摘要：关于8gen3芯片要上小米YU7这件事情，最近大家聚焦于两个公众视野非常冷门的标准：车规半导体的可靠性认证标准AEC Q100和功能安全(Function Safety)的ISO26262。

关于8gen3芯片要上小米YU7这件事情，最近大家聚焦于两个公众视野非常冷门的标准：车规半导体的可靠性认证标准AEC Q100和功能安全(Function Safety)的ISO26262。

这俩标准，有两个根本区别：

1. 个体 vs 系统： AEC Q100针对的是单个芯片，而ISO 26262的核心概念是ASIL，即汽车安全完整性(Automotive Safety Integrity Level)等级。

很显然，从买车的角度来看，ISO26262的功能安全才是最终裁量标准。

2. 可靠性 vs 安全性： 前者指的是“正常工作不能失效”，后者指的是“可以失效但务必确保人员安全”。

这讲起来稍显抽象，咱们举个例子来解释。你开车以60km/h行驶在城市道路上，正常状态下车子执行的是“按驾驶员预期向前行驶”的功能。此功能的失效模式至少涵盖以下几种：

- 非预期转向：驾驶员手没有动，但方向盘自己打了90度转弯了！

- 非预期刹车：驾驶员没踩刹车，但车子给你一脚刹停。

- 非预期驱动：明明油门踩得很浅，但车子却全油门向前冲！

- 失去动力：踩油门却没有动力输出，但刹车、转向均正常。

前三种失效模式，很显然是不安全的，很可能会撞人、追尾，属于“既不可靠、也不安全”的情况；第四种失效模式，丧失了正常功能，但可以做到靠边停车，属于“虽不可靠、但挺安全”的情况。

也就是说：

- AEC Q100考察的是“个体的可靠性”，它可以确保芯片一直正常工作，但整个系统却管不着。所以，芯片通过了AEC Q100认证，并不能确保整个系统正常工作。

- ISO 26262考察的是“系统的安全性”，它只关心“系统中涉及安全的环节”，它并非确保系统正常工作，而是确保即便不能正常工作了、人员也是安全的。

ISO26262管得比较宽，对车子最终是否符合功能安全来负责；AEC Q100管得比较窄，但管得更严格。

那它俩之间有什么关系呢？ 严格来说，AEC合格 ≠ 功能安全；ISO 26262合规 ≠ 芯片耐热抗震，并没有什么必然关系。

但是ISO 26262要求“系统中涉及安全的环节”必须有明确的失效率统计或等效证明或通过供应商提供质量标准说明、测试数据或认证资料，那么AEC-Q100 就是最常用的证明路径。

所以虽然没有明文规定，但功能安全行业已经形成了事实上的标准：想进入ASIL认证体系的硬件，必须优先选择 AEC-Q100 或等效级别认证的芯片。

如果8gen3并未通过AEC-Q100认证，小米YU7就一定不符合功能安全标准了吗？

未必。请留意一句话，功能安全只关心“系统中涉及安全的环节”，智能座舱涉及到安全的部分并不太多，主要集中的仪表显示的车速(避免驾驶员误判车速)、档位(避免驾驶员误判档位)等环节上。

也就是说，允许黑屏，但仪表/天际屏上的车速/档位信息不能显示错。黑屏只是不可靠，而车速/档位信息显示错误才是不安全。当然，不可靠也要尽量避免，虽不涉及安全，但影响用户满意。

如果针对这些涉及安全的环节设计了“冗余”(提升可靠性)或“安全措施”(确保失效后的安全性)，让8gen3不出现在ISO 26262关心的范围之内，那也是符合功能安全标准的。那具体小米YU7是怎么做的呢？ 需要过一段时间由小米来揭晓了！

来源：张抗抗KK