「科普」汽车功能安全是什么

随着汽车智能化电气化技术的快速普及，车内控制器和相应的电子部件越来越多。相应的汽车功能安全变得越来越重要。那么什么是汽车功能安全，它为什么和车规级芯片相关度这么高呢？车辆使用过程中，有哪些情况会使芯片失效又该如何防止造成危险和伤害呢？今天跟着小星来聊聊汽车功能安全的细节吧。

什么是功能安全

↑汽车功能安全概念

如果去看一个汽车电子控制系统的话，主要关注的是它的功能性、安全性和保密性。在汽车电子行业，功能安全国际标准ISO26262和对应国标GB/T34590将功能安全定义为：避免因电子电气系统故障而导致不合理的风险。即随机和系统性失效不会导致安全系统的错误功能，从而导致人的伤害死亡，或环境污染，或设备财产损失。

功能安全适用范围

↑功能安全国际标准ISO26262

其实功能安全并不对应任何特定的芯片。那为什么它和车规级芯片相关度那么高呢？这就要提到功能安全的适用范围。

功能安全它不对应特定的零件，而对应的是特定安全功能，也就是说系统有潜在能力去支持安全功能达到相应的ASIL安全等级。安全相关系统功能用来减少风险并且达到和保持安全状态。安全功能总是针对一个安全回路而言，而不是针对一个设备或部件。

汽车功能安全的特点

↑固有安全（左）和功能安全（右）的差别

说到汽车功能安全的特点，就要提一下固有安全和功能安全的差别。

所谓固有安全是指为了减少设备变化对人或环境造成的危害而采取的措施。比如在汽车和火车交汇的路口建立立交桥可以从本质上避免风险达到比较绝对的安全。但通常代价是相对昂贵的。固有安全普遍使用在关键工业自动化控制设备和飞机控制器当中。

所谓功能安全就是通过安全措施将事故风险降低到可接受的水平。就比如在汽车和火车交汇的路口建立配备红绿灯、报警器和栏杆的道口。功能安全普遍应用在汽车行业。

ASIL汽车安全完整度等级具体指什么

↑ASIL汽车安全完整度等级的含义

敲黑板划重点，ISO26262的特殊之处在于它不仅提供标准通常规范的行为准则，而且对可接受的风险提出如何去量化的指导意见。接下来我们一起看看它是如何来量化的。

ASIL指汽车安全完整性等级，这是由ISO26262标准定义的风险分类系统。ASIL共分五个等级QM，ASIL-A，B，C和D。ASIL-D代表最高的汽车功能安全要求。

ASIL根据伤害的严重性S、可能性E和可控性C来确定安全要求。它的具体定级需要通过HARA危害分析风险评估来确定。

↑汽车功能安全HARA危害分析风险评估

严重性S：S0~S3，表示人员可能造成伤害的级别。

可能性E：E0~E4，表示这个风险在实际应用中发生的概率。

可控性C：C0~C3，表示这个风险发生后人员采取措施控制后可以避免伤害的能力。

通过HARA分析，确定安全目标、安全状态、FTTI故障容错时间间隔和ASIL等级。

常见安全功能的功能安全ASIL等级

↑常见安全功能的功能安全ASIL等级

我们来看看常见安全功能通过HARA分析后功能安全ASIL等级是怎样的。

最典型的ASIL-D安全功能就是EPS电子助力转向的避免非预期自转向。因为它发生可能导致车辆侧翻定为S3致命的，并且为E4每个驾驶循环都要用到而发生几乎不可控C3。

另一个比较有意思的ASIL-D安全功能是安全气囊，大家留意它的安全功能是避免气囊非预期的弹出。而有趣的是安全气囊的主功能即当发生碰撞时弹出气囊的安全等级为ASIL-A。

功能安全的量化实施

↑以ASIL等级来指导的安全措施实现

功能安全的量化实施就是一个以ASIL等级来指导的安全措施实现过程。

具体来看，针对ASIL-B，C和D标准提出了相应的单点故障指标SPFM和多点故障指标LFM并通过安全措施去覆盖相应故障从而考察系统是否能够达到所规定的安全等级。

以ASIL-D为例，它的单点故障指标要求被安全机制覆盖超过99%，而多点故障指标要求被安全机制覆盖超过90%。标准还额外对残余故障的失效率做出规定，ASIL-B和C要求小于100FIT，而ASIL-D更严苛地要求小于10FIT。

芯片为何会失效

↑电子系统失效的分类

电子系统失效的分类分成系统性失效和随机失效两大类。其中系统性失效具体指人为的失效。它主要由严格的开发流程和独立的评估体系来管理和防止。而随机失效指的是硬件中电子部件特别是芯片在生命周期中无法预测的失效。芯片的随机失效在ISO26262标准中主要依托IEC62380和西门子SN29500这两个参考标准用FIT来量化。特别是数字芯片当其使用的逻辑门超过5千万级别、RAM超过2G或Flash超过1G时，失效率将达到200FIT以上。因此需要通过安全机制去检测故障和满足量化安全指标的难度大大提高。

↑数字芯片锁步核与安全守护架构

汽车功能安全微处理器芯片通常引入Lock Step锁步核架构，即两个核运行同样的程序，将结果输入一个比较逻辑中，周期性比较两个核的输出结果是否相同。而对于算力越来越强大的异构AI计算芯片，则通常引入安全守护Safety Companion的概念，AI芯片由外部ASIL-D汽车功能安全微处理器芯片作为关键安全回路的安全防线。

汽车功能安全的演进