罗姆对于ISO 26262 安全认证的分析解读

汽车功能安全标准 ISO 26262 是汽车领域的电气 / 电子相关功能安全国际标准，在汽车的电子化及高性能化发展，以及全球市场对汽车安全性能要求日趋严格的背景下，于 2011 年 11 月正式颁布，贯穿于整个车辆的生命周期，目前已经在汽车行业广泛推行。

随着自动驾驶(ADAS)相关的技术不断创新，汽车电子技术革新进程加速，为确保汽车的安全性，要求组成车载零部件的半导体也要达到安全标准。于是在 2018 年颁布的第２版中，不仅对象范围扩大到巴士、卡车、两轮车辆，还新增了半导体部分，半导体元器件作为支持自动驾驶功能安全的核心产品成为关注的焦点。

罗姆于 2018 年通过第三方认证机构德国莱茵 TÜV Rheinland 取得了 ISO 26262 的开发工艺认证。这意味着罗姆面向车载领域的元器件开发工艺被认定为可满足该标准中的高安全等级"ASIL-D"。包括流程认证、产品认证、开发端口协议责任等，以及罗姆对于安全认证的分析解读，对行业的安全品质提升等都具有一定的启发性。

贯穿车辆生命周期的两大类安全

据罗姆半导体（上海）有限公司技术中心副总经理李春华介绍，"ISO 26262"标准预先计算出汽车电控方面的故障风险，并把降低该风险的机制作为功能的一部分预先植入系统中，从而实现"功能安全"的标准化开发工艺。该标准的对象涵盖从车辆的构思到系统、ECU(电子控制单元)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。

“安全=没有不可容忍的风险”，在这一前提下，李春华解释，安全自身又被分为“本质安全”和“功能安全”两类：其中，“本质安全”是指降低机器危及人命和环境的因素，或彻底排除这种诱因。日常生活中，将列车线路和常规马路设置为立交状态，避免事故发生，即为此类案例。它的优势在于可以确保绝对的安全，但大规模改造的成本很高。

“功能安全”则是指引入有效的改善办法，确保可容忍范围的安全。例如通过在铁道口设置报警器和安全栏杆，将风险降低到可容忍范围内即属于此类范畴。它的特点在于可以根据改善方案实现成本的降低，但必须考虑到故障的发生。这就要看设立系统时是不是可以把危险系数降到可容忍的范围，“本质安全”、“功能安全”，就看是从哪种角度去设置系统的产品定义。

图 1：本质安全和功能安全的区别

ISO 26262 认证必知

ISO 26262 流程认证需要 109 个工作成果，涉及管理、概念、系统、硬件、软件、生产、支持程序、安全分析等不同的类别。据了解，对于罗姆这样的 IC 厂商来说，主要考虑的是管理、硬件、生产、支持程序、安全分析在流程上的认证，而概念、系统、软件等类别，主要面向 OEM、Tier1 和软件厂商，并不在其取得认证流程的内容中。

图 2：ISO 26262 流程对应的工作成果

对应认证流程完成工作成果的规范化之后，就需要对应 ISO 26262 的开发体制。据李春华介绍，对于芯片设计企业而言，首先需要明确待开发的 LSI 项目对应哪个 ASIL 等级，明确指定项目中的功能安全担当，其次还有项目经理、开发负责人等，设立要完全符合认证流程。同时，该流程中还需引入第三方组织进行监管，直接与公司内部的功能安全管理者进行对接，工作内容包括功能安全相关的横向流程构建、管理确认策略和流程监控。通过这些流程设立和针对流程的开发，才可以去开发符合 ISO 26262 流程的产品。

接下来是产品标准，涉及到客户所要求的安全功能。李春华以电源 LSI 为例谈到，该产品被用于 ASIL-D 等级的 ADAS 或 EPS 电源。对应客户需要强化功能安全的，罗姆会进一步去强化，而这需要和 Tier1、OEM 厂商的充分沟通，从而建立保护功能失效机制。

他强调，安全机制、自诊断功能、功能的双重化等，电路的追加必不可少，工作成果的追加必不可少。同时，为制作工作成果，需要有理解内容的功能安全管理，并对成果进行评估、检查、评分，以上都是为了取得 ISO 26262 认证必须要做到的事情。

罗姆如何取得认证？

李春华介绍，罗姆作为半导体制造商，自 2017 年开发了由液晶驱动电源 IC 等构成的、支持功能安全的液晶面板芯片组，并在 2018 年取得 ISO 26262 开发工艺认证，不断推进支持汽车功能安全的产品开发。在车载级元器件方面，罗姆打造了车载产品专用生产线，并遵行汽车行业质量管理体系"IATF 16949"及电子元器件可靠性标准"AEC-Q100/101/200"等来推进产品开发。目前，罗姆的解决方案主要包括“针对液晶面板的解决方案”以及“针对 ECU 电源电路的解决方案”。

图 3：车辆显示装置的电路配置示例

图 4：车载 ECU 外围电源配置示例

在取得 ISO 26262 认证的整个过程中，罗姆都做了哪些工作呢？据李春华介绍，罗姆成立了专门的工作组，下设五个不同的分科(流程、产品、教育、工具、生产)，主要职责包括符合 ISO 26262 的车载 IC 开发流程的制定和维护管理、符合 ISO 26262 的公司内部体制的建立、整合统一需要对外提供的 ISO 26262 相关文件的格式、实施关于 ISO 26262 的培训、以及向外部宣传 ROHM 致力于取得 ISO 26262 的行动。

而流程认证和产品认证还有不同，主要在于：流程认证的取得，首先需要审核公司规定、开发标准、操作流程书等是否确立符合 ISO 26262 标准的流程，然后依据取得认证的流程进行 LSI 开发时，需要追加很多工作成果，并在规格书上注明“依据符合 ISO 26262 ASIL-X 标准的流程进行开发”；而产品认证主要针对 MCU 等超通用品，各产品分别取得认证，每个产品都要符合 ISO 26262 标准的流程进行开发，各工作成果也要经过审核认证。

根据 ISO 26262 第二版中对于硬件元素的评估可以看出，元器件的复杂度，以及 Class1、Class2、Class3 的器件要求方面，例如一些外围芯片是否需要支持 ISO 26262 开发流程，这方面的规格文档上虽然有明确，但实际安全知识如何对应去支持，仍需要进一步调查，包括市场动态、竞争对手的情况等。另外像马达驱动、电源本身是属于第二类，如果把它做为第三类的话，是不是所有器件都要按照符合 ISO 26262 流程标准去做，也需要进一步评估。

图 5：ISO 26262 第二版中对硬件元素的评估概况

李春华强调，取得 ISO 26262 安全认证，首先对于产品定义来说，优势在于功能安全的级别提升，可以满足车厂要求的定义。虽然成本是功能安全对应部分的价格，但整个芯片组是优化的，因此从解决方案层面来看，客户可以感受到比产品成本更大的功能提升和削减开发工时的好处。

此外，罗姆也可以帮助现有方案进行提升。例如现有电源方案的产品功能要提升 ASIL 等级，如果让芯片厂商重新开发一个对应的产品，对于开发时长、成本来说代价都很大。罗姆可以提供电源辅助类的产品（如电源监控 IC），如果芯片中已经具有功能安全（包括自我诊断的功能），通过加上罗姆的辅助芯片就可以提升整个电源方案，达到同样的功能等级，这对于 OEM、Tier1 都可以有效节省开发周期、开发成本。

编辑：hfy