电子产品世界

　　汽车半导体设备和电子系统的开发人员要小心：可能有些供应商声称他们的产品符合ISO 26262安全标准要求，如果这些说法未能阐明用于制造汽车产品的人员和流程验证，则这些说法可能是不可靠的。如果系统设计人员未能仔细评估供应商的资质，他们就很难在汽车供应链中让客户接受其产品。

　　汽车供应链的参与者负责对每个供应商的产品进行自己的功能安全评估，同时考虑供应商记录的使用假设(AoU)，描述供应商的产品如何用于汽车系统。供应商根据特定配置和用例来定制自己的分析，这些配置和用例有望与其集成商客户的配置相匹配。针对汽车系统中使用的元件的第三方ISO 26262认证可以帮助系统集成商执行此分析，但它不会取代集成商在其自己的使用环境中分析其供应商产品的义务。

　　本文探讨了ISO 26262认证的基本原理，该认证涉及设计功能安全的汽车电子系统所涉及的人员，流程和产品。最终目标是让开发团队，管理人员和投资者更加了解遵守汽车安全标准细节所涉及的责任。反过来，这将提供有关合规性的工作和成本的更多信息，还将使供应链成员之间的沟通更加有效。

　　不断变化的汽车行业：新电子设备和新进入者

　　所有乘用车电子系统在集成到汽车制造商的产品之前必须满足严格的安全要求。该行业的供应商已经建立了一个复杂的供应链，以提供这些系统，以及产品满足这些安全要求的能力的证明。这种信息共享系统需要IP供应商、半导体SoC开发人员、零组件供应商、软件提供商、电子系统设计师和许多其他相关人员之间的详细交流，以确保所有关键组件符合ISO 26262指南、程序、培训水平、审核和评估。

　　图1：以半导体为中心的供应链，用于奥迪zFAS中央驾驶辅助控制器的关键部件(来源：奥迪; IHS Markit; Arteris IP)

　　然而，随着越来越多的机械部件转变为电子系统，汽车工业正在迅速发生变化。其结果是，过去由人类驾驶员执行的功能正在由先进的驾驶员辅助系统(ADAS)补充和替代，其正在演变为自动驾驶系统。这两个趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的希望正在刺激新进入者，参与到汽车电子系统的浪潮之中。

　　最近进入者可能缺乏根据ISO 26262功能安全标准开发和交付产品的经验。虽然这些供应商可能声称其产品已准备好符合汽车安全标准，但供应链中的公司仍需要对产品开发过程中涉及的人员和程序进行广泛、仔细的审查和评估，然后才能将其集成到更大的系统中。

　　汽车电子供应链参与者主动解决此问题的一种方法是从认可的评估机构获得ISO 26262认证。然而，大多数针对汽车用途的电子产品并非完整的独立系统，可以通过ISO 26262标准认证，并完全了解产品如何在车辆中集成和使用。因此，对于认真服务于该市场的任何开发团队而言，重要的是探索其供应商关于功能安全的声明，无论是否声明了认证。虽然第三方产品认证可以成为重要参考，但对任何组件的评估必须更深入，并且必须通过公司使用和集成产品来完成考察与认证。如果未能对供应商的人员，流程和产品进行评估，则可能导致客户拒绝。

　　为什么选择ISO 26262?

　　国际标准组织(ISO)声明如下：

　　ISO 26262旨在应用于安全相关系统，其包括一个或多个电气或电子(E / E)系统并且安装在批量生产的乘用车中。

　　ISO 26262解决了E / E安全相关系统故障行为可能造成的危害，包括这些系统的相互作用。

　　第一原则：信息共享是关键

　　汽车系统的电气化在快速进行。这一趋势推动着创新，同时也吸引了更多投资、更多研发工作，以及汽车市场的新进入者。

　　许多新进入者可能不知道的是，遵守汽车安全标准要求通过供应链的每个部分共享信息。各级经验丰富的开发团队都受到这些标准的挑战，因为需求在不断变化，整个行业中只有少数专家可以指导项目完成这一过程。此外，半导体和软件供应链的参与者通常对其IP的开发方式及其工作原理保密。

　　图2：ADAS和自动驾驶系统价值链以半导体为中心

　　供应商必须提供的信息包括具有安全目标的系统的每个元件的分析，教育和文档。供应链的每个成员都必须提供这些信息。半导体IP供应商向SoC的开发人员提供此信息，芯片设计团队使用这些信息来分析他们的定制系统，并将结果传递给Tier-1电子系统供应商。然后，这些一级供应商执行自己的分析并将结果发送给车辆制造商及其客户。

　　汽车供应链中的这些关系正变得越来越复杂，因为制造或设计自动驾驶应用芯片的传统半导体供应商现在有时与Tier-1电子系统设计人员和OEM竞争，他们可能正在自己制造或设计芯片。此外，Uber，Waymo和Apple等新进入者正在设计自己的整套系统，尽管他们在汽车行业缺乏经验。ISO 26262要求整个价值链中的高水平协作和信息共享，新进入者可能不熟悉这些。

　　复杂性要求更好的分析

　　整个汽车行业日益复杂，需要加强这些系统的安全性。现代汽车使用“线控”系统，例如线控油门，驾驶员推动加速器和传感器。踏板将电信号发送到电子控制单元(ECU)，该电子系统取代了过去使用连接在加速踏板和机械节流控制板上的金属电缆。ECU比机械方法更智能，因为它可以做更多分析工作，如发动机转速，车速和踏板位置，然后将命令传递给油门。

　　我们也可以看到，测试和验证线控油门系统比测试旧机械版本更困难。随着我们用电子系统，电动传动系统以及为汽车增加ADAS和自动驾驶功能取代机械系统，复杂性呈现爆炸式增长。ISO 26262的目标是建立一个统一的功能安全标准，以满足所有汽车电子系统的需求。

　　驾驶员辅助，电力推进，车载动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。更大的技术复杂性、软件内容和机电一体化实施带来了系统硬件故障的更大风险，系统硬件故障是由系统开发期间的人为错误产生的。ISO 26262提供了如何通过规定要求和流程来最小化风险的指导。

　　对于半导体SoC器件和IP的设计人员来说，与完整系统的指南相比，ISO 26262合规性的要求更加抽象。因此，IP开发人员必须对许多假设进行额外的分析，以确定集成到功能安全的汽车系统中的IP准备情况。

关键词： ADAS 自动驾驶