行业洞察 | 汽车行业合规与功能安全指南（中篇）：ISO2626 标准出台十周年

本系列文章包含上中下三篇内容，上篇着眼于ISO 26262标准的历史与发展；本文重点介绍ISO26262标准的功能安全与等级；下篇内容将深入探讨ISO 26262标准下的产品应用与设计流程，敬请关注。

汽车行业的“双十一”

今年11月11日是 ISO 26262 标准发布 10 周年纪念日，该标准于 2011 年 11 月 11 日首次发布，全称是《道路车辆功能安全》。这是一项有关汽车电气和（或）电子（E/E）系统功能安全的国际标准。

该标准于2011年由国际标准化组织 (ISO)进行定义，并于2018年进行修订。其中，修订版中第 11 章的内容对于我们而言最为重要，因为第11章增加了关于半导体和半导体 IP 的内容，明确针对车辆中半导体部件的设计作出了规定。

ISO 26262 标准包括哪些内容？

第一版，也就是刚满 10 周年的版本，正式名称是 ISO 26262:2011。它是基于从 2006 年开始的研究进展，并完全取代了 IEC 61508标准（即《电气/电子/可编程电子安全相关系统的功能安全》标准），相较早期的工业和铁路标准更为成熟。ISO 26262:2011标准单独针对车辆（称之为 “Item/物品”）、系统、硬件和软件；仅包括 3500 公斤以下量产汽车的电气和电子系统；不包括液压和机械系统、专业车辆（如一级方程式赛车、卡车、巴士、摩托车或越野车）。

第二版 ISO 26262:2018 将范围扩大到除了轻便摩托车之外的所有道路车辆。第一版的一个问题是使用了“硬件资格认证 (hardware qualification)” 一词，但其含义与我们在半导体领域谈论的 “资格认证”并不相同。在第二版中，这个词语变成了“硬件评估 (hardware evaluation)”。

功能安全和 ASIL 等级

道路车辆的功能安全可以归结为以下几个宗旨：

• 风险永远不可能降低为零

• 对于每个应用，都有一个非零的可接受风险水平

• 避免可以避免的故障

• 检测无法避免的故障，并过渡到安全状态以避免伤害

一共有两大类故障：系统性故障和随机故障。系统性故障是确定性的，总是在相同的条件下发生。针对此类故障的重点是避免故障发生。随机故障是非确定性的，可以用概率分布来描述。就像高能宇宙射线在存储器中进行位翻转一样。针对此类故障的重点是故障检测。

在 ISO 26262 中引入的另一个概念是汽车安全完整性等级，即 ASIL（Automotive Safety Integrity Level）。ASIL有四个级别，从 ASIL-A 到 ASIL-D，ASIL-A 要求达到最低的功能安全风险水平，而 ASIL-D 的要求最高。

事件按多个维度分类，这些维度组合在一起，确定 ASIL 级别：

严重程度

如果事件发生，后果会有多严重：

• S0 没有伤害

• S1 轻度至中度伤害

• S2 严重到有生命危险（可能存活）的伤害

• S3 有生命危险（不确定是否存活）到致命的伤害

暴露等级

事件发生的可能性有多大：

• E0 非常不可能

• E1 非常低的概率（只有在罕见的操作条件下才会发生伤害）

• E2 低概率

• E3 中等概率

• E4 高概率（在大多数操作条件下都可能发生伤害）

可控性

对于司机而言的可控性如何：

• C0 一般可控

• C1 简单可控

• C2 通常可控（大多数司机可以采取措施防止受伤）

• C3 难以控制或不可控

其他相关标准

Accellera Systems Initiative 是一个标准组织，在电子设计自动化和集成电路设计和制造领域支持用户和供应商标准及开放接口开发。Accellera有一个功能安全工作组，该小组由 Cadence 的 Allessandra Nardi 主持，其任务是“将捕捉和传播安全意图的信息实现标准化，从系统到 SoC/IP 设计和实现，包括故障模式传播、验证、确认、可靠性和安全机制”。其关键是 USF，即通用安全格式（Universal Safety Format），它允许 EDA 工具传达安全要求。

另一个与汽车有关的标准是 ISO 21434，即《道路车辆 - 网络安全工程》。该标准目前正在制定中，第一稿已于 2020 年 2 月发布，它涉及道路车辆电子系统的网络安全风险。安全专家喜欢表示“没有安全措施就没有安全”，这是事实。关于网络安全风险的案例，欢迎点击观看下方视频，视频中《Wired》记者驾驶着一辆吉普车，车内娱乐系统遭受了黑客Charlie Miller 和 Chris Valasek的远程攻击，空调、音乐，甚至方向盘、变速器和刹车都先后遭受了控制，黑客最终将吉普车开进了沟里。