ISO 26262:2018新增的半導體在汽車功能安全環(huán)境中的設(shè)計和使用指南

汽車制造商正穩(wěn)步將更多數(shù)量的自動駕駛功能整合到量產(chǎn)新車中，由此帶來的功能安全成為整個行業(yè)的重中之重。

為了解決這一問題，國際標準化組織（ISO）在2011年制定的ISO 26262標準基礎(chǔ)之上，將于2019年3月正式發(fā)布國際標準版ISO 26262:2018（最終國際標準版草案已于2018年底發(fā)布）。

ISO 26262的第一版是在2006年開始開發(fā)并于2011年發(fā)布。它完全取代了IEC 61508，分別處理車輛、系統(tǒng)、硬件和軟件。這一版本只涵蓋了3500公斤以下車型的電氣和電子系統(tǒng)。不包括液壓和機械系統(tǒng)，專業(yè)車輛，如一級方程式賽車，卡車，公共汽車，摩托車，或越野車。

ISO 26262很快成為汽車開發(fā)過程中功能性安全的指導標準。但隨后的7年時間里，隨著汽車共享化、ADAS及自動駕駛技術(shù)的快速導入，這一標準的瓶頸也開始出現(xiàn)。

隨著汽車技術(shù)的進步，對電子系統(tǒng)能夠正常運行而不出故障的絕對確定性的需求也越來越大。而ADAS和自動駕駛技術(shù)的快速發(fā)展，正在挑戰(zhàn)半導體行業(yè)將汽車行業(yè)使用的嚴格安全標準引入其設(shè)計過程。

尤其是ISO 26262第一版本雖然包含了硬件開發(fā)的部分，但該標準對半導體本身沒有具體的指導方針。

ISO 26262:2018包括許多升級，取消了車型重量限制，從而將其覆蓋范圍擴大到其他車輛類別，包括重型公路汽車、卡車、公共汽車和摩托車。值得注意的是，第二版還將包括半導體在汽車功能安全環(huán)境中的設(shè)計和使用指南。

這一版本將為數(shù)字和模擬組件、可編程邏輯器件(PLDs)、多核處理器和傳感器以及IP領(lǐng)域的半導體供應商提供更多的支持。

當然，任何汽車半導體的應用還必須滿足汽車電子委員會的AEC- Q100《封裝集成電路的應力測試合格證書》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光電子器件)、AEC- Q104(用于多芯片模塊)和AEC- Q200(用于無源元件)所規(guī)定的汽車可靠性要求。

新的版本同樣也提出了很多新的問題：功能安全標準化的下一步是什么？如何保證概率系統(tǒng)的安全性？如何將功能安全融入產(chǎn)品整體安全戰(zhàn)略？

然而，ISO 26262:2018仍然缺少的是如何處理自動駕駛汽車發(fā)展過程中所遇到的一些細節(jié)問題。這個缺失將在第二個ISO 26262版本ISO/PAS 21448之后的新標準中得到解決，它通常被稱為SOTIF，代表“預期功能的安全性”。

ISO 26262和SOTIF最終解決的問題將涉及汽車供應鏈的所有部分。例如，需要設(shè)計自動化軟件來解決汽車產(chǎn)品環(huán)境中組件的質(zhì)量和可靠性問題；以及所有應用于汽車設(shè)計、制造和系統(tǒng)內(nèi)操作的軟件的工具資格文件的要求。

ISO 26262仍然是提供安全系統(tǒng)、安全硬件和安全軟件的基礎(chǔ)。其目的是在故障發(fā)生時確保獨立、安全的操作。ISO 26262標準建立了最先進的流程和體系結(jié)構(gòu)，明確地設(shè)置了允許系統(tǒng)安全的規(guī)則。

目前仍在開發(fā)中的SOTIF標準將為L0級、L1級和L2級自動駕駛(AD)車輛提供指導方針。即使是這些級別的自動駕駛，全球汽車行業(yè)專家仍然在努力定義如何使系統(tǒng)安全。

他們面臨著一個難題是，自動駕駛汽車必須是安全的，即使它們不會發(fā)生故障。因此，SOTIF標準正在起草中，以提供指導，確保自動駕駛汽車在正常運行期間的功能和行為安全。

傳統(tǒng)汽車行業(yè)有一個安全流程來開發(fā)符合ISO 26262汽車標準的安全系統(tǒng)。但是，這個過程只涉及到由于E/E系統(tǒng)故障而導致的不合理風險。

然而，這些系統(tǒng)的安全性不僅與E/E故障導致的故障行為有關(guān)。它還與駕駛員可預見的功能濫用、傳感器或系統(tǒng)的性能限制或道路環(huán)境的意外變化有關(guān)。

在汽車E/E系統(tǒng)沒有出現(xiàn)故障的情況下，如何應對其他不合理的風險，一個新的課題“預期功能的安全性”(SOTIF)成為當今汽車行業(yè)的熱門話題。新的安全標準“ISO PAS 21448”提供了如何解決這些問題的指導，與ISO 26262功能安全互補。

即將發(fā)布的SOTIF所涵蓋的主題將包括：如何評價不同于ISO 26262的SOTIF危害；如何識別和評估場景和觸發(fā)事件；如何降低SOTIF相關(guān)風險；如何驗證SOTIF相關(guān)風險和自動駕駛汽車上路前必須滿足的條件。

接下來是自動駕駛系統(tǒng)驗證必須滿足許多測試，從模擬到整車，這些測試包括整個4D環(huán)境的因素，如天氣、道路狀況、周圍景觀、對象紋理和可能的駕駛員誤用。

SOTIF將提供許多方法和指導方針，以便在高級概念分析和隨后的驗證過程中使用環(huán)境場景。SOTIF委員會希望通過不同場景的文檔、場景的安全分析、安全場景和各種觸發(fā)事件的驗證以及應用安全系統(tǒng)在環(huán)境中對車輛的驗證來指導用戶。

這些高級的概念、評估和測試將遠遠超出以前的開發(fā)過程?？紤]到這一點，未來對測試平臺、軟件工具、數(shù)字雙仿真或循環(huán)中的硬件依賴將變得比以往任何時候都更加重要。

今天，我們重點講一下ISO 26262:2018新增的半導體在汽車功能安全環(huán)境中的設(shè)計和使用指南。

眾所周知，在接下來的智能網(wǎng)聯(lián)汽車中，半導體的使用量將快速增長。根據(jù)相關(guān)機構(gòu)的數(shù)據(jù)顯示，在2018年實現(xiàn)24%的強勁同比增長之后，2019年全球半導體收入預計將連續(xù)第三年增長，達到4500億美元，較2018年增長7.7%，到2022年將達到4820億美元。

其中，汽車應用市場將是預計到2022年的增長的主要領(lǐng)域之一（電氣化、互聯(lián)互通、信息娛樂、高級駕駛員輔助(ADAS)和自動駕駛驅(qū)動），從2018年開始以9.6%的年復合增長率增長，到2022年達到547.8億美元。

ISO 26262:2018對半導體行業(yè)的挑戰(zhàn)是什么?作為二級汽車供應商的半導體公司必須滿足OEM和一級客戶的許多嚴格要求。他們必須證明交付給這些客戶的集成電路和系統(tǒng)的開發(fā)遵循使用合格軟件工具的設(shè)計、驗證和驗證流程。

ISO 26262:2018第11部分全面概述了半導體產(chǎn)品開發(fā)中的功能安全相關(guān)項目。它包括半導體元件及其發(fā)展和可能的劃分的一般描述。包括關(guān)于硬件故障、錯誤和故障模式的部分。它還涉及知識產(chǎn)權(quán)(IP)，特別是與ISO 26262相關(guān)的具有一個或多個安全要求的知識產(chǎn)權(quán)。

不過，第11部分僅僅是描述了一個功能安全框架，以幫助開發(fā)與安全相關(guān)的E/E系統(tǒng)。此框架用于將功能性安全活動集成到特定于公司的開發(fā)框架中。它包含了ISO 26262關(guān)于半導體開發(fā)的其他部分的可能解釋。就可能的解釋而言，內(nèi)容并不詳盡，即，也可以作其他解釋，以符合ISO 26262其他部分的規(guī)定。

當然，過去的主要挑戰(zhàn)之一是不同參與者對ISO標準的理解。第11部分現(xiàn)在提供了一個更好的信息指導我們需要做什么來開發(fā)一個安全產(chǎn)品，但另一個巨大的挑戰(zhàn)是教育工程師需要做什么，因為這需要從傳統(tǒng)的工程實踐中進行相當大的思維轉(zhuǎn)變。

此外，未來半導體公司必須執(zhí)行的安全分析，將被迫向客戶提供更多以前沒有共享的信息。錯誤的理解可能導致錯誤的系統(tǒng)，并帶來安全后果。

當然，ISO26262仍然缺少一些部分，比如如何處理遺留產(chǎn)品、完全操作和自動駕駛。但我們也不能指望一個安全標準為你詳細說明所有方面。

另外一個挑戰(zhàn)是如何通過降低成本來提高安全性。這對每個人來說都是一個大問題。如果沒有完整的系統(tǒng)環(huán)境和允許靈活性的假設(shè)，有時可能會非常保守地增加成本。

如果你的目標是一些已知的系統(tǒng)，如安全氣囊，轉(zhuǎn)向，剎車，這是相當容易的。但是，如果我們正在轉(zhuǎn)向用于自動駕駛芯片的復雜系統(tǒng)，并不是今天所有的東西都是已知的，那么我們就不得不采取非常保守的假設(shè)，即成本上升，或者讓客戶來處理，從而增加風險和挑戰(zhàn)性，以證明其適用性。

如果你和潛在客戶的關(guān)系不是很好，你最終可能會得到比原來貴得多的東西。這是目前最大的挑戰(zhàn)之一，要真正降低成本，你需要更多地了解這個系統(tǒng)，并進行合作。

現(xiàn)在，據(jù)說半導體公司正在游說，反對將FMEDA和FTA（主要應用在系統(tǒng)級別）納入ISO 26262的指導方針。這些故障測試方法并不是唯一的解決方案，尤其是對于復雜的組件和新的挑戰(zhàn)。

還有一個需要重視的是，SOTIF (ISO/PAS 21448:預期功能的安全性)在半導體公司將扮演什么角色？

SOTIF可能對組件有潛在的兩個方面的影響：一個是安全概念的定義。因為在SEooC組件的情況下，我們需要定義我們的概念(基于假設(shè))，以理解SOTIF和含義，這將有助于創(chuàng)建更現(xiàn)實的定義。

第二個是與冗余有關(guān)，由于SOTIF的存在，冗余也可能需要一定程度的多樣性。因此，不可能多次使用相同的組件來實現(xiàn)潛在的完整操作系統(tǒng)，但是您可能需要多樣性，然后這些可能會對系統(tǒng)研發(fā)產(chǎn)生影響。

然而，SOTIF仍然是一個相對年輕的標準，仍然有很多問題需要解決。比如，此前福特汽車發(fā)布的自動駕駛安全報告中，除了行業(yè)內(nèi)通用的汽車安全標準（ISO 26262），福特還集成和應用危害分析技術(shù)，如系統(tǒng)理論過程分析（STPA），以及預期功能安全（SOTIF）草案標準。

SOTIF對自動駕駛系統(tǒng)分解成26個事故、九類危害（共176個），這個過程需要分解全自動駕駛的架構(gòu)、在每個體系結(jié)構(gòu)級別應用STPA、制定全自動駕駛的操作安全概念、生成測試用例來評估架構(gòu)設(shè)計、開發(fā)/分配可靠的關(guān)鍵軟件系統(tǒng)的設(shè)計模式。

未來對于自動駕駛汽車，系統(tǒng)代替了人的操作，即使系統(tǒng)不發(fā)生故障，也可能因識別、決策或執(zhí)行過程的不準確，導致交通事故發(fā)生。這類非故障情況下因系統(tǒng)功能不足導致的自動駕駛安全風險，歸為預期功能安全領(lǐng)域（SOTIF）。