如果你以某种方式参与汽车电子产品的设计，你可能对ISO26262标准已经略知一二。贵公司多半是用2011年的标准。最新版本标准的正式名称是ISO 26262:2018，也稱作ISO 26262安全标准第2版，但不是正式的称呼。

图1　ISO 26262:2018系列标准一览（来源：ISO/FDIS）

　　标准是会演变的，但是改变了什么，为什么要改变？多年来，我一直是ISO 26262工作小组的成员，尤其是在IP方面，参与对这个标准的解释，我要告诉各位，我一直在努力。在我看来，当初在制定标准时，有一个隐含的假定，这就是，芯片完全是在一个公司里从零开始设计制造的，可是这个假设已经过时了。而且，对于基于IP的设计或者分散在多家公司或设计站点進行的设计，它也不足以起指导作用。IP　供应商的解决方法是使用SEooC（Safety Element out of Context）。但是，对于可能与集成商有关的内容，在很大程度上取决于元件供应商所作的解释，反之亦然，2011年的标准几乎不能起指导作用。关于这方面的问题，我曾向标准委员会多次表示过不满（发牢骚？），最后他们邀请我参加这个工作小组。我不是唯一感到疑惑的人，其他人也有同感，我们似乎产生了影响；我们努力的结果是在最新的标准中有了更多的说明、机构和实际的例子。我认为新标准的第11部分为我们半导体和半导体IP行业提供了更多的细节和有用的例子。

　　你可能想知道，随着在汽车中出现了更多的自动化系统，应该如何把安全标准用于这些系统。早在2013年，当我加入工作小组时，人们的普遍看法是，如果自动化系统出了问题，会有一盏灯闪烁，或者蜂鸣器发出嘟嘟声，司机就会去操纵汽车。但是，技术的发展速度比预期的快得多，因此用一个备用系统把操纵接过来可能更安全。业界创造了一个称作“故障操作”的新方法来解决这个问题（参见NXP对这点的很好的解释）；自动化系统不是简单地无声无息地失效，而且会变得能够容错。在我们走向自主驾驶时，如果系统发生故障，我们必须有响应更快的备用系统，它的反应必须比司机更快。

　　随著系统自主性的提高，提出了一系列人们关心的新的安全问题：当系统引起安全方面的问题时，虽然没有出现系统性错误和随机性错误（例如宇宙射线等引起的错误），会发生什么？换句话说，如果系统的预期功能导致安全问题，怎么办？新的自动化技术所产生的此类问题在ISO 26262:2018第2版中并未提到，这个标准继续关注硬件和软件对抗与安全有关的风险的能力，并用于硬件和软件的设计。这些系统的安全问题将在一个新的标准中解决，通常称之为SOTIF（Safety Of The Intended Functionality）标准，即aka ISO/pas 21448:2019。在系统的关键元件是非确定性的情況下，例如机器学习（ML）系统无疑就是非确定性的，那么，你如何把安全做到令人满意的水平？在机器学习系统方面，哪种冗余是可以接受的？如何对故障率进行量化？我们应该如何测试和鉴定这些系统？更进一步的问题是，对于SAE 3到5级的安全等级——这是真正的自主性系统需要的安全等级，在这时，会提出什么要求？ISO 26262标准并不打算一下子把所有问题都解决了，这是合乎情理的。

　　在2011年，安全问题还不是一个大问题，但现在显然是热门话题。如何将安全因素纳入安全分析之中？新版标准的第2部分“功能安全管理”要求设计部门在功能安全设计、网络安全设计以及与功能安全相关的其他设计部门之间建立和维持“有效的沟通渠道”，从而朝着这一目标迈出了一步。它没有详细说明你需要做什么来证明你已经达到了这个要求，但这在ISO 26262中并不少见。集成商通常为供应商设置一个标准，以满足他们认为是必要而且充分的要求。如果你是一个供应商，你认为这不合理，那么你需要用大量的事实让人接受你的意见，并建立相互理解。如果你想在这个市场拥有一席之地，就要这样做。

　　这点我争论了很久。“符合规范”并不是你向客户出示证书就万事大吉了，不这么简单。您的客户，即集成商，主要关注他们如何向他们的客户证明他们的技术是符合规范的。由于技术迅速发展，并且最终是整车制造商承担大部分责任，因此门槛不断上升。证书充其量是作为供应商参加竞争的通行证。除此之外，集成商还会要求你重新演示在各个方面都是符合规范的，并修改流程、样机或产品。我以前说过，开发人员不能只在标准的范围思考的问题，要更多地考虑标准的精神。第2部分第6.4.9条和第6.4.10条介绍了有关确认方法以及对确认进行审查的新指南，人们应该从中对这些有所了解。

　　下面是确认审查的部分要求的一个例子：确定关键的样机……是否有充分而且令人信服的证据证明它们达到功能安全的要求。换言之，即使你做了所有预期的常规安全工作（故障模拟等），还要让一个独立的审查员相信这一切都能提高功能的安全性。

　　ISO 26262安全标准第二版的第11章是半导体和IP设计团队以及半导体厂商最感兴趣的部分。有一个很长的章节是关于IP，从IP开发人员和集成商的角度讲IP，以及这两者应该如何互动，包括讨论如何按照SEooC整合IP。我将强调这一节中的一个主题：如果IP集成商断定，供应商提供的IP不可能达到安全方面的要求，那么可以要求供应商作出变更……。换句话说，即使你作为IP供应商认为你提供的IP已经完成，如果集成商需要追加要求以便达到安全的目标，你可能就要按他们的要求做。当然，会在事实的基础上进行协商，但是，如果集成商认为，除非你做出改变，否则他无法让客户接受自己的产品，那么你很可能会感到需要对客户的新要求做出积极的响应（并继续与他们一起追求未来的商机）。人们认识到，有了ISO 26262认证，你仍然需要与客户共享信息和其他证据或样机，即使你拥有某种类型的证书，仍然需要按客户的要求修改产品或样机。

　　ISO 26262安全标准第二版还有更多的内容，例如关于在摩托车、汽车和公共汽车上的应用，但最后我会提到，在确定基本故障率方面有相当多的细节。这方面的內容散布在标准的早期版本中，现在都集中到第11部分第4.6条即“半导体的基本故障率”中。在这里面临的挑战是，许多设计都转移到了先进的半导体工艺节点上，在这些节点可靠的信息（至少在汽车应用所要求的使用寿命期内）是分散的。关于计算这些故障率的假设和机制有相当多的讨论。

　　总的来说，ISO 26262:2018即第2版安全标准在堵塞漏洞方面有了很大进展。随著时间的推移，这些漏洞变得明显，而且更易于了解和利用。这可能是了解标准的这些变化的最好方式；也是按照我们最初的理解，对安全要求和指引进行清理和细化的最好方式。ISO 26262:2018并未解决非系统性安全和随机安全的问题，对于使用神经网络的自主系统，这些问题将会出现；这方面的要求将在SOTIF标准中提出。因此，对于设计3级及高于3级的系统的工程师，都应该随时查阅ISO 26262:2018和ISO/PAS 21448:2019。

　　有关ISO 26262:2018标准第11部分的更多信息，请下载Arteris IP功能安全经理Alexis Boutillier和Resiltech科学顾问Andrea Bondavalli博士在TechCon的演讲，标题是“ISO 26262第11部分半导体基础”，全文有39张投影片，或者观看我在《半导体工程》发表的深受欢迎的视频“技术讲座：ISO 26262 探讨”，网址是https://semiengineering.com/tech-talk-iso-26262-drilldown/。