“2006年至2016年間，綜合來看在所有汽車市場中，平均每輛車的電子控制單元（ECU）數(shù)量從28個增加到了38個。目前，高端汽車一般配備超過100個獨(dú)立的控制單元，小型車輛也配備了30到50個。”（博世語）

“大眾的計劃是將過去70個ECU變成3-5個高性能的行車電腦和安全相關(guān)功能ECU的進(jìn)化。”（大眾語）

從Tier1和車企透露的數(shù)據(jù)來看，汽車在智能化過程中，ADAS使組成車載零部件的半導(dǎo)體數(shù)量急劇增加，自動駕駛和整車OTA要求企業(yè)縮減ECU數(shù)量，同時優(yōu)化性能，使之能夠承載大量數(shù)據(jù)的處理。

這些ECU分布在動力管理系統(tǒng)、底盤控制系統(tǒng)、制動系統(tǒng)、座艙、車身模塊等各種與駕乘安全、舒適相關(guān)的系統(tǒng)中。

在此背景下，ISO 26262及其涵蓋的系統(tǒng)風(fēng)險等級評估標(biāo)準(zhǔn)ASIL等級應(yīng)運(yùn)而生，成為一個行業(yè)標(biāo)準(zhǔn)，力求實現(xiàn)汽車電子電氣系統(tǒng)的安全設(shè)計。

不強(qiáng)制，但必需

ISO 26262是汽車的電氣/電子相關(guān)的功能安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)制定于2011年11月，并且在2018年又發(fā)布了第二版，追加了半導(dǎo)體指南內(nèi)容。

該標(biāo)準(zhǔn)的對象涵蓋從車輛的構(gòu)思到系統(tǒng)、ECU(電子控制單元)、嵌入式軟件、元器件開發(fā)及相關(guān)的生產(chǎn)、維護(hù)、報廢等整個車輛開發(fā)生命周期。

ISO 26262認(rèn)證分為開發(fā)流程的標(biāo)準(zhǔn)和產(chǎn)品性能標(biāo)準(zhǔn)。開發(fā)流程標(biāo)準(zhǔn)是以之前IATF 16949為基礎(chǔ)，引入像賬票類、可追溯類的管理這些內(nèi)容。產(chǎn)品性能標(biāo)準(zhǔn)就是符合ASIL所要求的安全等級，追加自診斷等功能。

由此可見，ISO 26262是汽車電子元器件穩(wěn)定性優(yōu)劣的評判依據(jù)之一，通過等級要求代表其產(chǎn)品引入有效的改善辦法，確保可容忍范圍的安全。

獲得ISO 26262認(rèn)證有兩種方式，通過第三方認(rèn)證機(jī)構(gòu)獲得認(rèn)證或自我認(rèn)證。

第三方認(rèn)證機(jī)構(gòu)通常為TüV Rheinland、TüV SUD、SGS TüV等為代表。他們對于半導(dǎo)體企業(yè)是否已確立了符合ISO 26262標(biāo)準(zhǔn)的流程進(jìn)行審查和認(rèn)證。

通過第三方認(rèn)證機(jī)構(gòu)的審查后，企業(yè)可取得認(rèn)證，推進(jìn)符合功能安全的車載產(chǎn)品的開發(fā)。

自我認(rèn)證，是企業(yè)按照ISO2626標(biāo)準(zhǔn)執(zhí)行，但需要向客戶提供證明其遵行標(biāo)準(zhǔn)。此時相對于通過第三方認(rèn)證機(jī)構(gòu)建立符合標(biāo)準(zhǔn)的流程，自我認(rèn)證可能需要耗費(fèi)更多的工作量來證明。

據(jù)了解，半導(dǎo)體廠商羅姆（ROHM）就是基于此考慮，經(jīng)過兩年半的流程構(gòu)建，在2018年3月通過德國第三方認(rèn)證機(jī)構(gòu)TüV Rheinland獲得了ISO 26262的流程認(rèn)證。

羅姆半導(dǎo)體（上海）有限公司技術(shù)中心副總經(jīng)理李春華解釋稱：“ISO 26262標(biāo)準(zhǔn)不是法律，不遵守ISO 26262標(biāo)準(zhǔn)并不違法。但是，汽車制造商不會購買不符合標(biāo)準(zhǔn)的產(chǎn)品。汽車制造商通過根據(jù)ISO 26262設(shè)計電氣/電子系統(tǒng)來證明能夠確保汽車的安全。”

雖不強(qiáng)制，但是必需。所以從上到下的Tier2、Tier1和車企對半導(dǎo)體都會有一項“通過功能安全標(biāo)準(zhǔn) ISO 26262 ASIL等級”的要求。

成本與安全的平衡

ASIL分為四個等級，分別為A、B、C、D，其中A是最低等級，D是最高等級。ASIL等級越高，對安全性要求越高，為實現(xiàn)安全付出的成本越高。

ASIL等級根據(jù)不同用途定義危險度而定。比如等級高的AISL D多是面向事關(guān)生命的系統(tǒng)，比如自動駕駛、EPS。如天窗、儀表盤等應(yīng)用的芯片安全等級一般在ASIL A或B。

李春華在接受NE時代專訪時指出：“ASIL等級是通過定義產(chǎn)品的故障發(fā)生頻率、故障可控性而定。”

但是從ASIL A到D，研發(fā)成本指數(shù)級上升。要達(dá)到ASIL D等級的要求，產(chǎn)品的成本可能就會向上增加很多。企業(yè)該如何在成本和安全等級之間取得一個平衡呢？

李春華對NE時代表示：“在現(xiàn)有的方案當(dāng)中，比如電源系統(tǒng)，它本身能實現(xiàn)功能，但是對于產(chǎn)品功能要提升ASIL等級，如果在現(xiàn)有電源上去推翻，讓芯片廠商重新開發(fā)一個對應(yīng)的產(chǎn)品，對于開發(fā)時長、成本來說都比較貴。此時半導(dǎo)體企業(yè)可以提供一些電源輔助類的產(chǎn)品（如電源監(jiān)控IC），在芯片里增加具有功能安全包括自我診斷的功能。通過加上羅姆的電源監(jiān)控芯片就可以去幫助提升電源的方案，就是對于OEM、Tier1這塊有效的去節(jié)省開發(fā)周期、開發(fā)成本，來達(dá)到實現(xiàn)同樣功能等級的一些產(chǎn)品。”

在車載級元器件方面，羅姆面向功能安全開發(fā)的解決方案主要包括“針對ECU電源電路的解決方案“及“針對液晶面板的解決方案”。

在汽車ECU中，通常需要多個電源。該電源發(fā)生異常時可能會引發(fā)事故，因此，需要能夠監(jiān)控ECU內(nèi)的多個電源、并在發(fā)生異常時根據(jù)異常進(jìn)行避免事故的處理。電源監(jiān)控IC就發(fā)揮著這個作用：電源監(jiān)控IC會監(jiān)控這些電壓，并在發(fā)生異常時通知MCU，提示其進(jìn)行處理。

近年來，儀表盤已經(jīng)逐漸開始采用LCD（液晶顯示），后視鏡和內(nèi)后視鏡采用電子鏡的車輛也多起來了。這些顯示裝置具有向駕駛員傳遞各種信息的重要作用，因此如果顯示裝置發(fā)生故障導(dǎo)致無法顯示、出現(xiàn)黑屏的話，就會給駕駛員帶來麻煩。但是，對于儀表盤和電子鏡來說，比起黑屏，錯誤顯示可能更危險。

針對這種問題，羅姆開發(fā)出液晶面板用芯片組，擁有控制各液晶驅(qū)動器的時序控制器、驅(qū)動液晶面板的源極驅(qū)動器和柵極驅(qū)動器、多功能電源IC、進(jìn)行圖像視頻校正的伽瑪校正IC，可從整體上確保液晶面板的功能安全。

總而言之，車載應(yīng)用要實現(xiàn)“功能安全”，不僅需要主功能，還需要“安全機(jī)制”。并且這些“安全機(jī)制”還需要確定自己正常運(yùn)行的“自我診斷功能”。由此，車載芯片在運(yùn)行時能夠得到三層保護(hù)。

當(dāng)下游Tier 1和車企對功能安全提出需求，建立ISO 26262工作流程的半導(dǎo)體企業(yè)才能將功能安全深入整個車載芯片開發(fā)周期之中，應(yīng)對電動化+智能化發(fā)展方向下的安全挑戰(zhàn)。

返回第一電動網(wǎng)首頁 >