汽车功能安全：软件与硬件缺一不可

摘要：随着汽车变得越来越智能，功能安全就成为汽车电子系统不可回避的标准体系，日益复杂的功能导致了汽车中电子元件的数量和复杂性的指数级增长（Leen）。如今高级别汽车拥有多达90个电子控制单元（ECU），高阶智驾功能如自适应巡航控制、碰撞避免系统和自动泊车等需要基于雷

随着汽车变得越来越智能，功能安全就成为汽车电子系统不可回避的标准体系，日益复杂的功能导致了汽车中电子元件的数量和复杂性的指数级增长（Leen）。如今高级别汽车拥有多达90个电子控制单元（ECU），高阶智驾功能如自适应巡航控制、碰撞避免系统和自动泊车等需要基于雷达、激光雷达和摄像头的数据处理以及传感器融合的环境识别，随着复杂性的增加，汽车行业正在采取分而治之的方法，现在要求供应链的所有参与者都支持和实现功能安全和可靠性标准。这些指标正在成为汽车电子系统设计流程中不可或缺的一部分。

本文引用地址：https://www.eepw.com.cn/article/202503/468857.htm

ISO 26262：道路车辆-功能安全是汽车行业标准，源于更通用的IEC 61508功能安全标准（IEC），专为配备一个或多个E/E子系统、最大总质量不超过3500公斤的量产乘用车中的安全相关系统设计。根据ISO 26262，功能安全被定义为“由于电气/电子系统（E/E系统）故障行为引起的危害所导致的不合理风险的缺失”。这个定义可以表示为一系列的应用影响链，如图1所示。

图1：ISO 26262应用影响链

面对日益复杂的汽车电子系统，功能安全通过划分不同汽车电子子系统的汽车安全完整性等级（ASIL），来定义功能故障（例如，防抱死制动系统故障）对整车的重要性，并进行危害和风险评估，以确定对人员和财产造成损害的风险。该分析基于危害的暴露、严重性和可控性及其产生的风险，并确定汽车安全完整性等级（ASIL），即实现可容忍风险所需的风险降低水平。

汽车硬件功能安全？

汽车硬件功能安全是指在车辆硬件中设计和实施安全措施，以防止事故发生并保护乘员和其他道路使用者免受伤害。这可能包括用于检测和响应道路上潜在危险的传感器和系统等措施，以及在发生故障或故障时可以接管车辆控制的故障安全系统。汽车硬件功能安全的目标是最大限度地降低车辆中硬件相关问题造成的事故和伤害风险。

ISO 26262 将功能安全（FuSa）定义为由于 E/E（电气和/或电子）系统的故障行为引起的危险而不存在不可接受的风险。与硬件元素相关，目标是防止系统性设计失败，并检测和控制随机硬件故障。强大的算力需要先进工艺节点的支持以满足性能/瓦特的需求。因此，汽车行业也正在见证向先进技术的迁移，这可能对可靠性提出更大的挑战（例如，工艺变化、静电放电、电迁移）。系统故障发生在汽车设计生命周期的开发和制造阶段。随机硬件故障出现在运行中的硬件组件的生命周期内，由随机缺陷或老化引起。使用 FMEA（失效模式和影响分析）等安全分析技术对系统故障进行定性评估。防止系统性故障需要遵循可信设计原则、验证和测试的系统化设计方法。

使用 FMEDA（故障模式、影响和诊断分析）对随机硬件故障进行定量评估，以证明设计达到目标 ASIL（汽车安全完整性等级）。随机硬件故障分为永久性故障（如开路或短路）或瞬态故障（如电离辐射引起的临时位翻转）。它们通过安全机制进行检测和缓解。有多种硬件 FuSa 机制，例如利用冗余和比较器或多数投票的技术，例如双核锁步（DCLS）和三重模式/模块化冗余（TMR），或内置自检（BIST），例如逻辑 BIST （LBIST）或内存 BIST （MBIST）。