ChinaAutoRegs|GB/T 34590.11-2022英文版翻译 道路车辆 功能安全 第11部分:半导体应用指南(英语版)
Road vehicles – Functional Safety – Part 11: Guidelines on applications to semiconductors
CONTENTS
Foreword
Introduction
1 Scope
2 Normative References
3 Terms and Definitions
4 A semiconductor component and its partitioning
4.1 How to consider semiconductor component development
4.2 Dividing a semiconductor component in parts
4.3 About hardware faults, errors and failure modes
4.4 About adapting a semiconductor component safety analysis to system level
4.5 Intellectual Property (IP)
4.6 Base failure rate for semiconductors
4.7 Semiconductor dependent failure analysis
4.8 Fault injection
4.9 Production and operation
4.10 Interfaces within distributed developments
4.11 Confirmation measures
4.12 Clarification on hardware integration and verification
5 Specific semiconductor technologies and use cases
5.1 Digital components and memories
5.2 Analogue/mixed signal components
5.3 Programmable logic devices
5.4 Multi-core components
5.5 Sensors and transducers
Annex A (Informative) Example on how to use digital failure modes for diagnostic coverage evaluation
Annex B (Informative) Examples of dependent failure analysis
Annex C (Informative) Examples of quantitative analysis for a digital component
Annex D (Informative) Examples of quantitative analysis for analogue component
Annex E (Informative) Examples of quantitative analysis for PLD component
Bibliography
1 范围
本文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个与安全相关的电子电气系统。
本文件不适用于特殊用途车辆上特定的电子电气系统,例如,为残疾驾驶者设计的车辆。 其他专用的安全标准可作为本文件的补充,反之亦然。 已经完成生产发布的系统及其组件或在本文件发布日期前开发的系统及其组件不适用于本文件。
于在本文件发布前完成生产发布的系统及其组件进行变更时,仅修改的部分需要按照本文件开发并进 行安全生命周期的裁剪。未按照和按照本文件正在进行开发的系统进行变更时,仅修改的部分需要按照 本文件开发并进行安全生命周期的裁剪。
本文件针对由电子电气安全相关系统的故障行为而引起的可能的危害,包括这些系统相互作用而 引起的可能的危害。本文件不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、 能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。
本文件提出了安全相关的电子电气系统进行功能安全开发的框架,应将此框架内的功能安全活动 整合到企业的整体开发体系中。本文件规定了为实现产品功能安全的技术开发要求,也规定了组织应具 备相应功能安全能力的开发流程要求。
本文件不涉及电气/电子系统的标称性能。
本文件只具有资料性特性,包含了GB/T 34590其他部分针对半导体开发的可能解释。关于可能的解 释,该内容并非详尽无遗,即为了满足GB/T 34590的其他部分中定义的要求,其他解释也是可能的。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 34590.1-XXXX 道路车辆 功能安全 第1部分:术语(ISO 26262-1:2018,MOD)
3 术语和定义
GB/T 34590.1-XXXX界定的术语和定义适用于本文件。
4 半导体组件及其分区
如何考虑半导体组件
4.1.1 半导体组件开发
如果半导体组件的开发作为一个符合GB/T 34590的相关项开发的一部分,它需基于硬件安全要求 开发,此要求源于相关项的顶层安全目标,并通过技术安全概念产生。如果分配给该相关项的目标包括 为满足硬件架构度量而设定的相关失效模式的诊断覆盖率,随机硬件失效概率度量(PMHF)或对违反安
全目标的每个原因的评估(ECC):在这种情况下,半导体组件只是要素之一。 如 GB/T 34590.5-XXXX [66],8.2 的示例所述,为了促进分布式开发,可以通过在相关项层面获得SPFM,LFM和PMHF的目标值 或将EEC应用于硬件元器件层面,从而将这些目标值分配给半导体组件本身。半导体组件的安全分析是 根据GB/T 34590.5-XXXX,7.4.3和GB/T 34590.9-XXXX [70] 的第8章中所定义的要求和建议进行的。
注:如果要素未按照GB/T 34590开发,则可以参考GB/T 34590.8-XXXX [69]第13章中的要求。
半导体组件可以按照SEooC来开发,如 GB/T 34590.10-XXXX [61]中所述。 在这种情况下,开发是 基于对半导体组件使用条件的假设(使用假设或AoU,参见4.4)完成的,然后在下一个更高的集成层面 上,考虑这些将要使用半导体组件的相关项的安全目标导出的半导体组件的要求,进行验证。
该部分的表述和方法都是假定这个半导体组件是一个SEooC,但是如果半导体组件未被视为一个 SEooC,则所表述的方法(例如,半导体组件的失效率的计算方法)仍然有效。 考虑半导体组件自身而 实施这些方法时,应当给出适当的假设。 第4.4条描述了如何在系统层面或要素层面调整和验证这些 方法和假设。 在半导体组件自身层面, GB/T 34590.2-XXXX [63],GB/T 34590.5-XXXX,GB/T 34590.6- XXXX [67],GB/T 34590.7-XXXX [68],GB/T 34590.8-XXXX 和GB/T 34590.9-XXXX的要求(例如,与安
全分析,相关失效分析,验证等相关)可以应用。
半导体组件划分
如图2所示并且按照GB/T 34590.1-XXXX,3.21中的定义,半导体组件可分为数个元器件: 整个半导 体层级可视为一个组件,第二层级(例如CPU)可视为一个元器件,下一层级(例如CPU寄存器组)可视 为子元器件,直到基础子元器件(其内部寄存器和相关逻辑)。
注:详细程度(例如,是否停止于元器件层面或下至子元器件或基础子元器件层面)以及基础子元器件的定义(例 如触发器,模拟晶体管)可取决于安全概念、分析的阶段以及使用的安全机制(在半导体组件内部或在系统层 面或要素层面)。
图2 半导体、元器件和子元器件
关于硬件的故障、 错误和失效模式
4.3.1 总述
如下图3所示, 集成电路的随机硬件故障和失效模式相互关联。 注1:失效模式可以是抽象的,也可根据具体实施情况而裁剪,例如与组件、元器件或子元器件的引脚相关。 通常情况下,失效模式在本部分中被描述为功能失效模式。 也可进一步表征失效模式的特性。 示例:附录 A 中给出了数字电路失效模式的示例。 在本部分中描述的故障和错误与给定半导体组件的物理实现有关。
注2:故障、 错误和失效的术语是按照 GB/T 34590.1中的定义而使用的,即故障会产生错误从而会导致失效的产生。 在许多可靠性建模标准中,故障和失效这两个术语可互换使用。
图3 硬件故障和失效模式的关系
4.3.2 故障模型
故障模型是物理故障的抽象表达。 失效模式的分布与图3中所示的故障模型相关联。
示例:如果某个失效模式 X%是由于卡滞故障和 Y%是由于短路而造成的,并且如果安全机制仅以 Z%的覆盖率覆盖卡 滞故障,则,声明的诊断覆盖率为 X%×Z%。
在半导体组件的背景下,基于工艺和电路实现来确定相关的故障模型。 注1:有关数字组件故障模型的更多详细信息,请参见5.1.2;对于存储器,参见5.1.3。 注2:通常情况下,由于故障数量和所需的详细程度,无法单独评估每个可能的物理故障。
4.3.3 失效模式
失效模式采用与安全概念和相关的安全机制相符的详细程度来描述。
示例1:如果一个 CPU 具有硬件锁步安全机制,则可将 CPU 功能视为整体来定义失效模式。
示例2:如果 CPU 具有基于结构化软件的硬件测试作为安全机制,则 CPU 功能的失效模式可被更详细地定义,因为 软件测试将以不同的失效模式覆盖率来覆盖不同的失效模式。
示例3:附录 A 中给出了数字失效模式不同详细程度的示例。 如果适用,可用关键字定义失效模式。 示例4:关键字的示例包括:程序流执行错误、数据损坏、访问非预期位置、死锁、活锁、指令执行错误。 在特殊情况下,更接近物理实现的失效模式可能会更有帮助。
示例5:模拟失效模式(表 36)。
有证据表明,识别出的失效模式与电路实现故障模型之间存在关联, 这确保将所有失效模式分配 给组件的元器件/子元器件的同时,所有相关的元器件/子元器件至少有一种失效模式。
注:目标是确保在电路实现与已列出的失效模式之间没有差距。
4.3.4 失效模式下的基础失效率的分布
基础失效率(参见4.6)分布在失效模式中。这种分布的准确性与分析的详细程度以及对可用的有 关安全机制的考虑是一致的。
示例1:如果 CPU 具有硬件锁步安全机制,则详细的 CPU 失效模式分布不是必需的。
示例2:如果 CPU 有一个基于结构化软件的硬件测试,则分布将会被更详细地定义,因为这种方式有可能足够精确 地估计失效模式的诊断覆盖率。
在以规定精度来计算分布时,若无可用数据,则失效率在失效模式中均匀分布,或应提供带有相关 论据的专家判断。
注:对分布进行敏感度分析,以评估对诊断覆盖率和定量安全分析结果产生的影响。
关于使半导体组件安全分析适应系统层面
使半导体组件安全分析适应系统层面,可通过以下方式完成:
——将半导体组件的详细失效模式转换为在系统层面分析期间所需的高层面失效模式,如图 4 所 示;
图4 自下而上方法推导系统层面失效模式的示例
注1:通过结合自上而下(例如:FTA)和自下而上的方法(例如: FMEA),可确定详细的半导体组件失效模式并将 它们整合到组件层面。
注2:从低抽象层面开始,可为半导体组件提供定量和精确的失效分布,否则将基于定性分布的假设。 注3:如4.2中所述,必要的详细程度可取决于分析的阶段和所使用的安全机制。
——通过在元器件层面、组件层面或系统层面或相关项层面采取措施,可以提高在元器件层面或 子元器件层面计算出的诊断覆盖率; 或
示例1:一个半导体组件包含一个 ADC,此 ADC 没有由硬件实现的安全机制。 在组件自身层面,认为诊断覆盖率为 零。 在系统层面,ADC 被包含在一个闭环中,其故障可通过基于软件的一致性检查来探测。 在这种情况下,由于在系 统层面实施的安全机制,该子元器件的诊断覆盖率得到增加。
——在元器件或子元器件层面计算得出的诊断覆盖率可能可以在某些特定的假设(“使用假设” 或 AoU)下被计算出来。
注:在系统层面,可呈现不同的安全机制或失效屏蔽。 当能给出正当理由时,可在安全分析中考虑这一点。 示例2:半导体组件包含一个存储器,ECC 修正其每个单一错误并通知 CPU。 在组件自身层面,假设已实现软件驱动
程序来处理此事件。在系统层面,出于性能原因,此软件驱动程序无法实现,因此该假设并未满足。 因此,通过对半导 体组件的编程,将错误更正标志直接发送到外界。
知识产权(IP)
4.5.1 关于 IP
4.5.1.1 理解 IP
在这一条中,IP是指可复用的逻辑设计单元或物理设计单元,作为一个元器件或组件集成到设计中。 术语“IP集成商”指负责将来自一个或多个源的IP设计集成到具有安全要求的设计中的组织。 术语“IP
供应商”用于指负责设计或开发IP的组织。 IP集成商和IP供应商可以是单独的各方,也可以是同一公 司或同一公司的不同组织。
根据GB/T 34590的要求,为基于IP的设计确定了四种可能的方法。 这些方法如图5所示。 IP集成 商通常根据对IP供应商提供的信息以及IP的成熟度的考量来选择方法。
示例:如果无法从 IP 供应商处获得支持信息,可能的方法可以仅限于“在用证明”论据(如果适用)。若“在用证 明”不适用,那么 IP 在安全架构中的作用将被区别对待,例如: 使用多样化冗余来降低系统性和硬件随机失效的风险。
图5 在安全相关设计中使用 IP 可能用到的方法
IP可以是具有预定义功能集的现有设计。 在这种情况下,IP集成商有责任确定支持设计的安全概 念所需的功能集。 IP也可根据议定的安全要求进行设计。 在这种情况下,IP集成商确定了支持设计的 安全概念所必要的IP要求。
注1:此条中的指导可适用于新开发的IP、修订的IP和现有的未修改的IP。
注2:如GB/T 34590.2-XXXX,6.4.5.7中定义,通常的方法是假设可能的目标用途。 该方案在GB/T 34590.10 [61]
中被描述为SEooC。 SEooC的开发依赖于识别由IP集成商验证的假设用例和安全要求。
4.5.1.2 IP 的类型
表1中列出了常用的IP类型。该表并未涵盖所有可能的IP类型。 本部分考虑了应用于半导体设计的
IP的物理和模型表示类型。
表1 IP 类型
IP 类型 描述
物理表示 一个完整的芯片布局描述,包含特定单元库的标准单元实例或者目标制造过程中的模拟单元。
示例:A / D转换器宏,PLL宏。
模型表示 根据硬件描述语言(HDL)如Verilog或VHDL,或模拟晶体管级电路原理图来进行的设计描述。 模型表示中的逻辑设计被综合为由基本单元组成的门阵列,随后是布置和布线以实现半导体设计。 模拟电路原理图组件,例如晶体管,二极管,电阻器和电容器,映射到目标技术库组件中,然后进行布局 和布线,以实现半导体设计。 示例:处理器或存储器控制器设计转换而不映射到特定工艺,运算放大器晶体管级示意图。
注1:物理表示IP也称为“硬IP (hard IPs)”。 注2:模型表示IP也称为“软IP(soft IPs)”。 注3:分类适用于通用IP设计,包括数字,模拟,混合信号,PLD,传感器和转换器。
注1:逻辑设计形式的IP也是可配置的。 在这种情况下,配置选项由IP集成商指定。 示例1:配置选项用于定义接口总线宽度、存储器大小和是否选用故障探测机制。 注2:IP也可以使用专用工具(存储器编译器、C到HDL编译器、片上网络生成器)生成。 在这种情况下:
——软件工具的可信度可以通过使用 GB/T 34590.8-XXXX,第 11 章中描述的方法来证明,此方法的裁剪基于在 已生成 IP 上执行的验证量;
——在适用时,IP 集成商或 IP 供应商执行必要的验证活动以确保生成 IP 的正确性(例如 DIA 中的协议);
——提供下列章节所列的必要工作成果;及
——IP 集成商验证了 IP 在这种场景中的正确集成。
4.5.2 IP 的类别和安全要求
通常情况下,可以基于对安全要求的分配来确定两类IP:没有分配安全要求的IP和分配有一个或多 个安全要求的IP。当IP没有分配安全要求时,除非在安全分析时被识别出,否则GB/T 34590对此没有要 求附加的考虑。在非安全相关IP与安全相关要素共存的情况下,可使用相关失效分析来评估是否免于干 扰。对于相关失效分析指南,请参见GB/T 34590.9-XXXX 第7章以及本部分4.7中的附加指南。
如果为IP分配了一个或多个安全要求,则GB/T 34590的要求依然适用。 特别是GB/T 34590.2-XXXX,
GB/T 34590.4-XXXX [65],GB/T 34590.5-XXXX,GB/T 34590.8-XXXX和GB/T 34590.9-XXXX的要求通常
被裁剪以适用于IP设计。 以下内容为分配了安全要求的IP提供了指导,以及如何在有和没有集成安全 机制的情况下考虑这些IP要求。
安全相关的IP可以基于安全机制的集成进行进一步分类。 图6中图解说明了两种可能的情况,其中, 子图(a)说明了集成了安全机制的IP,而子图(b)说明了没有集成安全机制的IP。
图6 IP 类型与分配的安全要求
注1:IP安全机制可包括,探测IP自身的失效模式,以及探测IP外部的失效模式。 注2:IP内实施的安全机制可以针对一组已定的失效模式,提供完整或部分诊断覆盖率。也可能仅由IP执行失效模式
探测,而失效模式控制由IP外部的组件提供。 IP供应商负责提供IP开发期间提出的使用假设,以便IP集成商检查与安全要求的一致性。 为了将IP集成到安全相关的硬件环境中,IP的硬件功能最初可以通过提供基于假设的安全要求的
安全机制来开发,该安全机制旨在控制给定的失效模式。 在这种情况下,GB/T 34590.2-XXXX、GB/T 34590.4-XXXX、GB/T 34590.5-XXXX、GB/T 34590.6-XXXX(在基于软件的安全机制覆盖硬件失效的情况 下)、GB/T 34590.8-XXXX以及GB/T 34590.9-XXXX的要求,适用时可以在IP的开发过程中用于安全机制 的设计。
示例1:具有内置总线监控器的总线“结构”,包括故障探测和通知逻辑(例如,中断信号)。 示例2:带有监控(欠压和过压探测)、保护(限流或热保护)和自诊断(内置自检的监控和保护电路)的电压调节器
或者,可以在没有假定安全要求、或没有特定的用于探测和控制故障的安全机制的情况下,进行IP 的开发。
示例3:无内置总线监控器或错误报告逻辑的总线“结构”。 示例4:没有监控、保护或内置监控或保护电路诊断的电压调节器。
定义于GB/T 34590.9-XXXX,第8章中的安全分析可应用于IP。定性安全分析和在某些情况下的定量 安全分析可以提供给IP集成商,以证明安全机制控制已知失效模式的能力,或提供失效模式及其分布的 信息。类似地,可以提供相关失效分析以证明所需的独立性或免于干扰。
注3:IP供应商根据特定的实施假设,将有关失效模式分布的示例信息计入安全分析结果。 与安全机制相关的文档 可以与IP的其他安全相关文档一起提供。这些信息也可以合并成单个的安全手册或安全应用说明,如5.1.11
(用于数字组件),5.2.6(用于模拟或混合信号组件),5.3.6(用于PLD)和5.5.6(用于传感器/转换器) 中所述。
注4:如4.6中所述,基础失效率取决于在集成电路里IP的实际实现(包括IP技术)和集成电路的使用条件。因此, 对于负责按照实际用例重新计算失效率的IP集成商来说, 基础失效率仅能作为参考。
注5:该信息可包含在现有文档中(例如集成指南、技术参考文档、应用说明)。
IP集成商可以在执行安全要求时向IP供应商请求附加信息。 IP供应商可以通过提供有关用于避免 系统性故障的措施的信息以及安全分析结果来支持该请求。 安全分析结果可用于支持对集成IP的硬件 度量的评估,也可用于证明免于干扰和独立性。
由于IP将被集成到与安全相关的设计中,因此考虑共存对于确保被集成的IP不会对其他安全相关 功能产生不利影响非常重要。 为了声明免于干扰,可以使用如GB/T 34590.9-XXXX,第6章和GB/T 34590.9-XXXX,第7章中所述的相关失效分析,以及本部分4.7中的附加指南。
如果IP集成商判定,使用提供的IP无法满足安全要求,则可以按照GB/T 34590.8-XXXX,5.4.4中的 所述对供应商提出更改请求,当IP是SEooC时,还需参考标准GB/T 34590.10-XXXX [61]。或者,IP集成 商可以采取符合安全要求的其他措施,如集成层面的附加安全机制。 安全机制可以用硬件、软件或两 者的结合来实现。如果合规开发缺少证据, GB/T 34590.8-XXXX,第13章和GB/T 34590.8-XXXX,第14章 可以提供替代方法以论证符合性。
IP集成商负责与所分配的安全要求和安全机制有关的每次集成,以及相关的验证和测试活动(如果 适用)。
注6:IP供应商负责确保交付符合指定的属性,并避免在生成的IP中有系统性故障。 此外,IP供应商提供支持信息, 以允许IP集成商进行集成活动。
4.5.3 IP 生命周期
4.5.3.1 介绍
在IP生命周期中,避免和探测系统性故障是为了确保最终设计适合在具有一个或多个分配安全要 求的应用中使用。在硬件设计的背景下,GB/T 34590.5-XXXX,第7章中提供了避免和探测系统性故障的 要求。 在本部分中,5.1.9(对于数字组件),5.2.5(对于模拟或混合信号组件),5.3.5.3(对于PLD) 和5.5.5(对于传感器和转换器)提供了进一步的指导。该指南可用于确定在IP开发期间,用于避免和 探测系统性故障的一般方法。
对于具有可编程行为的IP,则可参考GB/T 34590.4-XXXX,6.4.6.5,同样可参考 5.3中描述的指南。
IP集成商负责集成所提供的IP。 对于集成活动,应考虑IP使用假设,以及描述IP集成指导原则。 当使用假设无法实现或无效时,集成IP的设计根据GB/T xxx 第8章所述的变更管理对其影响进行分析 和考虑。图7提供了一个基于SEooC开发的生命周期示例,如GB/T 34590.10-XXXX [61]中已有描述。
图7 当 IP 作为 SEooC 对待时 IP 的生命周期
注1:如图7中所示的参考文献与GB/T 34590-XXXX有关。
注2:在图7中,GB/T 34590.5-XXXX,第10章只有部分是由IP供应商负责,因为许多相关要求不适用于IP供应 商,例如ESD测试。
DIA可以定义将由IP供应商提供的工作成果(如4.5.4中所列),以支持IP集成商进行IP集成活动。
4.5.3.2 IP 作为 SEooC
在开发SEooC IP的时候,根据GB/T 34590.2-XXXX, 6.4.5.7中的描述裁剪适用的安全活动。这种 针对SEooC开发的裁剪并不意味着可以省略任何一个安全生命周期的步骤。如果在SEooC开发期间某些 步骤被推迟,则可以在相关项开发期间完成这些步骤。
如果SEooC ASIL等级能力(参见GB/T 34590.1-XXXX,3.2)和由IP集成商指定的ASIL等级要求不匹 配,则IP集成商可以采用IP外部附加的安全机制。也应将关于避免系统性失效的附加安全措施考虑在内。 可以使用GB/T 34590.9-XXXX第5章中定义的ASIL等级分解,前提是可以表明存在冗余和独立的要求,并 考虑了集成IP的系统性失效避免和控制方法。
SEooC是基于预期功能和使用场景(包括外部接口)的假设开发的。这些假设的设置方式可以将SEooC 集成到其中的组件的超集,从而可以在以后的多个不同设计中使用SEooC。这些假设的有效性是在集成 SEooC的实际组件的场景下建立的。在这种情况下,被开发为SEooC的IP通常可以配置为针对许多不同的 设计。 配置可以在综合之前,综合之后,或通过熔丝、激光切割、闪光或任何其他编程方式来完成。 在这种情况下,IP供应商提供有关测试和验证活动所涉及的IP配置的信息。
示例:用于确定互连总线的宽度,内部高速缓存大小,中断数,存储器映射的配置选项。 注1:IP配置与软件配置数据不同:因此GB/T 34590.6-XXXX,附录C不能直接地应用于IP。 注2:IP集成商执行必要的验证活动,以确保生成的IP的正确性; 在后续章节中所列出的必要的工作成果应是可用
的; 并且,IP集成商验证IP在这种场景下的正确集成。
4.5.3.3 特定场景下进行 IP 设计
当在某场景下开发IP时,IP供应商根据GB/T 34590.2-XXXX,6.4.5.1中的描述裁剪安全活动。对基 于场景的设计,IP供应商可以在了解安全要求的情况下开发IP。
示例:在系统层面的一个特定安全要求的场景下设计的模拟组件。
4.5.3.4 通过硬件要素评估的 IP 应用
如果没有SEooC或场景信息可用于IP,如GB/T 34590.8-XXXX,第13章中所述的硬件要素的评估可被 用于增加对IP的信心。用于评估硬件要素的预知活动可以应用于没有预先可用的支持信息的IP(如4.5.5 中所述)。
4.5.3.5 通过“在用证明”论证的 IP 应用
如果用以避免系统故障的证据不可用,则在GB/T 34590.8-XXXX第14章中所述的“在用证明”论据 可以为IP集成商提供一种方法,表明符合GB/T 34590。
关于“在用证明”论证的有效性的条件可能是受限的。确保GB/T 34590.8-XXXX,14.4.5.3中所述 的有效的现场监控程序的实施是具有挑战性的,因为通常来自于包含IP的设计的现场反馈有限,或IP配 置有所差异。
4.5.4 IP 工作成果
4.5.4.1 IP 工作成果清单
工作成果示例在5.1.11(用于数字组件),5.2.6(用于模拟或混合信号组件),5.3.6(用于PLD) 和5.5.6(用于传感器和转换器)中描述。后续给出了用于IP设计的有关工作成果内容的通用性指导。
注:DIA(参见GB/T 34590.8-XXXX,第5章)可用于定义哪些文档可供IP集成商使用,以及所包含的 详细程度。
4.5.4.2 安全计划
对于分配了一个或多个安全要求的IP,安全计划是根据GB/T 34590.2-XXXX,6.4.6 中的要求制定 的。 可以使用单个计划或多个相关计划。详细计划应纳入GB/T 34590.8-XXXX中描述的适用的支持过 程,包括配置管理、变更管理、影响分析和变更请求、验证、文档管理和软件工具鉴定。
4.5.4.3 分配给 IP 设计的安全要求
如GB/T 34590.5-XXXX第6章中定义,硬件安全要求可以分配到IP设计。
示例:根据对在 IP 中安全机制要求的描述,允许在适当的集成层面验证要求。 集成和测试规范可以与定义于技术 安全概念中的要求相关联。
4.5.4.4 IP 设计的硬件设计验证和验证评审
对于逻辑设计形式的IP设计,定义设计验证的准则,特别是针对环境条件(振动,EMI等)的准则 通常是不可能的,因为物理特性高度依赖于由IP集成商完成的设计的物理实现。
注:对于用作数字逻辑设计的IP,可通过使用在5.1.9中列出的技术进行硬件设计验证。
验证报告包括用于验证IP设计的活动结果。 验证可以按照在GB/T 34590.8-XXXX第9章的描述进行, 包括验证活动的计划、执行和评估。
4.5.4.5 安全分析报告
IP设计可采用GB/T 34590.9-XXXX第8章中的安全分析的要求。基于GB/T 34590.5-XXXX,表2,选择 合适的安全分析方法。
对于定性分析,供应商提供已识别的IP的失效模式,以支持其集成。
对于定量分析,如GB/T 34590.9-XXXX,8.4.10中所定义的,所包含的数据支持硬件架构度量的评估 和由于随机硬件故障导致违背安全目标的评估。
示例:数据包括估计的失效率和失效模式分布信息。 注1:对于IP的逻辑设计,比如寄存器传输级(RTL),定量分析取决于关于失效率和失效模式分布的假设,因而不
能代表实际的物理设计。IP集成商验证针对特定实现的假设和定量安全分析结果。 注2:在评估度量时,可以考虑嵌入在IP中的安全机制及其预期的失效模式覆盖率(在适用于给定IP的等级上)。 若IP可配置,则安全分析可包括关于配置选项对失效模式分布影响的信息。 注3:分析配置选项对安全机制的实施和诊断覆盖率的影响。 可以定义通过IP内部和外部特征的组合实现的安全机制,以及在IP外部实施的安全机制。 这些附
加的安全机制可依赖于针对SEooC设计的使用假设,其可以在如GB/T 34590.2-XXXX,6.4.5.7中所述的适当层面进行确认。
4.5.4.6 相关失效分析
IP的相关失效分析可以按照GB/T 34590.9-XXXX,第7章所述进行。本部分的4.7中包含有关如何将 相关失效分析应用于半导体器件的附加指导。
4.5.4.7 认可措施
实施认可措施的结果包括与 IP 开发流程相关以及关于避免系统性故障的证据和论据。 GB/T 34590.2-XXXX,表1中描述了认可措施。对于半导体IP,通常的认可措施报告包括:
——安全计划的认可评审;
——安全分析的认可评审;
——安全档案的完整性的认可评审;及
——功能安全审核和评估报告。 5.1.9(数字组件)、5.2.5(模拟或混合信号组件)、5.3.5.3(PLD)和5.5.5(传感器和转换器)
中包括了适用于避免系统性故障的IP开发活动的技术示例。
4.5.4.8 开发接口协议
GB/T 34590.8-XXXX,第5章中对分布式开发的要求适用于IP设计。 DIA定义了针对IP设计的用于交 换的工作成果,以及IP供应商和IP集成商之间的安全相关的角色和责任。
4.5.4.9 集成文档集
集成文档集可以包括作为SEooC开发的IP的安全手册或安全应用说明。集成文档集还可以包含以下 信息:
——IP 开发的生命周期裁剪的描述;
——IP 的使用假设,包括例如:
• IP的假定安全状态;
• 关于最大故障处理时间间隔和多点故障探测间隔(MPFDI)的假设(如适用);
• 关于IP集成环境的假设,包括接口;及
• 建议的IP配置。
——安全架构的描述,包括:
• 故障探测和控制机制;
• 故障报告能力;
• 自检能力和关于潜伏故障的自检的附加要求,如果适用;
• 故障恢复机制,如果适用;及
• 配置参数对上述相关项的影响,如果适用。
——用于支持 IP 安全机制,以及探测后以控制失效所需的硬件 – 软件接口;
——用于探测 IP 组件故障的基于软件的测试例程的规范,如果适用。 这也可供作源代码或二进 制库;
——IP 安全分析结果的描述;及
——IP 认可措施的描述。 IP集成商可以以正式的形式识别每一个与安全机制相关的硬件特征,以便可以在IP集成商层面上
完成与硬件安全要求的映射,并且能够识别由IP集成商负责的集成验证和确认活动。 注1:IP安全机制的要求,以一种可以追溯到IP集成商要求的方式被指定。 注2:对于没有可用于故障探测的特定功能的IP,提供使用假设足以符合IP集成商的要求。 对于在某场景下进行开发的IP,通常提供类似的文档。 注3:对于在应用场景下的IP,不需要使用假设,因为IP是根据已有的应用场景信息进行设计的。
4.5.4.10 工作成果对 IP 类别的适用性
在4.5.4.1至4.5.4.9中描述的工作成果的适用性取决于4.5.2中描述的IP的分类。对于没有集成安 全机制的知识产权:
——安全分析报告仅限于 IP 的失效模式分布。 由于没有集成的安全机制,因此没有针对硬件度 量的估计。IP 集成商需要失效模式分布,以便能够在集成层面执行安全分析;
——集成文档集(非特定的工作成果,而是如 4.5.4.9 中所述的信息集合)受限于对 IP 集成环 境假设的描述,包括接口;
——它通常不包括相关失效的分析。
4.5.5 黑盒 IP 的集成
在一些开发中,IP集成商可能遇到需要集成未完全公开内容的IP的情况。 从IP集成商的角度来看, 将要集成的IP是一个“黑盒”。
示例1:IP 集成商的客户需要使用其专利逻辑,例如特定通信接口,定时器外设或类似逻辑。 示例2:IP 集成商被要求集成竞争对手逻辑,以利于执行多源供应协议。 黑盒IP集成有多种方式,包括但不局限于:
——预硬化,或以门级层面布局或晶体管层级移交;
——以加密的网表形式,只有受信任的工具才能对其进行有效的解析;及
——以打乱的 RTL 源码形式,(其中有意义的变量名称被替换为随机字符串,并且任何解释性说 明被移除)。
注1:黑盒集成方法也适用于从IP供应商无法获得可用信息的情况。
当黑盒IP被集成时,IP供应商、IP集成商和IP集成商客户之间的责任分工可以通过如GB/T 34590.8-
XXXX,第5章中描述的开发接口协议来定义。
示例3:如果 IP 集成商被要求使用黑盒 IP,例如由于客户的要求,DIA 可以定义由客户负责评估并接受在安全相关 场景中使用黑盒 IP 的适用性。
开发接口协议还可包括在GB/T 34590.2-XXXX,6.4.5.7中所述的裁剪安全活动的细节以及在整个供 应链中的文档交换。
示例4:开发接口协议可以指定集成详细信息由 IP 供应商以集成指南的形式提供,该集成指南还包含一组确认测试。 这些测试可用于确认合适的集成。
除非IP专门针对汽车市场开发,否则特定证据有可能是不存在的。 在这种情况下, 接受可用证据 的责任可以在开发接口协议中定义。
示例5:按照其他功能安全标准如 IEC 61508:2010 [14]等开发的 IP。
注2:在这种情况下,有关开发生命周期和用于开发IP的相关过程的信息可用于执行差距分析,以评估在GB/T 34590
中使用的IP的适用性。
IP集成商并不总是有足够的数据来评估黑盒IP的基础失效率。 由于这会影响定量分析的结果,因 此开发接口协议可以明确IP供应商、IP集成商和IP集成商的客户之间的责任,以估算基础失效率。 黑 盒IP安全分析的责任可以用类似的方式定义。
注3:黑盒IP在硬件开发中的集成与在软件开发中相似,例如开发人员将来自第三方供应商的单元软件作为编译过 的目标代码进行集成。 因此,黑盒IP在硬件开发中的集成商可以在5.1.9.1中找到方法和技术,包括与GB/T 34590.6-XXXX的适用表的关联。
在黑盒IP需要安全机制的情况下,IP集成商无法获得足够的信息来实现IP之外的安全机制。 开发 接口协议规定了在这些情况下对此类安全机制的要求。
半导体的基础失效率
4.6.1 基础失效率评估的总则说明
4.6.1.1 简介
本条提供有关如何计算和使用基础(或原始)失效率的说明、指南和示例。 按照GB/T 34590.5-
XXXX,基础失效率是计算定量安全分析和度量的主要输入。
注:GB/T 34590.5-XXXX中的定量安全分析侧重于随机硬件失效并排除系统性失效。 因此,在GB/T 34590中使用的 基础失效率仅针对随机硬件失效。也可参见4.6.1.3。
可用于基础失效率评估的每种技术都需要考虑失效机理的假设。由不同的基础失效率评估技术造 成的结果差异通常是由于缺乏对同一组失效机理的考量。如果不对一组共同的失效机理进行协调,那么 将不同技术应用于同一组件的结果就不具有可比性。
示例1:例如,可通过考虑相同的失效机理和相同的应力源来进行协调。
半导体的失效机理取决于电路类型、实现工艺和环境因素。 随着半导体技术的快速发展,公认的 失效率行业来源难以跟上现有技术的发展水平,尤其是深度亚微米工艺技术。 因此,考虑JEDEC(联 合电子设备工程委员会)、国际设备和系统路线图(IRDS)以及SEMATECH / ISMI可靠性委员会等行业 组织的出版物有助于全面了解半导体技术的现状。
示例2:JEDEC 发布了数份文档,这些文档可为理解特定的失效机理并估算失效率提供参考帮助:
——参考文献[16] 总结了许多不同的、已被广泛理解和被业界接受的硅和封装失效机理;它还可以用于提供失 效模式的物理学模型,用于对已识别的失效机理的失效率进行评估;
——参考文献 [53] 提供了关于开发可靠性评估方法的指南,该指南基于特定应用使用模型(任务剖面);及
——参考文献 [17] 总结了许多与暴露在自然发生的辐射源有关的瞬态故障机理,并提供了如何通过实验获得易 受软错误影响的失效率的指南。
4.6.1.2 定量目标值和可靠性预测
由于随机硬件失效导致的在相关项层面违反每个安全目标的最大概率的定量目标值(PMHF)有时会 被误认为是可靠性预测的输入。 如GB/T 34590.5-XXXX,9.4.2.2,注1中所述,这些定量目标值不具有 绝对意义,但在比较现有设计和新设计时非常有用。 它们旨在提供可用的设计指南并提供证明设计符 合安全目标的可用证据。 因此,这些值不能够在可靠性预测中“按原样”使用。
4.6.1.3 系统性失效和随机失效之间的差异
GB/T 34590区分了系统性失效和随机失效。 绝大多数用于基础失效率评估的可用技术旨在提供可 靠性评估但不做出这种区分。由于包含估算系统性失效的因子,这些技术的结果可能过于保守。 例如, 基于现场失效观测的评估技术通常不具有适当的样本大小或观测质量以区分系统性失效和随机失效。
类似地,在GB/T 34590的背景下(例如,在参考文献[9]中定义的πpm和π过程因子)使用将系统性功能 作为基础失效率计算的一部分的模型可能具有挑战性。
4.6.1.4 失效恢复机制的影响
一个值得关注的点是对用于增强可用性的诊断的处理。这可能导致基础失效率与诊断的混合,而
GB/T 34590.5-XXXX要求将它们分开以进行度量计算。
示例:考虑在许多最先进的汽车功能安全电子中使用的常见 SEC-DED (单错误纠正-双错误探测) ECC。所报告的具 有 SEC DED ECC 的 SRAM 的 MTTF (平均失效间隔) 不能考虑导致可纠正错误的故障-从而综合了基础失效率和诊断的影 响,而计算 GB/T 34590.5-XXXX 度量时二者是分开的。
4.6.1.5 非恒定失效率的考量
许多标准化模型都利用“浴盆曲线”简化模型,它假设供应商已经有效地筛选了“早期寿命”(早 期夭折)缺陷,并假设“磨损”(寿命终止)失效机理,例如在有效的任务寿命期间,电迁移、时间相 关的介质击穿,热载流子、或负偏置温度的不稳定性将以可忽略的速率有效地发生。
在某些情况下,可靠性模型的失效率分布不符合“浴盆曲线”简化模型的恒定失效率。 非恒定失 效率的使用与GB/T 34590.5-XXXX中所述的硬件架构度量的计算不兼容。
一种可能性是通过使用恒定失效率的近似值来简化非恒定失效率的分布。 示例1:恒定失效率是在可靠性模型失效率分布的最大失效率下保守地假设而来。 示例2:根据分布,可以限制产品的运行寿命,从而得到更加合适的恒定失效率的近似值。 这种情况通常适用于寿
命终止机理在整体失效率分布中占主导地位时。
注1:如果使用指数模型,当失效率目标被超过时,在产品寿命内到达浴盆曲线末端就是一个系统性的问题了。在
GB/T 34590.5-XXXX第8章和第9章的硬件度量内不对其是否可接受进行评估。它是单独被评估,例如按照AEC-Q100的集成电路鉴定结果[62]。
图8 浴盆曲线—失效率随时间的演化
注2:在图8中,真实的浴盆曲线可以通过“在产品的使用寿命期间保持恒定值”来近似,或者通过置信水平为70% 的指数模型计算。
如果整体失效率分布是多个故障模型的集成结果,如 5.1.7.2所荐考虑瞬态故障,将失效模式的分 离,通过使用不同的(但恒定的)失效率近似,来分别评估各个失效模式的影响,从而简化安全分析。
4.6.1.6 用于基础失效率评估的技术和来源
有许多不同的技术可用于评估基础失效率。这些技术通常归纳如下:
——从实验测试中得出的失效率,例如:
• 温度、偏置和运行寿命测试(TBOL),也称为高温工作寿命(HTOL)测试或延长寿命测试
(ELT),用于内在产品运行可靠性,
• 可靠性测试芯片 和/或 片上测试结构,用于评估硅技术的内在可靠性,
• 基于暴露于辐射源的软错误测试,或
注1:JEDEC标准,例如JESD89 [17],为软错误测试提供了指导。
• 用于筛选的加速测试的收敛特性。
——由现场事故观测得出的失效率,例如,对于作为现场失效返回的材料分析;
注2:对于永久性故障:半导体行业提供的数据可以基于(随机)失效的数量除以等效设备小时数。这些数据 是从现场数据或加速寿命测试(如定义于JEDEC和AEC等标准中)中获得,在假定是恒定失效率(随机失 效,指数分布)情况下,该数据按照比例缩放到任务剖面(例如温度,开/关周期)。 这些数字可以用 作估算失效率的输入,可供作为基于采样统计置信水平的最大失效率使用。
——通过应用行业可靠性数据手册估算出的或从其中推导并结合专家判断得出的失效率;
示例1:IEC 61709[15],SN 29500[38]或FIDES指南[9]。
示例2:如4.6..2.1.1中描述的电子组件的可靠性预测模型(原IEC TR 62380)。 注3:实际得出的失效率预计会低于由这些方法推导出的失效率。
示例3:如GB/T 34590.5:XXXX,8.4.3,注6和7所述,通过失效物理学的方法进行可靠性评估。
——由国际设备和系统路线图(IRDS)维护的文件,例如国际半导体技术路线图(ITRS [41]),提供了针对每一代软错误率的预测值,从而使得当技术数据可用时该信息可用于第 一次评估并且可被精确化。
4.6.1.7 关于基础失效率计算假设的文件
当计算基础失效率时,供应商提供描述所做假设和支持依据的文件。
示例:假设可以是:
——已选择的方法来计算失效率(例如,工业来源或现场数据),
——假定的任务剖面,
——使用的失效率数据的置信水平(例如,当使用现场数据或基于测试的数据时),
——应用于失效率数据的任何缩放或修正,
——如何将非运行时间和焊点考虑进去,或
——从现场数据(Weibull 模型或指数模型)导出的用于失效率的模型。
集成商可以在要素层面或相关项层面使用此信息来评估、理解、判断、比较和可能地协调来自不同 供应商和组件的失效率。
4.6.1.8 瞬态故障量化
如5.1.2中所述,软错误是瞬态故障的典型示例。
由内部或外部α、 β、中子或 γ 辐射源引发的软错误引起的瞬态故障是随机硬件失效,可以使 用测量数据支持的概率方法进行量化。
由EMI或串扰引起的瞬态故障未被量化。 即使它们可以产生与其他瞬态故障相同的效果,它们也主 要与系统原因有关。在设计阶段,通过适当的技术和方法可以避免这些问题(例如,在组件开发后端进 行串扰分析)。
GB/T 34590.5-XXXX,8.4.7,注2指出,当由于相关原因,比如,所使用的工艺时,应该考虑瞬态故 障。因此根据故障的影响并当其可适用时,可以在安全分析中考虑它们。 瞬态故障和永久性故障的分 析是分开进行的。 这适用于定性或定量分析。
如果它易受软错误影响,特别是对于直接或诱导的阿尔法粒子和中子,则研究每个基础子元器件类 型(例如触发器、锁存器、存储器要素,模拟器件)。 对这些现象的敏感性取决于半导体前端技术和 裸片上表面的材料,包括封装,例如,模具合成物和焊料(覆晶)会影响软错误率。
示例1:阿尔法粒子的基础失效率可受封装类型的影响,例如,低阿尔法(LA)或超低阿尔法(ULA)发射半导体装 配材料。
在文献[2]和[22]中,根据技术和运行频率等因素,考虑了单粒子翻转(SEU)、多比特翻转(MBU) 和单粒子瞬态(SET)等瞬态故障模型。
注1:单粒子闩锁(SEL),单粒子烧毁(SEB)和单粒子栅穿(SEGR)等破坏性单粒子效应不被视为瞬态故障,因为 这些故障会造成永久性影响。
注2:更多有关数字故障模型的详细信息,见5.1.2。
JESD89[17]被认为是与半导体中阿尔法粒子和地球宇宙射线引起的软错误的测量和报告有关的主 要参考文献。 在这种情况下,软错误的基础失效率会与计算或测量的条件一起提供。
注3:中子粒子通量、海拔高度、温度和电源电压等条件与软错误的瞬态失效率估计有关。 JESD89[17]用于理解这 些条件。
GB/T 34590.5-XXXX,8.4.3,注2指出,在应用选定的工业来源时,为避免人为减少计算出的基础失 效率,以下的考虑是必要的:任务剖面、考虑运行条件时失效模式的适用性、或失效率的单位(每个运 行小时或每个日历小时)。
示例2:在软错误的情况下,仅考虑车辆的运行时间来降低基础失效率,会导致每小时平均概率人为过度的降低。 注4:如果半导体供应商提供修正软错误率,有关修正因子的信息则可用于比如安全手册中,如5.1.11(对于数字组
件),5.2.6(对于模拟或混合信号组件),5.3.6(对于PLD)以及5.5.6(对于传感器和换能器)中定义的。
此外,软错误的基础失效率是在不考虑“架构脆弱性因子”或ECC等安全机制影响对其修正的情况 下提供的。
注5:架构脆弱性因子(AVF)是设计结构中的故障将导致功能最终输出中出现可见错误的概率,例如在参考文献[25]
中对处理器设计的描述。
注6:在考虑安全故障的数量时,会考虑脆弱性因子,如5.1.7.2所述。
4.6.1.9 组件封装失效率的注意事项
在评估硬件组件失效率时,半导体提供商考虑与硅裸片,壳/封装(例如外壳)和连接点(例如引 脚)有关的失效。连接到电路板的连接点(例如焊点)之间的连接被认为是电路板失效,并且通常在系 统层面或要素层面的安全分析期间由系统集成商考虑。
注1:按照参考文献 [59],在如图9中描述的模型中计算出的封装失效率λ封装对应于封装本身内部的故障模型(包 括例如裸片和引线框架之间的连接),但它还包括与封装连接点和电路板(焊点)之间的连接有关的失效率。
注2:在SN 29500-2中计算出的硬件组件的失效率包括与裸片和封装相关的故障模型,但不同于在4.6.2.1.1中描述 的模型,它不包括封装连接点和电路板之间的连接失效率,它在SN 29500-5中被单独处理。
注3:FIDES指南提供由热循环引起的封装(外壳)和焊点单独的失效率。 注4:实际上,封装连接点和电路板之间连接的失效率取决于许多因素,这些因素涉及电路板的特定设计以及如何将
电路板封装在保护外壳内。 随着电子组件和电路板材料技术共同的迅速发展,这些因素也在不断变化。
4.6.1.10 考虑上电时间和下电时间
按照GB/T 34590.5-XXXX,8.4.3,注2,在应用选定的工业来源时,应适当考虑以下因素以避免人为 减少计算出的基础失效率:
——任务剖面;
——失效模式对于运行条件的适用性;及
——失效率单位(每运行小时或每日历小时)。
该基础失效率与任务剖面一起被提供。 如果在任务剖面中定义了上电和下电时间,则可考虑将它 们用于计算应力因子,如4.6.2.1.1(τon 和 τoff)和SN 29500(πw)中描述的方法所述。
4.6.2 永久性基础失效率的计算方法
4.6.2.1 使用或基于行业来源的永久性基础失效率的计算
4.6.2.1.1 电子组件的可靠性预测模型(前 IEC TR 62380)
本部分采用前IEC/TR 62380[40]作为电子组件可靠性预测模型的基础。 在本条中使用的数学模型,如图9所示。
图9 可靠性预测的数学模型
在图9描述的模型中,几个参数用于确定失效率:
——每种技术使用的每个晶体管的单个参数(λ1)。λ1 的值供给不同类型的集成电路系列,如 图 10 所示;
——与所掌握的工艺有关的参数(λ2,),且无论集成要素的数量如何,对整个组件都有效,如 图 10 所示;
——与硬件组件的晶体管数量有关的参数(N);
——与制造年份或工艺发布/更新年份与参考年份(1998 年)之间的差异相关的参数(α);
——与硬件组件的运行和非运行阶段相关的参数(τi、τon 和τoff);
——与温度应力因子[(πt)i]相关的参数,适用于组件的裸片部分;
——与集成电路可能暴露于电气过应力有关的参数(πl 和λEOS)如图 11 所示;
——与硬件组件的温度循环的次数和幅度相关的参数(ni 和ΔTi),如图 11 所示;
——与电路板的热系数和封装材料的热系数之间不匹配有关的参数(αS 和 αC),如图 11 和图
12 所示;及
——与封装相关的参数(λ3),或者作为封装类型及其引脚编号 S 的函数(如图 14 所示),或 者作为用于表面装配的集成电路的封装对角线 D 的函数(如图 15 所示)。
可以基于工艺技术和设计所使用的电路类型来完成参数的选择。 注1:图10中,“实际数量”对应于晶体管的实际数量,不考虑这些晶体管的尺寸大小。 注2:为了计算整个器件的数字组件裸片失效率,应使用等效门数。 通过将等效门数乘以每个门代表的晶体管数来
计算有效等效晶体管的数量。当计算由CMOS数字逻辑引起的微控制器裸片失效率时,模块的每个数字逻辑的贡 献(例如CPU,CAN,定时器,FlexRay,SPI)都包含在N中。
注3:考虑到摩尔定律以及器件失效率几乎稳定的事实,引进了工艺成熟度修正因子。 如果每个晶体管的失效率保 持不变,那么按照摩尔定律,失效率会增加。这一点没有被观察到。 因此,当改变工艺节点时,晶体管失效 不能保持恒定。可用的一种选择是使用生产日期,为了显示工艺技术发生改变,另一种选择可以使用将这一特 定技术节点首次引入的年份而非其制造年份。 为了表达相对于芯片供应商的独立性,可以使用来自ITRS的年 份[41]。
注4:除非半导体供应商提供更精确的数据,对于模拟元器件或主要基于模拟工艺技术构建的数字组件,可以使用图10的“线性电路”条目。
注5:若有足够的理由支持,可以使用与所考虑的工艺相关的数据来代替上述参数,以便更加准确地评估基础失效 率。
1、现成译文,到款即发。
2、下单前可任取样页验证译文质量。
3、免费提供正规普通增值税数电发票。
4、请联系手机/微信: 13306496964/Email: standardtrans@foxmail.com 获取完整译文。
5、本英文译本为纯人工专业精翻版本,保证语法术语准确率和专业度!
6、专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!
7、「中国汽车标准译文库」已收录上千个现行汽车国家标准和行业标准的英文版译本,涵盖传统燃油车、新能源汽车和摩托车标准化体系!独家打造千万级汽车专业术语库和记忆库。
1. The English Translation of this document (GB, GB/T, QC/T, CNCA, CQC, CAV, etc.) is readily available, and delivered immediately upon payment.
2. You may request for sample pages to your preference before placing an order.
3. Please contact standardtrans@foxmail.com for the complete PDF version in English.
4. Almost all of Chinese automotive/automobile standards, regulations and norms in effect have been included in our well-established database, providing one-stop, up-to-date, efficient and professional solution.