谈了半天的ISO 26262，它到底是什么

在谈到汽车相关标准的时候，除了AECQ-100/101以外，还有个经常被提及的标准，那就是ISO 26262。

罗姆半导体（上海）有限公司技术中心副总经理李春华日前在一场活动上告诉记者，所谓ISO 26262，是汽车的电气/电子相关的功能安全标准，该标准制定于2011年11月，并且在2018年又发布了第二版，追加了半导体指南内容。

“如上图所示，大家熟悉的ISO 26262概况，像V字模型，针对于各个部分的一个要求都有阐述，包括一些功能安全的管理，包括一些Safety Goal的建立，还包括硬件、软件、生产、应用等多个部分”，李春华补充说。

什么是ISO 26262

从他的介绍我们得知，ISO 26262认证也可以分成两个方面，第一个是以流程，主要是以开发流程的标准。这是以之前IATF 16949为基础，引入像账票类、可追溯类的管理这些内容；第二个是产品，主要是产品性能的标准，产品性能标准就是大家平时听到的ASIL的各种等级，产品的安全机制不但需要符合ASIL的要求，同时还要根据安全等级，追加自我诊断的功能的认证。

“我们可以根据部件的不同，为这些功能安全做定义，像QM等级、ASIL-A等级、ASIL-B等级、C、D等。这些主要是参照危险度的一个重要性，对于人身相关性的重要性来划分的”，李春华告诉记者。“而这里所说的功能安全，我们将其定义为安全是没有不可容忍的风险”，李春华接着说。

从他的介绍我们得知，安全本身也分为“本质安全”和“功能安全”：其中“本质安全”就是说降低机器设备以及人命的环境因素，彻底排除这个诱因；而“功能安全”就是我们可以通过一个有效的改善方法，把危险系数降到一个可容忍的范围。

李春华指出，“本质安全”的优势就在于可以彻底去排除涉及到危险的诱因，但大规模的改造成本很高。”而功能安全”就是说可以通过一些低成本的方式来实现可容忍范围内的安全，但危险还是存在的，具体就要看设立系统的时候是不是可以把危险系数降到可容忍的范围，这个就是对于安全的一个定义。

“‘本质安全’和‘功能安全’就看从哪种角度去出发设置系统的产品定义”，李春华强调。

据介绍，ISO 26262流程这块的认证需要109个工作成果物，而对工作成果物的规范化也进行了一些分类。例如第二的管理、第三的概念、第四的系统、第五的硬件、第六的软件、第七的生产、第八的支持程序、第九的安全分析。“对于罗姆来说，我们是针对于第二类管理、第五类硬件、第七类生产、第八类支援、第九类安全分析在流程上经过认证”，李春华说。

对于芯片设计来说，则首先要去定义对应哪个ASIL等级的产品开发，对于ASIL等级产品开发的项目，立项当中要完全符合ISO 26262认证流程，包括项目经理的设立，开发负责人的设立，开发担当的设立。

从技术上去实现的话，则需要设立的一些职位，这也包括要符合功能安全认证这块，公司内部也需要有功能安全管理者。针对于在开发流程当中，这个流程是不是符合功能安全相关工作成果物的制作、管理，都是由公司内的功能安全管理者来执行。同时，这个流程当中还需要第三方组织来做一个监管，第三方组织的功能安全管理者和公司内部的管理安全做一个对接，针对于功能安全横向的流程构建、管理进行策略的提供和流程监控。

只有通过这些流程设立和针对流程的开发，才可以去开发符合ISO 26262流程的产品。

罗姆为取得ISO 26262认证做了什么

作为一个汽车元器件供应商，罗姆也取得了ISO 26262标准认证，而为了达成这个目标，公司还建立了专门的工作组。

“对于罗姆来说要开展车载业务，势必要给客户提供符合ISO 26262标准的产品。所以，罗姆必须在内部实施开发流程，包括第三方机构认证，推出符合客户要求的车载产品”，李春华说。

在具体的实现过程中，罗姆是分成五个大方面进行的。

据介绍，罗姆建立了包括流程、产品、教育、工具和生产在内的五个不同的分科。其中流程分科，主要针对于流程管理和方向，包括对于2018年第二版的流程认证调查包括实施，同时还包括软件错误的调查；产品分科则主要针对于像FIT值、FMEDA值成果物制作的支持；来到工具分科，也是对于现有工具认定和管理，包括新规工具的导入、考量和管理，当然对于故障注入仿真，也都是罗姆工作所负责的内容；至于教育分科，则包括了像公司内以科为单位的学习，包括对外功能安全经理的资格认证取得；生产分科主要针对于像生产相关的对于功能安全认证所需要的账票制作、管理等等。

“借助这五个分科会，罗姆从认证到后面开展工作，都是有具体的小组去进行负责和推进的”，李春华强调。

如下图所示，在公司团队的努力下，罗姆也取得了相关的流程认证。而在2018年3月份，公司也通过TüV Rheinland审核，取得了ISO 26262的相关认证证书。而目前，罗姆符合工艺要求的产品有PMIC三种机型正在开发中。即使不符合工艺，也有能够支持ISO 26262的应用的产品，如PMIC、电源监视IC、T-CON、EEPROM和复位IC等也广泛地扩展到车规级，当中有超过1000种机型。

例如罗姆推出的液晶面板芯片组，面对客户提出的类似会不会导致黑屏、误显示、死机功能安全这些目标，罗姆可以提供由时序控制器、源极驱动器、栅极驱动器、PMIC等组成的芯片组。其原理是通过IC之间互相的协作，把各个芯片错误的状态进行监控包括进行回复，一旦有错误，通过控制器来传达给后端的MCU达到一个对于整体液晶面板Safety Goal的实现。

在车载ECU外围电源配置方面，罗姆也针对功能安全在电源方面做了提升。

据李春华介绍，罗姆推出了一个简便的方案，在现有的电源构架不变的情况下，加一个电源监控的IC BD39040MUF，通过向电源输出的状态进行监控，再通过芯片对于监控的状态实时的反馈状态给到ECU，来传达供电给的各个部分哪一路出问题了，对于系统端也可以有效的去进行功能安全策略上的对应。

“它的优势就在于可以沿用现有的电源构架，只要加上罗姆的芯片就可以帮助客户系统端去提升。”李春华说。

“罗姆已经取得了ISO 26262的开发流程认证，正在致力于进行考虑到功能安全的产品开发和设计（罗姆的LSI是考虑到高品质和安全的产品）。罗姆可以提供客户对应规格所需的数据（FMEA、FIT、FMEDA等）”，李春华强调。

关于ISO 26262的更多知识

为了帮助大家更进一步了解ISO 26262,李春华还对其进行了深入的科普。他指出，对于企业来说，想取得ISO 26262认证，可以通过TüV Rheinland、TüV SUD和GS TüV等德系检测机构获得，但其中的“流程认证”和“产品认证”也有不同之处。

如上图所示，流程认证是审核其认证是否确定符合ISO 26262标准的流程。至于产品认证，则是为MCU等超通用品取得认证。为了让大家对不同ASIL级别工作成果物的要求有更深入的了解，李春华把ASIL A、B、C、D分成四类，针对于安全分析各个成果物的要求数据和确证策略的要求数据都进行了罗列。

由上图可以看到，对于最右边的ASIL-D，对于安全分析各个成果物要求非常高，对于像一些数据它要求也是非常高，我们看到ASIL-D的SPFM达到了99%以上，LFM也达到90%以上，这样的一些数据约束是达到ASIL-D一些失效数据必须要满足这样的条件。而相对于ASIL-A，像单点失效的要求数据就没有具体要求，相对而言也要求也宽松很多。

在ISO 26262的介绍中，有一点也是必须关注的，那就是SEooC。据介绍，SEooC是Safety Element out of Context的一个简称。目标是针对开发不受条件局限的独立安全单元，类似于我们平常说的一些独立安全的独立芯片或者IP。它的关键就是要制定针对通用品开发的规定。

李春华指出，这通常是根据各个元器件的安全目标当中导出的安全要求来确定产品规格，从而进行硬件及软件开发。但通用产品因为没有安全目标和主要的安全要求，所以需要假设这部分内容来进行开发的规定。在实际操作中，则通过自上而下的一步步拆解而完成的。

“OEM必然有自己的安全目标，针对这个目标有怎样的功能安全要求，他们都非常清楚。而Tier 1供应商在收到这些功能安全要求之后，就会从技术上对其进行拆解，并分别对软件和硬件的安全提出明确的需求。最后，芯片厂商也必须根据Tire 1提出的目标和要求，去定义相关产品开发”。李春华举例说。

在SEooC之后，李春华同时还介绍了DIA(Development Interface Agreement)、FIT（Failure In Time）和FMEDA（Failure Modes Effects and Diagnostics Analysis）等属于ISO 26262里面需要关注的内容。

DIA是开发接口协议的一个简称，是指确定ISO 26262流程对应开发所必要的工作成果由客户还是由芯片厂商（如罗姆）来负责而制作的书面协议。换而言之就是说作为芯片厂商和Tier1，如何去针对于功能安全认证当中一些成果物进行明确，这需要一个DIA开发接口协议的文档，关键在于由谁来做。

“这个是针对于像ISO 26262通用的流程。哪些是Tier1来做，哪些是芯片厂商（如罗姆）来做，对于成果物提出的责任要明确”，李春华说。

FIT则是Failure In Time的一个简称，它是针对于单位时间的故障数定义。1FIT就是每小时10的负9次方，简单来说是每小时发生10的负9次方的故障简写。换而言之，10万个产品在运行1万个小时之后出现一个不良定义。

李春华表示，FIT数也有很多标准，每个国家每个协会可能定义方式不同，也会有不同的值出来。现在我们把FIT值计算的种类的几个标准大致罗列了一下：有MIL-HDBK计算方法，还有JEDEC计算方法，IEC/TR 62380国际电气标准会议的计算方法。还有一些类似的像Siemens SN 29500、IEC 61709的计算方式。从方向上来说，今后会过渡到IEC 61709的方式，包含SN 29500的方式。而罗姆都会要求客户按照每个标准来提供FIT值，这个是明确的。

FMEDA主要针对于故障模式影响诊断解析的说明，主要是分不同区域板块对故障模式的发生率、故障的影响，对于安全方故障率和危险方故障率的方法解析。

最后，我们谈一下最近的一些更。在2018年12月，ISO 26262第二版公布了追加条款，当汇总特别是对于像硬件元素评估和器件要求，提出了不同变更的说明。