汽車功能安全標準 ISO 26262 是汽車領域的電氣 / 電子相關功能安全國際標準，在汽車的電子化及高性能化發展，以及全球市場對汽車安全性能要求日趨嚴格的背景下，于 2011 年 11 月正式頒布，貫穿于整個車輛的生命周期，目前已經在汽車行業廣泛推行。

隨著自動駕駛(ADAS)相關的技術不斷創新，汽車電子技術革新進程加速，為確保汽車的安全性，要求組成車載零部件的半導體也要達到安全標準。于是在 2018 年頒布的第２版中，不僅對象范圍擴大到巴士、卡車、兩輪車輛，還新增了半導體部分，半導體元器件作為支持自動駕駛功能安全的核心產品成為關注的焦點。

羅姆于 2018 年通過第三方認證機構德國萊茵 TüV Rheinland 取得了 ISO 26262 的開發工藝認證。這意味著羅姆面向車載領域的元器件開發工藝被認定為可滿足該標準中的高安全等級"ASIL-D"。包括流程認證、產品認證、開發端口協議責任等，以及羅姆對于安全認證的分析解讀，對行業的安全品質提升等都具有一定的啟發性。

貫穿車輛生命周期的兩大類安全

據羅姆半導體（上海）有限公司技術中心副總經理李春華介紹，"ISO 26262"標準預先計算出汽車電控方面的故障風險，并把降低該風險的機制作為功能的一部分預先植入系統中，從而實現"功能安全"的標準化開發工藝。該標準的對象涵蓋從車輛的構思到系統、ECU(電子控制單元)、嵌入式軟件、元器件開發及相關的生產、維護、報廢等整個車輛開發生命周期。

“安全=沒有不可容忍的風險”，在這一前提下，李春華解釋，安全自身又被分為“本質安全”和“功能安全”兩類：其中，“本質安全”是指降低機器危及人命和環境的因素，或徹底排除這種誘因。日常生活中，將列車線路和常規馬路設置為立交狀態，避免事故發生，即為此類案例。它的優勢在于可以確保絕對的安全，但大規模改造的成本很高。

“功能安全”則是指引入有效的改善辦法，確保可容忍范圍的安全。例如通過在鐵道口設置報警器和安全欄桿，將風險降低到可容忍范圍內即屬于此類范疇。它的特點在于可以根據改善方案實現成本的降低，但必須考慮到故障的發生。這就要看設立系統時是不是可以把危險系數降到可容忍的范圍，“本質安全”、“功能安全”，就看是從哪種角度去設置系統的產品定義。

圖 1：本質安全和功能安全的區別

ISO 26262 認證必知

ISO 26262 流程認證需要 109 個工作成果，涉及管理、概念、系統、硬件、軟件、生產、支持程序、安全分析等不同的類別。據了解，對于羅姆這樣的 IC 廠商來說，主要考慮的是管理、硬件、生產、支持程序、安全分析在流程上的認證，而概念、系統、軟件等類別，主要面向 OEM、Tier1 和軟件廠商，并不在其取得認證流程的內容中。

圖 2：ISO 26262 流程對應的工作成果

對應認證流程完成工作成果的規范化之后，就需要對應 ISO 26262 的開發體制。據李春華介紹，對于芯片設計企業而言，首先需要明確待開發的 LSI 項目對應哪個 ASIL 等級，明確指定項目中的功能安全擔當，其次還有項目經理、開發負責人等，設立要完全符合認證流程。同時，該流程中還需引入第三方組織進行監管，直接與公司內部的功能安全管理者進行對接，工作內容包括功能安全相關的橫向流程構建、管理確認策略和流程監控。通過這些流程設立和針對流程的開發，才可以去開發符合 ISO 26262 流程的產品。

接下來是產品標準，涉及到客戶所要求的安全功能。李春華以電源 LSI 為例談到，該產品被用于 ASIL-D 等級的 ADAS 或 EPS 電源。對應客戶需要強化功能安全的，羅姆會進一步去強化，而這需要和 Tier1、OEM 廠商的充分溝通，從而建立保護功能失效機制。

他強調，安全機制、自診斷功能、功能的雙重化等，電路的追加必不可少，工作成果的追加必不可少。同時，為制作工作成果，需要有理解內容的功能安全管理，并對成果進行評估、檢查、評分，以上都是為了取得 ISO 26262 認證必須要做到的事情。

羅姆如何取得認證？

李春華介紹，羅姆作為半導體制造商，自 2017 年開發了由液晶驅動電源 IC 等構成的、支持功能安全的液晶面板芯片組，并在 2018 年取得 ISO 26262 開發工藝認證，不斷推進支持汽車功能安全的產品開發。在車載級元器件方面，羅姆打造了車載產品專用生產線，并遵行汽車行業質量管理體系"IATF 16949"及電子元器件可靠性標準"AEC-Q100/101/200"等來推進產品開發。目前，羅姆的解決方案主要包括“針對液晶面板的解決方案”以及“針對 ECU 電源電路的解決方案”。

圖 3：車輛顯示裝置的電路配置示例

圖 4：車載 ECU 外圍電源配置示例

在取得 ISO 26262 認證的整個過程中，羅姆都做了哪些工作呢？據李春華介紹，羅姆成立了專門的工作組，下設五個不同的分科(流程、產品、教育、工具、生產)，主要職責包括符合 ISO 26262 的車載 IC 開發流程的制定和維護管理、符合 ISO 26262 的公司內部體制的建立、整合統一需要對外提供的 ISO 26262 相關文件的格式、實施關于 ISO 26262 的培訓、以及向外部宣傳 ROHM 致力于取得 ISO 26262 的行動。

而流程認證和產品認證還有不同，主要在于：流程認證的取得，首先需要審核公司規定、開發標準、操作流程書等是否確立符合 ISO 26262 標準的流程，然后依據取得認證的流程進行 LSI 開發時，需要追加很多工作成果，并在規格書上注明“依據符合 ISO 26262 ASIL-X 標準的流程進行開發”；而產品認證主要針對 MCU 等超通用品，各產品分別取得認證，每個產品都要符合 ISO 26262 標準的流程進行開發，各工作成果也要經過審核認證。

根據 ISO 26262 第二版中對于硬件元素的評估可以看出，元器件的復雜度，以及 Class1、Class2、Class3 的器件要求方面，例如一些外圍芯片是否需要支持 ISO 26262 開發流程，這方面的規格文檔上雖然有明確，但實際安全知識如何對應去支持，仍需要進一步調查，包括市場動態、競爭對手的情況等。另外像馬達驅動、電源本身是屬于第二類，如果把它做為第三類的話，是不是所有器件都要按照符合 ISO 26262 流程標準去做，也需要進一步評估。

圖 5：ISO 26262 第二版中對硬件元素的評估概況

李春華強調，取得 ISO 26262 安全認證，首先對于產品定義來說，優勢在于功能安全的級別提升，可以滿足車廠要求的定義。雖然成本是功能安全對應部分的價格，但整個芯片組是優化的，因此從解決方案層面來看，客戶可以感受到比產品成本更大的功能提升和削減開發工時的好處。

此外，羅姆也可以幫助現有方案進行提升。例如現有電源方案的產品功能要提升 ASIL 等級，如果讓芯片廠商重新開發一個對應的產品，對于開發時長、成本來說代價都很大。羅姆可以提供電源輔助類的產品（如電源監控 IC），如果芯片中已經具有功能安全（包括自我診斷的功能），通過加上羅姆的輔助芯片就可以提升整個電源方案，達到同樣的功能等級，這對于 OEM、Tier1 都可以有效節省開發周期、開發成本。

編輯：hfy