交流群 | 进“传感器群/滑板底盘群”请加微信 ：xsh041388

交流群 | 进“域控制器群/操作系统群”请加微信 ：ckc1087

备注信息：传感器/滑板底盘/域控制器+真实姓名、公司、岗位

“AEC-Q”认证与ISO26262功能安全认证的关系

我发现很多人搞不清楚“AEC-Q”认证与ISO26262功能安全认证之间的关系，经常把两者搞混淆，或者放到一起讲，其实这是不对的。AEC和ISO26262根本就是两码事，井水不犯河水，侧重点完全不一样。

“AEC-Q”认证我们已经讲得非常详细了，认证的对象必须是实物，且仅针对电子元器件（不包括零部件），如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等，认证由器件供应商Tier 2来进行认证测试。而ISO26262标准认证范围就很宽了，对象可以是实物，比如元器件，也可以是零部件；或是虚拟的非实体，比如认证一个公司流程（包括研发及生产），认证一个软件等。我大概画了个图，小伙伴们先看下，有个概念。

针对标准的适用范围，我们提炼一下重点：

• 适用于道路车辆，挖掘机啥的非道路车辆就不能算；

• 由电子、电气（E/E）和软件组件组成的系统相关。简单来说就是没电的肯定就不能算，比如你的车玻璃，虽然和安全相关，开着车玻璃突然炸裂了可能就会发生安全事故，但那也不算在功能安全标准范围内，而是算在《中国乘用车强制性国家标准》的被动安全里面的。

• 与安全相关的系统。非安全相关的，比如娱乐系统就不算，开车过程中音乐播放功能失效，没法听歌了，这就不能包含在功能安全范围内。

然后我们再看下“安全”的定义，安全是相对于危害而言的，这一点估计有些小伙伴们还没搞明白：

我们先讲流程认证。按笔者经验，对于没有相应经验的公司，认证机构一般都是建议先做流程认证，通过流程认证后，团队和能力基本上也就培养起来了，下一步就可以来做产品认证了（如果需要的话）。

因为流程认证难度较低，即使现有人员缺乏功能安全相关知识及流程经验，经过认证机构培训及辅导，短则半年，多则一年，一般都能通过，取得功能安全流程认证证书。流程认证一般也是基于一个具体的真实项目来开展的（一般是基于一个简单的产品，太复杂的难度太大，纯属找刺激，不推荐），而不是凭空只做流程文档。当然了，也可以这么做，就是只务虚，但一般不会这么做（认证机构也不推荐）。前面讲了，流程认证一般是产品认证的第一步，没有哪个公司只是为了图个虚名，拿个流程认证证书出去忽悠客户（也不排除这种情况），最终还是为了具体产品过认证。我们来看一下证书长啥样：

从上面证书里我们可以看出来，产品认证证书是务实的，是基于具体的产品的某个功能的。我们前面也讲过，功能安全一定是基于具体功能的。上面的证书认证产品是一个电机控制器，具体功能是所控制的电机扭矩的大小和方向，就是说你要多大扭矩就多大，你要哪个方向就是哪个，这其实是两个功能，认证起来要比一个功能复杂。也就是说，要认证的功能越多，设计就越复杂，认证难度就越大，周期就越长，费用就越高。

3、 认证周期、费用及有效期

流程认证比较简单，我们就不多讲了。产品认证很复杂，工作量很大，这个和几个方面的因素有关：

• 企业现有的技术水平；

• 产品本身的复杂度，比如大模块就肯定要比小模块难度大；

• 需要认证的ASIL等级，等级越高，设计越复杂，难度越大；

• 产品设计方案，比如你直接用更高ASIL等级的器件，难度就要低一些，当然BOM成本就要高一些；

• 需要认证的功能，越多就越难，周期就越长；

• 企业的人力投入，这个比较容易理解。

我们再来看下SGS给的参考，这个和笔者了解到的实际情况是差不多的。

上面已经具体分析了流程认证及产品认证，下面我们来详细讲解一下产品认证范围。

4、 功能安全产品认证范围

关于功能安全可以认证的产品范围，实际上既可以是实体，比如电子元器件、电子零部件或开发工具，也可以是虚拟的非实体，比如软件操作系统OS，我们分开来讲。

4.1、 产品级功能安全认证

这是最常见的，不管是OEM还是Tier 1，一般说产品的功能安全认证，就是指某个电子零部件的认证，而相应的功能，就是这个电子零部件所能实现的功能之一。这个我们在上面拿具体产品举过例子，在此不在赘述。

另外，产品的功能安全等级要求一定是要来自于OEM的。OEM作为整车功能安全等级定义的主导者，负责对整车所有功能安全相关的功能进行功能安全等级划分，再和Tier 1们协商，分配到具体的零部件功能，让相应的Tier 1来实现。比如转向柱锁功能，如果全部让转向柱锁供应商负责实现ASIL D，难度比较大，成本也较高。OEM就可以从整车设计角度来进行功能安全等级分解，降级，让其他零部件承担相应的功能安全等级，共同实现ASIL D的功能安全目标，从而降低单个零部件设计难度及成本。

4.2、 其他产品的功能安全认证

除此之外，某些开发工具（比如代码测试工具Helix QAC），或者单纯的软件产品（如QNX操作系统）也可以单独进行产品认证，道理是一样的。我们来看一下他们的介绍及描述：

Helix QAC是权威的C/C++代码合规性静态分析工具，可以用于车载ECU的嵌入式软件开发中，研发团队可以使用Helix QAC快速地满足功能安全项目合规性的需要。

上面我们把产品功能安全认证适用的范围都讲完了，器件级别的认证没有深入讲，这个对我们理解“AEC-Q”认证与功能安全认证的区别有很大帮助，下面我们详细分析一下。

4.3、 器件类认证

对于电子元器件的功能安全认证，一般都是复杂芯片类产品（至少笔者没见过被动器件和分立半导体器件，这些器件因复杂度较低，不需要通过认证的途径来解决功能安全设计问题）。比如MCU，一般作为一个系统设计的核心，或PMIC，作为系统的电源，功能安全设计就很重要。我们以英飞凌为例，他家的功能安全芯片主要是MCU、PMIC、Gate driver及电机控制芯片，和Ti的差不多。

我们先把上面这个表格分解为三部分：

• 开发流程：分为质量管理流程（即企业现有流程）和功能安全流程（依据ISO 26262开展的管理流程，需要认证），这个做过功能安全的小伙伴们应该有体会，前者就是常规的流程，后者则要麻烦许多，耗时和工作量都不是一个数量级的；

• 文档：Fit值，FMD，FMEDA,FTA，功能安全手册；

• 证书：产品功能安全证书

Ti把功能安全相关的器件分为了三类：

1. Functional Safety-Capable：Ti可以提供功能安全设计所需的FIT值计算和FMD（失效模式分布）信息，帮助Tier 1产品设计人员做安全分析。流程方面，器件不是根据功能安全标准要求的流程开发的，而是根据Ti通用质量管理流程。

2. Functional Safety Quality-Managed：Ti提供一系列文档来帮助Tier 1设计人员进行功能安全设计，降低产品认证的工作量及认证难度，提供的文档包括器件的功能安全FIT值计算，FMEDA及功能安全手册等。器件不是根据功能安全标准要求的流程开发的，而是根据Ti通用质量管理流程。

3. Functional Safety-Compliant：有证书，采用了功能安全开发流程，文档多了FTA（故障树分析），有功能安全证书。

我们解释一下：

第一类产品：不属于功能安全器件产品类别。此类器件通常没有集成安全相关功能，但是开发功能安全系统时又离不开此类器件的参与。Ti 提供的FIT和FMD将有助于进行安全分析。其实这已经很好了，因为很多器件，比如被动器件和分立半导体器件（因为Ti不怎么做这类器件，就没涉及），设计时又离不开，用的又多（比起芯片数量要多得多，不是一个数量级的），供应商一般也不提供FIT和FMD，你需要自己找数据。

第二类产品：属于功能安全器件产品类别。此类器件通常已集成了复杂的内部监控及诊断功能，同时TI又提供了相当多的支持文档，用于功能安全产品设计时，可以大幅降低产品认证的工作量及认证难度。

第三类产品：功能安全合规产品。此类器件通常是集成了安全特性的复杂器件，如MCU、处理器、电机驱动芯片、电源管理芯片等。此类产品是在Ti通用质量管理流程的基础上，采用Ti的功能安全流程开发的。可以提供FTA（故障树分析），有功能安全认证证书。采用此类器件可大幅降低功能安全产品的设计难度及认证难度，或者说，是设计功能安全产品的唯一高效途径。

从上面的两个产品手册的描述我们可以看出来：

• 器件首先是AEC-Q认证的，这是车载应用的基础；

• 合规产品会注明：“Functional Safety-Compliant”，同时注明器件的系统级、硬件级ASIL等级、文档可支持的ASIL等级等信息；

• 功能安全类别产品会注明：“Functional safety quality-managed”，同时注明器件的文档可支持的系统设计的ASIL等级；

好了，看到这里小伙伴们对功能安全认证应该已经有了一些基础的了解，接下最后我们从不同维度来总结一下“AEC-Q”认证与功能安全认证的区别。

5、 “AEC-Q”认证与功能安全认证

我按照几个维度进行分类，简单汇总了一个表格：

下面详细讲一下：

1. 认证对象：

·AEC标准认证的对象仅针对电子元器件，如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等，认证由器件供应商Tier 2来进行认证测试。

·ISO26262标准认证的对象包括流程（对公司）及产品（实体或非实体）；

2. 认证方式：

·AEC标准认证方式就是测试，测试通过后可在产品手册上注明符合标准即可；

·ISO26262标准认证方式最终是体现在流程文档上(无论是流程认证，还是产品认证)，而非产品测试；

3. 认证目的：

·AEC标准认证的最初目的是为了器件资格通用化，现在基本上算是器件车载应用的一个基本要求；

·ISO26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的；

4. 侧重点

·AEC标准的侧重点是器件的可靠性及长期供货的一致性（主要体现在变更流程要求）；

·ISO26262标准的侧重点是设计及开发流程的合规性（主要通过工具及文档）

5. 交付物

·AEC标准认证测试后，交付物就是测试 告（不是证书）

·ISO26262认证后，交付物就是流程文档及认证证书

6. 是否强制

·AEC标准和电子零部件测试标准一样，都是非强制的，但是如果要做车载应用，那么通过这个测试是一个基本要求；

·ISO26262同样也是非强制标准，是否需要过认证取决于客户要求，或是为了降低客户使用难度，同时树立行业门槛；

7. 认证机构

·AEC标准讲得很清楚，没有专门的认证机构，元器件供应商自己根据标准进行测试即可；

·ISO26262是由专门的合规认证机构的，认证必须由机构进行；

8. 认证 告

·AEC-Q是没有认证 告的，只有测试 告；

·ISO26262认证通过后，将由合规认证机构颁发认证证书；

9. 证书有效期

·AEC-Q测试 告基本是没有有效期这个概念的，但是只要产品发生变化，就需要重新进行认证测试；

注：加微信时务必备注您的真实姓名、公司

以及现岗位等信息，谢谢！

“知识积累”类稿件质量要求：

A：信息密度高于绝大多数券商的绝大多数 告，不低于《九章智驾》的平均水平；

B：信息要高度稀缺，需要80%以上的信息是在其他媒体上看不到的，如果基于公开信息，需有特别牛逼的独家观点才行。多谢理解与支持。

推荐阅读：

◆九章 – 2021年度文章大合集

◆当候选人说“看好自动驾驶产业的前景”时，我会心存警惕——九章智驾创业一周年回顾（上）

◆数据收集得不够多、算法迭代得不够快，就“没人喜欢我”————九章智驾创业一周年回顾（下）

◆“放弃自研域控制器”，缘何成为一些L4级自动驾驶公司的共同选择p>

◆2万字长文说清自动驾驶功能架构的演进

◆Code First！博世拉开汽车基础软件开源大幕

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树首页概览93586 人正在系统学习中