ISO 26262是针对汽车电子的功能安全标准，它定义了汽车安全完整性等级 (ASIL)，本文讲述半导体厂商罗姆（ROHM）车载芯片在获得认证过程中的故事。

随着汽车电子电气系统越来越集成和复杂，其安全性也越发显得重要。因此，对功能安全的考虑应该深入工程师的设计思维。而ISO 26262正是国际标准化组织专门针对汽车电子电气系统制定的功能安全标准，目前已经在汽车行业广泛推行。

ISO 26262是汽车电子电气相关的功能国际标准

ISO是国际标准化组织的一个简称，总部设于瑞士日内瓦的非政府组织，负责制定国际标准。像比较著名的是品质管理系统的ISO 9001、环境管理系统较为出名的ISO 14001；针对于汽车产业的国际品质管理系统有个IATF 16949的标准。ISO 26262是以IATF 16949为前提，对功能安全进行了一个规范化，是以汽车的电子电气相关的功能国际标准。

ISO 26262是汽车的电气/电子相关的功能安全标准，该标准制定于2011年11月，并且在2018年又发布了第二版，追加了半导体指南内容。我们平常熟悉的ISO 26262概况，像V字模型，针对于各个部分的一个要求都有阐述，包括一些功能安全的管理，包括一些Safety Goal的建立，包括硬件、软件、生产、应用等等各个部分。

ISO 26262认证分成两个方面，开发流程标准和产品标准。开发流程标准是以之前IATF 16949为基础，引入像账票类、可追溯类的管理这些内容。针对于产品性能的标准，比如像符合ASIL等级安全机制的功能，其中包括自我诊断的功能认证。

何为功能安全？安全就是没有不可容忍的风险，安全本身也分为“本质安全”和“功能安全”。

“本质安全”就是说降低机器设备以及人命的环境因素，彻底排除这个诱因。

“功能安全”就是我可以把危险系数降到一个可容忍的范围，通过一个有效的改善方法。

我们有一个很通俗的例子来解释一下：在两条路上有不同方向的行车，避免发生交通事故有两种方式。“本质安全”，通过包括像设立立交状态，从根本上去避免不同方向的车在行驶当中发生故障的方式。

而”功能安全”是在不同方向的道路上设置一些警报器包括安全栏杆，将风险降低到可容忍的范围内。

”本质安全”的优势就在于可以彻底去排除涉及到危险的诱因，但大规模的改造成本很高。”功能安全”就是说可以通过一些低成本的方式来实现可容忍范围内的安全，但危险还是存在的，就要看设立系统的时候是不是可以把危险系数降到可容忍的范围，这个就是对于安全的一个定义，“本质安全”、“功能安全”，就看从哪种角度去出发设置系统的产品定义。

罗姆取得ISO 26262认证

罗姆为了取得ISO 26262认证建立了专门的工作组，工作组的目的是对应功能安全。未来罗姆要开展车载业务，要为客户提供符合ISO 26262标准的产品。所以，罗姆在内部实施开发流程，包括第三方机构认证，推出符合客户要求的车载产品。

针对于ISO 26262车载开发流程的制定，包括维护的管理。罗姆分成五个大的方面进行展开，建立了五个不同的分科（流程、产品、教育、工具、生产）。

通过五个分科会，罗姆认证的过程通过具体的小组去进行负责和推进工作细节。

针对于ISO 26262流程认证，我们有109个工作成果，它们包括硬件、软件、生产、支持程序、安全分析等方面，涉及到OEM、Tier1等内容，在我们取得认证流程的内容中。

针对ISO 26262的开发体制，需要非常熟悉的功能安全管理者。在芯片设计方面，要定义对应哪个ASIL等级的产品开发，在ASIL等级产品开发项目立项中要完全符合ISO 26262认证流程，这包括项目经理、、开发负责人、开发担当等角色的设立。

同时，在这个流程中还需要有第三方组织来做监管，第三方组织的功能安全管理者和公司内部的管理安全还要做对接，针对于功能安全横向的流程构建、管理进行策略的提供和流程监控。通过这些流程设立和针对流程的开发，我们才能去开发符合ISO 26262流程的产品。

产品的标准涉及到汽车用户所需要的各种安全功能，以电源LSI为例，用途是针对像ASIL-D等级ADAS或者EPS电源用的电源构架项的电源系统。

芯片要具有主要功能和保护功能，芯片本身主要功能就是一个电源的构架，从输入电源到输出电源要符合电源的特性。在保证特性时，芯片也加入了保护回路，比如TSD的过热保护回路、OVP的过压保护回路、UVP的欠压保护回路等等。

在强化功能安全中，罗姆强化的工作部分主要在于芯片保护功能保证正常工作。罗姆充分和Tier1厂商、OEM厂商协商之后，决定在哪些地方需要去把保护功能失效机制体现出来，功能原因的故障规避包括构建安全机制和自我诊断的功能，在这个基础上把保护回路的保护措施加上去。

为了确保汽车安全行驶，针对LSI的安全等级会越来越高，就要保证针对于像LSI等级的电源功能安全提升。

ISO 26262的互动问答：

互动嘉宾：罗姆半导体（上海）有限公司技术中心副总经理李春华

问：作为主机厂，如何降低不合规风险，并减少开发和认证成本？

答：刚才我也说到，在现有的方案当中，比方刚才我说的电源这样一个系统，它本身能实现功能，但是对于产品功能要提升ASIL等级，如果在现有电源上去推翻，让芯片厂商重新开发一个对应的产品，对于开发时长、成本来说都比较贵。罗姆就可以去提供一些电源辅助类的产品，（如电源监控IC）对于芯片里面我们已经具有功能安全包括自我诊断的功能，通过加上罗姆的电源监控芯片就可以去帮助提升电源的方案，这个就是说可以对于OEM、Tier1这块有效的去节省开发周期、开发成本，来达到实现同样功能等级的一些产品。

问：全球有哪些国家和地区实行ISO 26262标准？

答：ISO 26262是一个国际性的标准，最初的起源是欧洲整车厂推出了这样一个标准。现在除了欧洲整车厂普遍的按照这个标准去实行，像美国、日本，韩国、中国也是陆续在跟进这样一个标准。

问：HEV/EV使用的电子元器件是否也需要通过ISO 26262认证？如果是的话，对元器件的要求与燃油车相比有哪些不同？

答：我们先看第一个问题，因为对于像混动包括像纯电动车使用的电子元器件和燃油车从本质上都是一致的。因为本身是对一个产品所要实现的功能安全目标而言的，不管是混动也好、EV也好还是燃油车也好，对于这个器件所需要针对于功能安全去实施的话，对于元器件需要具备什么功能的定义。包括像HEV或者EV这块使用的整体驱动方式，与燃油车也不同，针对于像驱动方式不同的产品可能会增加一些新的功能安全需求，包括像主逆变器有不同的Safety Goal定义。

问：通过ISO 26262除了流程制定和管理，在产品设计上还需要做那些额外的工作？

答：刚才我也说了，流程这块通过认证以后不是一个终结，对于各个产品的设计要符合这个流程来做，设计产品当中除了流程要走以外，公司内必须要有监控人，对第三方也有一个定期的管理人，并且在工作之外还要做大量的工作成果物，像刚才说的FIT值、FMEDA值，都是通过像客户对接协议DIA文档去明确哪些是罗姆要做的，哪些是客户要做的。

问：随着电子电气化程度越来越高，其整车的安全性很大程度就取决于电子控制器的安全性，未来ISO 26262是否会成为强制性标准？

答：虽然ISO 26262旨在实现功能安全，但它并不是法律。因此，不遵守ISO 26262标准并不违法。但是，汽车制造商不会购买不符合标准的产品。汽车制造商通过根据ISO 26262设计电气／电子系统来证明能够确保汽车的安全。而且，设计应确保即使发生了电气／电子系统故障，也不会造成人身（不仅包括驾驶员和乘客，还包括行人等）伤害。

问：支持功能安全的芯片方案，在成本和功能提升上是否成正比？如何衡量功能安全的价值？

答：首先上功能安全对于产品定义来说，优势在于功能安全的级别可以提升，可以满足车厂要求的定义。虽然成本是功能安全对应部分的价格，但是芯片组是优化的，所以简单的从解决方案层面来使用。客户可以感受到比产品成本更大的功能提升和削减开发工时的好处。

问：相比传统汽车，自动驾驶汽车、新能源汽车的安全挑战是否更大？认证会遇到哪些挑战？我们的优势是什么？

答：刚才我也说到不光是传统汽车也好，自动驾驶汽车也好，新能源汽车也好，其实各个器件都有自己Safety Goal的因素，针对于Safety Goal的需求产品上如何实现这个就是功能安全的主要课题。当然相比于传统汽车，像自动驾驶汽车、新能源汽车，车内这块的电子系统会更加多一些，对于这些电子系统更多的场合下，支持ISO 26262的要求多根据Tier1和OEM制造商的要求。如果支持ISO 26262的话，安全的开发流程和资料都齐备，Tier1、OEM制造商可以顺利地验证安全程度。罗姆已经取得了ISO 26262的开发流程认证，正在致力于进行考虑到功能安全的产品开发和设计（罗姆的LSI是考虑到高品质和安全的产品）。罗姆可以提供客户对应规格所需的数据（FMEA、FIT、FMEDA等）。 

问：自动驾驶在如今不断创新和快速发展的大环境下，在车载应用相关的产品开发中该怎样结合功能安全去设计，这个过程会遇到什么难点？

答：像王老师所说的，自动安全这块，因为本身很多器件都会涉及到和人身性命息息相关的部件，包括自动驾驶当中像雷达、传感器等等，一旦出错可能会造成无可挽回的结果。以汽车ECU（Electronic Control Unit）为例，车载应用要实现“功能安全”，不仅需要主功能，还需要“安全机制”，即能够监控主功能是否正常，当发生异常时，能够根据每种功能进行处理，保护人员（包括驾驶员、乘客以及行人）安全的功能。此外，还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。针对这一问题，罗姆通过在独立的电源监控IC中内置各种监控功能和自我诊断功能，实现了可以轻松为现有电源增加功能安全性，并且已经实现量产的一款电源监控IC，即可以监控多个电源的电源监控IC“BD39040MUF”。

问：目前罗姆在汽车领域的所有方案都符合ISO 26262标准吗？

答：刚才我也说了，罗姆已经取得了ISO 26262开发流程认证，正在致力于进行考虑到功能安全的产品开发和设计（罗姆的LSI是考虑到高品质和安全的产品）。目前，符合工艺要求的产品有PMIC三种机型正在开发中。但是，即使不符合工艺，也有能够支持ISO 26262的应用的产品，如PMIC、电源监视IC、T-CON、EEPROM和复位IC等也广泛地扩展到车规级，有超过1000种机型。

问：液晶面板用芯片组的市场发展情况如何？有多少厂商在用？

答：现在液晶面板用芯片组是罗姆在功能安全方面主推产品之一。因为大家也知道随着ADAS自动驾驶越来越普及，车内的电子，像一些电子显示这块像原来的一个导航、中控，现在发展成包括像仪表、两侧的后视镜、后座余热包括像车内后视镜有很多液晶面板的使用，这也是罗姆为什么会针对于这个方向上推了芯片组。具体厂商名不方便透露。

问：罗姆差不多两年半的时间才拿到ISO 26262认证资格，这个时间与竞争对手相比处于一个什么速度？您认为仅用两年半拿到资质罗姆的优势是什么？

答：罗姆从2015年开始构建ISO 26262的流程，约在2年半后的2018年3月，通过德国第三方认证机构TÜV Rheinland获得了ISO 26262的流程认证。换句话说，罗姆的ISO 26262流程已经被认定为是符合ISO 26262标准的流程。一般通常的做法是根据顾问等外援的建议来构建流程，但罗姆不止于此，还举办了多场研讨会来学习和了解该标准，以调整方向，建立符合标准的流程。

问：刚才两个案例是罗姆已有功能安全的方案，还有哪些是罗姆正在开发的功能安全应用？

答：我刚才可能问题当中也是有介绍过，一方面我们现在推的两个方案是帮助客户去提升功能安全等级的方案。我们还有三款PMIC正在在流程上进行开发。

问：不同的ASIL等级认证是对应汽车不同部位的应用产品吗？

答：这个问题可能大家都比较共用的一个问题，针对于所有产品可能ASIL越高越好呢？这个刚才我也说过了，对于一个汽车它的部件有可能上千上万种，某个部件所承担的功能定义是不一样的。我们说的在传统汽车里面EPS像发动机引擎这块，如果有问题的话它会涉及到人的生命，对于这块产品来说等级可能就高一些，所以说ASIL等级是通过定义产品一个是故障发生频率，另外一个是故障是否可控，另外就是说故障是不是严重。我们刚才说了EPS里面一旦发生故障，通过人本身是控制不了的，所以说功能安全非常高，刚才我举的例子，车窗，或者是包括像座椅这块，虽然也是汽车部件，但对于这块的定义相对来说QM等级就可以了，如果定义是QM等级，对于产品里面整体的功能安全构架就有不同。所以说，对应于汽车不同部件产品可能也是不一样的。