ISO 26262，太重要了

164 0 0

文章摘要

ISO 26262标准自十年前汽车电气化趋势开始以来已成为主流，其核心关注点在于各种条件下的安全，包括极端温度、意外振动或不可避免的碰撞。这一标准不仅适用于汽车芯片和系统设计，还开始在无人机、航空航天和机器人等领域获得关注，因为这些领域中不断提高的自主性可能将移动物体变成安全隐患。ISO 26262提供了评估可能出现的问题以及如何修复或确保自主机器在不伤害任何人或造成意外损坏的情况下正常发生故障的最佳实践蓝图。

随着汽车行业逐渐走向完全自动驾驶，硅片在信息娱乐、制动到导航等各个方面发挥着越来越重要的作用。该标准已根深蒂固，以至于一些汽车生态系统之外的原始设备制造商也选择遵循该标准，至少有一家自动驾驶无人机制造商选择让其产品获得ISO 26262认证。

ISO 26262主要包括两个部分：确保所有生成最终产品输出的组件都经过认证，以及使用这些工具和IP组件组合在一起后进行功能安全相关测试。由于其要求严格，ISO 26262的影响力在汽车以外的行业也日益增强，其他标准如DO-254直接受到ISO 26262的前身IEC 61508的影响。

ISO 26262旨在确保每个组件和整个系统的功能安全，但实施它会增加许多挑战，包括严格的文档要求和获得认证所需的稳健性水平，这会影响芯片的架构以及模拟的数量和广度，增加最终签核所需的时间和资源。大部分关于如何实施这一标准的知识来自汽车市场，汽车市场包括各种零部件，并非所有零部件都需要相同级别的坚固性。

ISO 26262通过定义四种不同的汽车安全完整性等级(ASIL)来适应任务关键性的差异。在决定是否实施ISO 26262之前，必须了解目标ASIL。这些是基于应用程序的，它们具有从ASIL A到ASIL D的一系列安全完整性级别，以及一个名为QM的类别，意味着它不是安全关键的，因此不需要助推器。一旦查看了各种风险级别，即故障的可能性及其影响，就需要实施功能安全计划。

ISO 26262级别可广泛应用于不同市场中的许多组件，并实现各种各样的功能，但有些领域仍然模糊不清。因此，标准如何应用、需要测试什么或如何测试组件或系统以确保合规性，或者如何确保符合标准并不总是很清楚。最重要的方面之一是文档要求，因为虽然该标准可能详尽无遗，但也可能有点累人。

ISO 26262要求对芯片架构有很大影响，根据ASIL级别，可能意味着需要构建比通常需要的更多的冗余，以确保随机故障不会导致事故。这可能包括冗余，以处理从高于预期的环境温度到阿尔法粒子等所有可能导致内存中位翻转的情况。

ISO 26262十多年前制定，对汽车芯片的设计产生了巨大影响，随着汽车向软件定义和自动驾驶控制的转变，其重要性只会继续增长。由于严格而全面的功能安全要求，该标准还被用于汽车领域以外的一些用途，例如自动无人机、机器人和航空航天。设计师必须牢记的关键方面包括文档，鉴于这些系统所用芯片缺乏标准化的功能安全测试，文档尤为重要。设计工程师还应该意识到，满足ISO 26262认证的努力可能会对芯片架构产生影响，因为可能需要冗余来防止因随机故障和其他错误而导致的灾难。