汽車制造商正穩(wěn)步將更多數(shù)量的自動(dòng)駕駛功能整合到量產(chǎn)新車中，由此帶來(lái)的功能安全成為整個(gè)行業(yè)的重中之重。

為了解決這一問(wèn)題，國(guó)際標(biāo)準(zhǔn)化組織（ISO）在2011年制定的ISO 26262標(biāo)準(zhǔn)基礎(chǔ)之上，將于2019年3月正式發(fā)布國(guó)際標(biāo)準(zhǔn)版ISO 26262:2018（最終國(guó)際標(biāo)準(zhǔn)版草案已于2018年底發(fā)布）。

ISO 26262的第一版是在2006年開(kāi)始開(kāi)發(fā)并于2011年發(fā)布。它完全取代了IEC 61508，分別處理車輛、系統(tǒng)、硬件和軟件。這一版本只涵蓋了3500公斤以下車型的電氣和電子系統(tǒng)。不包括液壓和機(jī)械系統(tǒng)，專業(yè)車輛，如一級(jí)方程式賽車，卡車，公共汽車，摩托車，或越野車。

ISO 26262很快成為汽車開(kāi)發(fā)過(guò)程中功能性安全的指導(dǎo)標(biāo)準(zhǔn)。但隨后的7年時(shí)間里，隨著汽車共享化、ADAS及自動(dòng)駕駛技術(shù)的快速導(dǎo)入，這一標(biāo)準(zhǔn)的瓶頸也開(kāi)始出現(xiàn)。

隨著汽車技術(shù)的進(jìn)步，對(duì)電子系統(tǒng)能夠正常運(yùn)行而不出故障的絕對(duì)確定性的需求也越來(lái)越大。而ADAS和自動(dòng)駕駛技術(shù)的快速發(fā)展，正在挑戰(zhàn)半導(dǎo)體行業(yè)將汽車行業(yè)使用的嚴(yán)格安全標(biāo)準(zhǔn)引入其設(shè)計(jì)過(guò)程。

尤其是ISO 26262第一版本雖然包含了硬件開(kāi)發(fā)的部分，但該標(biāo)準(zhǔn)對(duì)半導(dǎo)體本身沒(méi)有具體的指導(dǎo)方針。

ISO 26262:2018包括許多升級(jí)，取消了車型重量限制，從而將其覆蓋范圍擴(kuò)大到其他車輛類別，包括重型公路汽車、卡車、公共汽車和摩托車。值得注意的是，第二版還將包括半導(dǎo)體在汽車功能安全環(huán)境中的設(shè)計(jì)和使用指南。

這一版本將為數(shù)字和模擬組件、可編程邏輯器件(PLDs)、多核處理器和傳感器以及IP領(lǐng)域的半導(dǎo)體供應(yīng)商提供更多的支持。

當(dāng)然，任何汽車半導(dǎo)體的應(yīng)用還必須滿足汽車電子委員會(huì)的AEC- Q100《封裝集成電路的應(yīng)力測(cè)試合格證書(shū)》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光電子器件)、AEC- Q104(用于多芯片模塊)和AEC- Q200(用于無(wú)源元件)所規(guī)定的汽車可靠性要求。

新的版本同樣也提出了很多新的問(wèn)題：功能安全標(biāo)準(zhǔn)化的下一步是什么？如何保證概率系統(tǒng)的安全性？如何將功能安全融入產(chǎn)品整體安全戰(zhàn)略？

然而，ISO 26262:2018仍然缺少的是如何處理自動(dòng)駕駛汽車發(fā)展過(guò)程中所遇到的一些細(xì)節(jié)問(wèn)題。這個(gè)缺失將在第二個(gè)ISO 26262版本ISO/PAS 21448之后的新標(biāo)準(zhǔn)中得到解決，它通常被稱為SOTIF，代表“預(yù)期功能的安全性”。

ISO 26262和SOTIF最終解決的問(wèn)題將涉及汽車供應(yīng)鏈的所有部分。例如，需要設(shè)計(jì)自動(dòng)化軟件來(lái)解決汽車產(chǎn)品環(huán)境中組件的質(zhì)量和可靠性問(wèn)題；以及所有應(yīng)用于汽車設(shè)計(jì)、制造和系統(tǒng)內(nèi)操作的軟件的工具資格文件的要求。

ISO 26262仍然是提供安全系統(tǒng)、安全硬件和安全軟件的基礎(chǔ)。其目的是在故障發(fā)生時(shí)確保獨(dú)立、安全的操作。ISO 26262標(biāo)準(zhǔn)建立了最先進(jìn)的流程和體系結(jié)構(gòu)，明確地設(shè)置了允許系統(tǒng)安全的規(guī)則。

目前仍在開(kāi)發(fā)中的SOTIF標(biāo)準(zhǔn)將為L(zhǎng)0級(jí)、L1級(jí)和L2級(jí)自動(dòng)駕駛(AD)車輛提供指導(dǎo)方針。即使是這些級(jí)別的自動(dòng)駕駛，全球汽車行業(yè)專家仍然在努力定義如何使系統(tǒng)安全。

他們面臨著一個(gè)難題是，自動(dòng)駕駛汽車必須是安全的，即使它們不會(huì)發(fā)生故障。因此，SOTIF標(biāo)準(zhǔn)正在起草中，以提供指導(dǎo)，確保自動(dòng)駕駛汽車在正常運(yùn)行期間的功能和行為安全。

傳統(tǒng)汽車行業(yè)有一個(gè)安全流程來(lái)開(kāi)發(fā)符合ISO 26262汽車標(biāo)準(zhǔn)的安全系統(tǒng)。但是，這個(gè)過(guò)程只涉及到由于E/E系統(tǒng)故障而導(dǎo)致的不合理風(fēng)險(xiǎn)。

然而，這些系統(tǒng)的安全性不僅與E/E故障導(dǎo)致的故障行為有關(guān)。它還與駕駛員可預(yù)見(jiàn)的功能濫用、傳感器或系統(tǒng)的性能限制或道路環(huán)境的意外變化有關(guān)。

在汽車E/E系統(tǒng)沒(méi)有出現(xiàn)故障的情況下，如何應(yīng)對(duì)其他不合理的風(fēng)險(xiǎn)，一個(gè)新的課題“預(yù)期功能的安全性”(SOTIF)成為當(dāng)今汽車行業(yè)的熱門話題。新的安全標(biāo)準(zhǔn)“ISO PAS 21448”提供了如何解決這些問(wèn)題的指導(dǎo)，與ISO 26262功能安全互補(bǔ)。

即將發(fā)布的SOTIF所涵蓋的主題將包括：如何評(píng)價(jià)不同于ISO 26262的SOTIF危害；如何識(shí)別和評(píng)估場(chǎng)景和觸發(fā)事件；如何降低SOTIF相關(guān)風(fēng)險(xiǎn)；如何驗(yàn)證SOTIF相關(guān)風(fēng)險(xiǎn)和自動(dòng)駕駛汽車上路前必須滿足的條件。

接下來(lái)是自動(dòng)駕駛系統(tǒng)驗(yàn)證必須滿足許多測(cè)試，從模擬到整車，這些測(cè)試包括整個(gè)4D環(huán)境的因素，如天氣、道路狀況、周圍景觀、對(duì)象紋理和可能的駕駛員誤用。

SOTIF將提供許多方法和指導(dǎo)方針，以便在高級(jí)概念分析和隨后的驗(yàn)證過(guò)程中使用環(huán)境場(chǎng)景。SOTIF委員會(huì)希望通過(guò)不同場(chǎng)景的文檔、場(chǎng)景的安全分析、安全場(chǎng)景和各種觸發(fā)事件的驗(yàn)證以及應(yīng)用安全系統(tǒng)在環(huán)境中對(duì)車輛的驗(yàn)證來(lái)指導(dǎo)用戶。

這些高級(jí)的概念、評(píng)估和測(cè)試將遠(yuǎn)遠(yuǎn)超出以前的開(kāi)發(fā)過(guò)程。考慮到這一點(diǎn)，未來(lái)對(duì)測(cè)試平臺(tái)、軟件工具、數(shù)字雙仿真或循環(huán)中的硬件依賴將變得比以往任何時(shí)候都更加重要。

今天，我們重點(diǎn)講一下ISO 26262:2018新增的半導(dǎo)體在汽車功能安全環(huán)境中的設(shè)計(jì)和使用指南。

眾所周知，在接下來(lái)的智能網(wǎng)聯(lián)汽車中，半導(dǎo)體的使用量將快速增長(zhǎng)。根據(jù)相關(guān)機(jī)構(gòu)的數(shù)據(jù)顯示，在2018年實(shí)現(xiàn)24%的強(qiáng)勁同比增長(zhǎng)之后，2019年全球半導(dǎo)體收入預(yù)計(jì)將連續(xù)第三年增長(zhǎng)，達(dá)到4500億美元，較2018年增長(zhǎng)7.7%，到2022年將達(dá)到4820億美元。

其中，汽車應(yīng)用市場(chǎng)將是預(yù)計(jì)到2022年的增長(zhǎng)的主要領(lǐng)域之一（電氣化、互聯(lián)互通、信息娛樂(lè)、高級(jí)駕駛員輔助(ADAS)和自動(dòng)駕駛驅(qū)動(dòng)），從2018年開(kāi)始以9.6%的年復(fù)合增長(zhǎng)率增長(zhǎng)，到2022年達(dá)到547.8億美元。

ISO 26262:2018對(duì)半導(dǎo)體行業(yè)的挑戰(zhàn)是什么?作為二級(jí)汽車供應(yīng)商的半導(dǎo)體公司必須滿足OEM和一級(jí)客戶的許多嚴(yán)格要求。他們必須證明交付給這些客戶的集成電路和系統(tǒng)的開(kāi)發(fā)遵循使用合格軟件工具的設(shè)計(jì)、驗(yàn)證和驗(yàn)證流程。

ISO 26262:2018第11部分全面概述了半導(dǎo)體產(chǎn)品開(kāi)發(fā)中的功能安全相關(guān)項(xiàng)目。它包括半導(dǎo)體元件及其發(fā)展和可能的劃分的一般描述。包括關(guān)于硬件故障、錯(cuò)誤和故障模式的部分。它還涉及知識(shí)產(chǎn)權(quán)(IP)，特別是與ISO 26262相關(guān)的具有一個(gè)或多個(gè)安全要求的知識(shí)產(chǎn)權(quán)。

不過(guò)，第11部分僅僅是描述了一個(gè)功能安全框架，以幫助開(kāi)發(fā)與安全相關(guān)的E/E系統(tǒng)。此框架用于將功能性安全活動(dòng)集成到特定于公司的開(kāi)發(fā)框架中。它包含了ISO 26262關(guān)于半導(dǎo)體開(kāi)發(fā)的其他部分的可能解釋。就可能的解釋而言，內(nèi)容并不詳盡，即，也可以作其他解釋，以符合ISO 26262其他部分的規(guī)定。

當(dāng)然，過(guò)去的主要挑戰(zhàn)之一是不同參與者對(duì)ISO標(biāo)準(zhǔn)的理解。第11部分現(xiàn)在提供了一個(gè)更好的信息指導(dǎo)我們需要做什么來(lái)開(kāi)發(fā)一個(gè)安全產(chǎn)品，但另一個(gè)巨大的挑戰(zhàn)是教育工程師需要做什么，因?yàn)檫@需要從傳統(tǒng)的工程實(shí)踐中進(jìn)行相當(dāng)大的思維轉(zhuǎn)變。

此外，未來(lái)半導(dǎo)體公司必須執(zhí)行的安全分析，將被迫向客戶提供更多以前沒(méi)有共享的信息。錯(cuò)誤的理解可能導(dǎo)致錯(cuò)誤的系統(tǒng)，并帶來(lái)安全后果。

當(dāng)然，ISO26262仍然缺少一些部分，比如如何處理遺留產(chǎn)品、完全操作和自動(dòng)駕駛。但我們也不能指望一個(gè)安全標(biāo)準(zhǔn)為你詳細(xì)說(shuō)明所有方面。

另外一個(gè)挑戰(zhàn)是如何通過(guò)降低成本來(lái)提高安全性。這對(duì)每個(gè)人來(lái)說(shuō)都是一個(gè)大問(wèn)題。如果沒(méi)有完整的系統(tǒng)環(huán)境和允許靈活性的假設(shè)，有時(shí)可能會(huì)非常保守地增加成本。

如果你的目標(biāo)是一些已知的系統(tǒng)，如安全氣囊，轉(zhuǎn)向，剎車，這是相當(dāng)容易的。但是，如果我們正在轉(zhuǎn)向用于自動(dòng)駕駛芯片的復(fù)雜系統(tǒng)，并不是今天所有的東西都是已知的，那么我們就不得不采取非常保守的假設(shè)，即成本上升，或者讓客戶來(lái)處理，從而增加風(fēng)險(xiǎn)和挑戰(zhàn)性，以證明其適用性。

如果你和潛在客戶的關(guān)系不是很好，你最終可能會(huì)得到比原來(lái)貴得多的東西。這是目前最大的挑戰(zhàn)之一，要真正降低成本，你需要更多地了解這個(gè)系統(tǒng)，并進(jìn)行合作。

現(xiàn)在，據(jù)說(shuō)半導(dǎo)體公司正在游說(shuō)，反對(duì)將FMEDA和FTA（主要應(yīng)用在系統(tǒng)級(jí)別）納入ISO 26262的指導(dǎo)方針。這些故障測(cè)試方法并不是唯一的解決方案，尤其是對(duì)于復(fù)雜的組件和新的挑戰(zhàn)。

還有一個(gè)需要重視的是，SOTIF (ISO/PAS 21448:預(yù)期功能的安全性)在半導(dǎo)體公司將扮演什么角色？

SOTIF可能對(duì)組件有潛在的兩個(gè)方面的影響：一個(gè)是安全概念的定義。因?yàn)樵赟EooC組件的情況下，我們需要定義我們的概念(基于假設(shè))，以理解SOTIF和含義，這將有助于創(chuàng)建更現(xiàn)實(shí)的定義。

第二個(gè)是與冗余有關(guān)，由于SOTIF的存在，冗余也可能需要一定程度的多樣性。因此，不可能多次使用相同的組件來(lái)實(shí)現(xiàn)潛在的完整操作系統(tǒng)，但是您可能需要多樣性，然后這些可能會(huì)對(duì)系統(tǒng)研發(fā)產(chǎn)生影響。

然而，SOTIF仍然是一個(gè)相對(duì)年輕的標(biāo)準(zhǔn)，仍然有很多問(wèn)題需要解決。比如，此前福特汽車發(fā)布的自動(dòng)駕駛安全報(bào)告中，除了行業(yè)內(nèi)通用的汽車安全標(biāo)準(zhǔn)（ISO 26262），福特還集成和應(yīng)用危害分析技術(shù)，如系統(tǒng)理論過(guò)程分析（STPA），以及預(yù)期功能安全（SOTIF）草案標(biāo)準(zhǔn)。

SOTIF對(duì)自動(dòng)駕駛系統(tǒng)分解成26個(gè)事故、九類危害（共176個(gè)），這個(gè)過(guò)程需要分解全自動(dòng)駕駛的架構(gòu)、在每個(gè)體系結(jié)構(gòu)級(jí)別應(yīng)用STPA、制定全自動(dòng)駕駛的操作安全概念、生成測(cè)試用例來(lái)評(píng)估架構(gòu)設(shè)計(jì)、開(kāi)發(fā)/分配可靠的關(guān)鍵軟件系統(tǒng)的設(shè)計(jì)模式。

未來(lái)對(duì)于自動(dòng)駕駛汽車，系統(tǒng)代替了人的操作，即使系統(tǒng)不發(fā)生故障，也可能因識(shí)別、決策或執(zhí)行過(guò)程的不準(zhǔn)確，導(dǎo)致交通事故發(fā)生。這類非故障情況下因系統(tǒng)功能不足導(dǎo)致的自動(dòng)駕駛安全風(fēng)險(xiǎn)，歸為預(yù)期功能安全領(lǐng)域（SOTIF）。