汽車電子功能安全工程師必看！ISO 26262認證基本原理解析

　　汽車半導體設備和電子系統的開發人員要小心：可能有些供應商聲稱他們的產品符合ISO 26262安全標準要求，如果這些說法未能闡明用于制造汽車產品的人員和流程驗證，則這些說法可能是不可靠的。如果系統設計人員未能仔細評估供應商的資質，他們就很難在汽車供應鏈中讓客戶接受其產品。

　　汽車供應鏈的參與者負責對每個供應商的產品進行自己的功能安全評估，同時考慮供應商記錄的使用假設(AoU)，描述供應商的產品如何用于汽車系統。供應商根據特定配置和用例來定制自己的分析，這些配置和用例有望與其集成商客戶的配置相匹配。針對汽車系統中使用的元件的第三方ISO 26262認證可以幫助系統集成商執行此分析，但它不會取代集成商在其自己的使用環境中分析其供應商產品的義務。

　　本文探討了ISO 26262認證的基本原理，該認證涉及設計功能安全的汽車電子系統所涉及的人員，流程和產品。最終目標是讓開發團隊，管理人員和投資者更加了解遵守汽車安全標準細節所涉及的責任。反過來，這將提供有關合規性的工作和成本的更多信息，還將使供應鏈成員之間的溝通更加有效。

　　不斷變化的汽車行業：新電子設備和新進入者

　　所有乘用車電子系統在集成到汽車制造商的產品之前必須滿足嚴格的安全要求。該行業的供應商已經建立了一個復雜的供應鏈，以提供這些系統，以及產品滿足這些安全要求的能力的證明。這種信息共享系統需要IP供應商、半導體SoC開發人員、零組件供應商、軟件提供商、電子系統設計師和許多其他相關人員之間的詳細交流，以確保所有關鍵組件符合ISO 26262指南、程序、培訓水平、審核和評估。

　　圖1：以半導體為中心的供應鏈，用于奧迪zFAS中央駕駛輔助控制器的關鍵部件(來源：奧迪; IHS Markit; Arteris IP)

　　然而，隨著越來越多的機械部件轉變為電子系統，汽車工業正在迅速發生變化。其結果是，過去由人類駕駛員執行的功能正在由先進的駕駛員輔助系統(ADAS)補充和替代，其正在演變為自動駕駛系統。這兩個趨勢正在推動汽車行業的經濟增長和技術創新浪潮。市場快速增長的希望正在刺激新進入者，參與到汽車電子系統的浪潮之中。

　　最近進入者可能缺乏根據ISO 26262功能安全標準開發和交付產品的經驗。雖然這些供應商可能聲稱其產品已準備好符合汽車安全標準，但供應鏈中的公司仍需要對產品開發過程中涉及的人員和程序進行廣泛、仔細的審查和評估，然后才能將其集成到更大的系統中。

　　汽車電子供應鏈參與者主動解決此問題的一種方法是從認可的評估機構獲得ISO 26262認證。然而，大多數針對汽車用途的電子產品并非完整的獨立系統，可以通過ISO 26262標準認證，并完全了解產品如何在車輛中集成和使用。因此，對于認真服務于該市場的任何開發團隊而言，重要的是探索其供應商關于功能安全的聲明，無論是否聲明了認證。雖然第三方產品認證可以成為重要參考，但對任何組件的評估必須更深入，并且必須通過公司使用和集成產品來完成考察與認證。如果未能對供應商的人員，流程和產品進行評估，則可能導致客戶拒絕。

　　為什么選擇ISO 26262?

　　國際標準組織(ISO)聲明如下：

　　ISO 26262旨在應用于安全相關系統，其包括一個或多個電氣或電子(E / E)系統并且安裝在批量生產的乘用車中。

　　ISO 26262解決了E / E安全相關系統故障行為可能造成的危害，包括這些系統的相互作用。

　　第一原則：信息共享是關鍵

　　汽車系統的電氣化在快速進行。這一趨勢推動著創新，同時也吸引了更多投資、更多研發工作，以及汽車市場的新進入者。

　　許多新進入者可能不知道的是，遵守汽車安全標準要求通過供應鏈的每個部分共享信息。各級經驗豐富的開發團隊都受到這些標準的挑戰，因為需求在不斷變化，整個行業中只有少數專家可以指導項目完成這一過程。此外，半導體和軟件供應鏈的參與者通常對其IP的開發方式及其工作原理保密。

　　圖2：ADAS和自動駕駛系統價值鏈以半導體為中心

　　供應商必須提供的信息包括具有安全目標的系統的每個元件的分析，教育和文檔。供應鏈的每個成員都必須提供這些信息。半導體IP供應商向SoC的開發人員提供此信息，芯片設計團隊使用這些信息來分析他們的定制系統，并將結果傳遞給Tier-1電子系統供應商。然后，這些一級供應商執行自己的分析并將結果發送給車輛制造商及其客戶。

　　汽車供應鏈中的這些關系正變得越來越復雜，因為制造或設計自動駕駛應用芯片的傳統半導體供應商現在有時與Tier-1電子系統設計人員和OEM競爭，他們可能正在自己制造或設計芯片。此外，Uber，Waymo和Apple等新進入者正在設計自己的整套系統，盡管他們在汽車行業缺乏經驗。ISO 26262要求整個價值鏈中的高水平協作和信息共享，新進入者可能不熟悉這些。

　　復雜性要求更好的分析

　　整個汽車行業日益復雜，需要加強這些系統的安全性。現代汽車使用“線控”系統，例如線控油門，駕駛員推動加速器和傳感器。踏板將電信號發送到電子控制單元(ECU)，該電子系統取代了過去使用連接在加速踏板和機械節流控制板上的金屬電纜。ECU比機械方法更智能，因為它可以做更多分析工作，如發動機轉速，車速和踏板位置，然后將命令傳遞給油門。

　　我們也可以看到，測試和驗證線控油門系統比測試舊機械版本更困難。隨著我們用電子系統，電動傳動系統以及為汽車增加ADAS和自動駕駛功能取代機械系統，復雜性呈現爆炸式增長。ISO 26262的目標是建立一個統一的功能安全標準，以滿足所有汽車電子系統的需求。

　　駕駛員輔助，電力推進，車載動態控制以及主動和被動安全系統等新功能越來越多地涉及系統安全工程領域。更大的技術復雜性、軟件內容和機電一體化實施帶來了系統硬件故障的更大風險，系統硬件故障是由系統開發期間的人為錯誤產生的。ISO 26262提供了如何通過規定要求和流程來最小化風險的指導。

　　對于半導體SoC器件和IP的設計人員來說，與完整系統的指南相比，ISO 26262合規性的要求更加抽象。因此，IP開發人員必須對許多假設進行額外的分析，以確定集成到功能安全的汽車系統中的IP準備情況。