本系列文章包含上中下三篇內(nèi)容，上篇著眼于ISO 26262標(biāo)準(zhǔn)的歷史與發(fā)展；本文重點(diǎn)介紹ISO26262標(biāo)準(zhǔn)的功能安全與等級(jí)；下篇內(nèi)容將深入探討ISO 26262標(biāo)準(zhǔn)下的產(chǎn)品應(yīng)用與設(shè)計(jì)流程，敬請(qǐng)關(guān)注。

汽車行業(yè)的“雙十一”

今年11月11日是 ISO 26262 標(biāo)準(zhǔn)發(fā)布 10 周年紀(jì)念日，該標(biāo)準(zhǔn)于 2011 年 11 月 11 日首次發(fā)布，全稱是《道路車輛功能安全》。這是一項(xiàng)有關(guān)汽車電氣和（或）電子（E/E）系統(tǒng)功能安全的國(guó)際標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)于2011年由國(guó)際標(biāo)準(zhǔn)化組織 (ISO)進(jìn)行定義，并于2018年進(jìn)行修訂。其中，修訂版中第 11 章的內(nèi)容對(duì)于我們而言最為重要，因?yàn)榈?1章增加了關(guān)于半導(dǎo)體和半導(dǎo)體 IP 的內(nèi)容，明確針對(duì)車輛中半導(dǎo)體部件的設(shè)計(jì)作出了規(guī)定。

ISO 26262 標(biāo)準(zhǔn)包括哪些內(nèi)容？

第一版，也就是剛滿 10 周年的版本，正式名稱是 ISO 26262:2011。它是基于從 2006 年開(kāi)始的研究進(jìn)展，并完全取代了 IEC 61508標(biāo)準(zhǔn)（即《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》標(biāo)準(zhǔn)），相較早期的工業(yè)和鐵路標(biāo)準(zhǔn)更為成熟。ISO 26262:2011標(biāo)準(zhǔn)單獨(dú)針對(duì)車輛（稱之為 “Item/物品”）、系統(tǒng)、硬件和軟件；僅包括 3500 公斤以下量產(chǎn)汽車的電氣和電子系統(tǒng)；不包括液壓和機(jī)械系統(tǒng)、專業(yè)車輛（如一級(jí)方程式賽車、卡車、巴士、摩托車或越野車）。

第二版 ISO 26262:2018 將范圍擴(kuò)大到除了輕便摩托車之外的所有道路車輛。第一版的一個(gè)問(wèn)題是使用了“硬件資格認(rèn)證 (hardware qualification)” 一詞，但其含義與我們?cè)诎雽?dǎo)體領(lǐng)域談?wù)摰?“資格認(rèn)證”并不相同。在第二版中，這個(gè)詞語(yǔ)變成了“硬件評(píng)估 (hardware evaluation)”。

功能安全和 ASIL 等級(jí)

道路車輛的功能安全可以歸結(jié)為以下幾個(gè)宗旨：

• 風(fēng)險(xiǎn)永遠(yuǎn)不可能降低為零

• 對(duì)于每個(gè)應(yīng)用，都有一個(gè)非零的可接受風(fēng)險(xiǎn)水平

• 避免可以避免的故障

• 檢測(cè)無(wú)法避免的故障，并過(guò)渡到安全狀態(tài)以避免傷害

一共有兩大類故障：系統(tǒng)性故障和隨機(jī)故障。系統(tǒng)性故障是確定性的，總是在相同的條件下發(fā)生。針對(duì)此類故障的重點(diǎn)是避免故障發(fā)生。隨機(jī)故障是非確定性的，可以用概率分布來(lái)描述。就像高能宇宙射線在存儲(chǔ)器中進(jìn)行位翻轉(zhuǎn)一樣。針對(duì)此類故障的重點(diǎn)是故障檢測(cè)。

在 ISO 26262 中引入的另一個(gè)概念是汽車安全完整性等級(jí)，即 ASIL（Automotive Safety Integrity Level）。ASIL有四個(gè)級(jí)別，從 ASIL-A 到 ASIL-D，ASIL-A 要求達(dá)到最低的功能安全風(fēng)險(xiǎn)水平，而 ASIL-D 的要求最高。

事件按多個(gè)維度分類，這些維度組合在一起，確定 ASIL 級(jí)別：

嚴(yán)重程度

如果事件發(fā)生，后果會(huì)有多嚴(yán)重：

• S0 沒(méi)有傷害

• S1 輕度至中度傷害

• S2 嚴(yán)重到有生命危險(xiǎn)（可能存活）的傷害

• S3 有生命危險(xiǎn)（不確定是否存活）到致命的傷害

暴露等級(jí)

事件發(fā)生的可能性有多大：

• E0 非常不可能

• E1 非常低的概率（只有在罕見(jiàn)的操作條件下才會(huì)發(fā)生傷害）

• E2 低概率

• E3 中等概率

• E4 高概率（在大多數(shù)操作條件下都可能發(fā)生傷害）

可控性

對(duì)于司機(jī)而言的可控性如何：

• C0 一般可控

• C1 簡(jiǎn)單可控

• C2 通?？煽兀ù蠖鄶?shù)司機(jī)可以采取措施防止受傷）

• C3 難以控制或不可控

其他相關(guān)標(biāo)準(zhǔn)

Accellera Systems Initiative 是一個(gè)標(biāo)準(zhǔn)組織，在電子設(shè)計(jì)自動(dòng)化和集成電路設(shè)計(jì)和制造領(lǐng)域支持用戶和供應(yīng)商標(biāo)準(zhǔn)及開(kāi)放接口開(kāi)發(fā)。Accellera有一個(gè)功能安全工作組，該小組由 Cadence 的 Allessandra Nardi 主持，其任務(wù)是“將捕捉和傳播安全意圖的信息實(shí)現(xiàn)標(biāo)準(zhǔn)化，從系統(tǒng)到 SoC/IP 設(shè)計(jì)和實(shí)現(xiàn)，包括故障模式傳播、驗(yàn)證、確認(rèn)、可靠性和安全機(jī)制”。其關(guān)鍵是 USF，即通用安全格式（Universal Safety Format），它允許 EDA 工具傳達(dá)安全要求。

另一個(gè)與汽車有關(guān)的標(biāo)準(zhǔn)是 ISO 21434，即《道路車輛 - 網(wǎng)絡(luò)安全工程》。該標(biāo)準(zhǔn)目前正在制定中，第一稿已于 2020 年 2 月發(fā)布，它涉及道路車輛電子系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。安全專家喜歡表示“沒(méi)有安全措施就沒(méi)有安全”，這是事實(shí)。關(guān)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的案例，歡迎點(diǎn)擊觀看下方視頻，視頻中《Wired》記者駕駛著一輛吉普車，車內(nèi)娛樂(lè)系統(tǒng)遭受了黑客Charlie Miller 和 Chris Valasek的遠(yuǎn)程攻擊，空調(diào)、音樂(lè)，甚至方向盤、變速器和剎車都先后遭受了控制，黑客最終將吉普車開(kāi)進(jìn)了溝里。