在不斷發展的汽車技術中，功能安全是一個非常重要的領域，它確保電子系統以及基于軟件的系統即使存在故障的情況下也能正確地響應其輸入，其中涉及危險識別、風險評估和安全機制的實施，以防止車輛系統故障造成的事故。

隨著電動汽車（EV）、自動駕駛和聯網汽車技術的不斷進步，汽車系統的復雜性日益增加，車內的電子控制單元（ECU）數量越來越多，功能安全的重要性愈發突出。

PART.01

ISO 26262：行業共同遵守的車輛安全標準

現代汽車中集成了大量的電子系統，從基本的安全氣囊到復雜的高級駕駛員輔助系統（ADAS），這些系統的安全功能大多由電子設備來執行。

目前，汽車行業廣泛認可的功能安全標準是ISO 26262，該標準為道路車輛安全關鍵系統的設計和開發提供了指導方針。盡管并沒有任何一個國家的特定法律強制要求汽車企業必須遵守ISO 26262，但在產業界它已經被廣泛接受為汽車行業的安全標準。

作為汽車行業功能安全事實上的國際標準，ISO 26262于2011年由國際標準化組織（ISO）推出，它解決了現代車輛中使用的日益復雜的電子電氣系統（E/E系統）帶來的風險。ISO 26262的主要目標是確保將因這些系統故障造成的潛在危險降至極低或減輕到保證車輛安全的水平。

與其他可能側重于生產或制造的標準不同，ISO 26262是一個基于風險的汽車系統安全標準，從概念階段開始，延伸到開發、測試和退役，它幾乎涵蓋了車輛的整個生命周期，確保了所有階段的安全。

根據潛在危險的發生概率和嚴重程度確定所需的安全措施，ISO 26262建立了汽車安全完整性等級（ASIL）。ASIL共有四個級別，分別是：ASIL A、ASIL B、ASIL C和ASIL D，其中ASIL A是極低的安全完整性級別，ASIL D是極高的。例如，與汽車故障風險相關度較高的電動助力轉向（EPS）或集成制動控制（IBC）系統就需要具有ASIL D功能，而制動燈或前照燈等系統通常僅要求達到ASIL A即可。

PART.02

用“芯”打造：全方位的汽車功能安全

如今的車輛正在轉變成一個越來越復雜的智能系統，一輛標準車型的平均半導體元件裝載量約為1,400個，預計2022年至2032年間將以8.3%的復合年增長率持續增長。更具體地說，在2000年代，電子產品約占新車成本的18%；到了2022年，電子產品在整車成本的占比已經攀升至40%，這一急劇增長的趨勢目前看來沒有任何放緩的跡象。

功能安全是使汽車更好、更安全地行駛的重要課題，通過擁有能夠發現問題的智能系統并遵循特殊規則，汽車制造商可以確保汽車始終能夠安全行駛，這是一個雙贏的舉措，一方面不僅可以保護駕乘人員的安全，另一方面還能幫助汽車制造商保護自己免除法律責任和財務上的雙重風險。

當前，汽車電氣化以及自動駕駛技術正在成為汽車行業創新的驅動力，且有望徹底改變現有的交通方式，但由此也引發了一系列新的安全挑戰。對于自動駕駛汽車而言，無論遇到何種路況或車輛故障，它的首要任務是必須能夠做出對乘客、其他車輛駕駛員和行人安全的決策和行動。汽車功能安全對于確保車輛電氣系統的安全以及將與自動駕駛相關的風險降至極低發揮了至關重要的作用。

#01汽車網絡處理器

NXP Semiconductor公司的S32G3是一款新型汽車網絡處理器，支持CAN FD、FlexRay、LIN、SPI、PCIe、GMAC等網絡接口。在S32G3內部，集成了多達8個Arm Cortex-A53內核，采用Arm Neon技術組成兩個四核集群，帶可選的集群鎖步，適合各種應用和服務。內置的硬件安全引擎（HSE）可用于安全啟動和加速安全服務。S32G3支持新型汽車E/E架構的需求，包括服務型網關、車載計算機、域控制器、區域處理器、安全處理器等。非常重要的是，S32G3全面滿足ASIL D安全標準。

圖3：S32G3汽車網絡處理器系統框圖（圖源：NXP Semiconductor）

#02ADAS和自動駕駛

在現代汽車中，駕駛員監控系統可確保駕駛員根據情況需求來控制車輛。該系統包括對準駕駛員面部的駕駛員監控攝像頭（DMS），可實時監測駕駛員是否在位及其當前狀態，并為駕駛員提供警報同時發起干預，使得駕駛員能夠快速恢復對車輛的管控。

S32V234是NXP第二代視覺處理器，根據ISO 26262開發，以64位Arm Cortex-A53為核心，擁有圖像信號處理器（ISP）、3D圖形處理器單元（GPU）、雙APEX-2視覺加速器，提供汽車級可靠性、功能安全和保障功能。在實際應用中，S32V234處理器支持計算密集型ADAS、新車碰撞測試（NCAP）前端攝像頭、物體檢測和識別，環視、汽車和工業圖像處理，還包括機器學習（ML）和傳感器融合應用。

圖4：S32V234視覺處理器系統框圖（圖源：NXP Semiconductor）

#03電源管理系統

汽車功能安全系統不僅依賴于MCU或MPU等核心器件，相關配套的電源管理設備和傳感器也必須達到ISO 26262的要求。

NXP的安全系統基礎芯片FS85是一款車用、功能安全的多輸出電源IC，它重點關注ADAS和域控制器應用，是S32微控制器系列的主要配套芯片。FS85包含多個開關模式和線性穩壓器，增強了安全功能和故障安全輸出，這使得它成為安全型系統的一個完整部分，且達到ASIL D安全等級。

圖5：多輸出電源芯片FS8500系統框圖（圖源：NXP Semiconductor）

在汽車ECU中，通常需要多個電源。要求分別提供適合MCU、傳感器、電機驅動器、CAN等的電壓和電流。這些電源發生異常時可能會引發車輛的事故。電源監控IC會監控這些電壓，并在發生異常時通知MCU，提示其進行處理。

ROHM Semiconductor公司通過在獨立的電源監控IC中內置各種監控功能和自我診斷功能，實現了為現有電源增加功能安全性。已經量產的BD39040MUF電源監控IC除了電源電壓VDD的監控功能外，還可以同時監控4通道的電源，并分別獨立檢測電源的異常（欠壓/過壓）。還配有窗口型看門狗定時器（WDT）,可檢測出ECU內部MCU的異常。

圖6：BD39040MUF電源監控IC典型應用（圖源：ROHM Semiconductor）

隨著汽車功能更加分散化，車載網絡在確保系統功能安全和可用性方面的作用日益增強。

TJA1103是NXP推出的首款符合ASIL B的以太網物理層器件，是100BASE-T1汽車以太網PHY系列的第三代產品，非常適合支持以太網到網絡邊緣的快速擴展，或提供與汽車中心的域控制器的穩定連接。啟動過程中的自診斷部署在硬件中，可防止潛在故障并支持隨機故障檢測。如果在功能安全環境中使用，TJA1103的錯誤通知功能允許主控制器做出相應的反應并恢復系統。如果無法恢復，則將受影響的部分設置為安全狀態，以確保網絡其余部分的安全通信。

圖7：符合ISO26262 ASIL B標準的車載以太網PHY芯片TJA1103系統框圖（圖源：NXP Semiconductor）

#04BMS電池管理系統

汽車功能安全至關重要，電池的安全更是重中之重，電池管理系統（BMS）可確保由多個電芯組成的電池組的功能安全。

NXP BMS產品組合提供高測量精度，支持ISO 26262且達到ASIL D功能安全等級。其中的RD-HVBMSCT800BUN是800V高壓電池管理系統（HVBMS）的參考設計套件，它提供了完整的硬件解決方案，包括RD-K358BMU電池管理單元（BMU）、RD33774CNT3EVB電芯監測單元（CMU）和RD772BJBTPL8EVB電池接線盒（BJB）、軟件驅動程序和可擴展的功能安全文檔集。

#05車載傳感器

現代汽車的功能越來越多，新的挑戰也隨之出現，因此，需要新的解決方案來滿足所需的高安全級別。故障安全意味著即使發生故障或錯誤，系統或功能也會繼續以安全的方式運行。這就需要故障檢測機制和冗余的使用，以確認系統能夠檢測到并響應發生的任何故障。

Texas Instruments公司的TMAG5170D-Q1是一款雙模、高精度、線性3D霍爾效應傳感器，專為各種汽車安全關鍵位置傳感應用而設計，一個封裝中的兩個相同芯片使系統集成商能夠利用這種完全冗余的雙通道傳感器架構來滿足極高的功能安全要求。TMAG5170D-Q1提供多種診斷功能，可檢測和報告系統和設備級故障，有助于實現電子換檔或電動助力轉向（EPS）等系統的ASIL D安全等級。通過使用這種高性能3D位置傳感器的冗余特性，系統集成商可以實現更高水平的安全性和可用性。

圖6：TMAG5170D-Q1功能框圖（圖源：Texas Instruments）

對于防撞和自動制動系統等汽車應用，電氣系統必須在沒有人為干預的情況下自動糾正故障，以避免嚴重傷害。TI 公司的毫米波雷達傳感器具有內置的監測環回方案，可連續跟蹤系統功能并增強實時功能安全操作，減少了主機處理器的負載。

IWR6843AOP是一款封裝天線（AOP）器件，是TI 單芯片雷達器件系列的升級版。該器件在極小的封裝中實現了出色的集成度，它集成了一個DSP子系統（該子系統包含TI 用于雷達信號處理的高性能C674x DSP），還包含一個BIST處理器子系統，用于無線電配置、控制和校準。硬件加速器區塊（HWA）可執行雷達處理，并減輕DSP上的負載。多種內置的安全機制可提供所需的診斷覆蓋范圍，硬件完整性高達ASIL B級。

圖7：IWR6843AOP功能框圖（圖源：Texas Instruments）

PART.03

人工智能：如何走進汽車功能安全？

電動汽車（EV）、自動駕駛和車輛互聯正在以一種重大的方式改變汽車行業。汽車原始設備制造商（OEM）和一級供應商將面臨諸多新的挑戰。

現在，人工智能（AI）和機器學習（ML）正在被整合到車輛安全分析中，以加強風險檢測能力，預測故障并提高系統可靠性。預測性維護通常利用先進的數據分析和機器學習算法在潛在故障發生之前進行預測。這種方法可以應用于任何車輛部件，并且越來越多地用于芯片級別，它們可以監測電動汽車中發動機電子控制單元（ECU）或電池管理系統（BMS）等關鍵系統的健康狀況。

先進的機器學習模型在歷史和實時數據上進行訓練，以識別組件退化的早期跡象。例如，機器學習算法可能會檢測到工作溫度的微妙升高，這表明芯片即將發生故障，從而可以在任何損壞發生之前安排維護。

將人工智能組件集成到現代車輛中提供了許多優勢，例如停車輔助和實時路況分析。然而，這其中也伴隨著某些權衡。首先，處理人工智能工作負載的高性能片上系統（SoC）可能會消耗更多電力，帶來能源效率的挑戰，這個影響在電動汽車中尤其關鍵。其次，添加額外的芯片和安全功能增加了復雜性，由此可能帶來新的故障風險。此外，數據安全以及新技術的材料成本等，這些因素可能會影響車企的利潤。

因此，將人工智能引入到功能安全中需要OEM的仔細權衡，他們必須在安全機制以及預算限制、性能要求和安全需求中間找到一個平衡點。

本文小結

近年來，車輛中電子系統和先進功能數量的增加為我們帶來了舒適的駕駛體驗。可以說，現代汽車比以往任何時候都更安全、更智能、更舒適，代價是今天的汽車可能需要搭載一千到三千個電子元器件，其中一個傳感器的錯誤就可能導致危險情況的發生。

慶幸的是，汽車行業的設計人員已經意識到，由于電子系統之間的不正確交互、設備故障或用戶對功能的不正確使用，這些功能很可能導致駕乘人員出現嚴重的安全問題。

作為事實上的汽車行業的國際標準ISO 26262為批量生產的車輛引入了功能安全的概念，該標準通過汽車安全完整性等級（ASIL）參數量化了不同場景下車載電子系統故障可能帶來的風險，車內的芯片，無論大小，價值多少，只要遵循嚴格的ISO 26262安全流程，車輛制造商就可以將系統故障導致的事故風險降至低點。