车规级 | ISO26262 道路车辆功能安全认证

        一、ISO26262的起源

       安全性是汽车研发制造最关注的要素。

       一款新型汽车无论集成多么先进的驾驶功能，设计者都需要提供充足的证据以证明新增加的功具备足够的安全性以满足整车安全的要求。

      随着汽车电气化和智能化程度的提高，整车电气和电子系统的复杂性也随之提升。电子/电气系统复杂性的提升带来了系统失效和随机失效风险的增高，随之带来的汽车安全的不确定性，这成为了当今汽车智能化变革路上最大的挑战。

      2011年国际标准化组织道路车辆技术委员会基于IEC61508（2000年首次发布）对“道路汽车” 的电气/电子系统的特殊安全性进行了梳理，提出了与汽车功能安全相关的电气/电子硬件和软件以及相关组件在设计、生产、服务以及报废全生命周期的安全要求及验证要求。ISO26262《公路汽车功能安全性》正式诞生。目前ISO26262认证是产品进入汽车电子/电气零部件及系统供应链体系的必要条件。

      二、ISO26262的具体要求

       ISO26262为车辆全生命周期（包括产品研发、生产、使用、维保和报废）中保证电子/电气系统的功能安全提供了相应的安全保证措施，如提供了如何评估/改善/验证安全性的要求、方法和管控流程，同时还提供了包括机械、液压、气压等其他技术在内的安全性保证框架。

          ISO26262从整车功能安全性角度出发，通过对功能相关项的危害分析、风险评估、确定汽车安全完整性等级（ASIL），进而确定安全目标。

         为达成安全目标，细分了功能相关项，组成相关项的电子/电气系统，组成系统的各组件，以及组成各组件的元器件几层，针对每个层级制定相应的功能安全概念和技术安全概念，并通过评审、验证等手段对相关项安全性是否达成和有效进行评价。

         评审一般针对在系统开发过程中，为达成相关项安全目标所做工作而形成的工作成果而进行评审（走查/检查/认可评审），工作成果包括约86类成果文件，涵盖了从产品概念提出阶段直至报废全生命周期功能安全活动的文档资料，也包括研制方和供应商的管理文件。

         对于电子组件和元器件研制和制造者，ISO26262提供相应的安全认证指南。针对ISO26262进行专门开发的电子组件或元器件，需按照ISO26262-5的开发要求安全活动进行开发和验证。

         而对货架电子组件或元器件，开发阶段并没有引入ISO26262的安全概念，需根据ISO26262-8对硬件要素的评估要求进行安全功能评估和背离安全目标风险评估。对于此类货架电子组件和元件器在评估时，根据产品的特性、评估难度的差异以及要素在安全概念中的作用进行分类（Class Ⅰ-Class Ⅲ）。

        三、Class Ⅰ-Class Ⅲ

        Class Ⅰ

        Class Ⅰ类组件或元器件属于最简单的认证要素（电子组件/元器件的统称），被动元件和分立器件属于此类要素，共性特点工作模式较少，工作参数能够全面评价且内部没有故障诊断和控制机制。

       在ISO26262-11-2011版本中，此类被评估要素只需经过ISO16750或AEC-Q相应的标准认证即可，而在2018版本中，此类要素不需要进行单独评估，而是在更高的集成层面进行评估即可。

       Class Ⅱ

       Class Ⅱ类要素的特点是工作模式多样，但内部同样不具备安全诊断和控制机制，如传感器，没有集成IP内核的集成电路属于此类要素。此类要素的评估需按照ISO26262-8采用分析（对数据、文件、模型、记录的分析）和测试（针对功能，使用环境的安全性进行试验验证）进行评估，被评估的要素对外界应力的鲁棒性测试按照ISO26262-5进行评估。

评估的目的是分析和验证要素的功能性能是否能够符合其规范，以及满足其预期用途。这些性能要求应充分考虑被评估要素在正常环境下以及造成故障发生环境下的性能要求。

      Class Ⅲ

      Class Ⅲ类要素的特点是工作模式多样，而且必须要在考虑实际工作情况下才能对其功能性能进行评估，内部嵌入安全诊断和控制机制，如MCU、DSP、集成IP内核的集成电路属于此类要素。对Class Ⅲ类要素评估最为复杂和苛刻，此要素除了要满足如Class Ⅱ类要素安全评估各项要求外，还要采用额外的评估措施，以能够说明背离安全目标和安全要求的风险足够低。额外的评估措施包括但不限于：

     a)    需要根据具体的使用功能和使用环境完成安全相关功能的验证。

     b） 最好具备类似使用场景的使用历程，以作为硬件安全评估的支撑依据。

     c） 硬件内部要具备独立多样化的执行诊断功能的内核，能够进行芯片安全性的监控。

     d） 硬件的开发过程执行了某些安全标准，且安全标准与ISO26262的ASIL等级相当。

正因如此ISO26262中对非按照ISO26262开发的Class Ⅲ类要素的评估是不建议采纳的，希望此类要素能够在未来的升级时充分按照ISO26262-5硬件层开发要求进行升级。

     ISO26262-2018版本相比于2011版本增加了ISO26262-11《应用于半导体开发指南》，专门针对半导体组件及元器件的开发过程提供了方法和用例。

     四、广电计量的服务能力

     广电计量具备专业技术团队，开展以产品安全功能验证为特色的ISO26262认证技术支持服务。以产品功能安全达成为目标，为客户提供ISO26262安全体系建立，产品各阶段技术安全概念建立与达成，辅导客户相关认可及验证评审等提供专业一体化的技术服务。

     特色服务包括：

     ●芯片功能安全需求分析。

     ●芯片结构分析。

     ●基础失效率分析与计算。

     ●软错误率测试与评估。

     ●FMEA和HAZOP分析。

     ●故障注入模拟。

     五、关于广电计量半导体服务

     广电计量在全国设有元器件筛选及失效分析实验室，形成了以博士、专家为首的技术团队，构建了元器件国产化验证与竞品分析、集成电路测试与工艺评价、半导体功率器件质量提升工程、车规级芯片与元器件AEC-Q认证、车规功率模块AQG324认证等多个技术服务平台、满足装备制造、航空航天、汽车、轨道交通、5G通信、光电器件与传感器等领域的电子产品质量与可靠性的需求。

     六、我们的服务优势

     ●配合工信部牵头“面向集成电路、芯片产业的公共服务平台建设项目”“面向制造业的传感器等关键元器件创新成果产业化公共服务平台”等多个项目；

     ●在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证；

     ●在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近300份AEC-Q及AQG324报告，助力100多款车规元器件量产。