汽車制造商正穩步將更多數量的自動駕駛功能整合到量產新車中，由此帶來的功能安全成為整個行業的重中之重。

為了解決這一問題，國際標準化組織（ISO）在2011年制定的ISO 26262標準基礎之上，將于2019年3月正式發布國際標準版ISO 26262:2018（最終國際標準版草案已于2018年底發布）。

ISO 26262的第一版是在2006年開始開發并于2011年發布。它完全取代了IEC 61508，分別處理車輛、系統、硬件和軟件。這一版本只涵蓋了3500公斤以下車型的電氣和電子系統。不包括液壓和機械系統，專業車輛，如一級方程式賽車，卡車，公共汽車，摩托車，或越野車。

ISO 26262很快成為汽車開發過程中功能性安全的指導標準。但隨后的7年時間里，隨著汽車共享化、ADAS及自動駕駛技術的快速導入，這一標準的瓶頸也開始出現。

隨著汽車技術的進步，對電子系統能夠正常運行而不出故障的絕對確定性的需求也越來越大。而ADAS和自動駕駛技術的快速發展，正在挑戰半導體行業將汽車行業使用的嚴格安全標準引入其設計過程。

尤其是ISO 26262第一版本雖然包含了硬件開發的部分，但該標準對半導體本身沒有具體的指導方針。

ISO 26262:2018包括許多升級，取消了車型重量限制，從而將其覆蓋范圍擴大到其他車輛類別，包括重型公路汽車、卡車、公共汽車和摩托車。值得注意的是，第二版還將包括半導體在汽車功能安全環境中的設計和使用指南。

這一版本將為數字和模擬組件、可編程邏輯器件(PLDs)、多核處理器和傳感器以及IP領域的半導體供應商提供更多的支持。

當然，任何汽車半導體的應用還必須滿足汽車電子委員會的AEC- Q100《封裝集成電路的應力測試合格證書》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光電子器件)、AEC- Q104(用于多芯片模塊)和AEC- Q200(用于無源元件)所規定的汽車可靠性要求。

新的版本同樣也提出了很多新的問題：功能安全標準化的下一步是什么？如何保證概率系統的安全性？如何將功能安全融入產品整體安全戰略？

然而，ISO 26262:2018仍然缺少的是如何處理自動駕駛汽車發展過程中所遇到的一些細節問題。這個缺失將在第二個ISO 26262版本ISO/PAS 21448之后的新標準中得到解決，它通常被稱為SOTIF，代表“預期功能的安全性”。

ISO 26262和SOTIF最終解決的問題將涉及汽車供應鏈的所有部分。例如，需要設計自動化軟件來解決汽車產品環境中組件的質量和可靠性問題；以及所有應用于汽車設計、制造和系統內操作的軟件的工具資格文件的要求。

ISO 26262仍然是提供安全系統、安全硬件和安全軟件的基礎。其目的是在故障發生時確保獨立、安全的操作。ISO 26262標準建立了最先進的流程和體系結構，明確地設置了允許系統安全的規則。

目前仍在開發中的SOTIF標準將為L0級、L1級和L2級自動駕駛(AD)車輛提供指導方針。即使是這些級別的自動駕駛，全球汽車行業專家仍然在努力定義如何使系統安全。

他們面臨著一個難題是，自動駕駛汽車必須是安全的，即使它們不會發生故障。因此，SOTIF標準正在起草中，以提供指導，確保自動駕駛汽車在正常運行期間的功能和行為安全。

傳統汽車行業有一個安全流程來開發符合ISO 26262汽車標準的安全系統。但是，這個過程只涉及到由于E/E系統故障而導致的不合理風險。

然而，這些系統的安全性不僅與E/E故障導致的故障行為有關。它還與駕駛員可預見的功能濫用、傳感器或系統的性能限制或道路環境的意外變化有關。

在汽車E/E系統沒有出現故障的情況下，如何應對其他不合理的風險，一個新的課題“預期功能的安全性”(SOTIF)成為當今汽車行業的熱門話題。新的安全標準“ISO PAS 21448”提供了如何解決這些問題的指導，與ISO 26262功能安全互補。

即將發布的SOTIF所涵蓋的主題將包括：如何評價不同于ISO 26262的SOTIF危害；如何識別和評估場景和觸發事件；如何降低SOTIF相關風險；如何驗證SOTIF相關風險和自動駕駛汽車上路前必須滿足的條件。

接下來是自動駕駛系統驗證必須滿足許多測試，從模擬到整車，這些測試包括整個4D環境的因素，如天氣、道路狀況、周圍景觀、對象紋理和可能的駕駛員誤用。

SOTIF將提供許多方法和指導方針，以便在高級概念分析和隨后的驗證過程中使用環境場景。SOTIF委員會希望通過不同場景的文檔、場景的安全分析、安全場景和各種觸發事件的驗證以及應用安全系統在環境中對車輛的驗證來指導用戶。

這些高級的概念、評估和測試將遠遠超出以前的開發過程?？紤]到這一點，未來對測試平臺、軟件工具、數字雙仿真或循環中的硬件依賴將變得比以往任何時候都更加重要。

今天，我們重點講一下ISO 26262:2018新增的半導體在汽車功能安全環境中的設計和使用指南。

眾所周知，在接下來的智能網聯汽車中，半導體的使用量將快速增長。根據相關機構的數據顯示，在2018年實現24%的強勁同比增長之后，2019年全球半導體收入預計將連續第三年增長，達到4500億美元，較2018年增長7.7%，到2022年將達到4820億美元。

其中，汽車應用市場將是預計到2022年的增長的主要領域之一（電氣化、互聯互通、信息娛樂、高級駕駛員輔助(ADAS)和自動駕駛驅動），從2018年開始以9.6%的年復合增長率增長，到2022年達到547.8億美元。

ISO 26262:2018對半導體行業的挑戰是什么?作為二級汽車供應商的半導體公司必須滿足OEM和一級客戶的許多嚴格要求。他們必須證明交付給這些客戶的集成電路和系統的開發遵循使用合格軟件工具的設計、驗證和驗證流程。

ISO 26262:2018第11部分全面概述了半導體產品開發中的功能安全相關項目。它包括半導體元件及其發展和可能的劃分的一般描述。包括關于硬件故障、錯誤和故障模式的部分。它還涉及知識產權(IP)，特別是與ISO 26262相關的具有一個或多個安全要求的知識產權。

不過，第11部分僅僅是描述了一個功能安全框架，以幫助開發與安全相關的E/E系統。此框架用于將功能性安全活動集成到特定于公司的開發框架中。它包含了ISO 26262關于半導體開發的其他部分的可能解釋。就可能的解釋而言，內容并不詳盡，即，也可以作其他解釋，以符合ISO 26262其他部分的規定。

當然，過去的主要挑戰之一是不同參與者對ISO標準的理解。第11部分現在提供了一個更好的信息指導我們需要做什么來開發一個安全產品，但另一個巨大的挑戰是教育工程師需要做什么，因為這需要從傳統的工程實踐中進行相當大的思維轉變。

此外，未來半導體公司必須執行的安全分析，將被迫向客戶提供更多以前沒有共享的信息。錯誤的理解可能導致錯誤的系統，并帶來安全后果。

當然，ISO26262仍然缺少一些部分，比如如何處理遺留產品、完全操作和自動駕駛。但我們也不能指望一個安全標準為你詳細說明所有方面。

另外一個挑戰是如何通過降低成本來提高安全性。這對每個人來說都是一個大問題。如果沒有完整的系統環境和允許靈活性的假設，有時可能會非常保守地增加成本。

如果你的目標是一些已知的系統，如安全氣囊，轉向，剎車，這是相當容易的。但是，如果我們正在轉向用于自動駕駛芯片的復雜系統，并不是今天所有的東西都是已知的，那么我們就不得不采取非常保守的假設，即成本上升，或者讓客戶來處理，從而增加風險和挑戰性，以證明其適用性。

如果你和潛在客戶的關系不是很好，你最終可能會得到比原來貴得多的東西。這是目前最大的挑戰之一，要真正降低成本，你需要更多地了解這個系統，并進行合作。

現在，據說半導體公司正在游說，反對將FMEDA和FTA（主要應用在系統級別）納入ISO 26262的指導方針。這些故障測試方法并不是唯一的解決方案，尤其是對于復雜的組件和新的挑戰。

還有一個需要重視的是，SOTIF (ISO/PAS 21448:預期功能的安全性)在半導體公司將扮演什么角色？

SOTIF可能對組件有潛在的兩個方面的影響：一個是安全概念的定義。因為在SEooC組件的情況下，我們需要定義我們的概念(基于假設)，以理解SOTIF和含義，這將有助于創建更現實的定義。

第二個是與冗余有關，由于SOTIF的存在，冗余也可能需要一定程度的多樣性。因此，不可能多次使用相同的組件來實現潛在的完整操作系統，但是您可能需要多樣性，然后這些可能會對系統研發產生影響。

然而，SOTIF仍然是一個相對年輕的標準，仍然有很多問題需要解決。比如，此前福特汽車發布的自動駕駛安全報告中，除了行業內通用的汽車安全標準（ISO 26262），福特還集成和應用危害分析技術，如系統理論過程分析（STPA），以及預期功能安全（SOTIF）草案標準。

SOTIF對自動駕駛系統分解成26個事故、九類危害（共176個），這個過程需要分解全自動駕駛的架構、在每個體系結構級別應用STPA、制定全自動駕駛的操作安全概念、生成測試用例來評估架構設計、開發/分配可靠的關鍵軟件系統的設計模式。

未來對于自動駕駛汽車，系統代替了人的操作，即使系統不發生故障，也可能因識別、決策或執行過程的不準確，導致交通事故發生。這類非故障情況下因系統功能不足導致的自動駕駛安全風險，歸為預期功能安全領域（SOTIF）。