聊聊汽车芯片功能安全的细节

随着新能源汽车的快速发展，车内控制器和相应的电子部件越来越多，相应的汽车芯片功能安全变得越来越重要。那什么是汽车芯片功能安全，车规级芯片又有哪些标准设定，请跟随小编一起来聊聊汽车芯片功能安全的细节吧~

功能安全案例

一辆特斯拉在路上自燃，图片来自CNN报道。新能源汽车自燃事件及辅助驾驶安全事件屡见报端，如何避免类似案例发生，汽车芯片功能安全至关重要。

电动汽车通过BMS能够更加有效率地控制和管理电池，让每一个电池工作在可运行的区间范围内，避免电池的过充过放和热失控问题发生。

Automotive

什么是功能安全？

01

ISO26262的定义与应用

ISO 26262中对 “Functional Safety 功能安全” 的定义如下：

不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险。

ISO 26262的适用性：

量产道路车辆上的包含一个或多个电气/电子系统的与安全相关的系统

安装于不超过3.5吨的乘用车

2018版本第12章加入摩托车

02

功能安全在解决什么问题？

通过管理和设计来解决系统性失效

V型管理模型

需求管理

配置管理 

变更管理

软件质量评估等

通过安全分析指导设计来解决随机硬件失效

单点失效

潜藏失效

共因失效

Automotive

ASIL安全等级

01

ASIL安全等级从何而来？

功能安全要求将风险控制在合理的范围内。依据ISO 26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障。功能故障在特定的驾驶场景下，才会造成伤亡事件，所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景。功能故障和驾驶场景的组合叫做危害事件（hazard event）， 危害事件确定后，根据三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别——ASIL等级。

02

ASIL安全等级如何划分？

ISO 26262从三个维度来进行分类和筛选：

S（Severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。

E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。

C（Controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。

通过这三个维度的综合评分确定ASIL，如下图所示。ASIL D代表最高严格等级，ASIL A 代表最低严格等级。QM表示质量管理（Quality Management）。

下面以BMS系统为例介绍如何进行危害分析和风险评估。

1.BMS系统的危害：对电池过充，过放，热失控

2.对于危害的评估：

严重程度：S3

暴露的可能性：E4

可控性：C3

导出ASIL等级ASIL-D

3.安全目标：

避免过充 – ASIL-D

避免过放 – ASIL-D

避免过热 – ASIL-D

03

ASIL 等级意味着什么

1.管理

管理流程的不同

独立性要求的不同

分析方法的不同

验证方法的不同

2.技术指标

     

编辑：黄飞