8.2 功能安全 Functional safety

1 为什么要做功能安全分析？

必要性分析

自动驾驶域控制器是车辆智能化的核心，负责整合传感器数据、执行决策算法并控制车辆动态（如转向、制动等）。若功能安全不达标，可能导致系统失效，引发严重事故。例如，传感器数据处理错误或控制指令延迟可能直接威胁驾乘人员安全。

功能安全分析的作用

风险识别与缓解：通过系统性分析潜在失效模式（如硬件故障、软件逻辑错误），制定冗余设计、故障诊断等安全机制。
合规性保障：满足ISO 26262等标准要求，确保产品通过行业认证（如ASIL D），提升市场竞争力。
提升系统可靠性：通过分层冗余（如双核锁步、多传感器融合）和实时监控，降低系统性失效概率，确保车辆在异常状态下仍能进入安全模式（如紧急制动）。

功能安全和 ASIL 评级的含义及其重要性

2 什么是ASIL，其等级的具体评估方法

ISO 26262 中包含了一套对可能风险进行分类的体系，称为汽车安全完整性等级 (ASIL)。这套评级体系针对各种汽车功能进行识别和量化，并定义了一系列的安全风险。通过 ASIL 评级，制造商可以证明其汽车内的特定系统或组件包含内置的安全冗余功能，能够保护乘客和车辆。在产品出现故障，例如传感器无法感知到隔壁车道的车辆，或者汽车前灯在夜间熄灭时，这些安全功能将至关重要。安全冗余功能用于应对单点故障（即单个部件的故障），它还包括额外的备份功能，以防检测单点故障的机制出现问题（即潜在故障）；这是真正强大的功能安全方法所需的多层冗余。

ASIL等级基于三个风险维度确定：
S（severity 严重度）：失效对人员伤害的严重程度（4级：S0无伤害，S3致命伤害）。
E（Exposure 曝光度）：失效场景发生的概率（5级：E0极不可能，E4高概率）。
C（controllability 可控度）：驾驶员或系统对失效后果的控制能力（4级：C0可控，C3不可控）。
通过这三个维度的综合评分确定汽车安全完整性等级（ ASIL, automotive safety integrity level），如下图所示。ASIL D代表最高严格等级，ASIL A 代表最低严格等级。QM（quality management）则意味着只要按照企业流程开发就可以满足ISO 26262要求，无其他特殊要求。
评估流程
参数组合查表：通过三维矩阵（S、E、C）确定ASIL等级。例如：
ASIL D：S3（致命伤害）+ E4（高暴露概率）+ C3（不可控）。
ASIL A：S2（严重伤害）+ E3（中等概率）+ C2（部分可控）。
案例分析：以动力电池系统为例，BMS失效（S3+E4+C2）对应ASIL C，而碰撞传感器失效（S3+E1+C3）对应ASIL A。
示例
某自动驾驶域控制器主芯片需处理横向控制（如转向），若失效可能导致车辆偏离车道（S3）、在高速公路场景发生概率高（E4）、驾驶员无法实时接管（C3），因此必须满足ASIL D要求。

3 S/E/C等级评估方法：如何避免主观性？

ISO 26262通过明确的定义和行业共识解决主观性问题。以下是具体评估方法：

（1）严重性（S）

基于伤害的医学后果定义：
S0：无伤害
S1：轻伤（如轻微擦伤）
S2：严重伤害（如骨折、需住院治疗）
S3：致命伤害
标准化依据：参考交通事故伤害分类标准（如AIS评分）或行业案例库。

（2）暴露率（E）

基于场景发生的概率量化：
E0：概率极低（如车辆在月球行驶）
E1：低概率（如越野场景）
E2：中等概率（如城市道路）
E3：高概率（如高速公路）
E4：极高概率（如车辆每次启动均发生）
标准化依据：通过实际统计数据（如NHTSA事故数据库）或仿真模型（如蒙特卡洛模拟）量化场景概率。

（3）可控性（C）

基于驾驶员或系统能否及时干预：
C0：完全可控（如仪表盘指示灯故障）
C1：大概率可控（如车辆轻微偏离车道，驾驶员可修正）
C2：部分可控（如制动响应延迟，驾驶员需紧急操作）
C3：不可控（如高速行驶时转向系统失效）
标准化依据：通过人因工程实验（如驾驶员反应时间测试）确定可控性等级。

如何避免主观性？

团队评审：需由功能安全团队（含独立安全评审员）共同评估，达成一致。
参考标准：ISO 26262-3:2018附录B提供详细场景分类和案例。
工具辅助：使用工具链（如Medini Analyze）内置规则库自动匹配等级。

4 ASIL D等级芯片的意义与判定标准

ASIL D的意义
ASIL D是功能安全的最高等级，表明该芯片适用于对人身安全影响最严重的场景（如自动驾驶域控制器的核心处理器。其失效可能导致致命事故，因此需满足最严格的设计和验证要求。

判定标准
开发流程合规性：通过ISO 26262认证，涵盖需求分析、安全架构设计、验证测试等全生命周期流程。
硬件指标：
功能安全对硬件的可靠性提出了三个指标，分别是单点故障度量，潜伏故障度量，以及随机硬件失效目标，硬件安全设计首先就需要满足这些要求，只有这样给产品提供一个安全性高、可靠性高的硬件设计。
SPFM：Single Point Fault Metric
计算公式：1 - (单点故障数 / 总故障数)
ASIL D要求：SPFM ≥ 99%
LFM：Latent Fault Metric
计算公式：1 - (潜伏故障数 / 总故障数)
ASIL D要求：LFM ≥ 90%
PMHF：Probabilistic Metric for Hardware Failure
定义：单位时间内因随机硬件失效导致安全目标违反的概率。
ASIL D要求：PMHF < 10⁻⁸/h（即平均1亿小时发生1次致命失效）

软件要求：需实现高代码覆盖率（如单元测试覆盖率≥100%）、模块隔离、冗余校验等。
实际应用验证：通过硅前仿真、硅后测试及实际场景验证（如长安汽车的专利方法）。

标准解读 | 汽车芯片功能安全GB/T 34590《道路车辆 功能安全》

单点故障跟潜伏故障的区别是什么？

5 芯片ASIL D的验证方法

芯片厂商如何证明ASIL D合规？

提供安全手册（Safety Manual）：需详细说明芯片的安全机制（如锁步核、ECC内存）、安全分析报告（FMEDA结果）及SPFM/LFM/PMHF计算过程。
第三方认证：通过TÜV(南德)等机构审核，获得ISO 26262证书（如英飞凌TC3xx芯片的ASIL D认证）。
实测数据：芯片厂通过加速寿命测试（如HTOL/HAST）验证可靠性，并在安全手册中提供PMHF数据。

客户如何验证？

仅凭规格书（Datasheet）或部分功能无法确认ASIL D合规性！需结合以下证据：
安全手册：明确标注SPFM/LFM/PMHF指标及安全机制。
认证证书：第三方机构颁发的ISO 26262合规证书（需检查认证范围是否包含芯片本身）。
功能推断（辅助手段）：
PG引脚：电源监控功能（如过压/欠压保护）属于硬件安全机制。
温度监控：通过内置传感器实现热关断，属于故障检测机制。
但需注意：单一功能无法满足ASIL D要求，需综合架构设计（如双核锁步）和指标达标。

总结
功能安全分析是自动驾驶域控制器的基石，ASIL等级通过量化风险确保系统可靠性，而ASIL D芯片需通过严格的开发流程与性能指标验证。未来，随着高阶自动驾驶普及，ASIL D级芯片的需求将大幅增长，推动功能安全技术向更高标准演进。

6 如何获得ISO 26262合规证书及所需文档？

认证流程概述

1.准备阶段：
明确认证范围和目标（如域控制器、传感器等）。
组建功能安全团队（含安全经理、工程师等），并进行ISO 26262标准培训。
2.文档准备：
需提交的核心文档包括：
功能安全计划：涵盖风险管理策略、安全目标及ASIL分配。
安全概念文档：描述系统架构、安全机制（如冗余设计）。
危害分析和风险评估（HARA）报告：识别潜在危害事件，评估严重度（S）、暴露率（E）、可控性（C）以确定ASIL等级。
技术安全需求规范（TSR）：硬件和软件的具体安全需求（如SPFM≥99%等）。
故障模式与影响分析（FMEA）：分析组件失效模式及影响。
验证与确认计划：测试用例、故障注入测试方法等。
审核与认证：
通过内部审核后，由第三方机构（如TÜV、SGS）进行文件审核和现场审核。
整改不符合项后，获得证书并接受定期监督审核。

6.1 FMEA、FMEDA和DFMEA这三份文档的区别？

1.FMEA（Failure Modes and Effects Analysis，故障模式与影响分析）
定义：
一种系统化的方法，用于识别产品或过程中潜在的故障模式，评估其影响，并制定改进措施。

作用：
识别设计或制造中的潜在失效风险。
为改进设计、工艺或维护策略提供依据。

应用阶段：
适用于产品全生命周期（设计、生产、使用）。
不局限于功能安全，常用于质量管理。

输出内容：
故障模式清单、严重度（S）、发生概率（O）、检测难度（D）的RPN（风险优先级数）。

示例：
在电池包设计中，分析电芯过充可能导致热失控（故障模式），严重度为9（S），发生概率为5（O），检测难度为3（D），RPN=135，需优化BMS过充保护算法。

2.DFMEA（Design FMEA，设计故障模式与影响分析）
定义：
FMEA在设计阶段的具体应用，专注于产品设计缺陷导致的故障。

作用：
预防设计缺陷引发的安全风险（如硬件电路设计错误）。
支持功能安全目标（ASIL等级）的分解。

与FMEA的区别：
FMEA是通用方法，DFMEA是其在设计阶段的子集。
DFMEA更关注设计参数（如材料选择、拓扑结构）。

示例：
在域控制器的电源模块设计中，DFMEA分析“滤波电容容值不足”可能导致电压波动（故障模式），影响主控芯片稳定性，需调整电容选型。

3.FMEDA（Failure Modes, Effects and Diagnostic Analysis，故障模式、影响与诊断分析）
定义：
专门针对硬件设计的定量分析方法，用于评估故障模式对系统安全的影响及诊断覆盖率。

作用：
计算硬件指标：单点故障防御率（SPFM）、潜伏故障检出率（LFM）、随机硬件失效概率（PMHF）。
验证硬件设计是否符合ISO 26262的ASIL等级要求。

与FMEA/DFMEA的区别：
定量分析：FMEDA输出具体数值（如SPFM=99%），而FMEA/DFMEA侧重定性或半定量（RPN）。
硬件专属：FMEDA仅用于硬件，而DFMEA可覆盖软硬件。

示例：
计算某ASIL D级芯片的SPFM：分析所有单点故障模式（如锁步核失效），若99%的故障被冗余机制覆盖，则SPFM=99%。

7 需进行功能安全分析的部件有哪些

根据功能安全风险等级，以下部件通常需分析并分配ASIL等级：

核心控制系统：
域控制器：ASIL D（负责车辆动态控制，如转向、制动）。
电池管理系统（BMS）：ASIL C/D（直接影响电池安全与整车稳定性）。
安全关键执行器：
电动助力转向（EPS）：ASIL C/D（失效可能导致失控）。
制动系统（ABS/ESC）：ASIL D（紧急制动失效后果严重）。
传感器与感知系统：
摄像头/雷达/LiDAR：ASIL B-D（依赖功能，如车道保持需ASIL C）。
碰撞传感器：ASIL D（触发安全气囊的关键输入）。
辅助系统：
仪表盘/ADAS系统：ASIL B-C（信息显示或辅助驾驶需中等安全等级）。

安全气囊，防抱死制动和动力转向等系统需要ASIL-D级（对安全性要求最高的严格性），因为与故障相关的风险最高。在安全范围的另一端，诸如尾灯之类的组件仅需要ASIL-A级。前大灯和刹车灯通常为ASIL-B，而巡航控制系统通常为ASIL-C。

另外分析功能安全就要注意安全等级必须要根据功能来定义，举两个例子
CDC（座舱域控制器）：CDC负责仪表显示、人机交互等座舱功能，若其失效可能影响驾驶员对车辆状态的感知（如误报故障码、黑屏等）。虽然CDC的ASIL等级通常较低（如ASIL B），但涉及安全相关的功能（如紧急呼叫、驾驶员状态监控）仍需满足ASIL B/C要求。

同时具备疲劳驾驶监测和人脸识别的摄像头多功能场景的ASIL等级：
疲劳驾驶监测：此功能直接影响驾驶安全（如未检测到疲劳可能导致事故），需根据S（严重性）、E（暴露率）、C（可控性）综合评估。例如：夜间高速公路场景（E4）+ 致命伤害（S3）+ 不可控（C3）对应ASIL D；若可控性为C2则可能降至ASIL C。
人脸识别：若仅用于个性化设置（如座椅调节），风险较低（S1+E2+C0），可能归为QM（质量管理）；但涉及身份认证（如启动车辆）时，需提升至ASIL A/B，并符合数据安全要求（如加密存储）。
同一硬件（如摄像头）承载多功能的ASIL等级时，需按最高等级设计。例如，若疲劳监测要求ASIL C，人脸识别仅需QM，则摄像头整体需满足ASIL C，并在软件层实现功能隔离（如独立线程、冗余校验）。

8 系统功能安全等级要求的分解

（1）系统级ASIL D的分解原则

根据ISO 26262，ASIL等级可通过冗余设计或独立性设计进行分解。例如：
ASIL D可分解为两个冗余模块：ASIL C(D) + ASIL A(D)
若冗余模块存在共因失效风险（如共享电源），则需保持原等级（ASIL D）。

（2）底层器件的可靠性要求

电阻、电容等分立器件：
无ASIL等级，但需满足硬件指标：
单点故障防御率（SPFM）：ASIL D要求≥99%
潜伏故障检出率（LFM）：ASIL D要求≥90%
随机硬件失效概率（PMHF）：ASIL D要求<1×10⁻⁸/h（即1亿小时仅允许1次致命失效）。
FIT值（故障率）：通过**FMEDA（故障模式与影响诊断分析）**将系统级PMHF分配到每个元件。例如，若系统包含1,000个电阻，每个电阻的FIT值需≤10 FIT（1 FIT=1e-9/h）2。

其他分立器件：
传感器/执行器：需满足ASIL等级对应的诊断覆盖率（如ASIL D需≥99%），并通过冗余设计（如双传感器）降低单点失效风险。
芯片/模组：需提供安全手册（含SPFM/LFM/PMHF数据）及第三方认证（如TÜV）。

（3）分解流程示例

以ASIL D的域控制器为例：
系统层：定义安全目标（如“防止制动指令错误”），分配ASIL D。
硬件层：主控芯片需ASIL D，电源模块通过冗余设计分解为ASIL C(D) + ASIL A(D)。
元件层：电阻/电容需满足FIT值要求（通过加速寿命测试验证），PCB布局需避免共因失效（如电磁干扰隔离）

需要注意的是，ASIL 评级并不是静态不变的。IC 是没有默认ASIL 评级的，因为其风险级别与其在给定系统中的角色和使用相关。

智能网联汽车ASIL安全等级如何划分

9 参考链接

功能安全思考——当要求ASIL D时，我们在要求什么？

5万字长文说清楚到底什么是“车规级”

“车规级”与“功能安全”（ISO26262）的区别——摘自《5万字长文说清“车规级”》

06 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 系统安全架构

功能安全——硬件安全设计