如果您參與了汽車(chē)電子產(chǎn)品的設計，那么您可能對 ISO 26262 標準有粗略的了解。您的組織所采用的標準很可能是 2011 年的定義。最新更新的正式名稱(chēng)是 ISO 26262:2018，非正式名稱(chēng)是 ISO 26262 第2版。

標準應該不斷發(fā)展，但是改變了什么以及為什么改變？我多年來(lái)一直是 ISO 26262 工作組的成員，特別是參與如何解釋知識產(chǎn)權方面的工作，我必須告訴你，我一直在努力。從我的角度來(lái)看，它最初是圍繞一種隱含的期望編寫(xiě)的，即芯片完全在一個(gè)組織內從頭開(kāi)始構建，這是一個(gè)過(guò)時(shí)的假設。對于基于 IP 的設計或分布在多個(gè)公司或站點(diǎn)的設計也沒(méi)有足夠的指導。 IP 供應商的解決方法是使用脫離上下文的安全元素 (SEooC) 機制。但這在很大程度上取決于組件供應商對可能與集成商相關(guān)的內容的人工解釋?zhuān)粗嗳唬?011 版標準幾乎沒(méi)有提供任何指導。我向委員會(huì )抱怨（抱怨？）了很多關(guān)于這些問(wèn)題的問(wèn)題，他們最終邀請我加入工作組。我不是唯一一個(gè)感到困惑的人，其他人也加入了進(jìn)來(lái)，我們似乎產(chǎn)生了影響；我們的努力使最新標準有了更多的澄清、組織和實(shí)際示例。我認為更新后的標準的新第 11 部分為我們半導體和半導體 IP 行業(yè)提供了更多詳細信息和有用的示例。

您可能想知道隨著(zhù)車(chē)輛中出現越來(lái)越多的自動(dòng)化，安全標準如何應用。早在 2013 年，當我加入該工作組時(shí)，普遍的觀(guān)點(diǎn)是，如果自動(dòng)化出現問(wèn)題，指示燈會(huì )閃爍，或者蜂鳴器會(huì )發(fā)出蜂鳴聲，駕駛員會(huì )收回控制權。但技術(shù)的發(fā)展速度比預期要快得多，以至于備份系統接管控制可能會(huì )更安全。業(yè)界創(chuàng )造了一個(gè)新術(shù)語(yǔ)“操作失敗”來(lái)解決這個(gè)問(wèn)題（請參閱恩智浦的這個(gè)很好的解釋?zhuān)?；系統不會(huì )默默地失敗，它會(huì )變得容錯。當我們接近自動(dòng)駕駛時(shí)，如果系統出現故障，我們必須有比依賴(lài)駕駛員更快的響應備份。

系統自主性的增加帶來(lái)了一系列新的安全問(wèn)題 即使沒(méi)有系統錯誤和隨機錯誤（例如由于宇宙射線(xiàn)等），當系統導致安全問(wèn)題時(shí)會(huì )發(fā)生什么？換句話(huà)說(shuō)，如果系統的預期功能導致安全問(wèn)題怎么辦？ ISO 26262:2018第二版沒(méi)有處理由新自動(dòng)化技術(shù)產(chǎn)生的此類(lèi)問(wèn)題，該版本繼續關(guān)注硬件和軟件對安全相關(guān)風(fēng)險的恢復能力以及用于創(chuàng )建硬件和軟件的流程。這些系統安全問(wèn)題將在新標準中得到解決，該標準通常稱(chēng)為 SOTIF預期功能安全（又名ISO / PAS 21448:2019）是非確定性的，就像機器學(xué)習 (ML) 系統不可避免的那樣？機器學(xué)習系統之間什么樣的冗余是可以接受的？如何量化故障率？我們應該如何測試和驗證這些系統？更進(jìn)一步的是 SAE 3 至 5 級可能存在的任何要求，其中真正的自主權占據主導地位。 ISO 26262 并沒(méi)有試圖一口氣吃掉整頭大象。

安全問(wèn)題在 2011 年也不是一個(gè)大問(wèn)題，但現在顯然很熱門(mén)。安全分析中應如何考慮安全因素？更新后的規范的第 2 部分“功能安全管理”朝著(zhù)這一目標邁出了一步，要求設計組織在功能安全、網(wǎng)絡(luò )安全和與功能安全相關(guān)的其他組織之間創(chuàng )建和維護“有效的溝通渠道”。它沒(méi)有詳細說(shuō)明您到底需要做什么來(lái)證明您已滿(mǎn)足此期望，但這在 ISO 26262 中并不罕見(jiàn)。集成商通常為供應商設定標準，以滿(mǎn)足他們認為必要和充分的要求。如果您是供應商并且您認為這不公平，那么您需要根據大量事實(shí)來(lái)協(xié)商您的立場(chǎng)并建立相互理解。如果你想在談判桌上占有一席之地，那就是這樣的。

這是我爭論了很長(cháng)時(shí)間的一個(gè)觀(guān)點(diǎn)。 “合規性”并不是一次性的練習，只要向客戶(hù)出示證書(shū)就可以了。您的客戶(hù)（即集成商）主要關(guān)心的是如何向客戶(hù)證明合規性。由于技術(shù)的快速發(fā)展，標準不斷提高，最終汽車(chē)制造商承擔了大部分責任。一張證書(shū)最多就是作為供應商參加比賽的通行證。除此之外，集成商還可以要求您重新展示合規性的所有方面，并對您的流程、工作產(chǎn)品或產(chǎn)品進(jìn)行更改。我之前說(shuō)過(guò)，開(kāi)發(fā)人員的思考需要超越標準的字面意義，更多地思考標準的精神。第 2 部分第 6.4.9 和 6.4.10 條引入了有關(guān)確認措施和確認審查的新指南，這些指南應該對這些期望有所了解。

以下是確認審查中部分要求的示例 判斷關(guān)鍵工作產(chǎn)品……是否提供了充分且令人信服的證據來(lái)證明其對實(shí)現功能安全的貢獻。換句話(huà)說(shuō)，即使您做了所有預期的死記硬背的安全工作（故障模擬等），獨立審查員仍然必須相信這一切都有助于功能安全的改進(jìn)。

第二版的第 11 章將成為半導體和 IP 設計團隊以及晶圓廠(chǎng)最感興趣的內容。其中有很大一部分內容是從 IP 開(kāi)發(fā)者和集成商的角度以及這兩者應如何交互的角度來(lái)處理 IP，包括將 IP 集成為 SEooC 的討論。我將重點(diǎn)強調本節中的一個(gè)主題 如果 IP 集成商確定所提供的 IP 無(wú)法滿(mǎn)足安全要求，則可以向供應商提出變更請求……換句話(huà)說(shuō)，即使您（IP供應商）認為您的 IP 已完成，如果集成商需要額外的東西來(lái)滿(mǎn)足其安全目標，您可能需要提供它。

當然，將會(huì )有基于事實(shí)的談判，但如果集成商認為除非您做出更改，否則她無(wú)法讓客戶(hù)接受她的元素，那么您很可能會(huì )感到有義務(wù)積極響應客戶(hù)的新要求（并維持與她一起開(kāi)展未來(lái)業(yè)務(wù)的機會(huì )）。警鐘是，ISO 26262 認證并不能免除您與客戶(hù)共享信息和附加證據或工作產(chǎn)品的需要，即使您擁有某種類(lèi)型的證書(shū)，也不能消除您可能需要為支持客戶(hù)的需求而進(jìn)行的產(chǎn)品或工作產(chǎn)品變更。

第二版中有更多內容，例如關(guān)于摩托車(chē)、卡車(chē)和公共汽車(chē)的應用，但我最后要提到的是，有很多關(guān)于確定基本故障率的細節。這些信息散布在該標準的早期版本中，現在已合并到第 11 部分第 4.6 條“半導體的基本故障率”中。這里的挑戰是，許多設計正在轉向先進(jìn)的半導體工藝節點(diǎn)，其中可靠的信息（至少在汽車(chē)應用所需的生命周期內）充其量是稀疏的。關(guān)于計算這些故障率的假設和機制有相當長(cháng)的討論。

總體而言，ISO 26262:2018第二版在填補隨著(zhù)時(shí)間的推移而變得明顯的漏洞方面取得了很多良好的進(jìn)展，并使其更易于理解和使用。這可能是查看此更新的最佳方式；或多或少地按照我們最初的理解清理和完善安全要求和指南。 ISO 26262:2018 沒(méi)有解決使用神經(jīng)網(wǎng)絡(luò )的自主系統會(huì )出現的非系統性和隨機性安全問(wèn)題；這是 SOTIF 標準中的內容。因此，對于從事 3 級及以上系統工作的工程師來(lái)說(shuō)，ISO 26262:2018 和 ISO/PAS 21448:2019 都應該放在您的書(shū)架上。

ISO26262對產(chǎn)品研發(fā)的思路

ISO26262視角 什么是ISO26262？ISO26262 的范圍有哪些？

ASPICE和ISO26262對工程流程的影響

什么是 ISO 26262？如何根據 ISO 26262 確保功能安全

ASPICE 與 ISO 26262 — 有什么區別？