羅姆對(duì)于ISO 26262 安全認(rèn)證的分析解讀

汽車功能安全標(biāo)準(zhǔn) ISO 26262 是汽車領(lǐng)域的電氣 / 電子相關(guān)功能安全國(guó)際標(biāo)準(zhǔn)，在汽車的電子化及高性能化發(fā)展，以及全球市場(chǎng)對(duì)汽車安全性能要求日趨嚴(yán)格的背景下，于 2011 年 11 月正式頒布，貫穿于整個(gè)車輛的生命周期，目前已經(jīng)在汽車行業(yè)廣泛推行。

隨著自動(dòng)駕駛(ADAS)相關(guān)的技術(shù)不斷創(chuàng)新，汽車電子技術(shù)革新進(jìn)程加速，為確保汽車的安全性，要求組成車載零部件的半導(dǎo)體也要達(dá)到安全標(biāo)準(zhǔn)。于是在 2018 年頒布的第２版中，不僅對(duì)象范圍擴(kuò)大到巴士、卡車、兩輪車輛，還新增了半導(dǎo)體部分，半導(dǎo)體元器件作為支持自動(dòng)駕駛功能安全的核心產(chǎn)品成為關(guān)注的焦點(diǎn)。

羅姆于 2018 年通過第三方認(rèn)證機(jī)構(gòu)德國(guó)萊茵 TüV Rheinland 取得了 ISO 26262 的開發(fā)工藝認(rèn)證。這意味著羅姆面向車載領(lǐng)域的元器件開發(fā)工藝被認(rèn)定為可滿足該標(biāo)準(zhǔn)中的高安全等級(jí)"ASIL-D"。包括流程認(rèn)證、產(chǎn)品認(rèn)證、開發(fā)端口協(xié)議責(zé)任等，以及羅姆對(duì)于安全認(rèn)證的分析解讀，對(duì)行業(yè)的安全品質(zhì)提升等都具有一定的啟發(fā)性。

貫穿車輛生命周期的兩大類安全

據(jù)羅姆半導(dǎo)體（上海）有限公司技術(shù)中心副總經(jīng)理李春華介紹，"ISO 26262"標(biāo)準(zhǔn)預(yù)先計(jì)算出汽車電控方面的故障風(fēng)險(xiǎn)，并把降低該風(fēng)險(xiǎn)的機(jī)制作為功能的一部分預(yù)先植入系統(tǒng)中，從而實(shí)現(xiàn)"功能安全"的標(biāo)準(zhǔn)化開發(fā)工藝。該標(biāo)準(zhǔn)的對(duì)象涵蓋從車輛的構(gòu)思到系統(tǒng)、ECU(電子控制單元)、嵌入式軟件、元器件開發(fā)及相關(guān)的生產(chǎn)、維護(hù)、報(bào)廢等整個(gè)車輛開發(fā)生命周期。

“安全=沒有不可容忍的風(fēng)險(xiǎn)”，在這一前提下，李春華解釋，安全自身又被分為“本質(zhì)安全”和“功能安全”兩類：其中，“本質(zhì)安全”是指降低機(jī)器危及人命和環(huán)境的因素，或徹底排除這種誘因。日常生活中，將列車線路和常規(guī)馬路設(shè)置為立交狀態(tài)，避免事故發(fā)生，即為此類案例。它的優(yōu)勢(shì)在于可以確保絕對(duì)的安全，但大規(guī)模改造的成本很高。

“功能安全”則是指引入有效的改善辦法，確保可容忍范圍的安全。例如通過在鐵道口設(shè)置報(bào)警器和安全欄桿，將風(fēng)險(xiǎn)降低到可容忍范圍內(nèi)即屬于此類范疇。它的特點(diǎn)在于可以根據(jù)改善方案實(shí)現(xiàn)成本的降低，但必須考慮到故障的發(fā)生。這就要看設(shè)立系統(tǒng)時(shí)是不是可以把危險(xiǎn)系數(shù)降到可容忍的范圍，“本質(zhì)安全”、“功能安全”，就看是從哪種角度去設(shè)置系統(tǒng)的產(chǎn)品定義。

圖 1：本質(zhì)安全和功能安全的區(qū)別

ISO 26262 認(rèn)證必知

ISO 26262 流程認(rèn)證需要 109 個(gè)工作成果，涉及管理、概念、系統(tǒng)、硬件、軟件、生產(chǎn)、支持程序、安全分析等不同的類別。據(jù)了解，對(duì)于羅姆這樣的 IC 廠商來說，主要考慮的是管理、硬件、生產(chǎn)、支持程序、安全分析在流程上的認(rèn)證，而概念、系統(tǒng)、軟件等類別，主要面向 OEM、Tier1 和軟件廠商，并不在其取得認(rèn)證流程的內(nèi)容中。

圖 2：ISO 26262 流程對(duì)應(yīng)的工作成果

對(duì)應(yīng)認(rèn)證流程完成工作成果的規(guī)范化之后，就需要對(duì)應(yīng) ISO 26262 的開發(fā)體制。據(jù)李春華介紹，對(duì)于芯片設(shè)計(jì)企業(yè)而言，首先需要明確待開發(fā)的 LSI 項(xiàng)目對(duì)應(yīng)哪個(gè) ASIL 等級(jí)，明確指定項(xiàng)目中的功能安全擔(dān)當(dāng)，其次還有項(xiàng)目經(jīng)理、開發(fā)負(fù)責(zé)人等，設(shè)立要完全符合認(rèn)證流程。同時(shí)，該流程中還需引入第三方組織進(jìn)行監(jiān)管，直接與公司內(nèi)部的功能安全管理者進(jìn)行對(duì)接，工作內(nèi)容包括功能安全相關(guān)的橫向流程構(gòu)建、管理確認(rèn)策略和流程監(jiān)控。通過這些流程設(shè)立和針對(duì)流程的開發(fā)，才可以去開發(fā)符合 ISO 26262 流程的產(chǎn)品。

接下來是產(chǎn)品標(biāo)準(zhǔn)，涉及到客戶所要求的安全功能。李春華以電源 LSI 為例談到，該產(chǎn)品被用于 ASIL-D 等級(jí)的 ADAS 或 EPS 電源。對(duì)應(yīng)客戶需要強(qiáng)化功能安全的，羅姆會(huì)進(jìn)一步去強(qiáng)化，而這需要和 Tier1、OEM 廠商的充分溝通，從而建立保護(hù)功能失效機(jī)制。

他強(qiáng)調(diào)，安全機(jī)制、自診斷功能、功能的雙重化等，電路的追加必不可少，工作成果的追加必不可少。同時(shí)，為制作工作成果，需要有理解內(nèi)容的功能安全管理，并對(duì)成果進(jìn)行評(píng)估、檢查、評(píng)分，以上都是為了取得 ISO 26262 認(rèn)證必須要做到的事情。

羅姆如何取得認(rèn)證？

李春華介紹，羅姆作為半導(dǎo)體制造商，自 2017 年開發(fā)了由液晶驅(qū)動(dòng)電源 IC 等構(gòu)成的、支持功能安全的液晶面板芯片組，并在 2018 年取得 ISO 26262 開發(fā)工藝認(rèn)證，不斷推進(jìn)支持汽車功能安全的產(chǎn)品開發(fā)。在車載級(jí)元器件方面，羅姆打造了車載產(chǎn)品專用生產(chǎn)線，并遵行汽車行業(yè)質(zhì)量管理體系"IATF 16949"及電子元器件可靠性標(biāo)準(zhǔn)"AEC-Q100/101/200"等來推進(jìn)產(chǎn)品開發(fā)。目前，羅姆的解決方案主要包括“針對(duì)液晶面板的解決方案”以及“針對(duì) ECU 電源電路的解決方案”。

圖 3：車輛顯示裝置的電路配置示例

圖 4：車載 ECU 外圍電源配置示例

在取得 ISO 26262 認(rèn)證的整個(gè)過程中，羅姆都做了哪些工作呢？據(jù)李春華介紹，羅姆成立了專門的工作組，下設(shè)五個(gè)不同的分科(流程、產(chǎn)品、教育、工具、生產(chǎn))，主要職責(zé)包括符合 ISO 26262 的車載 IC 開發(fā)流程的制定和維護(hù)管理、符合 ISO 26262 的公司內(nèi)部體制的建立、整合統(tǒng)一需要對(duì)外提供的 ISO 26262 相關(guān)文件的格式、實(shí)施關(guān)于 ISO 26262 的培訓(xùn)、以及向外部宣傳 ROHM 致力于取得 ISO 26262 的行動(dòng)。

而流程認(rèn)證和產(chǎn)品認(rèn)證還有不同，主要在于：流程認(rèn)證的取得，首先需要審核公司規(guī)定、開發(fā)標(biāo)準(zhǔn)、操作流程書等是否確立符合 ISO 26262 標(biāo)準(zhǔn)的流程，然后依據(jù)取得認(rèn)證的流程進(jìn)行 LSI 開發(fā)時(shí)，需要追加很多工作成果，并在規(guī)格書上注明“依據(jù)符合 ISO 26262 ASIL-X 標(biāo)準(zhǔn)的流程進(jìn)行開發(fā)”；而產(chǎn)品認(rèn)證主要針對(duì) MCU 等超通用品，各產(chǎn)品分別取得認(rèn)證，每個(gè)產(chǎn)品都要符合 ISO 26262 標(biāo)準(zhǔn)的流程進(jìn)行開發(fā)，各工作成果也要經(jīng)過審核認(rèn)證。

根據(jù) ISO 26262 第二版中對(duì)于硬件元素的評(píng)估可以看出，元器件的復(fù)雜度，以及 Class1、Class2、Class3 的器件要求方面，例如一些外圍芯片是否需要支持 ISO 26262 開發(fā)流程，這方面的規(guī)格文檔上雖然有明確，但實(shí)際安全知識(shí)如何對(duì)應(yīng)去支持，仍需要進(jìn)一步調(diào)查，包括市場(chǎng)動(dòng)態(tài)、競(jìng)爭(zhēng)對(duì)手的情況等。另外像馬達(dá)驅(qū)動(dòng)、電源本身是屬于第二類，如果把它做為第三類的話，是不是所有器件都要按照符合 ISO 26262 流程標(biāo)準(zhǔn)去做，也需要進(jìn)一步評(píng)估。

圖 5：ISO 26262 第二版中對(duì)硬件元素的評(píng)估概況

李春華強(qiáng)調(diào)，取得 ISO 26262 安全認(rèn)證，首先對(duì)于產(chǎn)品定義來說，優(yōu)勢(shì)在于功能安全的級(jí)別提升，可以滿足車廠要求的定義。雖然成本是功能安全對(duì)應(yīng)部分的價(jià)格，但整個(gè)芯片組是優(yōu)化的，因此從解決方案層面來看，客戶可以感受到比產(chǎn)品成本更大的功能提升和削減開發(fā)工時(shí)的好處。

此外，羅姆也可以幫助現(xiàn)有方案進(jìn)行提升。例如現(xiàn)有電源方案的產(chǎn)品功能要提升 ASIL 等級(jí)，如果讓芯片廠商重新開發(fā)一個(gè)對(duì)應(yīng)的產(chǎn)品，對(duì)于開發(fā)時(shí)長(zhǎng)、成本來說代價(jià)都很大。羅姆可以提供電源輔助類的產(chǎn)品（如電源監(jiān)控 IC），如果芯片中已經(jīng)具有功能安全（包括自我診斷的功能），通過加上羅姆的輔助芯片就可以提升整個(gè)電源方案，達(dá)到同樣的功能等級(jí)，這對(duì)于 OEM、Tier1 都可以有效節(jié)省開發(fā)周期、開發(fā)成本。

編輯：hfy