汽車功能安全標準 ISO 26262 是汽車領域的電氣 / 電子相關功能安全國際標準，在汽車的電子化及高性能化發(fā)展，以及全球市場對汽車安全性能要求日趨嚴格的背景下，于 2011 年 11 月正式頒布，貫穿于整個車輛的生命周期，目前已經(jīng)在汽車行業(yè)廣泛推行。

隨著自動駕駛(ADAS)相關的技術不斷創(chuàng)新，汽車電子技術革新進程加速，為確保汽車的安全性，要求組成車載零部件的半導體也要達到安全標準。于是在 2018 年頒布的第２版中，不僅對象范圍擴大到巴士、卡車、兩輪車輛，還新增了半導體部分，半導體元器件作為支持自動駕駛功能安全的核心產(chǎn)品成為關注的焦點。

羅姆于 2018 年通過第三方認證機構(gòu)德國萊茵 TüV Rheinland 取得了 ISO 26262 的開發(fā)工藝認證。這意味著羅姆面向車載領域的元器件開發(fā)工藝被認定為可滿足該標準中的高安全等級"ASIL-D"。包括流程認證、產(chǎn)品認證、開發(fā)端口協(xié)議責任等，以及羅姆對于安全認證的分析解讀，對行業(yè)的安全品質(zhì)提升等都具有一定的啟發(fā)性。

貫穿車輛生命周期的兩大類安全

據(jù)羅姆半導體（上海）有限公司技術中心副總經(jīng)理李春華介紹，"ISO 26262"標準預先計算出汽車電控方面的故障風險，并把降低該風險的機制作為功能的一部分預先植入系統(tǒng)中，從而實現(xiàn)"功能安全"的標準化開發(fā)工藝。該標準的對象涵蓋從車輛的構(gòu)思到系統(tǒng)、ECU(電子控制單元)、嵌入式軟件、元器件開發(fā)及相關的生產(chǎn)、維護、報廢等整個車輛開發(fā)生命周期。

“安全=沒有不可容忍的風險”，在這一前提下，李春華解釋，安全自身又被分為“本質(zhì)安全”和“功能安全”兩類：其中，“本質(zhì)安全”是指降低機器危及人命和環(huán)境的因素，或徹底排除這種誘因。日常生活中，將列車線路和常規(guī)馬路設置為立交狀態(tài)，避免事故發(fā)生，即為此類案例。它的優(yōu)勢在于可以確保絕對的安全，但大規(guī)模改造的成本很高。

“功能安全”則是指引入有效的改善辦法，確?？扇萑谭秶陌踩?。例如通過在鐵道口設置報警器和安全欄桿，將風險降低到可容忍范圍內(nèi)即屬于此類范疇。它的特點在于可以根據(jù)改善方案實現(xiàn)成本的降低，但必須考慮到故障的發(fā)生。這就要看設立系統(tǒng)時是不是可以把危險系數(shù)降到可容忍的范圍，“本質(zhì)安全”、“功能安全”，就看是從哪種角度去設置系統(tǒng)的產(chǎn)品定義。

圖 1：本質(zhì)安全和功能安全的區(qū)別

ISO 26262 認證必知

ISO 26262 流程認證需要 109 個工作成果，涉及管理、概念、系統(tǒng)、硬件、軟件、生產(chǎn)、支持程序、安全分析等不同的類別。據(jù)了解，對于羅姆這樣的 IC 廠商來說，主要考慮的是管理、硬件、生產(chǎn)、支持程序、安全分析在流程上的認證，而概念、系統(tǒng)、軟件等類別，主要面向 OEM、Tier1 和軟件廠商，并不在其取得認證流程的內(nèi)容中。

圖 2：ISO 26262 流程對應的工作成果

對應認證流程完成工作成果的規(guī)范化之后，就需要對應 ISO 26262 的開發(fā)體制。據(jù)李春華介紹，對于芯片設計企業(yè)而言，首先需要明確待開發(fā)的 LSI 項目對應哪個 ASIL 等級，明確指定項目中的功能安全擔當，其次還有項目經(jīng)理、開發(fā)負責人等，設立要完全符合認證流程。同時，該流程中還需引入第三方組織進行監(jiān)管，直接與公司內(nèi)部的功能安全管理者進行對接，工作內(nèi)容包括功能安全相關的橫向流程構(gòu)建、管理確認策略和流程監(jiān)控。通過這些流程設立和針對流程的開發(fā)，才可以去開發(fā)符合 ISO 26262 流程的產(chǎn)品。

接下來是產(chǎn)品標準，涉及到客戶所要求的安全功能。李春華以電源 LSI 為例談到，該產(chǎn)品被用于 ASIL-D 等級的 ADAS 或 EPS 電源。對應客戶需要強化功能安全的，羅姆會進一步去強化，而這需要和 Tier1、OEM 廠商的充分溝通，從而建立保護功能失效機制。

他強調(diào)，安全機制、自診斷功能、功能的雙重化等，電路的追加必不可少，工作成果的追加必不可少。同時，為制作工作成果，需要有理解內(nèi)容的功能安全管理，并對成果進行評估、檢查、評分，以上都是為了取得 ISO 26262 認證必須要做到的事情。

羅姆如何取得認證？

李春華介紹，羅姆作為半導體制造商，自 2017 年開發(fā)了由液晶驅(qū)動電源 IC 等構(gòu)成的、支持功能安全的液晶面板芯片組，并在 2018 年取得 ISO 26262 開發(fā)工藝認證，不斷推進支持汽車功能安全的產(chǎn)品開發(fā)。在車載級元器件方面，羅姆打造了車載產(chǎn)品專用生產(chǎn)線，并遵行汽車行業(yè)質(zhì)量管理體系"IATF 16949"及電子元器件可靠性標準"AEC-Q100/101/200"等來推進產(chǎn)品開發(fā)。目前，羅姆的解決方案主要包括“針對液晶面板的解決方案”以及“針對 ECU 電源電路的解決方案”。

圖 3：車輛顯示裝置的電路配置示例

圖 4：車載 ECU 外圍電源配置示例

在取得 ISO 26262 認證的整個過程中，羅姆都做了哪些工作呢？據(jù)李春華介紹，羅姆成立了專門的工作組，下設五個不同的分科(流程、產(chǎn)品、教育、工具、生產(chǎn))，主要職責包括符合 ISO 26262 的車載 IC 開發(fā)流程的制定和維護管理、符合 ISO 26262 的公司內(nèi)部體制的建立、整合統(tǒng)一需要對外提供的 ISO 26262 相關文件的格式、實施關于 ISO 26262 的培訓、以及向外部宣傳 ROHM 致力于取得 ISO 26262 的行動。

而流程認證和產(chǎn)品認證還有不同，主要在于：流程認證的取得，首先需要審核公司規(guī)定、開發(fā)標準、操作流程書等是否確立符合 ISO 26262 標準的流程，然后依據(jù)取得認證的流程進行 LSI 開發(fā)時，需要追加很多工作成果，并在規(guī)格書上注明“依據(jù)符合 ISO 26262 ASIL-X 標準的流程進行開發(fā)”；而產(chǎn)品認證主要針對 MCU 等超通用品，各產(chǎn)品分別取得認證，每個產(chǎn)品都要符合 ISO 26262 標準的流程進行開發(fā)，各工作成果也要經(jīng)過審核認證。

根據(jù) ISO 26262 第二版中對于硬件元素的評估可以看出，元器件的復雜度，以及 Class1、Class2、Class3 的器件要求方面，例如一些外圍芯片是否需要支持 ISO 26262 開發(fā)流程，這方面的規(guī)格文檔上雖然有明確，但實際安全知識如何對應去支持，仍需要進一步調(diào)查，包括市場動態(tài)、競爭對手的情況等。另外像馬達驅(qū)動、電源本身是屬于第二類，如果把它做為第三類的話，是不是所有器件都要按照符合 ISO 26262 流程標準去做，也需要進一步評估。

圖 5：ISO 26262 第二版中對硬件元素的評估概況

李春華強調(diào)，取得 ISO 26262 安全認證，首先對于產(chǎn)品定義來說，優(yōu)勢在于功能安全的級別提升，可以滿足車廠要求的定義。雖然成本是功能安全對應部分的價格，但整個芯片組是優(yōu)化的，因此從解決方案層面來看，客戶可以感受到比產(chǎn)品成本更大的功能提升和削減開發(fā)工時的好處。

此外，羅姆也可以幫助現(xiàn)有方案進行提升。例如現(xiàn)有電源方案的產(chǎn)品功能要提升 ASIL 等級，如果讓芯片廠商重新開發(fā)一個對應的產(chǎn)品，對于開發(fā)時長、成本來說代價都很大。羅姆可以提供電源輔助類的產(chǎn)品（如電源監(jiān)控 IC），如果芯片中已經(jīng)具有功能安全（包括自我診斷的功能），通過加上羅姆的輔助芯片就可以提升整個電源方案，達到同樣的功能等級，這對于 OEM、Tier1 都可以有效節(jié)省開發(fā)周期、開發(fā)成本。

編輯：hfy