“自动+新能源”时代 汽车究竟需要怎样的“功能安全”？

 

      作为汽车电气/电子相关的主要功能安全标准，ISO 26262在整个汽车及零部件产业的发展进程中占据着举

足轻重的地位。而今，随着汽车产业“电动+自动化”的演进，安全事故更是频繁出现，成为横亘在汽车通往“电
子化”之路上的一座大山。毕竟，越来越多电子部件的加入，虽然很大程度上提升了整车智能化水平，但也徒增了
“不可控性”，比如“安全事故频发的自动驾驶”、“无故自燃的电动汽车”都是典型的，功能安全的重新定
义迫在眉睫。

       何为功能安全？具体到汽车领域，罗姆半导体（上海）有限公司技术中心副总经理李春华表示：“‘功能安全’
即通过一些低成本的方式来实现可容忍范围内的安全，但危险还是存在的，主要还是要看设立系统的时候是不是可
以把危险系数降到可容忍的范围。而针对于ISO 26262流程这块的由于需要109个工作成果物，因此我们也针
对工作成果物的规范化进行了一些分类，比如第二的管理、第三的概念、第四的系统、第五的硬件、第六的软件、
第七的生产、第八的支持程序、第九的安全分析。其中，对于罗姆来说我们是针对于第二类管理、第五类硬件、第
七类生产、第八类支援、第九类安全分析在流程上经过。”

       为了取得ISO 26262，罗姆半导体建立了专门的工作组。毕竟，如今元器件厂商是越来越被要求对应功能
安全，罗姆半导体未来要想开展车载业务，势必要向客户去提供符合ISO 26262标准的产品。所以，罗姆在内部实
施开发流程，包括第三方机构，推出符合客户要求的车载产品。李春华表示：“我们分成这几部分进行了一些
工作，主要是针对于ISO 26262车载开发流程的制定，包括维护的管理；公司内部体制的建立，包括对外提供ISO
26262相关稳健的格式建立；实施一些ISO 26262对应的培训，并针对于对外宣传罗姆在ISO 26262方面所做的行
动内容。”

       对于汽车电子类产品，ISO 26262其实针对各个部分的要求都做了阐述，其中包括一些功能安全的管理、安全
目标的建立，以及包括硬件、软件、生产以及应用等各个部分。而从方面来看也分为开发流程标准和产品性能
标准两大方面，比如开发流程标准主要是以IATF 16949为基础，引入像账票类以及可追溯类的管理内容；而在产
品方面，主要是以针对于产品性能的标准，比如符合ASIL等级安全机制的功能安全，包括自我诊断的功能等。

       对于芯片设计来说，首先要去定义对应哪个ASIL等级的产品开发，对于ASIL等级产品开发的项目，立项当中要
完全符合ISO 26262流程，包括项目经理的设立，开发负责人的设立，开发担当的设立，这个是本身芯片开发
的时，从技术上去实现需要设立的一些职位，包括要符合功能安全，在公司内部也需要有功能安全的管理者。
针对开发流程当中，流程是否符合功能安全相关工作成果物的制作、管理，都是由公司内的功能安全管理者来执行。

       同时，这个流程当中还需要第三方组织来做一个监管，李春华告诉记者：“第三方组织的功能安全管理者和公
司内部的管理安全做对接，针对于功能安全横向的流程构建、管理进行策略的提供和流程监控。通过这些流程设立
和针对流程的开发，才可以去开发符合ISO 26262流程的产品。”

        针对产品标准方面，由于涉及到客户所需要的安全功能，因此需要加上各种保护措施和功能安全模块。以电源
LSI为例，李春华表示：“这类产品的用途可能针对于像ASIL-D等级ADAS或者EPS电源用的电源构架项类的电源系
统。因此芯片本身也是加入了一些保护回路，像TSD的过热保护回路，以及OVP的过压保护回路和UVP的欠压保护
回路，同时也包括像使能端的控制等回路在内。”

       另外，针对强化功能安全的部分，芯片企业还需要充分和Tier1厂商、OEM厂商协商以后，才能决定在哪些地
方需要去把保护功能失效机制体现出来。功能原因的故障规避包括构建安全机制和自我诊断的功能，比如反馈电压
失效后的安全保证。为了确保汽车安全行驶，针对LSI的安全等级会越来越高，通过本身芯片整个的基础构架，到加
上“功能安全”的功能，才能充分去保证LSI等级的电源系统的功能安全。

        而且，在芯片初步设计时，一些规格探讨的流程也成为必须，李春华指出：“其中包括针对客户的安全目标，
以及如何去构建安全机制，我们会通过事先讨论的形式听取Tier1或OEM以及市场的反馈，在这个阶段如何去满足
客户的LSI等级提升，罗姆半导体可以在芯片本身提供一些成果物。针对于客户的分析手法我们会提供合适的成果
物，包括像FIT值、FMEDA值等，从而让客户针对于我们提供的数值去进行分析手法的提升，来显示出产品对于
LSI等级是到哪个等级。”

         比如罗姆有针对液晶面板的芯片组，面对客户提出的类似会不会导致黑屏、误显示、死机功能安全这些Safety 
Goal。罗姆可以提供由时序控制器、源极驱动器、栅极驱动器、PMIC等组成的芯片组。其原理是通过IC之间互相
的协作，把各个芯片错误的状态进行监控包括进行回复，一旦有错误，通过控制器来传达给后端的MCU达到对于
整体液晶面板Safety Goal的实现。罗姆在液晶面板周边都有具体的产品，组合成整体的方案来帮助客户提升功能
安全。

       众所周知，如今的汽车市场，整车智能和电气化程度正越来越高，尤其对于汽车芯片和元器件厂商来说，更多
创新应用的加入也为底层技术增添了不少“麻烦”。面对“自动+新能源”的双重挑战，如何去顺应全新的ISO 2
6262标准，也成为摆在众多半导体厂商面前的一大高难课题。

        其实，不论是传统汽车，还是自动驾驶汽车或新能源汽车，各个器件都有自己的安全目标因素，李春华表示：
“针对于Safety Goal的需求，产品上如何实现就是功能安全的主要课题。当然，相比于传统汽车，像自动驾驶汽
车、新能源汽车，车内的电子系统会更多一些，这些纷繁复杂的电子系统场合下，支持ISO 26262的要求多根据
Tier 1和OEM制造商的要求。如果支持ISO 26262的话，安全的开发流程和资料都齐备，Tier1、OEM制造商就可
以顺利地验证安全程度。”

       不过，由于自动安全本身很多器件都会与人身性命息息相关，包括自动驾驶当中像雷达、传感器等等，一旦出
错可能会造成无可挽回的结果，因此，设计过程中也会遇到一些难点。以汽车ECU（Electronic Control Unit）为
例，车载应用要实现“功能安全”，不仅需要主功能，还需要“安全机制”，即能够监控主功能是否正常，当发生
异常时，能够根据每种功能进行处理，保护人员（包括驾驶员、乘客以及行人）安全的功能。

       此外，李春华补充到，“还需要能够确认这些‘安全机制’是否在正常运行的‘自我诊断功能’。针对这一问
题，罗姆通过在独立的电源监控IC中内置各种监控功能和自我诊断功能，实现了可以轻松为现有电源增加功能安全
性，并且已经实现量产的一款电源监控IC，即可以监控多个电源的电源监控IC‘BD39040MUF’。”如今，罗姆
已经取得了ISO 26262的开发流程，正在致力于进行考虑到功能安全的产品开发和设计（罗姆的LSI是考虑到
高品质和安全的产品），可以提供各种客户对应规格所需的数据（FMEA、FIT、FMEDA等）