如何打造全方位的汽车功能安全

在不断发展的汽车技术中，功能安全是一个非常重要的领域，它确保电子系统以及基于软件的系统即使存在故障的情况下也能正确地响应其输入，其中涉及危险识别、风险评估和安全机制的实施，以防止车辆系统故障造成的事故。

随着电动汽车（EV）、自动驾驶和联网汽车技术的不断进步，汽车系统的复杂性日益增加，车内的电子控制单元（ECU）数量越来越多，功能安全的重要性愈发突出。

PART.01

ISO 26262：行业共同遵守的车辆安全标准

现代汽车中集成了大量的电子系统，从基本的安全气囊到复杂的高级驾驶员辅助系统（ADAS），这些系统的安全功能大多由电子设备来执行。

目前，汽车行业广泛认可的功能安全标准是ISO 26262，该标准为道路车辆安全关键系统的设计和开发提供了指导方针。尽管并没有任何一个国家的特定法律强制要求汽车企业必须遵守ISO 26262，但在产业界它已经被广泛接受为汽车行业的安全标准。

作为汽车行业功能安全事实上的国际标准，ISO 26262于2011年由国际标准化组织（ISO）推出，它解决了现代车辆中使用的日益复杂的电子电气系统（E/E系统）带来的风险。ISO 26262的主要目标是确保将因这些系统故障造成的潜在危险降至极低或减轻到保证车辆安全的水平。

与其他可能侧重于生产或制造的标准不同，ISO 26262是一个基于风险的汽车系统安全标准，从概念阶段开始，延伸到开发、测试和退役，它几乎涵盖了车辆的整个生命周期，确保了所有阶段的安全。

根据潜在危险的发生概率和严重程度确定所需的安全措施，ISO 26262建立了汽车安全完整性等级（ASIL）。ASIL共有四个级别，分别是：ASIL A、ASIL B、ASIL C和ASIL D，其中ASIL A是极低的安全完整性级别，ASIL D是极高的。例如，与汽车故障风险相关度较高的电动助力转向（EPS）或集成制动控制（IBC）系统就需要具有ASIL D功能，而制动灯或前照灯等系统通常仅要求达到ASIL A即可。

PART.02

用“芯”打造：全方位的汽车功能安全

如今的车辆正在转变成一个越来越复杂的智能系统，一辆标准车型的平均半导体元件装载量约为1,400个，预计2022年至2032年间将以8.3%的复合年增长率持续增长。更具体地说，在2000年代，电子产品约占新车成本的18%；到了2022年，电子产品在整车成本的占比已经攀升至40%，这一急剧增长的趋势目前看来没有任何放缓的迹象。

功能安全是使汽车更好、更安全地行驶的重要课题，通过拥有能够发现问题的智能系统并遵循特殊规则，汽车制造商可以确保汽车始终能够安全行驶，这是一个双赢的举措，一方面不仅可以保护驾乘人员的安全，另一方面还能帮助汽车制造商保护自己免除法律责任和财务上的双重风险。

当前，汽车电气化以及自动驾驶技术正在成为汽车行业创新的驱动力，且有望彻底改变现有的交通方式，但由此也引发了一系列新的安全挑战。对于自动驾驶汽车而言，无论遇到何种路况或车辆故障，它的首要任务是必须能够做出对乘客、其他车辆驾驶员和行人安全的决策和行动。汽车功能安全对于确保车辆电气系统的安全以及将与自动驾驶相关的风险降至极低发挥了至关重要的作用。

#01汽车网络处理器

NXP Semiconductor公司的S32G3是一款新型汽车网络处理器，支持CAN FD、FlexRay、LIN、SPI、PCIe、GMAC等网络接口。在S32G3内部，集成了多达8个Arm Cortex-A53内核，采用Arm Neon技术组成两个四核集群，带可选的集群锁步，适合各种应用和服务。内置的硬件安全引擎（HSE）可用于安全启动和加速安全服务。S32G3支持新型汽车E/E架构的需求，包括服务型网关、车载计算机、域控制器、区域处理器、安全处理器等。非常重要的是，S32G3全面满足ASIL D安全标准。

图3：S32G3汽车网络处理器系统框图（图源：NXP Semiconductor）

#02ADAS和自动驾驶

在现代汽车中，驾驶员监控系统可确保驾驶员根据情况需求来控制车辆。该系统包括对准驾驶员面部的驾驶员监控摄像头（DMS），可实时监测驾驶员是否在位及其当前状态，并为驾驶员提供警报同时发起干预，使得驾驶员能够快速恢复对车辆的管控。

S32V234是NXP第二代视觉处理器，根据ISO 26262开发，以64位Arm Cortex-A53为核心，拥有图像信号处理器（ISP）、3D图形处理器单元（GPU）、双APEX-2视觉加速器，提供汽车级可靠性、功能安全和保障功能。在实际应用中，S32V234处理器支持计算密集型ADAS、新车碰撞测试（NCAP）前端摄像头、物体检测和识别，环视、汽车和工业图像处理，还包括机器学习（ML）和传感器融合应用。

图4：S32V234视觉处理器系统框图（图源：NXP Semiconductor）

#03电源管理系统

汽车功能安全系统不仅依赖于MCU或MPU等核心器件，相关配套的电源管理设备和传感器也必须达到ISO 26262的要求。

NXP的安全系统基础芯片FS85是一款车用、功能安全的多输出电源IC，它重点关注ADAS和域控制器应用，是S32微控制器系列的主要配套芯片。FS85包含多个开关模式和线性稳压器，增强了安全功能和故障安全输出，这使得它成为安全型系统的一个完整部分，且达到ASIL D安全等级。

图5：多输出电源芯片FS8500系统框图（图源：NXP Semiconductor）

在汽车ECU中，通常需要多个电源。要求分别提供适合MCU、传感器、电机驱动器、CAN等的电压和电流。这些电源发生异常时可能会引发车辆的事故。电源监控IC会监控这些电压，并在发生异常时通知MCU，提示其进行处理。

ROHM Semiconductor公司通过在独立的电源监控IC中内置各种监控功能和自我诊断功能，实现了为现有电源增加功能安全性。已经量产的BD39040MUF电源监控IC除了电源电压VDD的监控功能外，还可以同时监控4通道的电源，并分别独立检测电源的异常（欠压/过压）。还配有窗口型看门狗定时器（WDT）,可检测出ECU内部MCU的异常。

图6：BD39040MUF电源监控IC典型应用（图源：ROHM Semiconductor）

随着汽车功能更加分散化，车载网络在确保系统功能安全和可用性方面的作用日益增强。

TJA1103是NXP推出的首款符合ASIL B的以太网物理层器件，是100BASE-T1汽车以太网PHY系列的第三代产品，非常适合支持以太网到网络边缘的快速扩展，或提供与汽车中心的域控制器的稳定连接。启动过程中的自诊断部署在硬件中，可防止潜在故障并支持随机故障检测。如果在功能安全环境中使用，TJA1103的错误通知功能允许主控制器做出相应的反应并恢复系统。如果无法恢复，则将受影响的部分设置为安全状态，以确保网络其余部分的安全通信。

图7：符合ISO26262 ASIL B标准的车载以太网PHY芯片TJA1103系统框图（图源：NXP Semiconductor）

#04BMS电池管理系统

汽车功能安全至关重要，电池的安全更是重中之重，电池管理系统（BMS）可确保由多个电芯组成的电池组的功能安全。

NXP BMS产品组合提供高测量精度，支持ISO 26262且达到ASIL D功能安全等级。其中的RD-HVBMSCT800BUN是800V高压电池管理系统（HVBMS）的参考设计套件，它提供了完整的硬件解决方案，包括RD-K358BMU电池管理单元（BMU）、RD33774CNT3EVB电芯监测单元（CMU）和RD772BJBTPL8EVB电池接线盒（BJB）、软件驱动程序和可扩展的功能安全文档集。

#05车载传感器

现代汽车的功能越来越多，新的挑战也随之出现，因此，需要新的解决方案来满足所需的高安全级别。故障安全意味着即使发生故障或错误，系统或功能也会继续以安全的方式运行。这就需要故障检测机制和冗余的使用，以确认系统能够检测到并响应发生的任何故障。

Texas Instruments公司的TMAG5170D-Q1是一款双模、高精度、线性3D霍尔效应传感器，专为各种汽车安全关键位置传感应用而设计，一个封装中的两个相同芯片使系统集成商能够利用这种完全冗余的双通道传感器架构来满足极高的功能安全要求。TMAG5170D-Q1提供多种诊断功能，可检测和报告系统和设备级故障，有助于实现电子换档或电动助力转向（EPS）等系统的ASIL D安全等级。通过使用这种高性能3D位置传感器的冗余特性，系统集成商可以实现更高水平的安全性和可用性。

图6：TMAG5170D-Q1功能框图（图源：Texas Instruments）

对于防撞和自动制动系统等汽车应用，电气系统必须在没有人为干预的情况下自动纠正故障，以避免严重伤害。TI 公司的毫米波雷达传感器具有内置的监测环回方案，可连续跟踪系统功能并增强实时功能安全操作，减少了主机处理器的负载。

IWR6843AOP是一款封装天线（AOP）器件，是TI 单芯片雷达器件系列的升级版。该器件在极小的封装中实现了出色的集成度，它集成了一个DSP子系统（该子系统包含TI 用于雷达信号处理的高性能C674x DSP），还包含一个BIST处理器子系统，用于无线电配置、控制和校准。硬件加速器区块（HWA）可执行雷达处理，并减轻DSP上的负载。多种内置的安全机制可提供所需的诊断覆盖范围，硬件完整性高达ASIL B级。

图7：IWR6843AOP功能框图（图源：Texas Instruments）

PART.03

人工智能：如何走进汽车功能安全？

电动汽车（EV）、自动驾驶和车辆互联正在以一种重大的方式改变汽车行业。汽车原始设备制造商（OEM）和一级供应商将面临诸多新的挑战。

现在，人工智能（AI）和机器学习（ML）正在被整合到车辆安全分析中，以加强风险检测能力，预测故障并提高系统可靠性。预测性维护通常利用先进的数据分析和机器学习算法在潜在故障发生之前进行预测。这种方法可以应用于任何车辆部件，并且越来越多地用于芯片级别，它们可以监测电动汽车中发动机电子控制单元（ECU）或电池管理系统（BMS）等关键系统的健康状况。

先进的机器学习模型在历史和实时数据上进行训练，以识别组件退化的早期迹象。例如，机器学习算法可能会检测到工作温度的微妙升高，这表明芯片即将发生故障，从而可以在任何损坏发生之前安排维护。

将人工智能组件集成到现代车辆中提供了许多优势，例如停车辅助和实时路况分析。然而，这其中也伴随着某些权衡。首先，处理人工智能工作负载的高性能片上系统（SoC）可能会消耗更多电力，带来能源效率的挑战，这个影响在电动汽车中尤其关键。其次，添加额外的芯片和安全功能增加了复杂性，由此可能带来新的故障风险。此外，数据安全以及新技术的材料成本等，这些因素可能会影响车企的利润。

因此，将人工智能引入到功能安全中需要OEM的仔细权衡，他们必须在安全机制以及预算限制、性能要求和安全需求中间找到一个平衡点。

本文小结

近年来，车辆中电子系统和先进功能数量的增加为我们带来了舒适的驾驶体验。可以说，现代汽车比以往任何时候都更安全、更智能、更舒适，代价是今天的汽车可能需要搭载一千到三千个电子元器件，其中一个传感器的错误就可能导致危险情况的发生。

庆幸的是，汽车行业的设计人员已经意识到，由于电子系统之间的不正确交互、设备故障或用户对功能的不正确使用，这些功能很可能导致驾乘人员出现严重的安全问题。

作为事实上的汽车行业的国际标准ISO 26262为批量生产的车辆引入了功能安全的概念，该标准通过汽车安全完整性等级（ASIL）参数量化了不同场景下车载电子系统故障可能带来的风险，车内的芯片，无论大小，价值多少，只要遵循严格的ISO 26262安全流程，车辆制造商就可以将系统故障导致的事故风险降至低点。