multiplicative error(信号乘以错误增益)
Plausibility violation(物理上不可能值)

典型 SM:冗余通道(double-die / die-redundant in same package)、周期 self-test(BIST)、range check + plausibility。

5. λdie 失效率估算(Section 5.1.6)

Part 11 给出 IC die 失效率估算公式(基于 IEC TR 62380 / SN 29500 衍生):

λ_{d i e} = (e l e m e n t s \sum λ_{1, e l e m e n t} \cdot N e l e m e n t \cdot e^{- 0.35 a} + \frac{N e l e m e n t}{Nt o t a l} \cdot λ_{2, e l e m e n t}) \cdot \frac{\sum _{i = 1}^{y} ( π _{t, e l e m e n t} ) _{i} \cdot τ _{i}}{τ _{o n} + τ _{o ff}}

其中:

$λ_{1}$ :工艺技术固有失效率(transistor count 加权)
$λ_{2}$ :封装相关失效率(pin count + 热膨胀系数)
$λ_{3}$ :温度循环 / 环境因子
$π_{t}$ :Arrhenius 温度因子
$τ$ :mission profile(on-time / off-time / 温度区间)

工程实务:车规 IC 厂用 SN 29500 或自家 reliability 模型生成 λ_die,Part 11 是给 IP 集成方一个独立 cross-check 的方法——如果 IC supplier 给 50 FIT 但 Part 11 模型算出 200 FIT,要追问差异来源。

5.1 Mission Profile 范例(Figure 16)

Part 11 给两个典型 automotive mission profile:

Motor control:on-time 80%(15 年里有 12 年通电),Tj 平均 +85°C
Passenger compartment:on-time 30%(只在驾驶时通电),Tj 平均 +60°C

Mission profile 直接乘到 λ 上,Tj 升 25°C 失效率约翻倍(0.3 eV Arrhenius)。EV 主驱主控 IC 经常 Tj > 100°C,选规格要按这个推算。

6. 系统级补 IP DC 的实战(Section 4.4)

Part 11 关键洞察:IP 级 DC = 0% 不等于设计失败——可以在系统级补:

例 1:ADC IP 自己没 SM,IC 级 DC = 0%。但系统级把 ADC 输出送进闭环控制器,SW 做合理性检查 → 系统级 DC = 90%。

例 2:Memory ECC 在 IC 级 DC = 99%,但 AoU 假设 SW driver 处理。客户没实现 driver → 系统级 DC 退化到 60%。

工程含义:SEooC IC supplier 的工作产品要明确"if AoU met, DC = X%; else DC degrades to Y%" —— 这是 Safety Manual 里强制的双数字标注。

核心要点

Part 11 是 informative 指南,但车规 IC 评审实际把它当 baseline,IC supplier 必跟
IP 区分 hard(layout 固化)vs soft(HDL 配置),前者 FIT 由 supplier 给,后者由 integrator 算
4 种 IP 集成方式:integrate as is / SEooC / 修改+重 verify / proven in use,SEooC 是当前主流
AoU 是 SEooC 责任划分的核心——客户违反 AoU 责任就转到客户,supplier 免责
Failure mode 按 5 类元件细化:数字 keyword / 模拟 22+ mode / PLD SEU / multi-core 共享 / 传感漂移
IP 级 DC = 0% 不代表失败,系统级 SM 可补 — 关键是 Safety Manual 写明 "if AoU met then X%; else Y%"
λdie 用 λ1+λ2+λ3 加权 + mission profile,IC supplier 给出来工程方独立 cross-check

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

standard · standard_iso26262_part11 — ISO 26262 Part 11 Semiconductors

Cross-references

← 索引
功能安全(Functional Safety):FuSa 总框架
ISO 26262-5 硬件层细化:Part 5 SPFM/LFM/PMHF 数学基础
ISO 26262 硬件要素三类分类:I/II/III 类元件分类
SEooC:Safety Element out of Context 概念基础
硬件元件评估:元件评估流程
DFA / FMEDA / FTA:数字 / 模拟分析方法
HV 主驱逆变器 ISO 26262 安全概念:应用层 V-cycle
MCU + SBC ASIL D 集成:多 IC 协作的具体例
Safety Case:IC supplier 与 Tier 1 的 case 拼接
安全机制目录:per-element SM 库
汽车 MCU:多核 MCU 选型
SBC / 伴随 IC:analog / mixed signal IC 例
AEC-Q 车规认证:车规 IC 与 ISO 26262 平行认证
IEC 61508 概览:ISO 26262 母标准