隨著汽車智能化電氣化技術的快速普及,車內控制器和相應的電子部件越來越多。相應的汽車功能安全變得越來越重要。那麽什麽是汽車功能安全,它為什麽和車規級芯片相關度這麽高呢?車輛使用過程中,有哪些情況會使芯片失效又該如何防止造成危險和傷害呢?今天跟著小星來聊聊汽車功能安全的細節吧。
什麽是功能安全
↑汽車功能安全概念
如果去看一個汽車電子控制系統的話,主要關註的是它的功能性、安全性和保密性。在汽車電子行業,功能安全國際標準ISO26262和對應國標GB/T34590將功能安全定義為:避免因電子電氣系統故障而導致不合理的風險。即隨機和系統性失效不會導致安全系統的錯誤功能,從而導致人的傷害死亡,或環境汙染,或器材財產損失。
功能安全適用範圍
↑功能安全國際標準ISO26262
其實功能安全並不對應任何特定的芯片。那為什麽它和車規級芯片相關度那麽高呢?這就要提到功能安全的適用範圍。
功能安全它不對應特定的零件,而對應的是特定安全功能,也就是說系統有潛在能力去支持安全功能達到相應的ASIL安全等級。安全相關系統功能用來減少風險並且達到和保持安全狀態。安全功能總是針對一個安全回路而言,而不是針對一個器材或部件。
汽車功能安全的特點
↑固有安全(左)和功能安全(右)的差別
說到汽車功能安全的特點,就要提一下固有安全和功能安全的差別。
所謂固有安全是指為了減少器材變化對人或環境造成的危害而采取的措施。比如在汽車和火車交匯的路口建立立交橋可以從本質上避免風險達到比較絕對的安全。但通常代價是相對昂貴的。固有安全普遍使用在關鍵工業自動化控制器材和飛機控制器當中。
所謂功能安全就是透過安全措施將事故風險降低到可接受的水平。就比如在汽車和火車交匯的路口建立配備紅綠燈、報警器和欄桿的道口。功能安全普遍套用在汽車行業。
ASIL汽車安全完整度等級具體指什麽
↑ASIL汽車安全完整度等級的含義
敲黑板劃重點,ISO26262的特殊之處在於它不僅提供標準通常規範的行為準則,而且對可接受的風險提出如何去量化的指導意見。接下來我們一起看看它是如何來量化的。
ASIL指汽車安全完整性等級,這是由ISO26262標準定義的風險分類系統。ASIL共分五個等級QM,ASIL-A,B,C和D。ASIL-D代表最高的汽車功能安全要求。
ASIL根據傷害的嚴重性S、可能性E和可控性C來確定安全要求。它的具體定級需要透過HARA危害分析風險評估來確定。
↑汽車功能安全HARA危害分析風險評估
嚴重性S:S0~S3,表示人員可能造成傷害的級別。
可能性E:E0~E4,表示這個風險在實際套用中發生的概率。
可控性C:C0~C3,表示這個風險發生後人員采取措施控制後可以避免傷害的能力。
透過HARA分析,確定安全目標、安全狀態、FTTI故障容錯時間間隔和ASIL等級。
常見安全功能的功能安全ASIL等級
↑常見安全功能的功能安全ASIL等級
我們來看看常見安全功能透過HARA分析後功能安全ASIL等級是怎樣的。
最典型的ASIL-D安全功能就是EPS電子助力轉向的避免非預期自轉向。因為它發生可能導致車輛側翻定位S3致命的,並且為E4每個駕駛迴圈都要用到而發生幾乎不可控C3。
另一個比較有意思的ASIL-D安全功能是安全氣囊,大家留意它的安全功能是避免氣囊非預期的彈出。而有趣的是安全氣囊的主功能即當發生碰撞時彈出氣囊的安全等級為ASIL-A。
功能安全的量化實施
↑以ASIL等級來指導的安全措施實作
功能安全的量化實施就是一個以ASIL等級來指導的安全措施實作過程。
具體來看,針對ASIL-B,C和D標準提出了相應的單點故障指標SPFM和多點故障指標LFM並透過安全措施去覆蓋相應故障從而考察系統是否能夠達到所規定的安全等級。
以ASIL-D為例,它的單點故障指標要求被安全機制覆蓋超過99%,而多點故障指標要求被安全機制覆蓋超過90%。標準還額外對殘余故障的失效率做出規定,ASIL-B和C要求小於100FIT,而ASIL-D更嚴苛地要求小於10FIT。
芯片為何會失效
↑電子系統失效的分類
電子系統失效的分類分成系統性失效和隨機失效兩大類。其中系統性失效具體指人為的失效。它主要由嚴格的開發流程和獨立的評估體系來管理和防止。而隨機失效指的是硬件中電子部件特別是芯片在生命周期中無法預測的失效。芯片的隨機失效在ISO26262標準中主要依托IEC62380和西門子SN29500這兩個參考標準用FIT來量化。特別是數碼芯片當其使用的邏輯門超過5千萬級別、RAM超過2G或Flash超過1G時,失效率將達到200FIT以上。因此需要透過安全機制去檢測故障和滿足量化安全指標的難度大大提高。
↑數碼芯片鎖步核與安全守護架構
汽車功能安全微處理器芯片通常引入Lock Step鎖步核架構,即兩個核執行同樣的程式,將結果輸入一個比較邏輯中,周期性比較兩個核的輸出結果是否相同。而對於算力越來越強大的異構AI計算芯片,則通常引入安全守護Safety Companion的概念,AI芯片由外部ASIL-D汽車功能安全微處理器芯片作為關鍵安全回路的安全防線。
汽車功能安全的演進
↑Fail Operational系統架構
隨著自動駕駛系統的普及,基於功能安全的設計已經不再能夠完全滿足要求。傳統汽車功能安全的普遍安全狀態是讓車能夠盡快安全停止下來。而自動駕駛系統需要車輛發生故障仍能夠工作1分鐘甚至更長,從而將車輛停入安全車道,被成為Fail Operational。
