继上篇汽车电子芯片的革命与创新-系列二文章中提到，面对汽车电子各类特别需求与规范，奎芯科技团队的技术核心从设计初期的规划到IP核的产出，都需要导入ITAF16949的质量考量。并充分应用5大核心工具(APQP，FMEA，MSA，SPC，PPAP），通过AEC-Q系列规范的把关可靠性，提供优秀的解决方案。本篇将介绍对于功能更加复杂的电动车或自驾车，汽车电子芯片需要考量的功能安全规范。

在汽车产业中，近几年出现了一个大家比较陌生的名词，叫做"功能安全(Functional Safety)"。功能安全指的是当系统的输入或系统内部出现Fault，Error或Failure时，系统内部存在能确保系统正确操作的安全保护机制(Safety Mechanism)。换言之，这些安全保护机制必须要能处理人为疏失、架构错误或操作。事实上，功能安全早已存在不少规范当中，如图一，包含了适用在医疗设备、机械设备、火车甚至航天领域的应用，而ISO 26262是针对汽车产业的功能安全规范。

在车用的功能安全上，目前是使用ISO 26262。ISO 26262是基于IEC61508修改，定义车用设备的功能安全，覆盖所有汽车的电子/电机系统。ISO 26262第一版发布于2011年， 在2018年发布的第二版为最新版。相较于第一版ISO 26262的适用范围为3.5吨以下的小客车，第二版的ISO 26262将扩大适用到摩托车的范围。

要达到ISO 26262对于功能安全的要求，则在产品开发上至少要具备：

•  产品开发的安全周期与所有开发过程，对于安全所做的各项活动证据留存。

•  针对车用风险相关的各项评估，来决定车辆安全完整性等级(Automotive Safety Integrity Level, ASIL) 。

•  依照ISO 26262规范，实现各项符合车辆安全完整性等级需求的设计与活动。

•  提供各项功能安全管理、设计、实现、验证和确认的证据提供与客户或供货商之间的产生关联性。

奎芯科技团队在ISO 26262规范的产品开放中，早已熟知各项功能安全开发上不能忽视且必须注意的细节。

在上面提到ISO 26262规范中，最容易被大众混淆的其实是车辆安全完整性等级(Automotive Safety Integrity Level, ASIL)这个名词。什么是车辆安全完整性等级？而这个安全等级又是如何决定？车辆安全完整性等级是针对车辆系统或是该系统中的组件的安全风险所做的分级。如图二所示，总共5个等级，其中ASIL D表示风险等级最高，要达成ISO 26262的功能安全需求，在研发与设计上要投入的心力也最多，至于最低的等级以QM(Quality Management)为表示。

而针对车辆安全完整性等级的评估则仰赖三个原则来考虑，分别为：

•  严重程度(分为4个等级，最低等级为S0)

•  曝露机率(分为5个等级，最低等级为E0)

•  可控程度(分为4个等级，最低等级为C0)。

依据上面三个原则，再参照图三，则可订出车辆安全完整性等级。

图三、车辆安全完整性等级分级判定方法

ISO 26262完整规范，实质上为11个章节。这11个章节可以再拆分5大类别，分别为管理、研发、支持、安全分析以及补充说明，如图四所示。

在ISO 26262的规范中，大幅运用了V模型(V-Model)为基础。如图五，V模型是一种以图像化来发展系统的流程，这种发展方法可以产出更严谨的产品生命周期和项目管理模型。在V模型中，整个的流程是从左边的项目定义(Project Definition)展开，经过下方的项目实现(Implementation)到最右边的项目测试与整合(Project Test and Integration)。在项目测试与整合的过程中，重复左边的项目定义进行验证(Verification)与确认(Validation)。这样的精神贯穿于整个ISO 26262规范。

图五、V模型

奎芯科技在IP核的研发中，采用V模型来确保每一个自主研发的IP核拥有最佳的效能和最完整的系统考虑，并在与其他IP核整合成芯片时的兼容性达到最高。奎芯在针对车用电子所开发的IP核更是如此，不仅能提供优秀的解决方案，而且能确保顺利通过每一项汽车电子所要求的规范。