汽车行业的新焦点—功能安全

每月为您发送最具参考价值的行业文章

我们会保障您的隐私

大家知道近几年汽车芯片“缺芯”闹得沸沸扬扬，其实“缺芯”不只是缺少制造芯片的能力，而是把一颗芯片放在汽车上实在是太不容易了，而其中最耗时的就是长达2-3年的汽车芯片功能安全验证。

什么功能安全如此重要，成为了现在汽车行业的关注焦点呢？

讲到功能安全，很多人可能会存在误解。首先看下它的定义：功能安全就是避免因电子电气系统故障而导致不合理的风险。那它为何如今如此重要呢？主要的原因大概有两点：

1．随着汽车电气化、自动化的快速变革，使得汽车中的芯片数量剧增，最高甚至可达几千个，驾驶员和乘客与电气电子设备之间的交互也随之显著增加，人们越来越依赖汽车电子系统，我们现在的汽车逐渐从会跑的轮子发展为驾驶员/乘客做安全关键决策的智能大脑。

2．汽车智能化的发展，自动驾驶平台变得越来越复杂，汽车里的电子系统也开始承担越来越多的安全驾驶责任，功能安全对于驾驶员和乘客来说可能造成的潜在影响已不容忽视。

图1：汽车智能化发展趋势

既然功能安全如此重要，自然大家都想要布局这一块，因此便有了比较完善的国际标准：ISO26262，它是国际标准组织推出的针对汽车行业电子系统与电气、电子组件的安全标准，该标准规定了一系列确保汽车电子系统功能安全的要求，流程和方法，来全面提升汽车电子系统的安全水平。

这里不得不提到大家比较熟悉的功能安全等级ASIL，它是用于表示汽车电子系统的功能安全需求和安全性能水平，主要有A、B、C、D四个等级。

图2：功能安全等级ASIL图示

首先，ASIL 级别是根据危害的严重性、危害发生的概率，还有控制能力这三个因素组合在一起，来确定特定的危害级别。其中：

1. Severity是指如果故障发生了，作为驾驶员或者是乘客会受到什么样的伤害。从最轻微的几乎对人体没有物理伤害的S0，到危及生命的严重伤害甚至是死亡的S3，根据不同的程度我们会定义不同的Severity 级别。

图3：确定ASIL级别的三大因素之Severity

被动平衡的电流通常限制为 0.25A，而主动平衡可高达 6A。更高平衡电流可实现更快的平衡，从而支持更大容量的电池单元，例如 ESS 中使用的电池单元。此外，更高平衡电流支持系统以快速周期运行，其中的平衡也必须快速完成。

2. Exposure 讨论的则是危害发生的频率或者概率，即危害事件发生的可能性。从一年里几乎不可能发生的特定情况，比如我的车被拖车拖走了；到一年中可能会发生几次，比如遇到下雪或者下雨；再到一年经常会发生的场景，比如在潮湿的路面或者在隧道开车；最后到每天开车都会遇到的场景，比如踩刹车或者踩油门，分别对应Exposure 等级E1到E4。

图4：确定ASIL级别的三大因素之Exposure

3. 最后就是控制性Controllability, 指的是当发生危害事件的时候，危害事件是否可以被及时有效地控制。这一点其实印证了前面提到的功能安全定义，功能安全就是确保汽车电子系统在面对故障的时候，可以安全可靠地执行其预期功能的能力。对于控制性来说，从对车辆的正常操作影响较小的，大部分驾驶员都可以控制的危害事件，到需要采取多重控制策略才能确保车辆和乘客安全的，驾驶员不太可控的危害事件，分别对应C1等级到C3等级。