ISO 26262认证严苛，罗姆如何开发出符合标准的产品以确保汽车安全？

随着汽车的电子化的发展，电子电气系统越来越集成和复杂，全球市场对汽车安全性能要求日趋严格。ISO 26262是汽车的电气/电子相关的“功能安全”标准，于2011年制订，2018年发布了第二版本，追加了半导体指南。该标准的对象涵盖从车辆的构思到系统、ECU(电子控制单元)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。

在这种背景下，半导体制造商罗姆自2017年开发由液晶驱动电源IC等构成的、支持功能安全的液晶面板芯片组，并在2018年取得ISO 26262开发工艺认证。在2020年7月28日罗姆举办的“汽车功能安全标准ISO 26262”线上媒体交流会上，我爱方案网向罗姆半导体（上海）有限公司技术中心副总经理李春华了解到ISO 26262认证的流程以及罗姆为通过认证所做的工作。

ISO 26262认证有多严苛？

“ISO 26262认证分为两个方面，第一个是以开发流程为标准，该标准是以IATF 16949为基础，引入像账票类、可追溯类的管理等内容。第二个是产品性能为标准，该标准是指安全机制符合ASIL所要求的安全等级，追加自诊断等功能。”李春华说道。

流程标准1是对工作成果的规范化，对应ISO 26262流程需要109个工作成果物。工作成果物规范化的分类，包括第二类的管理、第三类的概念、第四类的系统、第五类的硬件、第六类的软件、第七类的生产、第八类的支持程序、第九类的安全分析。XX表示，罗姆主要针对管理、硬件、生产、支持程序、安全分析在流程上通过认证。

流程标准2对应于ISO 26262的开发体制，需要能理解ISO 26262规则的功能安全管理者。就芯片设计来说，首先要定义对应哪个ASIL等级的产品开发，对于ASIL等级产品开发的项目，立项中要完全符合ISO 26262认证流程，包括项目经理的设立，开发负责人的设立，开发担当的设立，甚至芯片开发的时候，技术方面需要设立的一些职位，包括要符合功能安全认证，也需要有功能安全管理者。在开发流程中，功能安全相关工作成果物的制作、管理，都是由公司内部的功能安全管理者来执行。同时，这个流程中还需要第三方组织做监管，第三方组织的功能安全管理者和公司内部的功能安全管理者对接功能安全横向的流程构建、管理进行策略的提供和流程监控。通过这些流程设立和针对流程的开发，才可以开发符合ISO 26262流程的产品。

产品的标准涉及到客户所需要的安全功能。以电源LSI为例，其用途可能是针对像ASIL-D等级ADAS或者EPS电源的电源构架项的电源系统。虚线框包含的是芯片所具有的一些主要功能和保护功能，芯片本身主要功能是一个电源的构架，从输入电源到输出电源符合电源的一个特性，在保证特性中，芯片本身也加入了一些保护回路，像TSD的过热保护回路，OVP的过压保护回路和UVP的欠压保护回路，包括像使能端的控制等等一些回路在里面。但仅仅是在虚线框这部分，就面临着像LSI等级的要求，客户需要再强化功能安全。

在强化功能安全中，罗姆把红色框这部分进行了强化，主要在于芯片这些保护功能本身如何保证正常的工作，如何进行一个反馈，如果芯片本身就是它的保护功能失效，如何去把它体现出来。罗姆要充分和Tier1厂商、OEM厂商协商以后，才决定在哪些地方把保护功能失效机制体现出来，功能原因的故障规避包括构建安全机制和自我诊断的功能，在这个基础上把红色框里面这些对于保护回路的保护措施加上去。

为了确保汽车安全行驶，针对LSI的安全等级会越来越高，通过虚线框芯片整个的基础构架，再加上红色框的“功能安全”的功能，来保证针对像LSI等级的电源功能安全提升，这是针对于产品标准的一个例子。最后，为了让客户得以达成安全目标，像罗姆这样的供应商需要构建必要的安全机制，在芯片初步设计确定规格时需要与客户协商。

罗姆如何用2年多的时间取得认证资格？

如今，元器件制造商也被要求必须要对对应功能安全。罗姆今后在车载领域的业务上，必须保证符合ISO 26262标准。因此罗姆在公司内部推广实施开发流程，以便取得第三方机构的认证，推进符合标准的车载产品开发。

为此，罗姆专门设立了ISO 26262认证的工作组ISO 26262WG。

该工作组主要负责符合ISO 26262车载开发流程的制定和维护管理，相关体制的构建，整合统一相关文件的格式，实施相关培训，并对外宣传罗姆在ISO 26262方面所做的行动 。

对此，该工作组分了五大分科会：流程、产品、教育、工具、生产。通过这五个分科会，罗姆从认证到对应开展的各项工作，都有具体的小组进行负责和推进。

罗姆在2018年3月份通过TüV Rheinland审核取得了ISO 26262流程认证证书，取得TüV Rheinland全球通用的资格。罗姆的总窗口中嶋先生的资格认证在TÜV Rheinland官网可查询到，资格信息如下：

罗姆通过第三方认证机构取得ISO 26262认证，这些机构主要是以德系，像TüV Rheinland、TüV SUD、SGS TüV为代表。

流程认证的取得需要审核认证是不是符合ISO 26262标准的流程，包括公司内的规定、开发标准，包括有没有具体操作的流程书。

就LSI开发来说，取得这样一个认证流程LSI开发时，需要追加很多工作成果物。在这个基础上罗姆开发出来的产品在规格上才会注明依据符合ISO 26262 ASIL哪个等级标准流程进行开发。

产品的认证取得有一个特点，针对通用产品如MCU，各产品分别取得一个认证，同时需要依据符合ISO 26262流程进行开发，并且各个工作成果物也经过审核认证。

针对不同ASIL级别工作成果物的要求，ASIL 分为A、B、C、D四类，同时安全分析各个成果物的要求数据和确证策略的要求数据都进行了罗列。可以看到，最右边的ASIL-D，基本上对于安全分析各个成果物要求非常高，它要求也非常高，比如ASIL-D、SPFM达到99%以上，LFM达到90%以上。要达到ASIL-D一些失效数据必须要满足这样的条件。相对于ASIL-A，像单点失效的要求数据就没有具体要求，包括FIT值也许多具体要求，主要是提供FMEDA或者DFA的数据就可以进行标称。

开发不受条件局限的独立安全单元-SEooC，关键是要制定通用品开发的规定。通常可以对于各个器件的安全目标当中到处的安全要求来确定通用的一些产品规格。举例来说，把一个产品在最初设定安全目标到最后对芯片的硬件规格、软件规格进行分解，首先对于OEM来说明确自己的安全目标，做这个产品的安全目标在哪里，哪些不安全的因素是不能容忍的确定一个安全目标。

针对这个安全目标，功能上有一些什么功能安全的要求，这个要求提出以后给到Tier1，Tier1根据OEM提出的功能安全要求，会从技术上再进行一个分解，对于技术上技术安全需要有一些什么对应。技术安全具体就涉及到硬件安全和软件安全的要求，这是Tier1需要明确的。针对于芯片厂商或者Tier2，Tier1提出的硬件要求和软件要求，从芯片或者产品来说，这个硬件规格的标准在哪里，软件规格的标准在哪里，也需要明确。这些包括像市场上通用的安全目标，可以分解出针对于像独立安全单元的产品，各自来定义硬件规格和软件规格进行通用品的开发。

成果物的具体概念方面，首先要明确FIT值-Failure In Time是针对于单位时间的故障数定义。1FIT是每小时发生10的负9次方的故障简写。客户提供FIT值，罗姆都会要求客户按照每个标准来提供FIT值。FMEDA主要针对于故障模式影响诊断解析的说明，主要是分不同区域板块对故障模式的发生率、故障的影响，对于安全方故障率和危险方故障率的方法解析。 

DIA是开发接口协议的一个简称，是指确定ISO 26262流程对应开发所必要的工作成果由客户还是由罗姆来负责而制作的书面协议。就是说作为芯片厂商和Tier1如何去针对于功能安全认证当中一些成果物进行明确，是谁来做，要一个DIA开发接口协议的文档的。这个是针对于像ISO 26262通用的流程。哪些是Tier1来做，哪些是罗姆来做，对于成果物提出的责任要明确。

ISO 26262第二版，2018年12月公布的追加条款，特别是对于像硬件元素评估，器件要求不同变更的说明。一些外围芯片类的是不是需要支持ISO 26262开发流程，这块规格上文档上有明确，但实际上安全知识的对应怎么样去支持，罗姆也是在调查和评估。

罗姆有哪些符合ISO 26262标准的产品？

罗姆在功能安全方面的产品有针对液晶面板的芯片组，面对客户提出的类似会不会导致黑屏、误显示、死机功能安全这些Safety Goal，罗姆可以提供由时序控制器、源极驱动器、栅极驱动器、PMIC等组成的芯片组。其原理是通过IC之间互相的协作，把各个芯片错误的状态进行监控包括进行回复，一旦有错误，通过控制器来传达给后端的MCU达到一个对于整体液晶面板Safety Goal的实现。就是说，罗姆在液晶面板周边都有具体的产品，组合成整体的一个方案来帮助客户提升功能安全。

车载高清液晶面板用“支持功能安全的芯片组”产品阵容，罗姆也是目前为数不多的可以在液晶面板周边都有相应芯片组方案的公司，如图所示，各个芯片组的大叉点都是罗姆对于各个器件的检测点，通过检测点的实施来达到实时反馈的功能。

关于车载ECU外围电源配置示例，是罗姆针对功能安全在电源方面所作的提升的。ADAS、EPS外围电源正常供电，如果供电发生异常怎么提升功能安全？当然在各个芯片中，虚线框以外，每个芯片都加上功能安全，功能安全对应的功能安全机制是可以去解决，但对于现有的方案可能需要各个芯片都去对应，包括开发日程、开发时间点都会比较长。

罗姆推出了一个简便的方案，在现有的电源构架不变的情况下，加一个电源监控的IC，通过向电源输出的状态进行监控，再通过芯片对于监控的状态实时的反馈状态给到ECU，来传达供电给的各个部分哪一路出问题了，对于系统端也可以有效的去进行功能安全策略上的对应。它的优势就在于可以沿用现有的电源构架，只要加上罗姆的芯片就可以帮助提升客户系统端。