一、ISO26262的起源

安全性是汽車研發(fā)制造最關(guān)注的要素。

一款新型汽車無論集成多么先進(jìn)的駕駛功能，設(shè)計者都需要提供充足的證據(jù)以證明新增加的功具備足夠的安全性以滿足整車安全的要求。

隨著汽車電氣化和智能化程度的提高，整車電氣和電子系統(tǒng)的復(fù)雜性也隨之提升。電子/電氣系統(tǒng)復(fù)雜性的提升帶來了系統(tǒng)失效和隨機失效風(fēng)險的增高，隨之帶來的汽車安全的不確定性，這成為了當(dāng)今汽車智能化變革路上最大的挑戰(zhàn)。

2011年國際標(biāo)準(zhǔn)化組織道路車輛技術(shù)委員會基于IEC61508（2000年首次發(fā)布）對“道路汽車” 的電氣/電子系統(tǒng)的特殊安全性進(jìn)行了梳理，提出了與汽車功能安全相關(guān)的電氣/電子硬件和軟件以及相關(guān)組件在設(shè)計、生產(chǎn)、服務(wù)以及報廢全生命周期的安全要求及驗證要求。ISO26262《公路汽車功能安全性》正式誕生。目前ISO26262認(rèn)證是產(chǎn)品進(jìn)入汽車電子/電氣零部件及系統(tǒng)供應(yīng)鏈體系的必要條件。

二、ISO26262的具體要求

ISO26262為車輛全生命周期（包括產(chǎn)品研發(fā)、生產(chǎn)、使用、維保和報廢）中保證電子/電氣系統(tǒng)的功能安全提供了相應(yīng)的安全保證措施，如提供了如何評估/改善/驗證安全性的要求、方法和管控流程，同時還提供了包括機械、液壓、氣壓等其他技術(shù)在內(nèi)的安全性保證框架。

ISO26262從整車功能安全性角度出發(fā)，通過對功能相關(guān)項的危害分析、風(fēng)險評估、確定汽車安全完整性等級（ASIL），進(jìn)而確定安全目標(biāo)。

為達(dá)成安全目標(biāo)，細(xì)分了功能相關(guān)項，組成相關(guān)項的電子/電氣系統(tǒng)，組成系統(tǒng)的各組件，以及組成各組件的元器件幾層，針對每個層級制定相應(yīng)的功能安全概念和技術(shù)安全概念，并通過評審、驗證等手段對相關(guān)項安全性是否達(dá)成和有效進(jìn)行評價。

評審一般針對在系統(tǒng)開發(fā)過程中，為達(dá)成相關(guān)項安全目標(biāo)所做工作而形成的工作成果而進(jìn)行評審（走查/檢查/認(rèn)可評審），工作成果包括約86類成果文件，涵蓋了從產(chǎn)品概念提出階段直至報廢全生命周期功能安全活動的文檔資料，也包括研制方和供應(yīng)商的管理文件。

對于電子組件和元器件研制和制造者，ISO26262提供相應(yīng)的安全認(rèn)證指南。針對ISO26262進(jìn)行專門開發(fā)的電子組件或元器件，需按照ISO26262-5的開發(fā)要求安全活動進(jìn)行開發(fā)和驗證。

而對貨架電子組件或元器件，開發(fā)階段并沒有引入ISO26262的安全概念，需根據(jù)ISO26262-8對硬件要素的評估要求進(jìn)行安全功能評估和背離安全目標(biāo)風(fēng)險評估。對于此類貨架電子組件和元件器在評估時，根據(jù)產(chǎn)品的特性、評估難度的差異以及要素在安全概念中的作用進(jìn)行分類（ClassⅠ-ClassⅢ）。

三、ClassⅠ-ClassⅢ

ClassⅠ

ClassⅠ類組件或元器件屬于最簡單的認(rèn)證要素（電子組件/元器件的統(tǒng)稱），被動元件和分立器件屬于此類要素，共性特點工作模式較少，工作參數(shù)能夠全面評價且內(nèi)部沒有故障診斷和控制機制。

在ISO26262-11-2011版本中，此類被評估要素只需經(jīng)過ISO16750或AEC-Q相應(yīng)的標(biāo)準(zhǔn)認(rèn)證即可，而在2018版本中，此類要素不需要進(jìn)行單獨評估，而是在更高的集成層面進(jìn)行評估即可。

ClassⅡ

ClassⅡ類要素的特點是工作模式多樣，但內(nèi)部同樣不具備安全診斷和控制機制，如傳感器，沒有集成IP內(nèi)核的集成電路屬于此類要素。此類要素的評估需按照ISO26262-8采用分析（對數(shù)據(jù)、文件、模型、記錄的分析）和測試（針對功能，使用環(huán)境的安全性進(jìn)行試驗驗證）進(jìn)行評估，被評估的要素對外界應(yīng)力的魯棒性測試按照ISO26262-5進(jìn)行評估。

評估的目的是分析和驗證要素的功能性能是否能夠符合其規(guī)范，以及滿足其預(yù)期用途。這些性能要求應(yīng)充分考慮被評估要素在正常環(huán)境下以及造成故障發(fā)生環(huán)境下的性能要求。

ClassⅢ

ClassⅢ類要素的特點是工作模式多樣，而且必須要在考慮實際工作情況下才能對其功能性能進(jìn)行評估，內(nèi)部嵌入安全診斷和控制機制，如MCU、DSP、集成IP內(nèi)核的集成電路屬于此類要素。對ClassⅢ類要素評估最為復(fù)雜和苛刻，此要素除了要滿足如ClassⅡ類要素安全評估各項要求外，還要采用額外的評估措施，以能夠說明背離安全目標(biāo)和安全要求的風(fēng)險足夠低。額外的評估措施包括但不限于：

a) 需要根據(jù)具體的使用功能和使用環(huán)境完成安全相關(guān)功能的驗證。

b） 最好具備類似使用場景的使用歷程，以作為硬件安全評估的支撐依據(jù)。

c） 硬件內(nèi)部要具備獨立多樣化的執(zhí)行診斷功能的內(nèi)核，能夠進(jìn)行芯片安全性的監(jiān)控。

d） 硬件的開發(fā)過程執(zhí)行了某些安全標(biāo)準(zhǔn)，且安全標(biāo)準(zhǔn)與ISO26262的ASIL等級相當(dāng)。

正因如此ISO26262中對非按照ISO26262開發(fā)的ClassⅢ類要素的評估是不建議采納的，希望此類要素能夠在未來的升級時充分按照ISO26262-5硬件層開發(fā)要求進(jìn)行升級。

ISO26262-2018版本相比于2011版本增加了ISO26262-11《應(yīng)用于半導(dǎo)體開發(fā)指南》，專門針對半導(dǎo)體組件及元器件的開發(fā)過程提供了方法和用例。

四、廣電計量的服務(wù)能力

廣電計量具備專業(yè)技術(shù)團(tuán)隊，開展以產(chǎn)品安全功能驗證為特色的ISO26262認(rèn)證技術(shù)支持服務(wù)。以產(chǎn)品功能安全達(dá)成為目標(biāo)，為客戶提供ISO26262安全體系建立，產(chǎn)品各階段技術(shù)安全概念建立與達(dá)成，輔導(dǎo)客戶相關(guān)認(rèn)可及驗證評審等提供專業(yè)一體化的技術(shù)服務(wù)。

特色服務(wù)包括：

●芯片功能安全需求分析。

●芯片結(jié)構(gòu)分析。

●基礎(chǔ)失效率分析與計算。

●軟錯誤率測試與評估。

●FMEA和HAZOP分析。

●故障注入模擬。

五、關(guān)于廣電計量半導(dǎo)體服務(wù)

廣電計量在全國設(shè)有元器件篩選及失效分析實驗室，形成了以博士、專家為首的技術(shù)團(tuán)隊，構(gòu)建了元器件國產(chǎn)化驗證與競品分析、集成電路測試與工藝評價、半導(dǎo)體功率器件質(zhì)量提升工程、車規(guī)級芯片與元器件AEC-Q認(rèn)證、車規(guī)功率模塊AQG324認(rèn)證等多個技術(shù)服務(wù)平臺、滿足裝備制造、航空航天、汽車、軌道交通、5G通信、光電器件與傳感器等領(lǐng)域的電子產(chǎn)品質(zhì)量與可靠性的需求。

六、我們的服務(wù)優(yōu)勢

●配合工信部牽頭“面向集成電路、芯片產(chǎn)業(yè)的公共服務(wù)平臺建設(shè)項目”“面向制造業(yè)的傳感器等關(guān)鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務(wù)平臺”等多個項目；

●在集成電路及SiC領(lǐng)域是技術(shù)能力最全面、知名度最高的第三方檢測機構(gòu)之一，已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證；

●在車規(guī)領(lǐng)域擁有AEC-Q及AQG324全套服務(wù)能力，獲得了近50家車廠的認(rèn)可，出具近300份AEC-Q及AQG324報告，助力100多款車規(guī)元器件量產(chǎn)。