在不斷發(fā)展的汽車技術(shù)中，功能安全是一個(gè)非常重要的領(lǐng)域，它確保電子系統(tǒng)以及基于軟件的系統(tǒng)即使存在故障的情況下也能正確地響應(yīng)其輸入，其中涉及危險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和安全機(jī)制的實(shí)施，以防止車輛系統(tǒng)故障造成的事故。

隨著電動(dòng)汽車（EV）、自動(dòng)駕駛和聯(lián)網(wǎng)汽車技術(shù)的不斷進(jìn)步，汽車系統(tǒng)的復(fù)雜性日益增加，車內(nèi)的電子控制單元（ECU）數(shù)量越來越多，功能安全的重要性愈發(fā)突出。

PART.01

ISO 26262：行業(yè)共同遵守的車輛安全標(biāo)準(zhǔn)

現(xiàn)代汽車中集成了大量的電子系統(tǒng)，從基本的安全氣囊到復(fù)雜的高級(jí)駕駛員輔助系統(tǒng)（ADAS），這些系統(tǒng)的安全功能大多由電子設(shè)備來執(zhí)行。

目前，汽車行業(yè)廣泛認(rèn)可的功能安全標(biāo)準(zhǔn)是ISO 26262，該標(biāo)準(zhǔn)為道路車輛安全關(guān)鍵系統(tǒng)的設(shè)計(jì)和開發(fā)提供了指導(dǎo)方針。盡管并沒有任何一個(gè)國家的特定法律強(qiáng)制要求汽車企業(yè)必須遵守ISO 26262，但在產(chǎn)業(yè)界它已經(jīng)被廣泛接受為汽車行業(yè)的安全標(biāo)準(zhǔn)。

作為汽車行業(yè)功能安全事實(shí)上的國際標(biāo)準(zhǔn)，ISO 26262于2011年由國際標(biāo)準(zhǔn)化組織（ISO）推出，它解決了現(xiàn)代車輛中使用的日益復(fù)雜的電子電氣系統(tǒng)（E/E系統(tǒng)）帶來的風(fēng)險(xiǎn)。ISO 26262的主要目標(biāo)是確保將因這些系統(tǒng)故障造成的潛在危險(xiǎn)降至極低或減輕到保證車輛安全的水平。

與其他可能側(cè)重于生產(chǎn)或制造的標(biāo)準(zhǔn)不同，ISO 26262是一個(gè)基于風(fēng)險(xiǎn)的汽車系統(tǒng)安全標(biāo)準(zhǔn)，從概念階段開始，延伸到開發(fā)、測(cè)試和退役，它幾乎涵蓋了車輛的整個(gè)生命周期，確保了所有階段的安全。

根據(jù)潛在危險(xiǎn)的發(fā)生概率和嚴(yán)重程度確定所需的安全措施，ISO 26262建立了汽車安全完整性等級(jí)（ASIL）。ASIL共有四個(gè)級(jí)別，分別是：ASIL A、ASIL B、ASIL C和ASIL D，其中ASIL A是極低的安全完整性級(jí)別，ASIL D是極高的。例如，與汽車故障風(fēng)險(xiǎn)相關(guān)度較高的電動(dòng)助力轉(zhuǎn)向（EPS）或集成制動(dòng)控制（IBC）系統(tǒng)就需要具有ASIL D功能，而制動(dòng)燈或前照燈等系統(tǒng)通常僅要求達(dá)到ASIL A即可。

PART.02

用“芯”打造：全方位的汽車功能安全

如今的車輛正在轉(zhuǎn)變成一個(gè)越來越復(fù)雜的智能系統(tǒng)，一輛標(biāo)準(zhǔn)車型的平均半導(dǎo)體元件裝載量約為1,400個(gè)，預(yù)計(jì)2022年至2032年間將以8.3%的復(fù)合年增長(zhǎng)率持續(xù)增長(zhǎng)。更具體地說，在2000年代，電子產(chǎn)品約占新車成本的18%；到了2022年，電子產(chǎn)品在整車成本的占比已經(jīng)攀升至40%，這一急劇增長(zhǎng)的趨勢(shì)目前看來沒有任何放緩的跡象。

功能安全是使汽車更好、更安全地行駛的重要課題，通過擁有能夠發(fā)現(xiàn)問題的智能系統(tǒng)并遵循特殊規(guī)則，汽車制造商可以確保汽車始終能夠安全行駛，這是一個(gè)雙贏的舉措，一方面不僅可以保護(hù)駕乘人員的安全，另一方面還能幫助汽車制造商保護(hù)自己免除法律責(zé)任和財(cái)務(wù)上的雙重風(fēng)險(xiǎn)。

當(dāng)前，汽車電氣化以及自動(dòng)駕駛技術(shù)正在成為汽車行業(yè)創(chuàng)新的驅(qū)動(dòng)力，且有望徹底改變現(xiàn)有的交通方式，但由此也引發(fā)了一系列新的安全挑戰(zhàn)。對(duì)于自動(dòng)駕駛汽車而言，無論遇到何種路況或車輛故障，它的首要任務(wù)是必須能夠做出對(duì)乘客、其他車輛駕駛員和行人安全的決策和行動(dòng)。汽車功能安全對(duì)于確保車輛電氣系統(tǒng)的安全以及將與自動(dòng)駕駛相關(guān)的風(fēng)險(xiǎn)降至極低發(fā)揮了至關(guān)重要的作用。

#01汽車網(wǎng)絡(luò)處理器

NXP Semiconductor公司的S32G3是一款新型汽車網(wǎng)絡(luò)處理器，支持CAN FD、FlexRay、LIN、SPI、PCIe、GMAC等網(wǎng)絡(luò)接口。在S32G3內(nèi)部，集成了多達(dá)8個(gè)Arm Cortex-A53內(nèi)核，采用Arm Neon技術(shù)組成兩個(gè)四核集群，帶可選的集群鎖步，適合各種應(yīng)用和服務(wù)。內(nèi)置的硬件安全引擎（HSE）可用于安全啟動(dòng)和加速安全服務(wù)。S32G3支持新型汽車E/E架構(gòu)的需求，包括服務(wù)型網(wǎng)關(guān)、車載計(jì)算機(jī)、域控制器、區(qū)域處理器、安全處理器等。非常重要的是，S32G3全面滿足ASIL D安全標(biāo)準(zhǔn)。

圖3：S32G3汽車網(wǎng)絡(luò)處理器系統(tǒng)框圖（圖源：NXP Semiconductor）

#02ADAS和自動(dòng)駕駛

在現(xiàn)代汽車中，駕駛員監(jiān)控系統(tǒng)可確保駕駛員根據(jù)情況需求來控制車輛。該系統(tǒng)包括對(duì)準(zhǔn)駕駛員面部的駕駛員監(jiān)控?cái)z像頭（DMS），可實(shí)時(shí)監(jiān)測(cè)駕駛員是否在位及其當(dāng)前狀態(tài)，并為駕駛員提供警報(bào)同時(shí)發(fā)起干預(yù)，使得駕駛員能夠快速恢復(fù)對(duì)車輛的管控。

S32V234是NXP第二代視覺處理器，根據(jù)ISO 26262開發(fā)，以64位Arm Cortex-A53為核心，擁有圖像信號(hào)處理器（ISP）、3D圖形處理器單元（GPU）、雙APEX-2視覺加速器，提供汽車級(jí)可靠性、功能安全和保障功能。在實(shí)際應(yīng)用中，S32V234處理器支持計(jì)算密集型ADAS、新車碰撞測(cè)試（NCAP）前端攝像頭、物體檢測(cè)和識(shí)別，環(huán)視、汽車和工業(yè)圖像處理，還包括機(jī)器學(xué)習(xí)（ML）和傳感器融合應(yīng)用。

圖4：S32V234視覺處理器系統(tǒng)框圖（圖源：NXP Semiconductor）

#03電源管理系統(tǒng)

汽車功能安全系統(tǒng)不僅依賴于MCU或MPU等核心器件，相關(guān)配套的電源管理設(shè)備和傳感器也必須達(dá)到ISO 26262的要求。

NXP的安全系統(tǒng)基礎(chǔ)芯片F(xiàn)S85是一款車用、功能安全的多輸出電源IC，它重點(diǎn)關(guān)注ADAS和域控制器應(yīng)用，是S32微控制器系列的主要配套芯片。FS85包含多個(gè)開關(guān)模式和線性穩(wěn)壓器，增強(qiáng)了安全功能和故障安全輸出，這使得它成為安全型系統(tǒng)的一個(gè)完整部分，且達(dá)到ASIL D安全等級(jí)。

圖5：多輸出電源芯片FS8500系統(tǒng)框圖（圖源：NXP Semiconductor）

在汽車ECU中，通常需要多個(gè)電源。要求分別提供適合MCU、傳感器、電機(jī)驅(qū)動(dòng)器、CAN等的電壓和電流。這些電源發(fā)生異常時(shí)可能會(huì)引發(fā)車輛的事故。電源監(jiān)控IC會(huì)監(jiān)控這些電壓，并在發(fā)生異常時(shí)通知MCU，提示其進(jìn)行處理。

ROHM Semiconductor公司通過在獨(dú)立的電源監(jiān)控IC中內(nèi)置各種監(jiān)控功能和自我診斷功能，實(shí)現(xiàn)了為現(xiàn)有電源增加功能安全性。已經(jīng)量產(chǎn)的BD39040MUF電源監(jiān)控IC除了電源電壓VDD的監(jiān)控功能外，還可以同時(shí)監(jiān)控4通道的電源，并分別獨(dú)立檢測(cè)電源的異常（欠壓/過壓）。還配有窗口型看門狗定時(shí)器（WDT）,可檢測(cè)出ECU內(nèi)部MCU的異常。

圖6：BD39040MUF電源監(jiān)控IC典型應(yīng)用（圖源：ROHM Semiconductor）

隨著汽車功能更加分散化，車載網(wǎng)絡(luò)在確保系統(tǒng)功能安全和可用性方面的作用日益增強(qiáng)。

TJA1103是NXP推出的首款符合ASIL B的以太網(wǎng)物理層器件，是100BASE-T1汽車以太網(wǎng)PHY系列的第三代產(chǎn)品，非常適合支持以太網(wǎng)到網(wǎng)絡(luò)邊緣的快速擴(kuò)展，或提供與汽車中心的域控制器的穩(wěn)定連接。啟動(dòng)過程中的自診斷部署在硬件中，可防止?jié)撛诠收喜⒅С蛛S機(jī)故障檢測(cè)。如果在功能安全環(huán)境中使用，TJA1103的錯(cuò)誤通知功能允許主控制器做出相應(yīng)的反應(yīng)并恢復(fù)系統(tǒng)。如果無法恢復(fù)，則將受影響的部分設(shè)置為安全狀態(tài)，以確保網(wǎng)絡(luò)其余部分的安全通信。

圖7：符合ISO26262 ASIL B標(biāo)準(zhǔn)的車載以太網(wǎng)PHY芯片TJA1103系統(tǒng)框圖（圖源：NXP Semiconductor）

#04BMS電池管理系統(tǒng)

汽車功能安全至關(guān)重要，電池的安全更是重中之重，電池管理系統(tǒng)（BMS）可確保由多個(gè)電芯組成的電池組的功能安全。

NXP BMS產(chǎn)品組合提供高測(cè)量精度，支持ISO 26262且達(dá)到ASIL D功能安全等級(jí)。其中的RD-HVBMSCT800BUN是800V高壓電池管理系統(tǒng)（HVBMS）的參考設(shè)計(jì)套件，它提供了完整的硬件解決方案，包括RD-K358BMU電池管理單元（BMU）、RD33774CNT3EVB電芯監(jiān)測(cè)單元（CMU）和RD772BJBTPL8EVB電池接線盒（BJB）、軟件驅(qū)動(dòng)程序和可擴(kuò)展的功能安全文檔集。

#05車載傳感器

現(xiàn)代汽車的功能越來越多，新的挑戰(zhàn)也隨之出現(xiàn)，因此，需要新的解決方案來滿足所需的高安全級(jí)別。故障安全意味著即使發(fā)生故障或錯(cuò)誤，系統(tǒng)或功能也會(huì)繼續(xù)以安全的方式運(yùn)行。這就需要故障檢測(cè)機(jī)制和冗余的使用，以確認(rèn)系統(tǒng)能夠檢測(cè)到并響應(yīng)發(fā)生的任何故障。

Texas Instruments公司的TMAG5170D-Q1是一款雙模、高精度、線性3D霍爾效應(yīng)傳感器，專為各種汽車安全關(guān)鍵位置傳感應(yīng)用而設(shè)計(jì)，一個(gè)封裝中的兩個(gè)相同芯片使系統(tǒng)集成商能夠利用這種完全冗余的雙通道傳感器架構(gòu)來滿足極高的功能安全要求。TMAG5170D-Q1提供多種診斷功能，可檢測(cè)和報(bào)告系統(tǒng)和設(shè)備級(jí)故障，有助于實(shí)現(xiàn)電子換檔或電動(dòng)助力轉(zhuǎn)向（EPS）等系統(tǒng)的ASIL D安全等級(jí)。通過使用這種高性能3D位置傳感器的冗余特性，系統(tǒng)集成商可以實(shí)現(xiàn)更高水平的安全性和可用性。

圖6：TMAG5170D-Q1功能框圖（圖源：Texas Instruments）

對(duì)于防撞和自動(dòng)制動(dòng)系統(tǒng)等汽車應(yīng)用，電氣系統(tǒng)必須在沒有人為干預(yù)的情況下自動(dòng)糾正故障，以避免嚴(yán)重傷害。TI 公司的毫米波雷達(dá)傳感器具有內(nèi)置的監(jiān)測(cè)環(huán)回方案，可連續(xù)跟蹤系統(tǒng)功能并增強(qiáng)實(shí)時(shí)功能安全操作，減少了主機(jī)處理器的負(fù)載。

IWR6843AOP是一款封裝天線（AOP）器件，是TI 單芯片雷達(dá)器件系列的升級(jí)版。該器件在極小的封裝中實(shí)現(xiàn)了出色的集成度，它集成了一個(gè)DSP子系統(tǒng)（該子系統(tǒng)包含TI 用于雷達(dá)信號(hào)處理的高性能C674x DSP），還包含一個(gè)BIST處理器子系統(tǒng)，用于無線電配置、控制和校準(zhǔn)。硬件加速器區(qū)塊（HWA）可執(zhí)行雷達(dá)處理，并減輕DSP上的負(fù)載。多種內(nèi)置的安全機(jī)制可提供所需的診斷覆蓋范圍，硬件完整性高達(dá)ASIL B級(jí)。

圖7：IWR6843AOP功能框圖（圖源：Texas Instruments）

PART.03

人工智能：如何走進(jìn)汽車功能安全？

電動(dòng)汽車（EV）、自動(dòng)駕駛和車輛互聯(lián)正在以一種重大的方式改變汽車行業(yè)。汽車原始設(shè)備制造商（OEM）和一級(jí)供應(yīng)商將面臨諸多新的挑戰(zhàn)。

現(xiàn)在，人工智能（AI）和機(jī)器學(xué)習(xí)（ML）正在被整合到車輛安全分析中，以加強(qiáng)風(fēng)險(xiǎn)檢測(cè)能力，預(yù)測(cè)故障并提高系統(tǒng)可靠性。預(yù)測(cè)性維護(hù)通常利用先進(jìn)的數(shù)據(jù)分析和機(jī)器學(xué)習(xí)算法在潛在故障發(fā)生之前進(jìn)行預(yù)測(cè)。這種方法可以應(yīng)用于任何車輛部件，并且越來越多地用于芯片級(jí)別，它們可以監(jiān)測(cè)電動(dòng)汽車中發(fā)動(dòng)機(jī)電子控制單元（ECU）或電池管理系統(tǒng)（BMS）等關(guān)鍵系統(tǒng)的健康狀況。

先進(jìn)的機(jī)器學(xué)習(xí)模型在歷史和實(shí)時(shí)數(shù)據(jù)上進(jìn)行訓(xùn)練，以識(shí)別組件退化的早期跡象。例如，機(jī)器學(xué)習(xí)算法可能會(huì)檢測(cè)到工作溫度的微妙升高，這表明芯片即將發(fā)生故障，從而可以在任何損壞發(fā)生之前安排維護(hù)。

將人工智能組件集成到現(xiàn)代車輛中提供了許多優(yōu)勢(shì)，例如停車輔助和實(shí)時(shí)路況分析。然而，這其中也伴隨著某些權(quán)衡。首先，處理人工智能工作負(fù)載的高性能片上系統(tǒng)（SoC）可能會(huì)消耗更多電力，帶來能源效率的挑戰(zhàn)，這個(gè)影響在電動(dòng)汽車中尤其關(guān)鍵。其次，添加額外的芯片和安全功能增加了復(fù)雜性，由此可能帶來新的故障風(fēng)險(xiǎn)。此外，數(shù)據(jù)安全以及新技術(shù)的材料成本等，這些因素可能會(huì)影響車企的利潤(rùn)。

因此，將人工智能引入到功能安全中需要OEM的仔細(xì)權(quán)衡，他們必須在安全機(jī)制以及預(yù)算限制、性能要求和安全需求中間找到一個(gè)平衡點(diǎn)。

本文小結(jié)

近年來，車輛中電子系統(tǒng)和先進(jìn)功能數(shù)量的增加為我們帶來了舒適的駕駛體驗(yàn)?？梢哉f，現(xiàn)代汽車比以往任何時(shí)候都更安全、更智能、更舒適，代價(jià)是今天的汽車可能需要搭載一千到三千個(gè)電子元器件，其中一個(gè)傳感器的錯(cuò)誤就可能導(dǎo)致危險(xiǎn)情況的發(fā)生。

慶幸的是，汽車行業(yè)的設(shè)計(jì)人員已經(jīng)意識(shí)到，由于電子系統(tǒng)之間的不正確交互、設(shè)備故障或用戶對(duì)功能的不正確使用，這些功能很可能導(dǎo)致駕乘人員出現(xiàn)嚴(yán)重的安全問題。

作為事實(shí)上的汽車行業(yè)的國際標(biāo)準(zhǔn)ISO 26262為批量生產(chǎn)的車輛引入了功能安全的概念，該標(biāo)準(zhǔn)通過汽車安全完整性等級(jí)（ASIL）參數(shù)量化了不同場(chǎng)景下車載電子系統(tǒng)故障可能帶來的風(fēng)險(xiǎn)，車內(nèi)的芯片，無論大小，價(jià)值多少，只要遵循嚴(yán)格的ISO 26262安全流程，車輛制造商就可以將系統(tǒng)故障導(dǎo)致的事故風(fēng)險(xiǎn)降至低點(diǎn)。