ISO 26262:2018新增的半导体在汽车功能安全环境中的设计和使用指南

汽车制造商正稳步将更多数量的自动驾驶功能整合到量产新车中，由此带来的功能安全成为整个行业的重中之重。

为了解决这一问题，国际标准化组织（ISO）在2011年制定的ISO 26262标准基础之上，将于2019年3月正式发布国际标准版ISO 26262:2018（最终国际标准版草案已于2018年底发布）。

ISO 26262的第一版是在2006年开始开发并于2011年发布。它完全取代了IEC 61508，分别处理车辆、系统、硬件和软件。这一版本只涵盖了3500公斤以下车型的电气和电子系统。不包括液压和机械系统，专业车辆，如一级方程式赛车，卡车，公共汽车，摩托车，或越野车。

ISO 26262很快成为汽车开发过程中功能性安全的指导标准。但随后的7年时间里，随着汽车共享化、ADAS及自动驾驶技术的快速导入，这一标准的瓶颈也开始出现。

随着汽车技术的进步，对电子系统能够正常运行而不出故障的绝对确定性的需求也越来越大。而ADAS和自动驾驶技术的快速发展，正在挑战半导体行业将汽车行业使用的严格安全标准引入其设计过程。

尤其是ISO 26262第一版本虽然包含了硬件开发的部分，但该标准对半导体本身没有具体的指导方针。

ISO 26262:2018包括许多升级，取消了车型重量限制，从而将其覆盖范围扩大到其他车辆类别，包括重型公路汽车、卡车、公共汽车和摩托车。值得注意的是，第二版还将包括半导体在汽车功能安全环境中的设计和使用指南。

这一版本将为数字和模拟组件、可编程逻辑器件(PLDs)、多核处理器和传感器以及IP领域的半导体供应商提供更多的支持。

当然，任何汽车半导体的应用还必须满足汽车电子委员会的AEC- Q100《封装集成电路的应力测试合格证书》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光电子器件)、AEC- Q104(用于多芯片模块)和AEC- Q200(用于无源元件)所规定的汽车可靠性要求。

新的版本同样也提出了很多新的问题：功能安全标准化的下一步是什么？如何保证概率系统的安全性？如何将功能安全融入产品整体安全战略？

然而，ISO 26262:2018仍然缺少的是如何处理自动驾驶汽车发展过程中所遇到的一些细节问题。这个缺失将在第二个ISO 26262版本ISO/PAS 21448之后的新标准中得到解决，它通常被称为SOTIF，代表“预期功能的安全性”。

ISO 26262和SOTIF最终解决的问题将涉及汽车供应链的所有部分。例如，需要设计自动化软件来解决汽车产品环境中组件的质量和可靠性问题；以及所有应用于汽车设计、制造和系统内操作的软件的工具资格文件的要求。

ISO 26262仍然是提供安全系统、安全硬件和安全软件的基础。其目的是在故障发生时确保独立、安全的操作。ISO 26262标准建立了最先进的流程和体系结构，明确地设置了允许系统安全的规则。

目前仍在开发中的SOTIF标准将为L0级、L1级和L2级自动驾驶(AD)车辆提供指导方针。即使是这些级别的自动驾驶，全球汽车行业专家仍然在努力定义如何使系统安全。

他们面临着一个难题是，自动驾驶汽车必须是安全的，即使它们不会发生故障。因此，SOTIF标准正在起草中，以提供指导，确保自动驾驶汽车在正常运行期间的功能和行为安全。

传统汽车行业有一个安全流程来开发符合ISO 26262汽车标准的安全系统。但是，这个过程只涉及到由于E/E系统故障而导致的不合理风险。

然而，这些系统的安全性不仅与E/E故障导致的故障行为有关。它还与驾驶员可预见的功能滥用、传感器或系统的性能限制或道路环境的意外变化有关。

在汽车E/E系统没有出现故障的情况下，如何应对其他不合理的风险，一个新的课题“预期功能的安全性”(SOTIF)成为当今汽车行业的热门话题。新的安全标准“ISO PAS 21448”提供了如何解决这些问题的指导，与ISO 26262功能安全互补。

即将发布的SOTIF所涵盖的主题将包括：如何评价不同于ISO 26262的SOTIF危害；如何识别和评估场景和触发事件；如何降低SOTIF相关风险；如何验证SOTIF相关风险和自动驾驶汽车上路前必须满足的条件。

接下来是自动驾驶系统验证必须满足许多测试，从模拟到整车，这些测试包括整个4D环境的因素，如天气、道路状况、周围景观、对象纹理和可能的驾驶员误用。

SOTIF将提供许多方法和指导方针，以便在高级概念分析和随后的验证过程中使用环境场景。SOTIF委员会希望通过不同场景的文档、场景的安全分析、安全场景和各种触发事件的验证以及应用安全系统在环境中对车辆的验证来指导用户。

这些高级的概念、评估和测试将远远超出以前的开发过程。考虑到这一点，未来对测试平台、软件工具、数字双仿真或循环中的硬件依赖将变得比以往任何时候都更加重要。

今天，我们重点讲一下ISO 26262:2018新增的半导体在汽车功能安全环境中的设计和使用指南。

众所周知，在接下来的智能网联汽车中，半导体的使用量将快速增长。根据相关机构的数据显示，在2018年实现24%的强劲同比增长之后，2019年全球半导体收入预计将连续第三年增长，达到4500亿美元，较2018年增长7.7%，到2022年将达到4820亿美元。

其中，汽车应用市场将是预计到2022年的增长的主要领域之一（电气化、互联互通、信息娱乐、高级驾驶员辅助(ADAS)和自动驾驶驱动），从2018年开始以9.6%的年复合增长率增长，到2022年达到547.8亿美元。

ISO 26262:2018对半导体行业的挑战是什么?作为二级汽车供应商的半导体公司必须满足OEM和一级客户的许多严格要求。他们必须证明交付给这些客户的集成电路和系统的开发遵循使用合格软件工具的设计、验证和验证流程。

ISO 26262:2018第11部分全面概述了半导体产品开发中的功能安全相关项目。它包括半导体元件及其发展和可能的划分的一般描述。包括关于硬件故障、错误和故障模式的部分。它还涉及知识产权(IP)，特别是与ISO 26262相关的具有一个或多个安全要求的知识产权。

不过，第11部分仅仅是描述了一个功能安全框架，以帮助开发与安全相关的E/E系统。此框架用于将功能性安全活动集成到特定于公司的开发框架中。它包含了ISO 26262关于半导体开发的其他部分的可能解释。就可能的解释而言，内容并不详尽，即，也可以作其他解释，以符合ISO 26262其他部分的规定。

当然，过去的主要挑战之一是不同参与者对ISO标准的理解。第11部分现在提供了一个更好的信息指导我们需要做什么来开发一个安全产品，但另一个巨大的挑战是教育工程师需要做什么，因为这需要从传统的工程实践中进行相当大的思维转变。

此外，未来半导体公司必须执行的安全分析，将被迫向客户提供更多以前没有共享的信息。错误的理解可能导致错误的系统，并带来安全后果。

当然，ISO26262仍然缺少一些部分，比如如何处理遗留产品、完全操作和自动驾驶。但我们也不能指望一个安全标准为你详细说明所有方面。

另外一个挑战是如何通过降低成本来提高安全性。这对每个人来说都是一个大问题。如果没有完整的系统环境和允许灵活性的假设，有时可能会非常保守地增加成本。

如果你的目标是一些已知的系统，如安全气囊，转向，刹车，这是相当容易的。但是，如果我们正在转向用于自动驾驶芯片的复杂系统，并不是今天所有的东西都是已知的，那么我们就不得不采取非常保守的假设，即成本上升，或者让客户来处理，从而增加风险和挑战性，以证明其适用性。

如果你和潜在客户的关系不是很好，你最终可能会得到比原来贵得多的东西。这是目前最大的挑战之一，要真正降低成本，你需要更多地了解这个系统，并进行合作。

现在，据说半导体公司正在游说，反对将FMEDA和FTA（主要应用在系统级别）纳入ISO 26262的指导方针。这些故障测试方法并不是唯一的解决方案，尤其是对于复杂的组件和新的挑战。

还有一个需要重视的是，SOTIF (ISO/PAS 21448:预期功能的安全性)在半导体公司将扮演什么角色？

SOTIF可能对组件有潜在的两个方面的影响：一个是安全概念的定义。因为在SEooC组件的情况下，我们需要定义我们的概念(基于假设)，以理解SOTIF和含义，这将有助于创建更现实的定义。

第二个是与冗余有关，由于SOTIF的存在，冗余也可能需要一定程度的多样性。因此，不可能多次使用相同的组件来实现潜在的完整操作系统，但是您可能需要多样性，然后这些可能会对系统研发产生影响。

然而，SOTIF仍然是一个相对年轻的标准，仍然有很多问题需要解决。比如，此前福特汽车发布的自动驾驶安全报告中，除了行业内通用的汽车安全标准（ISO 26262），福特还集成和应用危害分析技术，如系统理论过程分析（STPA），以及预期功能安全（SOTIF）草案标准。

SOTIF对自动驾驶系统分解成26个事故、九类危害（共176个），这个过程需要分解全自动驾驶的架构、在每个体系结构级别应用STPA、制定全自动驾驶的操作安全概念、生成测试用例来评估架构设计、开发/分配可靠的关键软件系统的设计模式。

未来对于自动驾驶汽车，系统代替了人的操作，即使系统不发生故障，也可能因识别、决策或执行过程的不准确，导致交通事故发生。这类非故障情况下因系统功能不足导致的自动驾驶安全风险，归为预期功能安全领域（SOTIF）。