汽车功能安全标准ISO 26262导入实践（下）

在 汽车功能安全标准ISO 26262导入实践（上）中，我们详细解读了功能安全的概念、相关标准和实现。本篇我们解读一下功能安全的内容、认证和设计实例。

4. ISO 26262 的详细介绍

ISO 26262 于 2011 年 11 月发布第一版，于 2018 年 12 月发布修订后的第二版。在第一版中，涉及的对象是 3,500kg 以下的量产乘用车；在第二版中，对象范围扩大至卡车、公共汽车及两轮机动车。在这里将围绕第二版中修订的内容来详细介绍 ISO 26262 的细节（图 3）。

图3

4-1 卡车＆公共汽车（T&B）的增加

在第二版中的第一个主要变化是受该标准约束的对象车辆。在第一版中的对象车辆是3,500kg 以下的量产乘用车，但第二版中超出了该框架，对象车辆扩大到了卡车、公共汽车及两轮机动车。实际上，在制定第一版时，也曾经计划包括卡车和公共汽车等对象，但是由于相关的研究需要花费很多时间，于是暂时限定为 3,500kg 以下的车辆。通常，卡车多由汽车制造商来制造基础车辆（驾驶室、引擎、底盘零件部分等），由车身制造商（Body Builder）来制造车身部分（集装箱、翻斗、搅拌筒等）。由于可能会发生根据 ISO 26262 设计和制造的基础车辆上组装了没有根据 ISO 26262 设计和制造的车身部分等情况，因此似乎需要很长时间来讨论该如何应对这类情况。另外，图 3 的 Part 1 的术语集中，也增加了卡车和公共汽车（T&B）用的术语和缩写。

4-2 两轮机动车的增加

如图 3 所示，通过“Part 12”新增了两轮机动车相关的规定。在这里规定的对象是“除 ISO 3833中定义的轻便摩托车之外的两轮机动车或无载荷时重量低于 800kg 的三轮机动车”。轻便摩托车是指最高时速低于 50km/h 的 50cc 以下的两轮车。虽然日本的机动自行车（带马达的自行车）的法定速度是 30km/h，但设计速度为 60km/h 左右，因此不属于轻便摩托车范畴。为了便于理解，下面将 Part 12 的对象两轮机动车进行了分类：

• 轻便摩托车、电动自行车：非对象

• 日本的机动自行车、两轮机动车、低于 800kg 的三轮车：对象

• 800kg 以上的三轮车和四轮以上的车辆：非对象（这些不属于 Part 12 的范畴，而是原有Part 中的约束对象）

4-3 半导体指南

通过“Part 11”新增了半导体指南。Part 11 仅仅是一个指南，因此这部分中没有必要条件和工作成果相关的内容，但提出了在进行半导体设计时应该如何理解 Part 5（硬件设计）和 Part 6（软件设计）中规定的内容。在第一版中，对于半导体设计时应该如何应对的规定是比较模糊的，但在第二版中则给出了很多示例，可以说，按照 ISO 26262 进行半导体设计变得更加容易了。

4-4 目的细化

比较 ISO 26262 标准的第一版和第二版可以看出，第二版中对目的项目的描述显著增加。这是为了通过增加具体案例等，来使各部分的目的变得更容易理解。由于不仅仅局限于必要条件项目，还可以通过其他手法来确保安全性，因此详细描述了应该遵守的原理。

4-5 备注和案例的增加

增加了很多备注和案例，以使必要条件和推荐的说明更加容易理解。

5. 关于获得认证

前面介绍了 ISO 26262 的概要和一些细节，那么怎样才能获得 ISO 26262 的认证呢。在本节中，我们将介绍该认证的获得方法。

5-1 通过第三方认证机构获得认证

要取得上述ISO 26262的认证，通常的做法是接受以TÜV等作为代表的第三方认证机构的审查，并取得认证。TÜV（＝Technischer Überwachungs-Verein）是获得德国技术监督协会批准的、进行审查和认证的民间审查机构。对于是否已确立了符合 ISO 26262 标准的流程（公司内部规定、开发标准、程序书等）进行审查和认证。

5-2 也可以自我认证

只要能说明是按照 ISO 26262 标准执行的，未必一定要通过第三方认证机构获取认证。即使没有获得认证，只要能够证明是按照标准中规定的必要条件组成的工作成果，并且是按照标准进行的开发，也没有问题，但要理解标准中的含义并付诸实践，需要非常大的工作量，要想证明满足了所有的要求，可能是一项艰巨的任务。因此，比起向每个客户一一证明遵行标准的内容，还不如接受第三方认证机构审查并获得认证，以此来表明符合标准的做法效率更高。

5-3 认证支持

功能安全的认证分为人员、流程和产品三类。人员认证主要通过培训和考试的形式，对具备功能安全开发能力的工程师颁发功能安全工程师(Functional Safety Engineer)或功能安全经理（Funtional Safety Manager）资质证书。流程认证通过对企业的开发过程进行审核（Audit），对符合标准要求的颁发功能安全管理（Functional Safety Management）认证证书。产品认证通过对产品安全设计的评估（Assessment），对符合标准要求的产品颁发功能安全产品认证证书。上海驭捷智能科技有限公司自2017年开始建设安全技术中心，形成了从培训、咨 询辅导到资质认证的一站式技术服务能力，可以全面支持ADAS和自动驾驶、车身电子、底盘电子、动力传动系统、信息娱乐系统、新能源电控系统的安全技术支持。与众不同的是，我们的工程专家都是从事汽车电子产品开发的工程师，可以指导产品安全设计量产实践。我们还是TÜV在中国的官方合作伙伴，也是上海市科技创新行动计划项目“智能汽车安全芯片技术”的负责单位，被认定为国家级高新技术企业。

图4

5-4 功能安全工程师（FSE）和功能安全经理（FSM）

功能安全工程师，在按照 ISO 26262 流程推进开发时，以及在接到客户的FIT、FMEDA 委托时，作为功能安全负责人履行职责。功能安全经理，确保标准要求的独立性的形式，执行评审确认、功能安全审查、功能安全评估等确认证实措施。

6. 支持功能安全的车载应用的电路配置示例

最后，介绍一下在最近的车载应用中，半导体是如何为构建功能安全作贡献的。

6-1 针对车载娱乐系统的安全设计

说到车内的显示装置，除了车速里程表、转速表、水温表、燃油表、各种指示器等仪器仪表外，当然还有导航系统等。此外，近年来，仪表盘已经逐渐开始采用 LCD（液晶显示），后视镜和内后视镜采用电子镜的车辆也多起来了（图 5）。

图 5. 车辆的显示装置示例

这些显示装置具有向驾驶员传递各种信息的重要作用，因此如果显示装置发生故障导致无法显示、出现黑屏的话，就会给驾驶员带来麻烦。但是，对于仪表盘和电子镜来说，比起黑屏，错误显示可能更危险。

如果出现黑屏，驾驶员会立即注意到问题，但在驾驶过程中驾驶员不会一直凝视仪表盘和电子镜，因此一旦发生显示卡顿、延迟显示等情况，驾驶员可能不会意识到发生了故障。如果车速里程表显示发生卡顿，且显示的速度比实际速度低的话，那么驾驶员就可能注意不到超速。另外，如果电子镜的显示滞后于实际状态，当其他车辆已经从后方接近了，但车上的电子镜却没有显示时，后果会怎样呢？如果真的发生这种故障，驾驶员可能会在改变车道时无法注意到后方车辆，从而引发事故。仪表盘和电子镜的设计必须要避免这类故障的发生。但是，虽说是“不发生故障的设计”，只要是电子设备，就如前面所介绍的，都有可能因某种问题而损坏。

那么，怎样的设计才算好呢？可以通过一些设计，让驾驶员能够注意到故障情况，例如，始终监测显示的数据，当显示卡顿时，或当发生错误显示时，也像发生黑屏和异常时一样，能够显示错误警告画面。如上所述，即使发生故障也不会引发事故的设计，也就是针对“功能安全”的设计是非常必要的。

6-2 仪表盘、电子镜的电路配置

让我们来具体看一下在进行这样的设计时，实际的仪表盘和电子镜的电路配置是怎样的。

图 6. 显示装置的电路配置示例

图 6 是车辆显示装置的电路配置示例。下面将按图中的编号来介绍它们各自的功能。

① 系统 MCU（Micro Control Unit）负责控制整个系统。它相当于系统的大脑，负责整个系统的处理。

② GPU（Graphics Processing Unit）负责显示、相当于显示的大脑的部分。相对于 CPU（CentralProcessing Unit）作为电脑的大脑，擅长整个计算机的处理，这里的 GPU 是专门用于图形处理的 IC。

③ 电源 IC 负责供给整个系统所需的电源。

④ 时序控制器负责把来自 GPU 的图像数据发送到显示液晶面板的源极驱动器，并根据其显示结果来控制栅极驱动器。

⑤ 源极驱动器根据液晶面板的显示所需的图像数据，调整源极放大器电路的电流，并决定一个像素的亮度。

⑥ 栅极驱动器根据源极驱动器的显示数据逐行显示。

⑦ 面板用 PMIC（Panel Power Management IC）用来生成显示液晶面板所需的电压。

⑧ EEPROM / FLASH 用来存储时序控制器的初始设置数据、查找表、指示器的图像等，并可在 GPU 发来的图像上覆写显示指示器的图像。

6-3 液晶面板芯片组安全设计

在图 6 的应用中，如果时序控制器控制两个驱动器，把来自 GPU 的图像数据直接显示在液晶面板上的话，一旦发生显示异常，将无法做任何操作，会直接导致事故发生。

针对这种问题，如果车载用时序控制器能够监测来自 GPU 的图像数据，当发生数据异常或输入信号异常时，使之显示黑屏，或通知微控制器使之显示错误警告画面等，从而让驾驶员注意到异常，成功地解决了该问题。

比如，ROHM 的液晶面板用芯片组，拥有控制各液晶驱动器的时序控制器：BU90AL210 /BU90AL211 / BU90AD410、驱动液晶面板的源极驱动器和栅极驱动器：ML9882 / ML9873 /ML9872、多功能电源 IC：BM81810MUV、进行图像视频校正的伽玛校正 IC：BD81849MUV，可从整体上确保液晶面板的功能安全（图 7）

图 7. 功能安全芯片组产品示例

如图 8 所示，液晶面板芯片组可检测出各种故障，具有与车辆显示装置所要求的安全性相对应的功能。

组成芯片组的每个IC，都有相互检测可能会出现的故障模式的功能，除了前述的时序控制器功能外，还可以随时确认并反馈源极驱动器和栅极驱动器的损坏、剥落、以及输入液晶的信号等信息。所组成的芯片组可完善检测出面板的异常。在车速表和后视镜采用液晶面板时，通过导入功能安全，有助于预防所担心的重大事故。

面板用的 PMIC 中搭载了丰富的功能：始终监测是否能够正常提供液晶面板显示所需的电压，当发生电压异常时，自动关闭电源的功能，另外内置双重寄存器用以在异常检出时，实行自动刷新使之从异常中恢复。因此还可防止噪声干扰等意外的影响，具有非常高的可靠性。

图 8. 可检测出的故障示例

6-4 普通 ECU 内部的电源电路配置

下面将另一个话题。在汽车 ECU（Electronic Control Unit）中，通常需要多个电源。要求分别提供适合 MCU（也有内核和 I/O 需要独立电源的情况）、传感器、电机驱动器、CAN（Controller Area Network：车内使用的串行通信协议）等的电压和电流。在车内，电源 IC 通过 12V 电池生成所需电压/电流的电源。这些电源既可以由多个电源 IC 构成，也可以由多通道 PMIC（Power Management IC）构成，在车载 ECU 的情况下，该电源发生异常时可能会引发事故（图 9）。

图 9. 电源配置示例

所以，需要能够监控 ECU 内的多个电源、并在发生异常时根据所异常进行避免事故的处理，电源监控 IC 就发挥着这个作用。电源监控 IC 会监控这些电压，并在发生异常时通知MCU，提示其进行处理。

如上所述，车载应用要实现“功能安全”，不仅需要主功能，还需要“安全机制”，即能够监控主功能是否正常，当发生异常时，能够根据每种功能进行处理，保护人员（包括驾驶员、乘客以及行人）安全的功能。此外，还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。 

6-5 安全的电源监控 IC

针对这一问题，可以设计独立的电源监控 IC ，内置各种监控功能和自我诊断功能，实现了可以轻松为现有电源增加功能安全性，这种IC除了电源电压 VDD 的监控（RESET）功能外，还可以同时监控 4 通道的电源，并可分别独立检测电源的异常（欠压/过压）。还配有窗口型看门狗定时器（WDT）,可检测出 ECU 内部 MCU 的异常。另外，还具有支持 ECU 的功能安全所需的以下功能：内置多重基准电压来进行相互监控功能、WDT 的时钟振荡器监控功能、启动时诊断 IC 内部的检测功能是否正常工作的自我诊断功能（图 11）。

图 11. 电源监控 IC示例框图

仅需在现有系统中添加电源监控 IC，既可以利用很小的空间实现功能安全所要求的电源监控功能。电源监控 IC，非常有助于简化功能安全系统设计。

7. 后记

我们花了很长时间来谈论功能安全和 ISO 26262，如果您能够学到一点并且满意，我们将感到非常高兴。我们将面向汽车领域继续开发众多高品质、高可靠性的服务，也会继续提供类似此次介绍的解决方案，助力实现汽车的安心与安全。未来，我们将通过加强符合 ISO 26262 标准的产品开发，为汽车文化的进一步发展贡献力量。