长期以来，汽车功能安全主要由一级供应商和汽车主机厂商（OEM） 负责。如今，随着车辆系统复杂性的提升和车内电子元件的不断增加，功能安全正逐渐成为半导体厂商关注的焦点。凭借专门打造的符合 JEDEC 标准的车规级产品组合，美光推出了 SAFER 汽车功能安全解决方案，致力于满足汽车行业对功能安全的需求。美光 LPDDR5 内存基于 SAFER 框架打造，现已正式发布并已量产，旨在为行业最复杂的汽车高级驾驶辅助系统(ADAS) 提供解决方案。

芯片和系统风险管理如今，ADAS 系统在汽车中的加速部署突出了功能安全的重要性。随着一级供应商和汽车主机厂商在安全关键型 ECU 中应用了更多半导体元件，汽车对 ADAS 性能的要求大幅提高，进而强调了半导体功能安全。而由于车载信息娱乐系统与 ADAS 的交互程度逐渐加深，系统级功能安全也受到影响，更加凸显了功能安全的重要性。在系统层面，半导体内存和存储设备需要满足严苛的安全要求，比如符合 ISO 26262 标准。

ISO 26262 标准将功能安全定义为“避免电气/电子系统在运行过程中因故障而引发不合理风险”，并将故障分为两种类型：系统故障和随机故障。因此，功能安全包括两个关键组成部分——系统故障覆盖和随机故障覆盖，以支持设备按设计和预期正常运行，并在随机故障间歇发生时进行标记。通过这些标记，系统能对故障进行分析并做出适当的响应。

在半导体研发过程中，可通过以下措施降低系统故障风险：

●教育培训（例如对员工开展 ISO 26262 标准培训）

●组织管理（例如设立专门的安全办公室、进行内 /外部安全认证）

● 信息扩充（例如提供额外的文件和审查要求）

汽车安全完整性等级（ASIL）每提升一级，相应的产品开发工序就会随之增加。ASIL D 是目前最严格的功能安全认证等级，产品开发所需执行的工序也最多。

ISO 26262 认证有助于降低风险

尽管全面通过 ISO 26262ASIL-D 认证的器件能为系统集成商提供最高的安全等级，但 ISO 26262 标准还提供了三种行业认可的替代方法，用于处理系统故障并降低风险：

●质量管理硬件 (QM HW)要素评估（硬件评估）

●在使用中验证质量管理硬件要素

●ASIL 分解

根据 ISO 26262 标准规定，对于 III 类硬件要素，硬件评估只能在 ISO 26262-8:2018 第 13.4.4.1 条规定的过渡期内使用，新一代硬件要素应按照 ISO 26262 标准进行开发。未来，对于需要使用III 类硬件要素的设计，就要通过正规的标准认证流程。而如果现有市场存在符合 ISO 26262 标准认证的器件，那么设计时就不能采用硬件评估方法，以更好地管理风险和降低集成复杂性，并进而降低总体成本。

根据 ISO 26262-8 标准第 13.4.1.1 条，LPDDR DRAM 应归类为 III 类硬件要素。

汽车安全领域知名咨询公司 exida 的硬件要素分类标准。

“在使用中验证质量管理(QM)硬件要素”的方法需在退货商品授权(RMA)少量的基础上对退货产品进行评估。这种方法要求市场上实际使用的器件数量达到约 500万个，才能证明该器件可用于安全应用。

该方法可能需要 4 到 6 年时间才能获得 ASIL-D 认证。考虑到供应链可能出现延误，出货量和运营时间也难以保证，“在使用中验证”的方法仅能提供较低水平的安全要求且内在风险较高，因此不建议作为一种可持续的方法。

根据 ISO26262-9:2018 第 5 条对 ASIL 分解的描述，简言之，ASIL 分解是一种结构化方法，通过在系统内添加冗余来降低系统各部分所需的 ASIL 级别。与硬件评估相比，ASIL 分解可连续用于多代产品，但系统冗余也会导致系统总成本和器件数量的显著增加。此外，由于 ASIL 分解侧重于故障检测而非避免故障，因此可能会对整体系统可用性产生重大影响。

结论

尽管上述三种替代方法也能实现 ASIL KPI目标，但采用经过 ASIL-D 认证/兼容的器件能将风险降至最低并加速产品上市，如美光 LPDDR5 ASIL-D 认证内存。