在不斷發(fā)展的汽車技術(shù)中，功能安全是一個非常重要的領(lǐng)域，它確保電子系統(tǒng)以及基于軟件的系統(tǒng)即使存在故障的情況下也能正確地響應其輸入，其中涉及危險識別、風險評估和安全機制的實施，以防止車輛系統(tǒng)故障造成的事故。

隨著電動汽車（EV）、自動駕駛和聯(lián)網(wǎng)汽車技術(shù)的不斷進步，汽車系統(tǒng)的復雜性日益增加，車內(nèi)的電子控制單元（ECU）數(shù)量越來越多，功能安全的重要性愈發(fā)突出。

PART.01

ISO 26262：行業(yè)共同遵守的車輛安全標準

現(xiàn)代汽車中集成了大量的電子系統(tǒng)，從基本的安全氣囊到復雜的高級駕駛員輔助系統(tǒng)（ADAS），這些系統(tǒng)的安全功能大多由電子設(shè)備來執(zhí)行。

目前，汽車行業(yè)廣泛認可的功能安全標準是ISO 26262，該標準為道路車輛安全關(guān)鍵系統(tǒng)的設(shè)計和開發(fā)提供了指導方針。盡管并沒有任何一個國家的特定法律強制要求汽車企業(yè)必須遵守ISO 26262，但在產(chǎn)業(yè)界它已經(jīng)被廣泛接受為汽車行業(yè)的安全標準。

作為汽車行業(yè)功能安全事實上的國際標準，ISO 26262于2011年由國際標準化組織（ISO）推出，它解決了現(xiàn)代車輛中使用的日益復雜的電子電氣系統(tǒng)（E/E系統(tǒng)）帶來的風險。ISO 26262的主要目標是確保將因這些系統(tǒng)故障造成的潛在危險降至極低或減輕到保證車輛安全的水平。

與其他可能側(cè)重于生產(chǎn)或制造的標準不同，ISO 26262是一個基于風險的汽車系統(tǒng)安全標準，從概念階段開始，延伸到開發(fā)、測試和退役，它幾乎涵蓋了車輛的整個生命周期，確保了所有階段的安全。

根據(jù)潛在危險的發(fā)生概率和嚴重程度確定所需的安全措施，ISO 26262建立了汽車安全完整性等級（ASIL）。ASIL共有四個級別，分別是：ASIL A、ASIL B、ASIL C和ASIL D，其中ASIL A是極低的安全完整性級別，ASIL D是極高的。例如，與汽車故障風險相關(guān)度較高的電動助力轉(zhuǎn)向（EPS）或集成制動控制（IBC）系統(tǒng)就需要具有ASIL D功能，而制動燈或前照燈等系統(tǒng)通常僅要求達到ASIL A即可。

PART.02

用“芯”打造：全方位的汽車功能安全

如今的車輛正在轉(zhuǎn)變成一個越來越復雜的智能系統(tǒng)，一輛標準車型的平均半導體元件裝載量約為1,400個，預計2022年至2032年間將以8.3%的復合年增長率持續(xù)增長。更具體地說，在2000年代，電子產(chǎn)品約占新車成本的18%；到了2022年，電子產(chǎn)品在整車成本的占比已經(jīng)攀升至40%，這一急劇增長的趨勢目前看來沒有任何放緩的跡象。

功能安全是使汽車更好、更安全地行駛的重要課題，通過擁有能夠發(fā)現(xiàn)問題的智能系統(tǒng)并遵循特殊規(guī)則，汽車制造商可以確保汽車始終能夠安全行駛，這是一個雙贏的舉措，一方面不僅可以保護駕乘人員的安全，另一方面還能幫助汽車制造商保護自己免除法律責任和財務上的雙重風險。

當前，汽車電氣化以及自動駕駛技術(shù)正在成為汽車行業(yè)創(chuàng)新的驅(qū)動力，且有望徹底改變現(xiàn)有的交通方式，但由此也引發(fā)了一系列新的安全挑戰(zhàn)。對于自動駕駛汽車而言，無論遇到何種路況或車輛故障，它的首要任務是必須能夠做出對乘客、其他車輛駕駛員和行人安全的決策和行動。汽車功能安全對于確保車輛電氣系統(tǒng)的安全以及將與自動駕駛相關(guān)的風險降至極低發(fā)揮了至關(guān)重要的作用。

#01汽車網(wǎng)絡(luò)處理器

NXP Semiconductor公司的S32G3是一款新型汽車網(wǎng)絡(luò)處理器，支持CAN FD、FlexRay、LIN、SPI、PCIe、GMAC等網(wǎng)絡(luò)接口。在S32G3內(nèi)部，集成了多達8個Arm Cortex-A53內(nèi)核，采用Arm Neon技術(shù)組成兩個四核集群，帶可選的集群鎖步，適合各種應用和服務。內(nèi)置的硬件安全引擎（HSE）可用于安全啟動和加速安全服務。S32G3支持新型汽車E/E架構(gòu)的需求，包括服務型網(wǎng)關(guān)、車載計算機、域控制器、區(qū)域處理器、安全處理器等。非常重要的是，S32G3全面滿足ASIL D安全標準。

圖3：S32G3汽車網(wǎng)絡(luò)處理器系統(tǒng)框圖（圖源：NXP Semiconductor）

#02ADAS和自動駕駛

在現(xiàn)代汽車中，駕駛員監(jiān)控系統(tǒng)可確保駕駛員根據(jù)情況需求來控制車輛。該系統(tǒng)包括對準駕駛員面部的駕駛員監(jiān)控攝像頭（DMS），可實時監(jiān)測駕駛員是否在位及其當前狀態(tài)，并為駕駛員提供警報同時發(fā)起干預，使得駕駛員能夠快速恢復對車輛的管控。

S32V234是NXP第二代視覺處理器，根據(jù)ISO 26262開發(fā)，以64位Arm Cortex-A53為核心，擁有圖像信號處理器（ISP）、3D圖形處理器單元（GPU）、雙APEX-2視覺加速器，提供汽車級可靠性、功能安全和保障功能。在實際應用中，S32V234處理器支持計算密集型ADAS、新車碰撞測試（NCAP）前端攝像頭、物體檢測和識別，環(huán)視、汽車和工業(yè)圖像處理，還包括機器學習（ML）和傳感器融合應用。

圖4：S32V234視覺處理器系統(tǒng)框圖（圖源：NXP Semiconductor）

#03電源管理系統(tǒng)

汽車功能安全系統(tǒng)不僅依賴于MCU或MPU等核心器件，相關(guān)配套的電源管理設(shè)備和傳感器也必須達到ISO 26262的要求。

NXP的安全系統(tǒng)基礎(chǔ)芯片F(xiàn)S85是一款車用、功能安全的多輸出電源IC，它重點關(guān)注ADAS和域控制器應用，是S32微控制器系列的主要配套芯片。FS85包含多個開關(guān)模式和線性穩(wěn)壓器，增強了安全功能和故障安全輸出，這使得它成為安全型系統(tǒng)的一個完整部分，且達到ASIL D安全等級。

圖5：多輸出電源芯片FS8500系統(tǒng)框圖（圖源：NXP Semiconductor）

在汽車ECU中，通常需要多個電源。要求分別提供適合MCU、傳感器、電機驅(qū)動器、CAN等的電壓和電流。這些電源發(fā)生異常時可能會引發(fā)車輛的事故。電源監(jiān)控IC會監(jiān)控這些電壓，并在發(fā)生異常時通知MCU，提示其進行處理。

ROHM Semiconductor公司通過在獨立的電源監(jiān)控IC中內(nèi)置各種監(jiān)控功能和自我診斷功能，實現(xiàn)了為現(xiàn)有電源增加功能安全性。已經(jīng)量產(chǎn)的BD39040MUF電源監(jiān)控IC除了電源電壓VDD的監(jiān)控功能外，還可以同時監(jiān)控4通道的電源，并分別獨立檢測電源的異常（欠壓/過壓）。還配有窗口型看門狗定時器（WDT）,可檢測出ECU內(nèi)部MCU的異常。

圖6：BD39040MUF電源監(jiān)控IC典型應用（圖源：ROHM Semiconductor）

隨著汽車功能更加分散化，車載網(wǎng)絡(luò)在確保系統(tǒng)功能安全和可用性方面的作用日益增強。

TJA1103是NXP推出的首款符合ASIL B的以太網(wǎng)物理層器件，是100BASE-T1汽車以太網(wǎng)PHY系列的第三代產(chǎn)品，非常適合支持以太網(wǎng)到網(wǎng)絡(luò)邊緣的快速擴展，或提供與汽車中心的域控制器的穩(wěn)定連接。啟動過程中的自診斷部署在硬件中，可防止?jié)撛诠收喜⒅С蛛S機故障檢測。如果在功能安全環(huán)境中使用，TJA1103的錯誤通知功能允許主控制器做出相應的反應并恢復系統(tǒng)。如果無法恢復，則將受影響的部分設(shè)置為安全狀態(tài)，以確保網(wǎng)絡(luò)其余部分的安全通信。

圖7：符合ISO26262 ASIL B標準的車載以太網(wǎng)PHY芯片TJA1103系統(tǒng)框圖（圖源：NXP Semiconductor）

#04BMS電池管理系統(tǒng)

汽車功能安全至關(guān)重要，電池的安全更是重中之重，電池管理系統(tǒng)（BMS）可確保由多個電芯組成的電池組的功能安全。

NXP BMS產(chǎn)品組合提供高測量精度，支持ISO 26262且達到ASIL D功能安全等級。其中的RD-HVBMSCT800BUN是800V高壓電池管理系統(tǒng)（HVBMS）的參考設(shè)計套件，它提供了完整的硬件解決方案，包括RD-K358BMU電池管理單元（BMU）、RD33774CNT3EVB電芯監(jiān)測單元（CMU）和RD772BJBTPL8EVB電池接線盒（BJB）、軟件驅(qū)動程序和可擴展的功能安全文檔集。

#05車載傳感器

現(xiàn)代汽車的功能越來越多，新的挑戰(zhàn)也隨之出現(xiàn)，因此，需要新的解決方案來滿足所需的高安全級別。故障安全意味著即使發(fā)生故障或錯誤，系統(tǒng)或功能也會繼續(xù)以安全的方式運行。這就需要故障檢測機制和冗余的使用，以確認系統(tǒng)能夠檢測到并響應發(fā)生的任何故障。

Texas Instruments公司的TMAG5170D-Q1是一款雙模、高精度、線性3D霍爾效應傳感器，專為各種汽車安全關(guān)鍵位置傳感應用而設(shè)計，一個封裝中的兩個相同芯片使系統(tǒng)集成商能夠利用這種完全冗余的雙通道傳感器架構(gòu)來滿足極高的功能安全要求。TMAG5170D-Q1提供多種診斷功能，可檢測和報告系統(tǒng)和設(shè)備級故障，有助于實現(xiàn)電子換檔或電動助力轉(zhuǎn)向（EPS）等系統(tǒng)的ASIL D安全等級。通過使用這種高性能3D位置傳感器的冗余特性，系統(tǒng)集成商可以實現(xiàn)更高水平的安全性和可用性。

圖6：TMAG5170D-Q1功能框圖（圖源：Texas Instruments）

對于防撞和自動制動系統(tǒng)等汽車應用，電氣系統(tǒng)必須在沒有人為干預的情況下自動糾正故障，以避免嚴重傷害。TI 公司的毫米波雷達傳感器具有內(nèi)置的監(jiān)測環(huán)回方案，可連續(xù)跟蹤系統(tǒng)功能并增強實時功能安全操作，減少了主機處理器的負載。

IWR6843AOP是一款封裝天線（AOP）器件，是TI 單芯片雷達器件系列的升級版。該器件在極小的封裝中實現(xiàn)了出色的集成度，它集成了一個DSP子系統(tǒng)（該子系統(tǒng)包含TI 用于雷達信號處理的高性能C674x DSP），還包含一個BIST處理器子系統(tǒng)，用于無線電配置、控制和校準。硬件加速器區(qū)塊（HWA）可執(zhí)行雷達處理，并減輕DSP上的負載。多種內(nèi)置的安全機制可提供所需的診斷覆蓋范圍，硬件完整性高達ASIL B級。

圖7：IWR6843AOP功能框圖（圖源：Texas Instruments）

PART.03

人工智能：如何走進汽車功能安全？

電動汽車（EV）、自動駕駛和車輛互聯(lián)正在以一種重大的方式改變汽車行業(yè)。汽車原始設(shè)備制造商（OEM）和一級供應商將面臨諸多新的挑戰(zhàn)。

現(xiàn)在，人工智能（AI）和機器學習（ML）正在被整合到車輛安全分析中，以加強風險檢測能力，預測故障并提高系統(tǒng)可靠性。預測性維護通常利用先進的數(shù)據(jù)分析和機器學習算法在潛在故障發(fā)生之前進行預測。這種方法可以應用于任何車輛部件，并且越來越多地用于芯片級別，它們可以監(jiān)測電動汽車中發(fā)動機電子控制單元（ECU）或電池管理系統(tǒng)（BMS）等關(guān)鍵系統(tǒng)的健康狀況。

先進的機器學習模型在歷史和實時數(shù)據(jù)上進行訓練，以識別組件退化的早期跡象。例如，機器學習算法可能會檢測到工作溫度的微妙升高，這表明芯片即將發(fā)生故障，從而可以在任何損壞發(fā)生之前安排維護。

將人工智能組件集成到現(xiàn)代車輛中提供了許多優(yōu)勢，例如停車輔助和實時路況分析。然而，這其中也伴隨著某些權(quán)衡。首先，處理人工智能工作負載的高性能片上系統(tǒng)（SoC）可能會消耗更多電力，帶來能源效率的挑戰(zhàn)，這個影響在電動汽車中尤其關(guān)鍵。其次，添加額外的芯片和安全功能增加了復雜性，由此可能帶來新的故障風險。此外，數(shù)據(jù)安全以及新技術(shù)的材料成本等，這些因素可能會影響車企的利潤。

因此，將人工智能引入到功能安全中需要OEM的仔細權(quán)衡，他們必須在安全機制以及預算限制、性能要求和安全需求中間找到一個平衡點。

本文小結(jié)

近年來，車輛中電子系統(tǒng)和先進功能數(shù)量的增加為我們帶來了舒適的駕駛體驗。可以說，現(xiàn)代汽車比以往任何時候都更安全、更智能、更舒適，代價是今天的汽車可能需要搭載一千到三千個電子元器件，其中一個傳感器的錯誤就可能導致危險情況的發(fā)生。

慶幸的是，汽車行業(yè)的設(shè)計人員已經(jīng)意識到，由于電子系統(tǒng)之間的不正確交互、設(shè)備故障或用戶對功能的不正確使用，這些功能很可能導致駕乘人員出現(xiàn)嚴重的安全問題。

作為事實上的汽車行業(yè)的國際標準ISO 26262為批量生產(chǎn)的車輛引入了功能安全的概念，該標準通過汽車安全完整性等級（ASIL）參數(shù)量化了不同場景下車載電子系統(tǒng)故障可能帶來的風險，車內(nèi)的芯片，無論大小，價值多少，只要遵循嚴格的ISO 26262安全流程，車輛制造商就可以將系統(tǒng)故障導致的事故風險降至低點。