ISO 26262 道路车辆功能安全

概念解析

定义与起源

术语定义：ISO 26262是道路车辆功能安全的国际标准——定义了汽车电子系统从概念到报废的全生命周期安全要求。它的核心概念是ASIL(Automotive Safety Integrity Level，汽车安全完整性等级)：从A(最低)到D(最高)四个等级，决定了一个电子系统需要多严格的安全设计和验证。

ISO 26262于2011年首次发布，2018年第二版增加了半导体-specific的指导(Part 11)。对IC设计来说，ISO 26262意味着：你的芯片不只是"功能正确"——它必须在发生故障时"安全地失败"(fail-safe)而不是"危险地失败"(fail-dangerous)。

核心要义

第一，ASIL等级=随机硬件故障的概率上限。 ASIL B要求单点故障度量(SPFM)≥90%，潜在故障度量(LFM)≥60%。ASIL D要求SPFM≥99%，LFM≥90%。这些不是在说"芯片功能多好"——是说"芯片故障后多大概率不会造成危险"。

第二，FMEDA是ISO 26262的核心分析工具。 FMEDA(Failure Mode Effects and Diagnostic Analysis)对芯片的每个功能模块分析：如果这个模块出了这个故障——会有什么后果？是安全相关的吗？能被检测到吗？FMEDA的输出是SPFM和LFM的数值——决定芯片能否达到目标ASIL等级。

第三，DFT是ISO 26262的使能器。 要达到ASIL D的99% SPFM——你需要LBIST(逻辑内建自测试)在上电时和在运行中周期性检测逻辑故障。你需要MBIST检测存储器故障。你需要冗余+比较(voting)来容忍瞬时故障。DFT不仅要测stuck-at——还要测transition、path delay、cell-aware故障。

实践应用

* 安全目标(Safety Goal)先于设计：在RTL写第一行代码之前就要定义——什么故障是危险的？ASIL等级是多少？ * 冗余是ISO 26262的默认答案：双核锁步(DCLS)——两个CPU核跑同样的代码，结果比较——一个出错就报警。 * DFT要为功能安全服务：LBIST和MBIST不只是ATE上跑——要在芯片运行中周期性自检(mission-mode test)。

实战案例

- 某ADAS芯片的ASIL D之路：目标ASIL D。初始FMEDA：SPFM=94.2%(差4.8%)。分析发现最大的贡献者是SRAM的软错误——加ECC→SPFM跳升到97%。再加LBIST→98.5%。再优化safety mechanism的coverage→99.1%——达标。 - 双核锁步救了刹车系统：某线控制动ECU的主CPU和检查CPU跑同步代码——一个核因为alpha粒子翻转了一个bit——比较器立刻检测到不一致→系统切换到安全状态(切断制动助力→人工制动接管)。DCLS的MTBF从10^6h提升到10^9h。 - FMEDA漏算的故障模式：某芯片FMEDA通过了ISO 26262认证——但漏算了时钟故障。硅片回来时钟PLL偶尔失锁——导致CAN通信完全中断——车辆进入limp mode。修改：PLL加失锁检测+冗余振荡器——时钟故障被纳入FMEDA。

原话引用

> "ISO 26262不是让你设计不会坏的东西——是让你设计坏了不会要命的东西。"—— ISO 26262培训教材, 2020 > "ASIL D means your chip has a 99% chance of being safe when it fails. The remaining 1% is why we test."—— 功能安全架构师, 内部评审 > "DFT for automotive is not about cost reduction——it's about life protection."—— SNUG Europe 2021

常见误区

误区一：ISO 26262=冗馀+双核就够。 冗余是手段不是目的。ISO 26262要求的是"安全论证"——你需要证明你的安全机制覆盖了所有危险故障模式。冗余只是安全机制的一种。

误区二：SPFM达标=功能安全达标。 SPFM计算的是随机硬件故障的覆盖率——不包括系统性故障(设计bug)。系统性故障需要靠流程(开发流程、验证流程、变更管理)来保证——这是ISO 26262 Part 2-6的内容。

误区三：功能安全是认证机构的事——芯片设计不需要管。 芯片是实现安全目标的基础。如果你的芯片不能提供足够的故障检测覆盖率——系统级(ECU、整车)怎么做都补不回来。ISO 26262 Part 11专门讲半导体。

思想演变

- 2011：ISO 26262:2011发布：第一版，主要面向ECU级。对半导体的指导很少。 - 2018：第二版+Part 11：增加了半导体-specific指导。ASIL等级从整车分解到芯片模块。 - 2020s：自动驾驶推高ASIL要求：L3+自动驾驶要求ASIL D的系统级安全——芯片的SPFM必须≥99%。 - 2025+：AI功能安全：AI推理的不确定性给ISO 26262带来全新挑战——如何认证一个"概率性正确"的AI加速器？

相关论文

- 汽车领域中虚拟平台的应用与需求 - 汽车系统验证：使用Saber/ModelSim联合仿真结合ISO 26262 - 使用ASIP Designer的高效双核锁步处理器设计：ST STxP5案例研究 - 加速半导体产品达到ISO 26262合规时间 - 安全规范格式（SSF）驱动加速汽车设计收敛 - 安全规范格式（SSF）驱动流程加速汽车芯片设计收敛 - 新思科技高效故障注错仿真工具 Z01X 助力功能安全验证 - 面向汽车设计可测试性改进的测试点插入案例研究 - 逻辑和存储器 BIST 如何帮助满足汽车 IC 的功能安全需求 - 面向小型核心的轻量级LBIST实现方法学 - 面向小型核心的轻量级LBIST实现方法学——DFTMAX LogicBIST/SpyGlass DFT ADV/TetraMAX II ADV - 什么是功能安全？与过去几十年的功能验证有何不同？ - RTL 可测试性与设计分析：SpyGlass DFT ADV - SpyGlass DFT ADV早期可测试性分析：满足汽车电子严苛的可测试性要求 - Synopsys汽车电子测试解决方案 — ISO 26262认证 - Synopsys 汽车测试解决方案：ISO 26262 认证 - 汽车功能安全：什么是功能安全，如何实现，与功能验证有何不同？ - 面向汽车应用的LogicBIST技术 - 使用Synopsys测试自动化工具降低DPPM并测试安全关键电路 - 左移TestMAX流程和X容忍逻辑BIST方案用于汽车IC