Arteris市場(chǎng)副總裁 Kurt Schuler在ISO 26262的多個(gè)技術(shù)委員會(huì)任職，他指出，在汽車電子系統(tǒng)開發(fā)方面，IP及EDA工具廠商還有很多方法去提升安全性，從而滿足ISO 26262標(biāo)準(zhǔn)要求。

首先，設(shè)定應(yīng)用場(chǎng)景對(duì)IP和EDA工具非常重要。在高度可編程器件出現(xiàn)之前，很容易判斷大型系統(tǒng)中每個(gè)元器件如何工作，但現(xiàn)在，IP和工具廠商定義的安全元件（safety elements）99.9%與應(yīng)用場(chǎng)景無(wú)關(guān)。因?yàn)檫@些安全元件可能會(huì)用在任何應(yīng)用場(chǎng)景，所以不可能只對(duì)特定應(yīng)用場(chǎng)景優(yōu)化。

汽車安全完整性水平（Automotive Safety Integrity Levels，簡(jiǎn)稱ASIL）即引入了根據(jù)零部件應(yīng)用場(chǎng)景來(lái)定義安全性的概念。即便是完全相同的控制器芯片，應(yīng)用不同時(shí)，安全認(rèn)證要求會(huì)有天壤之別，用在座椅位置調(diào)整的控制器芯片與用在自動(dòng)駕駛系統(tǒng)中控制器芯片顯然承擔(dān)了不同的安全責(zé)任。

所以，ASIL水平根據(jù)子系統(tǒng)的每一種危險(xiǎn)傾向而設(shè)定，例如ASIL C級(jí)與D級(jí)標(biāo)準(zhǔn)，通常是針對(duì)有致死性風(fēng)險(xiǎn)的場(chǎng)景，而ASIL A級(jí)標(biāo)準(zhǔn)則是針對(duì)類似汽車座椅調(diào)整這種安全級(jí)別的場(chǎng)景。 ASIL實(shí)際上是對(duì)事件發(fā)生的危險(xiǎn)程度、可能性及后果可控性的度量，Kurt以定速巡航為例來(lái)說(shuō)明。當(dāng)定速巡航失效時(shí)，駕駛員還能操縱汽車，即便是當(dāng)前先進(jìn)的自動(dòng)駕駛（autopilot）功能失效，當(dāng)駕駛員轉(zhuǎn)動(dòng)方向盤時(shí)，汽車必須改為人工駕駛模式。當(dāng)然，這種切換對(duì)于系統(tǒng)反應(yīng)時(shí)間要求非常嚴(yán)格，無(wú)論是駕駛員的反應(yīng)，還是系統(tǒng)本身的恢復(fù)時(shí)間，每一步都需要足夠的時(shí)間窗口來(lái)完成。

在IP或軟件中加入一些功能，就能提高電子元器件的功能安全等級(jí)。Kurt表示，Arteris的一種做法是加入片上通信（on chip communication）功能。Arteris的片上通信方案中，還內(nèi)建了通信完整性偵測(cè)器（checker），在系統(tǒng)運(yùn)行時(shí)，該偵測(cè)器會(huì)定時(shí)檢測(cè)系統(tǒng)，以確保系統(tǒng)不出現(xiàn)故障。Kurt還指出，偵測(cè)器本身也要被檢測(cè)，所以在Arteris的方案中，偵測(cè)器也有故障處理機(jī)制。

IP產(chǎn)品功能安全的關(guān)鍵在于覆蓋率。Kurt認(rèn)為，IP廠商必須讓客戶更容易地評(píng)估IP的診斷覆蓋率。失效模式、影響和診斷分析（FMEDA）變得越來(lái)越重要，IP產(chǎn)品必須能應(yīng)對(duì)諸如位卡死（stuck bit）、電源瞬變以及你能夠想到的所有意外狀況。在IP或者元器件層面的任何意外狀況都必須查明原因，這樣才能在系統(tǒng)層面去處理各種意外狀況。

根據(jù)ISO 26262標(biāo)準(zhǔn)，通過(guò)認(rèn)證的系統(tǒng)維護(hù)及可追溯時(shí)間要達(dá)到十年以上，這就對(duì)系統(tǒng)的設(shè)計(jì)數(shù)據(jù)準(zhǔn)備及維護(hù)提出了很多新要求。實(shí)際上，在系統(tǒng)維護(hù)及可追溯期，廠商必須提供完整的工具鏈，以備重新生成、分析或修改設(shè)計(jì)。ISO 26262對(duì)IP的要求主要是文檔工作，IP廠商要給系統(tǒng)工程師提供足夠的信息，以助其完成對(duì)系統(tǒng)的標(biāo)準(zhǔn)認(rèn)證。

毫無(wú)疑問(wèn)，國(guó)際標(biāo)準(zhǔn)組織正在整個(gè)半導(dǎo)體產(chǎn)業(yè)鏈中推行ISO 26262標(biāo)準(zhǔn)。這也是為無(wú)人駕駛時(shí)代做準(zhǔn)備吧，當(dāng)沒有人類駕駛員來(lái)接管時(shí)，自底至頂，汽車的每一層系統(tǒng)在開發(fā)時(shí)都必須符合可靠性與安全性標(biāo)準(zhǔn)。