本系列文章包含上中下三篇內容，上篇著眼于ISO 26262標準的歷史與發展；本文重點介紹ISO26262標準的功能安全與等級；下篇內容將深入探討ISO 26262標準下的產品應用與設計流程，敬請關注。

汽車行業的“雙十一”

今年11月11日是 ISO 26262 標準發布 10 周年紀念日，該標準于 2011 年 11 月 11 日首次發布，全稱是《道路車輛功能安全》。這是一項有關汽車電氣和（或）電子（E/E）系統功能安全的國際標準。

該標準于2011年由國際標準化組織 (ISO)進行定義，并于2018年進行修訂。其中，修訂版中第 11 章的內容對于我們而言最為重要，因為第11章增加了關于半導體和半導體 IP 的內容，明確針對車輛中半導體部件的設計作出了規定。

ISO 26262 標準包括哪些內容？

第一版，也就是剛滿 10 周年的版本，正式名稱是 ISO 26262:2011。它是基于從 2006 年開始的研究進展，并完全取代了 IEC 61508標準（即《電氣/電子/可編程電子安全相關系統的功能安全》標準），相較早期的工業和鐵路標準更為成熟。ISO 26262:2011標準單獨針對車輛（稱之為 “Item/物品”）、系統、硬件和軟件；僅包括 3500 公斤以下量產汽車的電氣和電子系統；不包括液壓和機械系統、專業車輛（如一級方程式賽車、卡車、巴士、摩托車或越野車）。

第二版 ISO 26262:2018 將范圍擴大到除了輕便摩托車之外的所有道路車輛。第一版的一個問題是使用了“硬件資格認證 (hardware qualification)” 一詞，但其含義與我們在半導體領域談論的 “資格認證”并不相同。在第二版中，這個詞語變成了“硬件評估 (hardware evaluation)”。

功能安全和 ASIL 等級

道路車輛的功能安全可以歸結為以下幾個宗旨：

• 風險永遠不可能降低為零

• 對于每個應用，都有一個非零的可接受風險水平

• 避免可以避免的故障

• 檢測無法避免的故障，并過渡到安全狀態以避免傷害

一共有兩大類故障：系統性故障和隨機故障。系統性故障是確定性的，總是在相同的條件下發生。針對此類故障的重點是避免故障發生。隨機故障是非確定性的，可以用概率分布來描述。就像高能宇宙射線在存儲器中進行位翻轉一樣。針對此類故障的重點是故障檢測。

在 ISO 26262 中引入的另一個概念是汽車安全完整性等級，即 ASIL（Automotive Safety Integrity Level）。ASIL有四個級別，從 ASIL-A 到 ASIL-D，ASIL-A 要求達到最低的功能安全風險水平，而 ASIL-D 的要求最高。

事件按多個維度分類，這些維度組合在一起，確定 ASIL 級別：

嚴重程度

如果事件發生，后果會有多嚴重：

• S0 沒有傷害

• S1 輕度至中度傷害

• S2 嚴重到有生命危險（可能存活）的傷害

• S3 有生命危險（不確定是否存活）到致命的傷害

暴露等級

事件發生的可能性有多大：

• E0 非常不可能

• E1 非常低的概率（只有在罕見的操作條件下才會發生傷害）

• E2 低概率

• E3 中等概率

• E4 高概率（在大多數操作條件下都可能發生傷害）

可控性

對于司機而言的可控性如何：

• C0 一般可控

• C1 簡單可控

• C2 通常可控（大多數司機可以采取措施防止受傷）

• C3 難以控制或不可控

其他相關標準

Accellera Systems Initiative 是一個標準組織，在電子設計自動化和集成電路設計和制造領域支持用戶和供應商標準及開放接口開發。Accellera有一個功能安全工作組，該小組由 Cadence 的 Allessandra Nardi 主持，其任務是“將捕捉和傳播安全意圖的信息實現標準化，從系統到 SoC/IP 設計和實現，包括故障模式傳播、驗證、確認、可靠性和安全機制”。其關鍵是 USF，即通用安全格式（Universal Safety Format），它允許 EDA 工具傳達安全要求。

另一個與汽車有關的標準是 ISO 21434，即《道路車輛 - 網絡安全工程》。該標準目前正在制定中，第一稿已于 2020 年 2 月發布，它涉及道路車輛電子系統的網絡安全風險。安全專家喜歡表示“沒有安全措施就沒有安全”，這是事實。關于網絡安全風險的案例，歡迎點擊觀看下方視頻，視頻中《Wired》記者駕駛著一輛吉普車，車內娛樂系統遭受了黑客Charlie Miller 和 Chris Valasek的遠程攻擊，空調、音樂，甚至方向盤、變速器和剎車都先后遭受了控制，黑客最終將吉普車開進了溝里。