行業(yè)洞察 | 汽車行業(yè)合規(guī)與功能安全指南（中篇）：ISO2626 標準出臺十周年

本系列文章包含上中下三篇內(nèi)容，上篇著眼于ISO 26262標準的歷史與發(fā)展；本文重點介紹ISO26262標準的功能安全與等級；下篇內(nèi)容將深入探討ISO 26262標準下的產(chǎn)品應(yīng)用與設(shè)計流程，敬請關(guān)注。

汽車行業(yè)的“雙十一”

今年11月11日是 ISO 26262 標準發(fā)布 10 周年紀念日，該標準于 2011 年 11 月 11 日首次發(fā)布，全稱是《道路車輛功能安全》。這是一項有關(guān)汽車電氣和（或）電子（E/E）系統(tǒng)功能安全的國際標準。

該標準于2011年由國際標準化組織 (ISO)進行定義，并于2018年進行修訂。其中，修訂版中第 11 章的內(nèi)容對于我們而言最為重要，因為第11章增加了關(guān)于半導(dǎo)體和半導(dǎo)體 IP 的內(nèi)容，明確針對車輛中半導(dǎo)體部件的設(shè)計作出了規(guī)定。

ISO 26262 標準包括哪些內(nèi)容？

第一版，也就是剛滿 10 周年的版本，正式名稱是 ISO 26262:2011。它是基于從 2006 年開始的研究進展，并完全取代了 IEC 61508標準（即《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》標準），相較早期的工業(yè)和鐵路標準更為成熟。ISO 26262:2011標準單獨針對車輛（稱之為 “Item/物品”）、系統(tǒng)、硬件和軟件；僅包括 3500 公斤以下量產(chǎn)汽車的電氣和電子系統(tǒng)；不包括液壓和機械系統(tǒng)、專業(yè)車輛（如一級方程式賽車、卡車、巴士、摩托車或越野車）。

第二版 ISO 26262:2018 將范圍擴大到除了輕便摩托車之外的所有道路車輛。第一版的一個問題是使用了“硬件資格認證 (hardware qualification)” 一詞，但其含義與我們在半導(dǎo)體領(lǐng)域談?wù)摰?“資格認證”并不相同。在第二版中，這個詞語變成了“硬件評估 (hardware evaluation)”。

功能安全和 ASIL 等級

道路車輛的功能安全可以歸結(jié)為以下幾個宗旨：

• 風(fēng)險永遠不可能降低為零

• 對于每個應(yīng)用，都有一個非零的可接受風(fēng)險水平

• 避免可以避免的故障

• 檢測無法避免的故障，并過渡到安全狀態(tài)以避免傷害

一共有兩大類故障：系統(tǒng)性故障和隨機故障。系統(tǒng)性故障是確定性的，總是在相同的條件下發(fā)生。針對此類故障的重點是避免故障發(fā)生。隨機故障是非確定性的，可以用概率分布來描述。就像高能宇宙射線在存儲器中進行位翻轉(zhuǎn)一樣。針對此類故障的重點是故障檢測。

在 ISO 26262 中引入的另一個概念是汽車安全完整性等級，即 ASIL（Automotive Safety Integrity Level）。ASIL有四個級別，從 ASIL-A 到 ASIL-D，ASIL-A 要求達到最低的功能安全風(fēng)險水平，而 ASIL-D 的要求最高。

事件按多個維度分類，這些維度組合在一起，確定 ASIL 級別：

嚴重程度

如果事件發(fā)生，后果會有多嚴重：

• S0 沒有傷害

• S1 輕度至中度傷害

• S2 嚴重到有生命危險（可能存活）的傷害

• S3 有生命危險（不確定是否存活）到致命的傷害

暴露等級

事件發(fā)生的可能性有多大：

• E0 非常不可能

• E1 非常低的概率（只有在罕見的操作條件下才會發(fā)生傷害）

• E2 低概率

• E3 中等概率

• E4 高概率（在大多數(shù)操作條件下都可能發(fā)生傷害）

可控性

對于司機而言的可控性如何：

• C0 一般可控

• C1 簡單可控

• C2 通常可控（大多數(shù)司機可以采取措施防止受傷）

• C3 難以控制或不可控

其他相關(guān)標準

Accellera Systems Initiative 是一個標準組織，在電子設(shè)計自動化和集成電路設(shè)計和制造領(lǐng)域支持用戶和供應(yīng)商標準及開放接口開發(fā)。Accellera有一個功能安全工作組，該小組由 Cadence 的 Allessandra Nardi 主持，其任務(wù)是“將捕捉和傳播安全意圖的信息實現(xiàn)標準化，從系統(tǒng)到 SoC/IP 設(shè)計和實現(xiàn)，包括故障模式傳播、驗證、確認、可靠性和安全機制”。其關(guān)鍵是 USF，即通用安全格式（Universal Safety Format），它允許 EDA 工具傳達安全要求。

另一個與汽車有關(guān)的標準是 ISO 21434，即《道路車輛 - 網(wǎng)絡(luò)安全工程》。該標準目前正在制定中，第一稿已于 2020 年 2 月發(fā)布，它涉及道路車輛電子系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。安全專家喜歡表示“沒有安全措施就沒有安全”，這是事實。關(guān)于網(wǎng)絡(luò)安全風(fēng)險的案例，歡迎點擊觀看下方視頻，視頻中《Wired》記者駕駛著一輛吉普車，車內(nèi)娛樂系統(tǒng)遭受了黑客Charlie Miller 和 Chris Valasek的遠程攻擊，空調(diào)、音樂，甚至方向盤、變速器和剎車都先后遭受了控制，黑客最終將吉普車開進了溝里。