如果您参与了汽车电子产品的设计，那么您可能对 ISO 26262 标准有粗略的了解。您的组织所采用的标准很可能是 2011 年的定义。最新更新的正式名称是 ISO 26262:2018，非正式名称是 ISO 26262 第2版。

标准应该不断发展，但是改变了什么以及为什么改变？我多年来一直是 ISO 26262 工作组的成员，特别是参与如何解释知识产权方面的工作，我必须告诉你，我一直在努力。从我的角度来看，它最初是围绕一种隐含的期望编写的，即芯片完全在一个组织内从头开始构建，这是一个过时的假设。对于基于 IP 的设计或分布在多个公司或站点的设计也没有足够的指导。 IP 供应商的解决方法是使用脱离上下文的安全元素 (SEooC) 机制。但这在很大程度上取决于组件供应商对可能与集成商相关的内容的人工解释，反之亦然，2011 版标准几乎没有提供任何指导。我向委员会抱怨（抱怨？）了很多关于这些问题的问题，他们最终邀请我加入工作组。我不是唯一一个感到困惑的人，其他人也加入了进来，我们似乎产生了影响；我们的努力使最新标准有了更多的澄清、组织和实际示例。我认为更新后的标准的新第 11 部分为我们半导体和半导体 IP 行业提供了更多详细信息和有用的示例。

您可能想知道随着车辆中出现越来越多的自动化，安全标准如何应用。早在 2013 年，当我加入该工作组时，普遍的观点是，如果自动化出现问题，指示灯会闪烁，或者蜂鸣器会发出蜂鸣声，驾驶员会收回控制权。但技术的发展速度比预期要快得多，以至于备份系统接管控制可能会更安全。业界创造了一个新术语“操作失败”来解决这个问题（请参阅恩智浦的这个很好的解释）；系统不会默默地失败，它会变得容错。当我们接近自动驾驶时，如果系统出现故障，我们必须有比依赖驾驶员更快的响应备份。

系统自主性的增加带来了一系列新的安全问题：即使没有系统错误和随机错误（例如由于宇宙射线等），当系统导致安全问题时会发生什么？换句话说，如果系统的预期功能导致安全问题怎么办？ ISO 26262:2018第二版没有处理由新自动化技术产生的此类问题，该版本继续关注硬件和软件对安全相关风险的恢复能力以及用于创建硬件和软件的流程。这些系统安全问题将在新标准中得到解决，该标准通常称为 SOTIF预期功能安全（又名ISO / PAS 21448:2019）是非确定性的，就像机器学习 (ML) 系统不可避免的那样？机器学习系统之间什么样的冗余是可以接受的？如何量化故障率？我们应该如何测试和验证这些系统？更进一步的是 SAE 3 至 5 级可能存在的任何要求，其中真正的自主权占据主导地位。 ISO 26262 并没有试图一口气吃掉整头大象。

安全问题在 2011 年也不是一个大问题，但现在显然很热门。安全分析中应如何考虑安全因素？更新后的规范的第 2 部分“功能安全管理”朝着这一目标迈出了一步，要求设计组织在功能安全、网络安全和与功能安全相关的其他组织之间创建和维护“有效的沟通渠道”。它没有详细说明您到底需要做什么来证明您已满足此期望，但这在 ISO 26262 中并不罕见。集成商通常为供应商设定标准，以满足他们认为必要和充分的要求。如果您是供应商并且您认为这不公平，那么您需要根据大量事实来协商您的立场并建立相互理解。如果你想在谈判桌上占有一席之地，那就是这样的。

这是我争论了很长时间的一个观点。 “合规性”并不是一次性的练习，只要向客户出示证书就可以了。您的客户（即集成商）主要关心的是如何向客户证明合规性。由于技术的快速发展，标准不断提高，最终汽车制造商承担了大部分责任。一张证书最多就是作为供应商参加比赛的通行证。除此之外，集成商还可以要求您重新展示合规性的所有方面，并对您的流程、工作产品或产品进行更改。我之前说过，开发人员的思考需要超越标准的字面意义，更多地思考标准的精神。第 2 部分第 6.4.9 和 6.4.10 条引入了有关确认措施和确认审查的新指南，这些指南应该对这些期望有所了解。

以下是确认审查中部分要求的示例：判断关键工作产品……是否提供了充分且令人信服的证据来证明其对实现功能安全的贡献。换句话说，即使您做了所有预期的死记硬背的安全工作（故障模拟等），独立审查员仍然必须相信这一切都有助于功能安全的改进。

第二版的第 11 章将成为半导体和 IP 设计团队以及晶圆厂最感兴趣的内容。其中有很大一部分内容是从 IP 开发者和集成商的角度以及这两者应如何交互的角度来处理 IP，包括将 IP 集成为 SEooC 的讨论。我将重点强调本节中的一个主题：如果 IP 集成商确定所提供的 IP 无法满足安全要求，则可以向供应商提出变更请求……换句话说，即使您（IP供应商）认为您的 IP 已完成，如果集成商需要额外的东西来满足其安全目标，您可能需要提供它。

当然，将会有基于事实的谈判，但如果集成商认为除非您做出更改，否则她无法让客户接受她的元素，那么您很可能会感到有义务积极响应客户的新要求（并维持与她一起开展未来业务的机会）。警钟是，ISO 26262 认证并不能免除您与客户共享信息和附加证据或工作产品的需要，即使您拥有某种类型的证书，也不能消除您可能需要为支持客户的需求而进行的产品或工作产品变更。

第二版中有更多内容，例如关于摩托车、卡车和公共汽车的应用，但我最后要提到的是，有很多关于确定基本故障率的细节。这些信息散布在该标准的早期版本中，现在已合并到第 11 部分第 4.6 条“半导体的基本故障率”中。这里的挑战是，许多设计正在转向先进的半导体工艺节点，其中可靠的信息（至少在汽车应用所需的生命周期内）充其量是稀疏的。关于计算这些故障率的假设和机制有相当长的讨论。

总体而言，ISO 26262:2018第二版在填补随着时间的推移而变得明显的漏洞方面取得了很多良好的进展，并使其更易于理解和使用。这可能是查看此更新的最佳方式；或多或少地按照我们最初的理解清理和完善安全要求和指南。 ISO 26262:2018 没有解决使用神经网络的自主系统会出现的非系统性和随机性安全问题；这是 SOTIF 标准中的内容。因此，对于从事 3 级及以上系统工作的工程师来说，ISO 26262:2018 和 ISO/PAS 21448:2019 都应该放在您的书架上。

ISO26262对产品研发的思路

ISO26262视角：什么是ISO26262？ISO26262 的范围有哪些？

ASPICE和ISO26262对工程流程的影响

什么是 ISO 26262？如何根据 ISO 26262 确保功能安全

ASPICE 与 ISO 26262 — 有什么区别？