汽車半導體設(shè)備和電子系統(tǒng)的開發(fā)人員要小心：可能有些供應商聲稱他們的產(chǎn)品符合ISO 26262安全標準要求，如果這些說法未能闡明用于制造汽車產(chǎn)品的人員和流程驗證,，則這些說法可能是不可靠的。如果系統(tǒng)設(shè)計人員未能仔細評估供應商的資質(zhì),，他們就很難在汽車供應鏈中讓客戶接受其產(chǎn)品,。

汽車供應鏈的參與者負責對每個供應商的產(chǎn)品進行自己的功能安全評估，同時考慮供應商記錄的使用假設(shè)（AoU），描述供應商的產(chǎn)品如何用于汽車系統(tǒng),。供應商根據(jù)特定配置和用例來定制自己的分析,，這些配置和用例有望與其集成商客戶的配置相匹配。針對汽車系統(tǒng)中使用的元件的第三方ISO 26262認證可以幫助系統(tǒng)集成商執(zhí)行此分析,，但它不會取代集成商在其自己的使用環(huán)境中分析其供應商產(chǎn)品的義務(wù),。

本文探討了ISO 26262認證的基本原理，該認證涉及設(shè)計功能安全的汽車電子系統(tǒng)所涉及的人員,，流程和產(chǎn)品,。最終目標是讓開發(fā)團隊，管理人員和投資者更加了解遵守汽車安全標準細節(jié)所涉及的責任,。反過來,，這將提供有關(guān)合規(guī)性的工作和成本的更多信息，還將使供應鏈成員之間的溝通更加有效,。

不斷變化的汽車行業(yè)：新電子設(shè)備和新進入者

所有乘用車電子系統(tǒng)在集成到汽車制造商的產(chǎn)品之前必須滿足嚴格的安全要求,。該行業(yè)的供應商已經(jīng)建立了一個復雜的供應鏈，以提供這些系統(tǒng),，以及產(chǎn)品滿足這些安全要求的能力的證明,。這種信息共享系統(tǒng)需要IP供應商、半導體SoC開發(fā)人員,、零組件供應商,、軟件提供商、電子系統(tǒng)設(shè)計師和許多其他相關(guān)人員之間的詳細交流,，以確保所有關(guān)鍵組件符合ISO 26262指南,、程序、培訓水平,、審核和評估,。

圖1：以半導體為中心的供應鏈，用于奧迪zFAS中央駕駛輔助控制器的關(guān)鍵部件（來源：奧迪; IHS Markit; Arteris IP）

然而,，隨著越來越多的機械部件轉(zhuǎn)變?yōu)殡娮酉到y(tǒng),，汽車工業(yè)正在迅速發(fā)生變化。其結(jié)果是,，過去由人類駕駛員執(zhí)行的功能正在由先進的駕駛員輔助系統(tǒng)（ADAS）補充和替代,，其正在演變?yōu)樽詣玉{駛系統(tǒng)。這兩個趨勢正在推動汽車行業(yè)的經(jīng)濟增長和技術(shù)創(chuàng)新浪潮,。市場快速增長的希望正在刺激新進入者,，參與到汽車電子系統(tǒng)的浪潮之中。

最近進入者可能缺乏根據(jù)ISO 26262功能安全標準開發(fā)和交付產(chǎn)品的經(jīng)驗,。雖然這些供應商可能聲稱其產(chǎn)品已準備好符合汽車安全標準,，但供應鏈中的公司仍需要對產(chǎn)品開發(fā)過程中涉及的人員和程序進行廣泛,、仔細的審查和評估，然后才能將其集成到更大的系統(tǒng)中,。

汽車電子供應鏈參與者主動解決此問題的一種方法是從認可的評估機構(gòu)獲得ISO 26262認證,。然而，大多數(shù)針對汽車用途的電子產(chǎn)品并非完整的獨立系統(tǒng),，可以通過ISO 26262標準認證,，并完全了解產(chǎn)品如何在車輛中集成和使用。因此,，對于認真服務(wù)于該市場的任何開發(fā)團隊而言,，重要的是探索其供應商關(guān)于功能安全的聲明，無論是否聲明了認證,。雖然第三方產(chǎn)品認證可以成為重要參考,，但對任何組件的評估必須更深入，并且必須通過公司使用和集成產(chǎn)品來完成考察與認證,。如果未能對供應商的人員,，流程和產(chǎn)品進行評估，則可能導致客戶拒絕,。

為什么選擇ISO 26262,？

國際標準組織（ISO）聲明如下：

ISO 26262旨在應用于安全相關(guān)系統(tǒng)，其包括一個或多個電氣或電子（E / E）系統(tǒng)并且安裝在批量生產(chǎn)的乘用車中,。

ISO 26262解決了E / E安全相關(guān)系統(tǒng)故障行為可能造成的危害,，包括這些系統(tǒng)的相互作用。

第一原則：信息共享是關(guān)鍵

汽車系統(tǒng)的電氣化在快速進行,。這一趨勢推動著創(chuàng)新,，同時也吸引了更多投資、更多研發(fā)工作,，以及汽車市場的新進入者,。

許多新進入者可能不知道的是，遵守汽車安全標準要求通過供應鏈的每個部分共享信息,。各級經(jīng)驗豐富的開發(fā)團隊都受到這些標準的挑戰(zhàn),，因為需求在不斷變化，整個行業(yè)中只有少數(shù)專家可以指導項目完成這一過程,。此外,，半導體和軟件供應鏈的參與者通常對其IP的開發(fā)方式及其工作原理保密。

圖2：ADAS和自動駕駛系統(tǒng)價值鏈以半導體為中心

供應商必須提供的信息包括具有安全目標的系統(tǒng)的每個元件的分析,，教育和文檔,。供應鏈的每個成員都必須提供這些信息。半導體IP供應商向SoC的開發(fā)人員提供此信息,，芯片設(shè)計團隊使用這些信息來分析他們的定制系統(tǒng),，并將結(jié)果傳遞給Tier-1電子系統(tǒng)供應商。然后,，這些一級供應商執(zhí)行自己的分析并將結(jié)果發(fā)送給車輛制造商及其客戶,。

汽車供應鏈中的這些關(guān)系正變得越來越復雜，因為制造或設(shè)計自動駕駛應用芯片的傳統(tǒng)半導體供應商現(xiàn)在有時與Tier-1電子系統(tǒng)設(shè)計人員和OEM競爭,，他們可能正在自己制造或設(shè)計芯片,。此外，Uber,，Waymo和Apple等新進入者正在設(shè)計自己的整套系統(tǒng),，盡管他們在汽車行業(yè)缺乏經(jīng)驗。ISO 26262要求整個價值鏈中的高水平協(xié)作和信息共享,，新進入者可能不熟悉這些,。

復雜性要求更好的分析

整個汽車行業(yè)日益復雜，需要加強這些系統(tǒng)的安全性?，F(xiàn)代汽車使用“線控”系統(tǒng),，例如線控油門，駕駛員推動加速器和傳感器,。踏板將電信號發(fā)送到電子控制單元（ECU）,，該電子系統(tǒng)取代了過去使用連接在加速踏板和機械節(jié)流控制板上的金屬電纜。ECU比機械方法更智能,，因為它可以做更多分析工作,，如發(fā)動機轉(zhuǎn)速，車速和踏板位置,，然后將命令傳遞給油門,。

我們也可以看到，測試和驗證線控油門系統(tǒng)比測試舊機械版本更困難,。隨著我們用電子系統(tǒng),，電動傳動系統(tǒng)以及為汽車增加ADAS和自動駕駛功能取代機械系統(tǒng)，復雜性呈現(xiàn)爆炸式增長,。ISO 26262的目標是建立一個統(tǒng)一的功能安全標準,，以滿足所有汽車電子系統(tǒng)的需求。

駕駛員輔助,，電力推進,，車載動態(tài)控制以及主動和被動安全系統(tǒng)等新功能越來越多地涉及系統(tǒng)安全工程領(lǐng)域。更大的技術(shù)復雜性,、軟件內(nèi)容和機電一體化實施帶來了系統(tǒng)硬件故障的更大風險,，系統(tǒng)硬件故障是由系統(tǒng)開發(fā)期間的人為錯誤產(chǎn)生的。ISO 26262提供了如何通過規(guī)定要求和流程來最小化風險的指導,。

對于半導體SoC器件和IP的設(shè)計人員來說,，與完整系統(tǒng)的指南相比,，ISO 26262合規(guī)性的要求更加抽象。因此,，IP開發(fā)人員必須對許多假設(shè)進行額外的分析,，以確定集成到功能安全的汽車系統(tǒng)中的IP準備情況。

功能安全

ISO 26262的目標是為所有汽車電子系統(tǒng)提供統(tǒng)一的安全標準,。實現(xiàn)系統(tǒng)安全要求在機械,、液壓、氣動,、電氣和電子系統(tǒng)等各種技術(shù)中實施若干安全措施,，并且這些安全措施應用于開發(fā)過程的各個層面。

ISO 26262定義了各種汽車安全完整性等級（ASIL）——QM,，A,，B，C和D-,，以幫助將所需的流程,、開發(fā)工作和產(chǎn)品內(nèi)功能安全機制映射到可接受的風險等級。這五個級別的嚴格范圍涵蓋從基本質(zhì)量管理到故障可導致致命事故的系統(tǒng)的廣泛范圍,。在后一種情況下,，ASIL D要求汽車系統(tǒng)中的單點故障量（SPFM）小于1％。下面的表1提供了有關(guān)ASIL水平與故障指標的更多信息,。

表1要實現(xiàn)ASIL D,，系統(tǒng)中99％以上的單點故障必須由安全機制覆蓋。ASIL B和C需要較少的覆蓋范圍,。（資料來源：ISO 26262-5：2011,，表4和表5內(nèi)容來自ISO 26262-1：2011）

汽車SoC通過特定的硬件功能提供診斷覆蓋，以確保符合ISO 26262標準,。這些片上功能安全機制包括糾錯碼（ECC）,、數(shù)據(jù)鏈路和內(nèi)部存儲器的奇偶校驗保護等技術(shù)，通過智能互連結(jié)構(gòu)智能復制處理元件,，內(nèi)置自測（BIST）和錯誤報告機制,。

盡管ISO 26262關(guān)注的是E / E系統(tǒng)的功能安全性，但它實際上提供了一個框架,，可以解決安全相關(guān)系統(tǒng)的整個生命周期,。ISO 26262提供以下指導：

生命周期管理，產(chǎn)品開發(fā),，生產(chǎn),，運營，服務(wù),，退役以及在這些生命周期階段定制必要的活動

根據(jù)危險的嚴重程度,，暴露概率和可控性來應用安全要求,，以避免不合理的風險

驗證和確認措施，以確保足夠和可接受的安全水平

與供應商關(guān)系的要求

所有這些看起來很復雜,，但是通過關(guān)注三個主要方面,，即“3P”，可以簡化對ISO 26262的要求的理解:

人（People）

流程（Process）

產(chǎn)品（Product）

供應商必須向客戶提供文檔,，詳細說明其為準備符合標準的人員,，流程和產(chǎn)品所采取的措施,。有了“3P”在半導體IP市場中所起作用這一視角,，SoC架構(gòu)師和設(shè)計團隊可以在選擇合適的IP時做出明智的選擇。了解IP供應商的組織和運營特征可以實現(xiàn)更好的芯片,、更安全的汽車,，以及更高效的開發(fā)能力。

圖3：人員,、流程和產(chǎn)品是ISO 26262功能安全活動的基礎(chǔ)

功能安全涉及開發(fā)過程的所有部分,，包括規(guī)范，設(shè)計,，實現(xiàn),，集成，認證和驗證,，還包括生產(chǎn),，管理和服務(wù)流程。由于安全標準的特定要求,，構(gòu)建為汽車SoC設(shè)計IP的組織存在很大困難,。客戶資格認證和第三方ISO 26262認證所需的額外培訓,、評估,、分析和文檔可能會使汽車電子的IP開發(fā)增加大量費用。

必須在供應鏈上傳達這些功能安全活動的證據(jù),。因此,，為汽車半導體市場提供產(chǎn)品的每個組織都必須記錄符合標準的開發(fā)活動。該文檔內(nèi)容必須涵蓋相關(guān)人員,、用于開發(fā)解決方案的流程,，以及符合ISO 26262標準所需產(chǎn)品的分析。

人

朝著半導體IP的ISO 26262合規(guī)邁出的第一步是培訓參與IP開發(fā)的人員,。許多公司采取培訓一小群人的“捷徑”,，通常是ISO 26262要求的功能安全管理員（FSM）和少數(shù)“安全工程師”。

然而,，由于ISO 26262第2部分“功能安全管理”的要求,，特別是條款5.4.2“安全文化”和5.4.3“權(quán)限管理”,，要確保可持續(xù)的安全文化,，團隊成員具有與其職責相對應的足夠技能,、能力和資格，就要求在整個組織中廣泛了解功能安全知識,。這需要大量的員工培訓,。

ISO 26262個人培訓和認證

雖然培訓的主要對象是工程師，但還需要包括組織內(nèi)參與產(chǎn)品開發(fā)和支持的其他人員,，包括高管,、營銷人員、工程人員,、文檔團隊,、質(zhì)量保證經(jīng)理和應用工程師等。該組織指定和培訓的職能安全經(jīng)理（FSM）的任務(wù)是在所有參與產(chǎn)品開發(fā)的人員中推廣安全文化,，而FSM通常負責為所有這些員工提供內(nèi)部或第三方培訓,。客戶通常需要在ISO 26262中稱為“集成商”的半導體IP以及第三方ISO 26262評估員提供員工功能安全培訓證明,。

作為實際實施的一個例子,，超過50人的Arteris IP員工已通過ISO 26262咨詢公司exida的ISO 26262功能安全從業(yè)者（FSP）培訓和認證，該公司也是ANSI認證的ISO 26262標準認證機構(gòu),。Arteris IP擁有經(jīng)驗豐富的FSM員工,，不僅通過其廣泛的ISO 26262培訓計劃，還通過建立功能安全流程來確保安全文化,，確保整個半導體IP開發(fā)過程的質(zhì)量,。

流程

良好的流程對于避免系統(tǒng)故障至關(guān)重要。系統(tǒng)故障以可預測的方式與特定原因相關(guān)聯(lián),，只能通過改變設(shè)計,、制造、操作程序,、文檔或系統(tǒng)的其他相關(guān)因素來消除,。簡而言之，系統(tǒng)故障通常是被“設(shè)計到”系統(tǒng)中的,，而質(zhì)量流程有助于避免將故障設(shè)計到系統(tǒng)中,。

因為我們是工程師，所以對ISO 26262流程的大部分注意力都集中在使用技術(shù)和軟件工具來解決ISO 26262 Part 8稱為“支持流程”的細節(jié)上,。然而,，這是錯誤的方法。

良好的安全流程或任何產(chǎn)品開發(fā)流程的關(guān)鍵不是專家使用和集成需求管理，變更管理,，驗證和開發(fā)過程的其他部分的工具,，而是由所有員工持續(xù)使用質(zhì)量管理系統(tǒng)（QMS）。

質(zhì)量管理體系（QMS）

符合ISO 26262第8部分質(zhì)量管理體系要求的任何流程都符合ISO 26262標準,。但是,，現(xiàn)有的軟件、硬件和汽車系統(tǒng)開發(fā)QMS是最先進的,，可以作為供應商流程的基礎(chǔ),。

下面的表2提供了一些例子：

表2：符合ISO 26262的質(zhì)量管理體系（QMS）的示例。資料來源：ISO 26262-8：2011

第三方評估公司為每個質(zhì)量管理體系提供認證,。然而,，作為汽車供應鏈中的供應商，無論您是否已獲得第三方流程認證,，您的客戶都將對您的流程進行獨立審核,。雖然伴隨第三方流程認證的報告可以幫助您的客戶評估您的流程,，但您的客戶仍有義務(wù)確認您是否符合ISO 26262,。

可追溯性

可追溯性有助于實現(xiàn)ISO 26262合規(guī)性。

在芯片設(shè)計領(lǐng)域,，大多數(shù)設(shè)計團隊已經(jīng)擁有最先進的系統(tǒng),，可以通過實施跟蹤規(guī)范項目，然后再進行驗證測試,。但是,，ISO 26262要求從安全相關(guān)要求及其實施的雙向可追溯性，從概念階段——ISO 26262第3部分到生產(chǎn)和操作——ISO 26262第7部分,。這意味著質(zhì)量保證（QA）測試結(jié)果可以通過其驗證測試,、實施、規(guī)范和要求來追溯,。此外,，配置、更改和文檔需要保持最新,，并且是可跟蹤性信息鏈的一部分,。

對于尚未開發(fā)出服務(wù)于汽車產(chǎn)品的半導體設(shè)計團隊來說，這種可追溯性通常是陌生的,。這些團隊很難改變過去運作良好的規(guī)范實施和驗證系統(tǒng),，以采用支持更廣泛可追溯性的新系統(tǒng)。一種解決方案是實現(xiàn)可追溯性系統(tǒng),，該系統(tǒng)通過工程集成并“包裝”現(xiàn)有的開發(fā)系統(tǒng),，以提供所需的可追溯性水平。

例如，Arteris IP一直使用Atlassian Jira問題跟蹤工具作為其半導體IP和相關(guān)IP可配置軟件的產(chǎn)品開發(fā)規(guī)范實施驗證流程的核心,。過去,，基于Microsoft Word的市場需求文檔（MRD），產(chǎn)品需求文檔（PRD）和規(guī)范中的項目被用作Jira系統(tǒng)的輸入并與工程開發(fā)任務(wù)相關(guān)聯(lián),，跟蹤其狀態(tài),，并自動驗證測試生成并記錄。

圖4：自動可追溯性工具提供了前向和后向可追溯性的方法,，有助于變更管理

ISO 26262流程的底線是大多數(shù)針對汽車市場的公司必須執(zhí)行以下操作：

選擇符合ISO 26262標準的質(zhì)量管理體系,，使用它，并能夠向第三方評估員和客戶評估員解釋您對它的使用,。

實現(xiàn)更廣泛的自動化可追溯性,，涵蓋質(zhì)量保證、交付和支持的所有要求,。

產(chǎn)品

如果供應商聲稱其產(chǎn)品“符合ISO 26262的安全要求”而沒有首先培訓其員工并記錄其流程,，那么它就不符合要求。一旦人員接受培訓并且質(zhì)量流程到位并正在使用,，下一步就是根據(jù)ISO 26262分析產(chǎn)品,，并向半導體集成商提供分析文檔。對于半導體和半導體IP供應商而言,，執(zhí)行此分析需要記錄一組商定的假設(shè),，因為芯片或IP供應商不會完全了解它將成為系統(tǒng)的一部分。

汽車芯片和IP：SEooC,，AoU和ASIL定制

簡而言之,，ISO 26262分析的前提是“系統(tǒng)”是正在開發(fā)和分析的實體，而ISO 26262的第1部分將系統(tǒng)定義為“一組至少與傳感器,，控制器和執(zhí)行器彼此相關(guān)的元件”,。顯然，芯片和用于制造它的IP不是符合ISO 26262標準的系統(tǒng),。那么,，它們是什么呢？

芯片及其IP通常被看作（通常在設(shè)計時未知）系統(tǒng)的“元素”,。雖然他們最終將成為整個系統(tǒng)的一部分,，但其相關(guān)知識很難被100％理解，所以,，芯片和IP被歸類為ISO 26262中的特殊類型的元素,，稱為“SEooC”（Safety Elements out of Context）。SEooC要求IP提供商或集成商記錄使用假設(shè)（AoU）,，其反映了IP的集成商/用戶將使用的預期安全概念,、安全要求和安全機制,。

由于有很多關(guān)于SEooC、AoU以及芯片和IP定制的假設(shè),，ISO 26262要求IP供應商和芯片集成商就開發(fā)接口協(xié)議（DIA）達成一致,，該協(xié)議定義了雙方使用的假設(shè)和責任。DIA文件將解釋來自IP供應商的ASIL定制以及這種定制背后的原因,，以及對所有使用假設(shè)的解釋,。

故障模式和安全機制

產(chǎn)品內(nèi)功能安全機制用于檢測、緩解和糾正系統(tǒng)運行時由隨機錯誤引起的故障,。單事件效應（SEE）——由宇宙射線引起的電磁干擾和當它們與半導體相互作用時發(fā)射的電離能量——是產(chǎn)生隨機錯誤的原因,。這些隨機錯誤可能具有瞬態(tài)或永久性影響。隨機瞬態(tài)效應也稱為“軟錯誤”,，包括單個位翻轉(zhuǎn)（SBU）,，例如存儲器單元或邏輯觸發(fā)器中的“位翻轉(zhuǎn)”，以及單個事件瞬變（SET）,，它們可能是電壓故障,，可能不會導致錯誤。還存在這些可以同時發(fā)生的情況,，導致多個位擾亂（MBU）,。由SEE引起的“硬錯誤”導致永久性損壞，包括單事件閂鎖（SEL）,、單事件燒毀（SEB）等,。

圖5：單事件效應（SEE）錯誤層次圖

由于導致這些錯誤的原因是自然物理現(xiàn)象,，并且是隨機發(fā)生,，因此檢測并減輕其影響以實現(xiàn)和維持系統(tǒng)安全非常重要。為此,，工程團隊在其產(chǎn)品中開發(fā)特定安全技術(shù)特性,。以下是這些功能的示例，也稱為功能安全機制：

添加和檢查添加到片上通信流量的奇偶校驗或ECC位

復制邏輯并比較結(jié)果

三模冗余（TMR）或多數(shù)表決

通訊超時

驗證操作正確性的硬件檢查程序

安全控制器從整個系統(tǒng)收集錯誤消息,，并在系統(tǒng)中進行更高級的通信

內(nèi)置自檢（BIST）,，適用于所有功能安全機制

圖6：故障模式影響和診斷分析（FMEDA）包括使用故障注入分析安全機制，如BIST

我們已經(jīng)描述了分析IP和芯片所需的假設(shè),，以及它們的故障模式和安全機制,，下面將討論實際的分析過程。

首先進行定性分析（FMEA）,，然后進行定量分析（FMEDA）

一旦設(shè)計團隊了解其故障模式和功能安全機制,，就可以執(zhí)行并記錄定性安全分析，稱為故障模式影響和分析（FMEA）,。FMEA是一種漸進的方法,，用于識別設(shè)計中的所有可能的故障方式（故障模式）以及這些故障產(chǎn)生的后果。設(shè)計團隊往往沒有足夠重視對其項目的定性分析，而是傾向于直接進入定量分析,。這是錯誤的,！正確執(zhí)行FMEA是正確定義如何減輕故障的關(guān)鍵，也是用于驗證FMEA定量分析的基礎(chǔ),。

完成FMEA后,，設(shè)計團隊必須使用稱為故障模式影響診斷分析（FMEDA）的定量分析進一步分析故障模式和安全機制。盡管可以估計大多數(shù)功能安全機制的診斷覆蓋范圍（即“保護”）的假設(shè),，但大多數(shù)半導體集成商都堅持使用故障注入技術(shù)來驗證項目中實施的功能安全措施的診斷覆蓋范圍,。需要詳細了解IP實施，以確定必須注入故障的位置,，以觸發(fā)功能安全機制,，以及最有效地觀察機制輸出的位置。

盡管故障注入分析對于驗證FMEA很重要,，但僅靠FMEDA是不夠的,。需要將其他技術(shù)一起用于驗證使用故障注入無法輕易證明的診斷覆蓋率。一個示例是驗證使用假設(shè),，該假設(shè)定義了客戶必須與元素一起集成的安全機制,。這對于駐留在IP塊之外的安全機制（例如時鐘和電壓監(jiān)視器）非常常見。除了故障注入以驗證FMEA之外,，還可以使用的其他技術(shù)包括故障樹分析（FTA）,、相關(guān)故障分析（DFA）和引腳級FMEA。

由IP開發(fā)團隊創(chuàng)建的FMEDA報告允許經(jīng)過全面培訓的安全管理人員審查有關(guān)遵守ISO 26262的所有信息,。由IP提供商或半導體集成商聘請的第三方評估公司或咨詢公司也可以審查分析和開發(fā)過程,，以幫助評估功能安全合規(guī)性。

結(jié)論

在ISO 26262下滿足汽車功能安全組件的標準是一個涉及供應商的人員,，流程和產(chǎn)品的艱巨過程,。創(chuàng)建滿足這些需求的產(chǎn)品和技術(shù)需要運營和工程重點、強大的安全文化,、管理承諾以及對時間和金錢的重大投資,。如果供應商提供此類產(chǎn)品，則由集成商決定是否已采取超出產(chǎn)品級別的所有步驟來確定索賠是否有效,。未能進一步調(diào)查將使集成商面臨使用不符合評估和審核要求的組件的風險,，這些組件是客戶在供應鏈中進一步遵守ISO 26262要求所必需的。

依賴于有關(guān)安全目標的產(chǎn)品開發(fā)中涉及的人員,、流程和分析的不完整信息的項目可能使進入新興的乘用車電子系統(tǒng)設(shè)計的努力無效,，包括ADAS和自動駕駛汽車的設(shè)計。電子系統(tǒng)集成商必須向汽車制造商提供證據(jù),，證明系統(tǒng)的所有組件都經(jīng)過徹底評估,，以驗證其安全可靠的說法,。如果不遵守標準、不傳達如何遵循標準,，可能會導致汽車供應商的額外工作或返工,。