作為全球汽車電氣/電子相關的主要功能安全標準，ISO 26262在整個汽車及零部件產業的發展進程中佔據著舉足輕重的地位。而今，隨著汽車產業“電動+自動化”的演進，安全事故更是頻繁出現，成為橫亙在汽車通往“電子化”之路上的一座大山。畢竟，越來越多電子部件的加入，雖然很大程度上提升了整車智慧化水準，但也徒增了“不可控性”，比如“安全事故頻發的自動駕駛”、“無故自燃的電動汽車”都是典型的案例，功能安全的重新定義迫在眉睫。

何為功能安全？具體到汽車領域，羅姆半導體（上海）有限公司技術中心副總經理李春華表示：“‘功能安全’即通過一些低成本的方式來實現可容忍範圍內的安全，但危險還是存在的，主要還是要看設立系統的時候是不是可以把危險係數降到可容忍的範圍。而針對於ISO 26262流程這塊的認證由於需要109個工作成果物，因此我們也針對工作成果物的規範化進行了一些分類，比如第二的管理、第三的概念、第四的系統、第五的硬體、第六的軟體、第七的生產、第八的支援程式、第九的安全分析。其中，對於羅姆來說我們是針對於第二類管理、第五類硬體、第七類生產、第八類支援、第九類安全分析在流程上經過認證。”

為了取得ISO 26262認證，羅姆半導體建立了專門的工作組。畢竟，如今元器件廠商是越來越被要求對應功能安全，羅姆半導體未來要想開展車載業務，勢必要向客戶去提供符合ISO 26262標準的產品。所以，羅姆在內部實施開發流程，包括協力廠商機構認證，推出符合客戶要求的車載產品。李春華表示：“我們分成這幾部分進行了一些工作，主要是針對於ISO 26262車載開發流程的制定，包括維護的管理；公司內部體制的建立，包括對外提供ISO 26262相關穩健的格式建立；實施一些ISO 26262對應的培訓，並針對于對外宣傳羅姆在ISO 26262方面所做的行動內容。”

晶片設計如何符合ISO 26262？
對於汽車電子類產品，ISO 26262其實針對各個部分的要求都做了闡述，其中包括一些功能安全的管理、安全目標的建立，以及包括硬體、軟體、生產以及應用等各個部分。而從認證方面來看也分為開發流程標準和產品性能標準兩大方面，比如開發流程標準主要是以IATF 16949為基礎，引入像賬票類以及可追溯類的管理內容；而在產品方面，主要是以針對於產品性能的標準，比如符合ASIL等級安全機制的功能安全，包括自我診斷的功能認證等。

對於晶片設計來說，首先要去定義對應哪個ASIL等級的產品開發，對於ASIL等級產品開發的專案，立項當中要完全符合ISO 26262認證流程，包括專案經理的設立，開發負責人的設立，開發擔當的設立，這個是本身晶片開發的時，從技術上去實現需要設立的一些職位，包括要符合功能安全認證，在公司內部也需要有功能安全的管理者。針對開發流程當中，流程是否符合功能安全相關工作成果物的製作、管理，都是由公司內的功能安全管理者來執行。

同時，這個流程當中還需要協力廠商組織來做一個監管，李春華告訴記者：“協力廠商組織的功能安全管理者和公司內部的管理安全做對接，針對于功能安全橫向的流程構建、管理進行策略的提供和流程監控。通過這些流程設立和針對流程的開發，才可以去開發符合ISO 26262流程的產品。”

針對產品標準方面，由於涉及到客戶所需要的安全功能，因此需要加上各種保護措施和功能安全模組。以電源LSI為例，李春華表示：“這類產品的用途可能針對於像ASIL-D等級ADAS或者EPS電源用的電源構架項類的電源系統。因此晶片本身也是加入了一些保護回路，像TSD的過熱保護回路，以及OVP的過壓保護回路和UVP的欠壓保護回路，同時也包括像使能端的控制等回路在內。”

另外，針對強化功能安全的部分，晶片企業還需要充分和Tier1廠商、OEM廠商協商以後，才能決定在哪些地方需要去把保護功能失效機制體現出來。功能原因的故障規避包括構建安全機制和自我診斷的功能，比如回饋電壓失效後的安全保證。為了確保汽車安全行駛，針對LSI的安全等級會越來越高，通過本身晶片整個的基礎構架，到加上“功能安全”的功能，才能充分去保證LSI等級的電源系統的功能安全。

而且，在晶片初步設計時，一些規格探討的流程也成為必須，李春華指出：“其中包括針對客戶的安全目標，以及如何去構建安全機制，我們會通過事先討論的形式聽取Tier1或OEM以及市場的回饋，在這個階段如何去滿足客戶的LSI等級提升，羅姆半導體可以在晶片本身提供一些成果物。針對於客戶的分析手法我們會提供合適的成果物，包括像FIT值、FMEDA值等，從而讓客戶針對於我們提供的數值去進行分析手法的提升，來顯示出產品對於LSI等級是到哪個等級。”

比如羅姆有針對液晶面板的晶片組，面對客戶提出的類似會不會導致黑屏、誤顯示、死機功能安全這些Safety Goal。羅姆可以提供由時序控制器、源極驅動器、柵極驅動器、PMIC等組成的晶片組。其原理是通過IC之間互相的協作，把各個晶片錯誤的狀態進行監控包括進行回復，一旦有錯誤，通過控制器來傳達給後端的MCU達到對於整體液晶面板Safety Goal的實現。羅姆在液晶面板周邊都有具體的產品，組合成整體的方案來説明客戶提升功能安全。

“自動+新能源”的雙重挑戰
眾所周知，如今的汽車市場，整車智慧和電氣化程度正越來越高，尤其對於汽車晶片和元器件廠商來說，更多創新應用的加入也為底層技術增添了不少“麻煩”。面對“自動+新能源”的雙重挑戰，如何去順應全新的ISO 26262標準，也成為擺在眾多半導體廠商面前的一大高難課題。

其實，不論是傳統汽車，還是自動駕駛汽車或新能源汽車，各個器件都有自己的安全目標因素，李春華表示：“針對於Safety Goal的需求，產品上如何實現就是功能安全的主要課題。當然，相比於傳統汽車，像自動駕駛汽車、新能源汽車，車內的電子系統會更多一些，這些紛繁複雜的電子系統場合下，支持ISO 26262的要求多根據Tier 1和OEM製造商的要求。如果支援ISO 26262的話，安全的開發流程和資料都齊備，Tier1、OEM製造商就可以順利地驗證安全程度。”

不過，由於自動安全本身很多器件都會與人身性命息息相關，包括自動駕駛當中像雷達、感測器等等，一旦出錯可能會造成無可挽回的結果，因此，設計過程中也會遇到一些難點。以汽車ECU（Electronic Control Unit）為例，車載應用要實現“功能安全”，不僅需要主功能，還需要“安全機制”，即能夠監控主功能是否正常，當發生異常時，能夠根據每種功能進行處理，保護人員（包括駕駛員、乘客以及行人）安全的功能。

此外，李春華補充到，“還需要能夠確認這些‘安全機制’是否在正常運行的‘自我診斷功能’。針對這一問題，羅姆通過在獨立的電源監控IC中內置各種監控功能和自我診斷功能，實現了可以輕鬆為現有電源增加功能安全性，並且已經實現量產的一款電源監控IC，即可以監控多個電源的電源監控IC‘BD39040MUF’。”如今，羅姆已經取得了ISO 26262的開發流程認證，正在致力於進行考慮到功能安全的產品開發和設計（羅姆的LSI是考慮到高品質和安全的產品），可以提供各種客戶對應規格所需的資料（FMEA、FIT、FMEDA等）。”