汽車(chē)電子功能安全工程師必看！ISO 26262認(rèn)證基本原理解析

　　汽車(chē)半導(dǎo)體設(shè)備和電子系統(tǒng)的開(kāi)發(fā)人員要小心：可能有些供應(yīng)商聲稱(chēng)他們的產(chǎn)品符合ISO 26262安全標(biāo)準(zhǔn)要求，如果這些說(shuō)法未能闡明用于制造汽車(chē)產(chǎn)品的人員和流程驗(yàn)證，則這些說(shuō)法可能是不可靠的。如果系統(tǒng)設(shè)計(jì)人員未能仔細(xì)評(píng)估供應(yīng)商的資質(zhì)，他們就很難在汽車(chē)供應(yīng)鏈中讓客戶(hù)接受其產(chǎn)品。

　　汽車(chē)供應(yīng)鏈的參與者負(fù)責(zé)對(duì)每個(gè)供應(yīng)商的產(chǎn)品進(jìn)行自己的功能安全評(píng)估，同時(shí)考慮供應(yīng)商記錄的使用假設(shè)(AoU)，描述供應(yīng)商的產(chǎn)品如何用于汽車(chē)系統(tǒng)。供應(yīng)商根據(jù)特定配置和用例來(lái)定制自己的分析，這些配置和用例有望與其集成商客戶(hù)的配置相匹配。針對(duì)汽車(chē)系統(tǒng)中使用的元件的第三方ISO 26262認(rèn)證可以幫助系統(tǒng)集成商執(zhí)行此分析，但它不會(huì)取代集成商在其自己的使用環(huán)境中分析其供應(yīng)商產(chǎn)品的義務(wù)。

　　本文探討了ISO 26262認(rèn)證的基本原理，該認(rèn)證涉及設(shè)計(jì)功能安全的汽車(chē)電子系統(tǒng)所涉及的人員，流程和產(chǎn)品。最終目標(biāo)是讓開(kāi)發(fā)團(tuán)隊(duì)，管理人員和投資者更加了解遵守汽車(chē)安全標(biāo)準(zhǔn)細(xì)節(jié)所涉及的責(zé)任。反過(guò)來(lái)，這將提供有關(guān)合規(guī)性的工作和成本的更多信息，還將使供應(yīng)鏈成員之間的溝通更加有效。

　　不斷變化的汽車(chē)行業(yè)：新電子設(shè)備和新進(jìn)入者

　　所有乘用車(chē)電子系統(tǒng)在集成到汽車(chē)制造商的產(chǎn)品之前必須滿(mǎn)足嚴(yán)格的安全要求。該行業(yè)的供應(yīng)商已經(jīng)建立了一個(gè)復(fù)雜的供應(yīng)鏈，以提供這些系統(tǒng)，以及產(chǎn)品滿(mǎn)足這些安全要求的能力的證明。這種信息共享系統(tǒng)需要IP供應(yīng)商、半導(dǎo)體SoC開(kāi)發(fā)人員、零組件供應(yīng)商、軟件提供商、電子系統(tǒng)設(shè)計(jì)師和許多其他相關(guān)人員之間的詳細(xì)交流，以確保所有關(guān)鍵組件符合ISO 26262指南、程序、培訓(xùn)水平、審核和評(píng)估。

　　圖1：以半導(dǎo)體為中心的供應(yīng)鏈，用于奧迪zFAS中央駕駛輔助控制器的關(guān)鍵部件(來(lái)源：奧迪; IHS Markit; Arteris IP)

　　然而，隨著越來(lái)越多的機(jī)械部件轉(zhuǎn)變?yōu)殡娮酉到y(tǒng)，汽車(chē)工業(yè)正在迅速發(fā)生變化。其結(jié)果是，過(guò)去由人類(lèi)駕駛員執(zhí)行的功能正在由先進(jìn)的駕駛員輔助系統(tǒng)(ADAS)補(bǔ)充和替代，其正在演變?yōu)?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/自動(dòng)駕駛">自動(dòng)駕駛系統(tǒng)。這兩個(gè)趨勢(shì)正在推動(dòng)汽車(chē)行業(yè)的經(jīng)濟(jì)增長(zhǎng)和技術(shù)創(chuàng)新浪潮。市場(chǎng)快速增長(zhǎng)的希望正在刺激新進(jìn)入者，參與到汽車(chē)電子系統(tǒng)的浪潮之中。

　　最近進(jìn)入者可能缺乏根據(jù)ISO 26262功能安全標(biāo)準(zhǔn)開(kāi)發(fā)和交付產(chǎn)品的經(jīng)驗(yàn)。雖然這些供應(yīng)商可能聲稱(chēng)其產(chǎn)品已準(zhǔn)備好符合汽車(chē)安全標(biāo)準(zhǔn)，但供應(yīng)鏈中的公司仍需要對(duì)產(chǎn)品開(kāi)發(fā)過(guò)程中涉及的人員和程序進(jìn)行廣泛、仔細(xì)的審查和評(píng)估，然后才能將其集成到更大的系統(tǒng)中。

　　汽車(chē)電子供應(yīng)鏈參與者主動(dòng)解決此問(wèn)題的一種方法是從認(rèn)可的評(píng)估機(jī)構(gòu)獲得ISO 26262認(rèn)證。然而，大多數(shù)針對(duì)汽車(chē)用途的電子產(chǎn)品并非完整的獨(dú)立系統(tǒng)，可以通過(guò)ISO 26262標(biāo)準(zhǔn)認(rèn)證，并完全了解產(chǎn)品如何在車(chē)輛中集成和使用。因此，對(duì)于認(rèn)真服務(wù)于該市場(chǎng)的任何開(kāi)發(fā)團(tuán)隊(duì)而言，重要的是探索其供應(yīng)商關(guān)于功能安全的聲明，無(wú)論是否聲明了認(rèn)證。雖然第三方產(chǎn)品認(rèn)證可以成為重要參考，但對(duì)任何組件的評(píng)估必須更深入，并且必須通過(guò)公司使用和集成產(chǎn)品來(lái)完成考察與認(rèn)證。如果未能對(duì)供應(yīng)商的人員，流程和產(chǎn)品進(jìn)行評(píng)估，則可能導(dǎo)致客戶(hù)拒絕。

　　為什么選擇ISO 26262?

　　國(guó)際標(biāo)準(zhǔn)組織(ISO)聲明如下：

　　ISO 26262旨在應(yīng)用于安全相關(guān)系統(tǒng)，其包括一個(gè)或多個(gè)電氣或電子(E / E)系統(tǒng)并且安裝在批量生產(chǎn)的乘用車(chē)中。

　　ISO 26262解決了E / E安全相關(guān)系統(tǒng)故障行為可能造成的危害，包括這些系統(tǒng)的相互作用。

　　第一原則：信息共享是關(guān)鍵

　　汽車(chē)系統(tǒng)的電氣化在快速進(jìn)行。這一趨勢(shì)推動(dòng)著創(chuàng)新，同時(shí)也吸引了更多投資、更多研發(fā)工作，以及汽車(chē)市場(chǎng)的新進(jìn)入者。

　　許多新進(jìn)入者可能不知道的是，遵守汽車(chē)安全標(biāo)準(zhǔn)要求通過(guò)供應(yīng)鏈的每個(gè)部分共享信息。各級(jí)經(jīng)驗(yàn)豐富的開(kāi)發(fā)團(tuán)隊(duì)都受到這些標(biāo)準(zhǔn)的挑戰(zhàn)，因?yàn)樾枨笤诓粩嘧兓麄€(gè)行業(yè)中只有少數(shù)專(zhuān)家可以指導(dǎo)項(xiàng)目完成這一過(guò)程。此外，半導(dǎo)體和軟件供應(yīng)鏈的參與者通常對(duì)其IP的開(kāi)發(fā)方式及其工作原理保密。

　　圖2：ADAS和自動(dòng)駕駛系統(tǒng)價(jià)值鏈以半導(dǎo)體為中心

　　供應(yīng)商必須提供的信息包括具有安全目標(biāo)的系統(tǒng)的每個(gè)元件的分析，教育和文檔。供應(yīng)鏈的每個(gè)成員都必須提供這些信息。半導(dǎo)體IP供應(yīng)商向SoC的開(kāi)發(fā)人員提供此信息，芯片設(shè)計(jì)團(tuán)隊(duì)使用這些信息來(lái)分析他們的定制系統(tǒng)，并將結(jié)果傳遞給Tier-1電子系統(tǒng)供應(yīng)商。然后，這些一級(jí)供應(yīng)商執(zhí)行自己的分析并將結(jié)果發(fā)送給車(chē)輛制造商及其客戶(hù)。

　　汽車(chē)供應(yīng)鏈中的這些關(guān)系正變得越來(lái)越復(fù)雜，因?yàn)橹圃旎蛟O(shè)計(jì)自動(dòng)駕駛應(yīng)用芯片的傳統(tǒng)半導(dǎo)體供應(yīng)商現(xiàn)在有時(shí)與Tier-1電子系統(tǒng)設(shè)計(jì)人員和OEM競(jìng)爭(zhēng)，他們可能正在自己制造或設(shè)計(jì)芯片。此外，Uber，Waymo和Apple等新進(jìn)入者正在設(shè)計(jì)自己的整套系統(tǒng)，盡管他們?cè)谄?chē)行業(yè)缺乏經(jīng)驗(yàn)。ISO 26262要求整個(gè)價(jià)值鏈中的高水平協(xié)作和信息共享，新進(jìn)入者可能不熟悉這些。

　　復(fù)雜性要求更好的分析

　　整個(gè)汽車(chē)行業(yè)日益復(fù)雜，需要加強(qiáng)這些系統(tǒng)的安全性。現(xiàn)代汽車(chē)使用“線(xiàn)控”系統(tǒng)，例如線(xiàn)控油門(mén)，駕駛員推動(dòng)加速器和傳感器。踏板將電信號(hào)發(fā)送到電子控制單元(ECU)，該電子系統(tǒng)取代了過(guò)去使用連接在加速踏板和機(jī)械節(jié)流控制板上的金屬電纜。ECU比機(jī)械方法更智能，因?yàn)樗梢宰龈喾治龉ぷ?，如發(fā)動(dòng)機(jī)轉(zhuǎn)速，車(chē)速和踏板位置，然后將命令傳遞給油門(mén)。

　　我們也可以看到，測(cè)試和驗(yàn)證線(xiàn)控油門(mén)系統(tǒng)比測(cè)試舊機(jī)械版本更困難。隨著我們用電子系統(tǒng)，電動(dòng)傳動(dòng)系統(tǒng)以及為汽車(chē)增加ADAS和自動(dòng)駕駛功能取代機(jī)械系統(tǒng)，復(fù)雜性呈現(xiàn)爆炸式增長(zhǎng)。ISO 26262的目標(biāo)是建立一個(gè)統(tǒng)一的功能安全標(biāo)準(zhǔn)，以滿(mǎn)足所有汽車(chē)電子系統(tǒng)的需求。

　　駕駛員輔助，電力推進(jìn)，車(chē)載動(dòng)態(tài)控制以及主動(dòng)和被動(dòng)安全系統(tǒng)等新功能越來(lái)越多地涉及系統(tǒng)安全工程領(lǐng)域。更大的技術(shù)復(fù)雜性、軟件內(nèi)容和機(jī)電一體化實(shí)施帶來(lái)了系統(tǒng)硬件故障的更大風(fēng)險(xiǎn)，系統(tǒng)硬件故障是由系統(tǒng)開(kāi)發(fā)期間的人為錯(cuò)誤產(chǎn)生的。ISO 26262提供了如何通過(guò)規(guī)定要求和流程來(lái)最小化風(fēng)險(xiǎn)的指導(dǎo)。

　　對(duì)于半導(dǎo)體SoC器件和IP的設(shè)計(jì)人員來(lái)說(shuō)，與完整系統(tǒng)的指南相比，ISO 26262合規(guī)性的要求更加抽象。因此，IP開(kāi)發(fā)人員必須對(duì)許多假設(shè)進(jìn)行額外的分析，以確定集成到功能安全的汽車(chē)系統(tǒng)中的IP準(zhǔn)備情況。