ISO 26262标准把关 车用IC安全不马虎

现时，汽车所用电气或电子部件的增长已吸引了业界的注意，新的焦点是确保与这些新部件有关的任何故障，均不会降低汽车系统或接口设备所应具备的安全等级；以内含更多电气或电子部件的电动汽车及大势所趋的智能汽车控制(将人类的安全交由传感器、微控制器和算法来掌控)来说，情况更为明显。 而更受特别关注是隐藏的系统级风险和其安全隐患，从概念阶段一路到部件生产及汽车/部件使用寿命结束的整个系统开发，都要求采取安全措施和实践方法(图1)。 安全问题在汽车层面实施，并一路向下贯穿到材料和部件层面。

这便是国际标准ISO 26262的目的--将开发过程标准化，以确保维持功能安全；尤其如果汽车的电气或电子系统失效时，仍然能够维持功能上的安全。

ISO 26262成厂商重要课题

ISO 26262规定了组织内如何制定和管理安全计划、如何在制造商和部件供货商之间分担分配安全，以及如何在开发计划中记录和展示追溯性、如何审查安全合规性等。 汽车工业及其供应链的相关安全计划和管理要求，现在正转向采用ISO 26262标准，与工业制造质量转向ISO 9000合规性的过程和程序非常类似。

ISO 26262的目标是要在公司内建立一种安全文化，将安全视为从开始到结束的整个产品开发过程中所不可或缺的要素。 这种安全文化将可以把电子系统故障而发生危险事件的可能性减至最低，从而避免造成人命伤亡，并将公司打造成为汽车工业中一家重要的产品供货商。 为了实现此一目标，公司应建立一组专用的资源，其唯一的作用是就实施、维护和审查公司安全过程的合规性。

在项目层面，就必须把安全整合到开发过程中，从开始一路到结束；凭借稳健的开发流程，可以大幅降低系统性故障的风险。 在客户参与进来之前，公司内必须建立起功能安全管理系统，这些系统也必须要让所有的项目相关人员了解，并且将明确的角色和职责分配给他们。 项目计划必须有专门的安全会议，包括内部会议及客户参加的会议，其中，必须对项目和相关工作产品进行审查，确认是否符合相关安全程序。

由于安全适用于开发过程的所有领域，尽早对合规性进行评估是非常重要的。 例如，相对半导体产品，ISO 26262要求在集成电路(IC)开发时所使用的工具(简图撷取、布局、仿真等)都要通过认证过程。 这些工具的合规性必须在开发开始前进行认证，从而确保开发过程会被客户或其指定的安全审查员视为是符合标准的。 IC产品所不可少的任何嵌入式韧体也必须在安全合规过程之下进行开发，而且其结果所得的代码必须经过检验，要符合编码的标准。 为其他非安全关键市场开发半导体产品时，这种工具认证并不普遍，意味着要成功地进入汽车市场，便必须投资更多时间、资源和费用。

 
ISO 26262要求各方要肩负起一组更具组织性及更加明确的职责，因而影响了客户/供货商之间的关系(图2)。 在客户和供货商之间维持一种不正式的接口，其中对责任的定义较为松散且有弹性，ISO 26262面世前，这种情形是可以接受的。 但是，现在为了要符合ISO 26262标准，客户/供货商之间的接口将会由一份名为开发接口协议(DIA)的文件来明确定义。 DIA明确规定了分配给各相关单位在其各自接口层级上的职责，这些职责包括所要求的信息，和交换活动所产生的工作产品、安全生命周期的联合制定、双方安全经理的任命等。
 
落实ISO 26262 严密安全分级必不可少

ISO 26262的一个重要部分，是被称为是汽车安全完整性等级(ASIL)的危害分类。 ASIL通常由OEM利用危害分析和风险评估(Hazard Analysis & Risk Assessment, HARA)来决定，为每个安全目标分配ASIL之前，先分析每一潜在的危害、暴露的可能性，及严重的程度和可控制性。 ISO 26262划分出了QM、ASIL A、B、C和D等等级，其中ASIL D是最高安全等级。 例如，相对A级和B级设计，ASIL C或D级设计就要通过严格许多的审查过程、认证和验证，及记录过程。 一如所料，被归为ASIL D级别的系统要素将可能具有最全面的技术安全概念，此一概念可提供技术安全要求与架构要素之间的对照。

技术安全要求(TSR)如何引入到指定要素的开发过程之内，这将取决于该要素在汽车开发过程层级中的位置。 例如，汽车本身的总体安全目标和相关功能安全概念，在汽车层面概念阶段的最初期间就凭借HARA完成。 接着，功能安全要求(FSR)向下融入到主要系统(底盘、传动系统等)，然后流到主要子系统，最后流到个别的组件。 一般来说，在层级位置越低的要素，FSR分配给供货商所需的时间可能越长；一旦FSR完成分配，供货商就可产生出TSR，此后将由个别组件的架构和设计来实施。

FSR分配的潜在延迟，将会对IC等复杂部件的开发带来挑战。 为汽车应用开发IC产品可能会用上好几年，至于与指定IC功能有关的FSR，则可能要在安全要求最终从汽车流到子系统、到IC部件之后的相关汽车开发过程后期，才能清楚定义出来；若IC是客制化设备(特别为汽车中的一种指定用途所定义的)，FSR通常包括在该特定IC的规范中。 某种程度上，这样使IC开发商较容易遵循ISO 26262所要求的开发过程，实现被分配到的安全要求。

标准IC应用需重新思考

虽然汽车应用中通常使用客制化IC，但在许多情况下，标准产品IC或许能够实现汽车指定功能。 标准IC的开发通常在安全要求提供之前很久就已经开始了，对将IC整合到汽车工业的开发人员而言，这里所面临的挑战之一是：如何确保标准IC涵盖其目标应用的安全要求？

使事情更复杂的是，标准IC可能应用于汽车的不同系统或子系统。 例如，检测机械运动的电感式传感器IC，如美高森美的LX3302(图3)，可用于检测变速器的齿轮运动、转向力矩的角度运动检测、车灯开关时的接近性检测、电动座椅控制的位置检测，或各种其他机械运动应用。 虽然LX3302可能满足这些应用中每种应用的要求，但是应用本身可能具不同的ASIL等级和安全目标--正如大家所料，电动座椅控制的功能安全要求(ASIL A)与检测方向盘扭矩的安全要求(ASIL D)截然不同。
 
对标准IC来说，供货商承担的责任是为指定产品定义FSR和撰写TSR，然后实施满足这些TSR的安全特点和诊断；在这些情况下，IC开发人员将IC视为一种独立的安全单元(Safety Element out of Context, SEooC)，意味着组件(即IC)的开发并非针对特定汽车、系统、子系统或客户。 换句话说，供货商心中可能有几种目标应用，然后预估应对这些应用ASIL等级所必需的FSR和TSR。 一如预期般，汽车应用安全要求的新供货商可能对TSR的了解或经验都非常有限。 因此，这种新供货商制定的TSR可能主要由「最准确猜测」的要求所组成。 当供货商从实际应用中获得经验，知识基础获得改善，TSR会越来越准确，越来越全面。

如何与成本、效率达成平衡维持诊断水平为一大挑战

IC开发商面临的另一挑战涉及IC内提供的诊断水平，以及相关成本、性能影响之间的权衡。 ISO 26262的主要目标是确保即使电子器件内或周围发生故障、也不会产生不安全的行为。 为了实现这个目标，IC开发人员必须分析IC架构，凭借IC本身的故障或环境或IC接口和周围接口的异常情况，来确定IC故障可能发生的方式。 鉴于可能导致IC故障或失效的情况组合很多，分析起来将非常复杂，为达到切实可行的水平，ISO 26262于多数情况下将此种分析限制到两点故障(Dual Point Fault)--换句话说，分析通常并不需要考虑三种(或更多)故障同时发生的情况。

IC开发人员的初步步骤是实施失效模式、影响及其诊断分析(FMEDA)。 这种分析能够确定IC内故障的原因及故障对系统的相关影响。 除分析可能的故障之外，为了检测这些故障，FMEDA还可识别所实施的诊断。 由诊断所覆盖的故障百分比，是一项重要的指针，可用来确定安全目标违反(由于随机的硬件故障)是否位于相应ASIL等级要求之内。 请注意，FMEDA文件是客户在IC开发过程初期通常所要求的工作项目。

大抵来说，这些诊断将利用IC内的现有资源，从而将成本影响或复杂性降至最低。 例如，早早把模拟/数字转换器(ADC)包括在内、将之当作功能一部分的IC，可能将关键的模拟讯号多任务(Multiplex)传输到此ADC之内，以执行诊断。 此情况下，添加的硬件仅限于多任务器开关；其他情况下，执行诊断可能需要增加电路或韧体，因此该电路(或韧体)的唯一作用是执行诊断功能。 这样做不仅会增加成本，而且因为新电路或韧体也会发生故障，所以也会增加故障分析的复杂性。 例如，增加专门检测模拟讯号完整性的ADC将提高那些模拟讯号的故障覆盖水平；但是，ADC是IC中的新组件，有自己的故障机制。 如果ADC引入的故障机制超过ADC诊断的故障机制，则ADC可能并非实现所需故障覆盖率的有效诊断方法。

一旦完成FMEDA，识别出相关的诊断，IC供货商必须将安全特征实施到产品中，并对这些特征的有效性进行验证，并回溯到上层的安全目标；为实现这一目标，在整个设计和验证过程中都需要进行以安全为中心的会议和审查。 这种验证过程，以及为符合ISO 26262标准所需要进行的其他活动，本质上都是非常好的工程方法和原则。 但是，为了符合ISO 26262标准，必须将这些良好的工程方法提升到更高的水平，这需要培训、专用的资源、基础设施及了解和尊重安全，以及将安全作为汽车零件供货商关键要素的公司文化。