半导体工程界的许多人是ISO26262功能安全标准和汽车行业的新手。本文解释了半导体行业在汽车供应链中的角色变化,并试图增强读者对ISO26262标准各个方面的了解。本文还讨论了该标准的适用性,不仅适用于电子产品,还适用于创建它们的人员和过程。
1.简介
汽车半导体器件和电子系统的开发人员要提防:有些供应商声称他们的产品符合ISO26262安全标准要求,以便集成到乘用车的生产中,而没有完全了解挑战的本质。如果这些声明没有考虑到用于制造汽车产品的人员和过程,那么这些声明可能是肤浅的。如果系统设计人员未能仔细评估供应商的资格,则他们可能会面临使他们的产品在汽车供应链中被客户接受的风险。
汽车供应链中的参与者负责对每个供应商的产品进行自己的功能安全评估,同时要考虑其供应商的书面使用假设(AoU),该假设描述了预期在汽车系统中如何使用供应商的产品。供应商针对特定的配置和用例量身定制他们自己的分析,希望能与集成商客户的分析和用例相匹配。用于汽车系统的元素1的第三方ISO 26262认证可以帮助系统集成商执行此分析,但不能代替集成商在集成商自己使用的情况下分析其卖方产品的义务。
本文探讨了涉及设计汽车功能安全电子系统的人员,过程和产品的ISO26262认证的基础。最终目标是使开发团队,管理人员和投资者更多地意识到遵守汽车安全标准的细节所涉及的责任。反过来,这将提供有关合规性方面的工作和成本的更多信息,还将使供应链成员之间的通信更加有效。
2.不断变化的汽车行业:新电子产品和新进入者
所有乘用车电子系统在集成到汽车制造商的产品中之前,必须满足严格的安全要求。该行业的供应商已经建立了完善的供应链,以交付这些系统,并证明产品能够满足这些安全要求。此信息共享系统要求知识产权(IP)供应商,半导体片上系统(SoC)开发人员,组件供应商,软件提供商,电子系统设计人员以及许多其他人员之间进行详细的交换,以确保所有关键组件均符合ISO26262准则,程序,培训水平,审核和评估。
图奥迪的zFAS中央驾驶辅助控制器的关键部件1半导体为中心的供应链。
资料来源:奥迪;IHS Markit;Arteris IP
但是,随着越来越多的机械特性过渡到电子系统,汽车行业目前正在见证快速的变化。结果,人类驾驶员过去执行的功能被高级驾驶员辅助系统(ADAS)补充,高级驾驶员辅助系统正在演变为自动驾驶系统。这两个趋势正在推动汽车行业的经济增长和技术创新浪潮。市场快速增长的希望正在激发新的参与者,他们的目标是参与汽车行业的电子繁荣。
新进入者可能缺乏根据ISO26262功能安全标准开发和交付其产品的经验。尽管这些供应商可能声明他们的产品已经准备好符合汽车安全标准,但是在将产品集成到更大的系统中之前,供应链中的公司仍将需要对开发产品所涉及的人员和程序进行广泛,仔细的审查和评估。 。重要的是要注意,ISO 26262标准适用于使产品与产品本身一样重要的人员和过程。
汽车电子供应链参与者积极解决此问题的一种方法是,从获得认可的评估机构获得ISO26262认证。但是,大多数面向汽车用途的电子产品并不是完整的独立系统,而这些独立系统可以在完全了解产品如何在车辆中集成和使用的情况下通过ISO26262标准的认证。因此,对于任何认真服务于该市场的开发团队来说,无论是否要求认证,都必须探索其供应商关于功能安全的主张,这一点很重要。尽管第三方产品认证可以作为此过程的一部分,但是对任何组件的评估都必须更深入,并且必须由公司使用和集成该产品来完成。未对供应商人员进行评估,
3.为什么选择ISO 26262?
国际标准组织(ISO)规定如下:
ISO 26262旨在应用于与安全相关的系统,这些系统包括一个或多个电气或电子(E / E)系统,并安装在批量生产乘用车中。
ISO 26262解决了由E / E安全相关系统的故障行为(包括这些系统的相互作用)引起的潜在危害。
3.1。第一原则:信息共享是关键
车辆系统的电气化一直在快速发展,无论是在汽车的总容量还是在先进的控制能力方面。这种趋势推动了创新的迅猛发展,也吸引了更大的投资,更大的研发力度以及新的进入汽车市场的进入者。
这些新进入者可能不知道的是,遵守汽车安全标准要求在供应链的每个环节共享信息。每个级别的经验丰富的开发团队都面临这些标准的挑战,因为需求在不断发展,并且整个行业中只有很少的专家可以在此过程中指导项目。此外,半导体和软件供应链中的参与者通常对他们的IP如何开发以及它的详细运作方式保密。
图2:ADAS和自动驾驶系统价值链的以半导体为中心的视图。资料来源:Arteris IP
供应商必须提供的信息包括对具有安全目标的系统的每个元素的分析,培训和文档。此信息必须由供应链的每个成员提供。半导体IP供应商将此信息提供给SoC器件的开发人员。芯片设计团队使用此信息来分析其定制系统,并将结果传递给Tier-1电子系统供应商。然后,这些一级供应商进行自己的分析,并将结果发送给车辆制造商及其客户。
汽车供应链中的这些关系变得越来越复杂,因为制造或设计芯片以实现自动驾驶应用的传统半导体供应商如今有时会与一级电子系统设计师和OEM竞争,后者可能正在制造自己的芯片或提供明确的对半导体供应商合作伙伴的要求。此外,Uber,Waymo和Apple等新进入者正在设计自己的完整系统,尽管他们在汽车行业的经验相对不足。ISO 26262要求在整个价值链中进行高水平的协作和信息共享,这可能是新进入者所不熟悉的。
3.2。复杂性要求更好的分析
整个汽车行业的复杂性不断提高,促使人们不断努力提高这些系统的安全性。这是一个简单的示例,说明在从机械系统到电子系统的过渡过程中如何影响安全分析:现代汽车使用“线控”系统,例如线控油门,驾驶员将加速器和加速器上的传感器推入踏板将电信号发送到电子控制单元(ECU)。该电子系统取代了过去的机械方法,即使用金属电缆连接到油门踏板和机械油门控制板上。ECU比机械方法更智能:它分析了多种因素,例如发动机转速,车速和踏板位置,然后将命令传递给节气门。
即使在汽车系统电气化的这个简单示例中,我们也可以看到,测试和验证线控油门系统比测试较旧的机械版本更加困难。随着我们用电子系统取代机械系统,电气化传动系统,并为汽车增加了ADAS和自动驾驶功能,复杂性激增了。ISO26262的目标是拥有一个统一的功能安全标准,以解决所有这些汽车电子系统。
诸如驾驶员辅助,电动推进,车载动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。更高的技术复杂性,软件内容和机电一体化实施带来了系统性硬件故障的更大风险,这些故障是由系统开发过程中的人为错误造成的。ISO26262提供了有关如何通过规定要求和过程来最大程度地降低风险的指南。
对于半导体SoC器件和IP的设计人员,与完整系统指南相比,符合ISO 26262的要求更加抽象。因此,IP开发人员必须对许多假设进行额外的分析,以确定IP是否准备好集成到功能安全的汽车系统中。附录A“ ISO 26262故障参考图”提供了有关故障类别,故障分析类型以及讨论这些内容的ISO 26262标准各部分的更多信息。通过遵循最佳实践并在整个组织中采用它们,公司可以提供所需的证据,证明其IP是汽车系统的安全可靠组件。
4.功能安全活动
ISO 26262的目标是为所有汽车电子系统提供统一的安全标准。为了实现系统安全,需要在多种技术(例如机械,液压,气动,电气和电子系统)中实施几种安全措施,并将这些安全措施应用于开发过程的各个级别。
ISO 26262定义了各种汽车安全完整性等级(ASIL)(QM,A,B,C和D),以帮助将所需的过程,开发工作和产品内功能安全机制映射到可接受的风险等级。这五个严格级别涵盖了从基本质量管理到故障可能导致致命事故的系统的广泛范围。在后一种情况下,ASIL D要求汽车系统中的单点故障度量(SPFM)小于1%。下表1提供了更多有关ASIL级别与故障指标的信息。
表1为了达到ASIL D,系统中超过99%的单点故障必须由安全机制覆盖。ASIL B和C要求的覆盖范围较小。资料来源:ISO 26262-5:2011,表4和5; ISO 26262-1:2011
| 公制 | 定义 | ASIL B | ASIL C | ASIL D |
| 单点故障指标(SPFM) | 单点故障:安全机制(1.111)未涵盖的元素(1.32)中的故障(1.42),直接导致违反安全目标(1.108)。[来源:ISO 26262-1:2011 1.122]单点故障度量(SPFM)是一种硬件体系结构度量,用于揭示安全机制的覆盖范围是否足以防止硬件体系结构中单点故障的风险? 。 | ≥90% | ≥97% | ≥99% |
| 潜在故障指标(LFM) | 潜在故障:多点故障(1.77)未被安全机制(1.111)检测到,也未被驾驶员在多点故障检测间隔(1.78)内察觉到。[来源:ISO 26262-1:2011 1.71]潜在故障量度(LFM)是一种硬件体系结构量度,用于揭示安全机制的覆盖范围是否足以防止硬件体系结构中潜在故障的风险。 | ≥60% | ≥80% | ≥90% |
汽车SoC通过特定的硬件功能来提供诊断范围,以确保符合ISO26262。这些片上功能安全机制包括诸如纠错码(ECC)以及数据链路和内部存储器的奇偶校验保护之类的技术。通过智能互连结构智能地复制处理元素;内置自检(BIST);和错误报告机制。
尽管ISO 26262与E / E系统的功能安全有关,但它实际上提供了解决安全相关系统整个生命周期的框架。ISO 26262提供以下指导:
- 在这些生命周期阶段中,生命周期管理,产品开发,生产,运营,服务,退役和量身定制必要的活动
- 根据危害的严重性,暴露的可能性和可控制性来适用的安全要求,以避免不合理的残留风险
- 验证和确认措施,以确保足够和可接受的安全级别
- 与供应商关系的要求
乍一看,所有这些工作都很繁琐,但是可以通过关注三个主要领域(“ 3P”)来简化ISO 26262的要旨:
- 人
- 处理
- 产品
供应商必须向客户提供详细说明组织为准备符合标准的人员,过程和产品而采取的步骤的文档。凭借对“ 3 P”在半导体IP市场中的作用的广泛了解,SoC架构师和设计团队可以在选择合适的IP时做出明智的选择。对IP提供商的组织和运营特征的了解可以带来更好的芯片,更安全的乘用车和更有效的开发。
图3:人员,过程和产品是ISO 26262功能安全活动的基础。资料来源:Arteris IP
功能安全涉及开发过程的所有部分,包括规范,设计,实现,集成,验证和确认。它还包括生产,管理和服务流程。由于安全标准的特殊要求,建立一个为汽车SoC设计IP的组织存在很大的难度。客户资格和第三方ISO 26262认证所需的其他培训,评估,评估,分析和文档,可能会为汽车市场IP开发增加大量费用。
这些功能安全活动的证明必须在供应链中传达。结果,每个向汽车半导体市场提供产品的组织都必须能够证明开发活动符合该标准。该文档涵盖了相关人员,用于开发解决方案的过程以及对符合ISO 26262标准所需的产品进行的分析。
4.1。人
半导体IP符合ISO 26262的第一步是培训IP开发相关人员。许多公司都采取“捷径”方式来培训一小部分人,通常是ISO 26262要求的功能安全经理(FSM)和少数“安全工程师”。
但是,由于ISO 26262第2部分“功能安全的管理”(特别是第5.4.2节“安全文化”和第5.4.3节“能力管理”)的要求,这可能不足以满足ISO 26262的精神。要确保团队成员具有与他们的职责相对应的足够技能,能力和资格的可持续安全文化,就需要在整个组织中广泛了解功能安全知识。这需要大量的员工培训。
4.1.1。针对个人的ISO 26262培训和认证
在培训涉及工程师的同时,它还需要包括组织内参与产品开发和支持的其他人员。这可以包括高管,营销人员,工程人员,文档团队,质量保证经理,应用工程师等。该组织的指派和受过培训的职能安全经理(FSM)的任务是在与产品开发有关的所有人员中建立牢固的安全文化,而FSM通常负责为所有这些员工提供内部或第三方培训。客户(在ISO 26262中被称为“集成商”)通常需要半导体IP以及第三方ISO 26262评估人员提供员工功能安全培训的证明。
作为实际实施的一个示例,Arteris IP的50多名员工已通过ISO 26262咨询公司exida的培训并获得了ISO 26262功能安全从业者(FSP)的认证,exida也是ISO 26262标准的ANSI认可的认证机构。Arteris IP在员工方面拥有经验丰富的FSM,不仅通过其广泛的ISO 26262培训计划,而且通过建立可确保整个半导体IP开发流程质量的功能安全流程,来促进安全文化。附录B“针对个人和团队的个人ISO 26262培训和认证课程”列出了员工培训和认证的提供者。附录C“在线ISO 26262培训资源”是免费和低成本的在线入门培训资源的列表。
4.2。处理
使用良好的流程对于避免系统性故障至关重要。系统故障以可预测的方式与特定原因相关,并且只能通过设计,制造,操作程序,文档或系统其他相关因素的更改来消除。简而言之,系统性故障被“设计”到系统中。质量过程有助于避免将错误设计到系统中。
因为我们是工程师,所以对ISO 26262流程的大部分关注都集中在使用技术和软件工具来解决标题为“支持流程”的ISO 26262第8部分的细节上。这是错误的方法。
良好的安全流程或任何产品开发流程的关键,不是专家使用和集成需求管理,变更管理,验证以及开发过程其他部分的工具,而是持续使用质量管理系统(QMS)的所有员工。
4.2.1。质量管理体系(QMS)
满足ISO 26262要求的任何符合ISO 26262第8部分质量管理体系要求的过程都是可以接受的。但是,已经有最先进的现有软件,硬件和汽车系统开发QMS,它们可以成为供应商流程的基础。
下表2提供了一些示例:
表2:符合ISO 26262的质量管理系统(QMS)的示例。资料来源:ISO 26262-8:2011
| 质量管理体系(QMS) | 历史和相关性 |
| ISO 9001:2015 / IATF 16949:2016 | 用于任何汽车产品的设计,生产和维修的通用系统。非常广泛,没有针对半导体或软件开发提供任何指导。是第1层最熟悉的QMS。 |
| ISO / IEC 15504汽车SPICE™ | 一个基于功能的系统,以较早的CMM建模,并重点关注汽车嵌入式软件(“ SPICE”代表软件过程改进和功能确定)。 |
| CMMI-DEV® | 由卡内基梅隆大学软件工程学院(SEI)开发。可用于半导体和软件开发,并具有大量可公开获得的资源。 |
第三方评估公司为每个质量管理体系提供认证。但是,作为汽车供应链中的供应商,无论您是否获得第三方过程认证,您的客户都将对过程进行独立审核。尽管随附第三方过程认证的报告可以帮助您的客户评估您的过程,但是您的客户仍然有义务确认您是否符合ISO 26262。
就Arteris IP而言,该公司开发了用于汽车市场所用芯片内部的半导体IP,该公司实施了CMMI®(能力成熟度模型®集成)开发(CMMI-DEV)质量管理系统。该QMS为软件和半导体IP开发提供了比任何其他系统更具体的指导,从而为更少的未定义或模棱两可的过程区域规定了更相关且“严格”的开发准则。
4.2.2可追溯性
尽管选择,使用和管理相关的质量管理体系是与过程相关的最重要的ISO 26262活动,但是在某个领域中,技术和工具在很大程度上帮助实现了ISO 26262的合规性。该过程域是可追溯性。
在芯片设计领域,大多数设计团队已经拥有最先进的系统,可以通过实施来跟踪规格项目,然后进行验证测试。但是,ISO 26262要求从概念阶段(ISO 26262第3部分)到生产和运营(ISO 26262第7部分),对安全相关要求及其实施进行双向追溯。这意味着质量保证(QA)测试结果可以通过其验证测试,实施,规格和要求进行追溯。同样,配置,更改和文档也必须保持最新,并且是可追溯性信息链的一部分。
对于半导体开发团队来说,这种水平的可追溯性通常是陌生的,他们没有开发用于汽车市场的产品。这些团队很难改变过去运行良好的规范实施和验证系统,以采用支持更广泛可追溯性的新系统。一种解决方案是实施可追溯性系统,该系统集成并“包装”工程中使用的现有开发系统,以提供所需级别的可追溯性。
例如,Arteris IP一直使用Atlassian Jira问题跟踪工具作为其针对半导体IP和相关IP可配置软件的产品开发规格实现验证过程的核心。过去,基于Microsoft Word的市场需求文档(MRD),产品需求文档(PRD)和规范中的项目用作Jira系统的输入,并与工程开发任务相关联,在此跟踪其状态并自动进行验证测试生成并记录。
图4自动化的可追溯性工具提供了向前和向后可追溯性的手段,同时有助于变更管理。资料来源:ISO 26262-2:2011
如今,由于需要满足ISO 26262的更完整的可追溯性要求,Arteris IP使用来自Jama Software的系统执行要求输入和跟踪,该系统链接到现有Jira系统中的项目和活动。结合了Jira和Jama系统的系统可以帮助Arteris IP团队维持需求,规范项目,实施,验证和质量保证之间的链接,同时还可以解决变更管理的可追溯性和文档自动化问题。
ISO 26262流程的底线是,大多数瞄准汽车市场的公司必须做到以下几点:
- 选择一个符合ISO 26262的质量管理体系,并使用它,并能够向第三方评估者和您客户的评估者解释您对它的使用。
- 实施更广泛的自动化可追溯性,以覆盖质量保证,交付和支持等所有方面的要求。
4.3。产品
在这一点上,我们可以清楚地声明,如果供应商声称其产品“满足ISO 26262的安全要求”而没有首先对其员工进行培训并记录其过程,则表明该产品不合规。一旦对人员进行了培训并且质量流程就位并得到使用,下一步就是按照ISO 26262分析产品,并将分析的文档提供给半导体集成商。对于半导体和半导体IP供应商,执行此分析需要记录一组商定的假设,因为芯片或IP供应商将不完全了解将成为其一部分的系统。
4.3.1。汽车芯片和IP:SEooC,AoU和ASIL定制
简而言之,就是这个问题:ISO 26262分析是基于以下假设:“系统”是正在开发和分析的实体,而ISO 26262的第1部分将系统定义为“与至少一个关联的元素集”。传感器,控制器和执行器彼此之间。” 显然,根据ISO 26262,芯片和用于制造该芯片的IP不是系统。那么,它们是什么?
芯片及其IP成分通常作为(通常在设计时未知的)系统的“元素”开发。由于尚未完全了解最终将要使用的完整系统的知识,因此芯片和IP在ISO 26262中被归类为特殊类型的元素,特别是“上下文无关的安全元素”或“ SEooC”。对SEooC的分析要求IP提供商或集成商记录使用假设(AoU),以反映IP集成商/用户要使用的预期安全概念,安全要求和安全机制。
关于ISO 26262的哪些部分和条款与IP元素的实施和分析相关的其他假设记录在称为“定制”的过程中。另外,基于对最终系统的特性和安全目标的假设以及IP的经过验证的硬件指标(请参阅下面的FMEDA),执行“ ASIL定制”以确定哪些元素配置可以满足ASIL QM,A,B ,C或D要求。
由于关于SEooC,AoU以及针对芯片和IP的量身定制有许多假设,因此ISO 26262要求IP供应商和芯片集成商就开发接口协议(DIA)达成一致,以定义双方使用的假设和责任。该DIA文件将说明IP供应商提供的ASIL定制以及该定制背后的原因,并说明所有使用假设。作为说明,Arteris IP提供了完整的DIA文件,解释了与FlexNoC和Ncore产品相关的ASIL定制以及委托给客户的预期责任,以及做出这些决定的理由。例如,由于Arteris IP在芯片中作为RTL组件实现,
4.3.2。元素功能,故障模式和安全机制
产品内功能安全机制用于检测,缓解和纠正系统运行时由随机错误引起的故障和失败。单事件效应(SEE)是由宇宙射线和与半导体相互作用时发出的电离能引起的电干扰,是造成随机误差的原因。这些随机错误可能具有暂时性(暂时性)或永久性影响。随机瞬态效应(也称为“软错误”)的示例包括单个位翻转(SBU),例如存储单元或逻辑触发器中的“位翻转”,以及单个事件瞬变(SET),它们可能是电压毛刺或可能不会导致错误。在某些情况下,这些事件可能同时发生,从而导致多位故障(MBU)。由SEE引起的“硬错误”导致永久损坏,包括单事件闩锁(SEL),
图5单事件效果(SEE)错误层次结构图。资料来源:Arteris IP;ISO / FDIS 26262第11部分; 捷发JESD89A
由于这些错误的原因是自然的物理现象,并且会随机发生,因此检测并减轻其影响以实现并维护系统安全非常重要。为此,工程团队在其产品中开发特定于安全性的技术功能。以下是这些功能(也称为功能安全机制)的示例:
- 添加并检查添加到片上通信流量的奇偶校验或ECC位
- 复制逻辑并比较结果
- 三重模式冗余(TMR)或多数表决
- 通讯超时
- 验证操作正确性的硬件检查器
- 安全控制器收集整个系统中的错误消息,加以理解,并在整个系统中进行更高程度的沟通
- 内置自检(BIST),用于所有功能安全机制
图6故障模式影响和诊断分析(FMEDA)包括使用故障注入对安全机制(如BIST)进行的分析。资料来源:Arteris IP
现在,我们已经描述了IP和芯片分析所需的假设,它们的故障模式和安全机制,现在我们将讨论实际的分析过程。
4.3.3首先进行定性分析(FMEA),然后进行定量(FMEDA)…
一旦设计团队了解了其元素功能,故障模式和功能安全机制,就可以执行和记录定性安全分析,称为故障模式影响和分析(FMEA)。FMEA是一种分步方法,用于识别设计中所有可能的故障方式(故障模式)以及这些故障的后果(影响)。设计团队通常对项目的定性分析没有给予足够的重视,而是倾向于直接进行定量分析。这是个错误!首先,正确执行FMEA是正确定义如何减轻故障的关键,并且是后来用于验证FMEA的定量分析的基础。
完成FMEA之后,设计团队必须使用称为故障模式影响诊断分析(FMEDA)的定量分析进一步分析元素,故障模式和安全机制。尽管可以估计有关大多数功能安全机制的诊断范围(即“保护”)的假设,但大多数半导体集成商都坚持要求IP供应商使用故障注入技术来验证该项目中实施的功能安全措施的诊断范围。需要了解IP实施的详细知识,才能确定必须在何处注入故障以触发功能安全机制,以及在何处应该最有效地观察该机制的输出。此外,复杂的时钟方案和其他行为可能掩盖可能影响安全性或显示为“安全故障,
尽管故障注入分析对于验证FMEA很重要,但仅凭此不足以实现FMEDA。其他技术也被用来验证诊断覆盖率,而使用故障注入无法轻松证明这一点。一个示例是验证使用假设,该定义定义了客户必须与元素集成的安全机制。这对于驻留在IP块外部的安全机制(例如时钟和电压监视器)非常普遍。除故障注入外,还可以使用其他技术来验证FMEA,包括故障树分析(FTA),从属故障分析(DFA)和引脚级FMEA。Arteris IP使用这些技术的组合来验证其互连IP的定性FMEA,并将此分析作为FMEDA报告的一部分提供给集成商。
由IP开发团队创建的FMEDA报告使经过培训的安全管理人员可以审查有关遵守ISO 26262的所有信息。由IP提供者或半导体集成商聘用的第三方评估公司或咨询公司也可以审查分析和开发过程,以帮助评估功能安全合规性。
5.结论
满足ISO 26262下的汽车市场功能安全组件标准是一个艰巨而艰巨的过程,涉及供应商的人员,过程和产品。要创建满足这些需求的产品和技术,需要专注于运营和工程,稳健的安全文化,管理承诺以及对时间和金钱的大量投资。如果供应商提供了此类产品,则由集成商来确定供应商是否已采取产品级别以外的所有步骤来确定索赔是否有效。如果不进行进一步调查,则集成商将面临使用无法承受其客户在供应链上达到ISO 26262合规性所需的评估和审核的组件的风险。
依赖于涉及具有安全目标的产品开发中涉及的人员,过程和分析的不完整信息的项目可能会使进入乘用车(包括ADAS和自动驾驶汽车)的新兴电子系统设计的努力无效。电子系统集成商必须向汽车制造商提供证明,已对系统的所有组件进行了全面评估,以验证其安全可靠的说法。如果不了解和遵循标准,以及无法传达遵循标准的方式,可能会导致汽车供应商进行额外的工作或返工。
本文内容整合网站:中国政府网、百度百科、最高人民法院、知乎、国家认证认可监督管理委员会、国家知识产权局、市场监督总局
标签: ISO26262认证 功能安全 汽车 半导体
