“功能安全”对智能驾驶意味着什么?ABLIC给出答案

近年来，在物联网、人工智能等新兴技术快速发展的背景下，汽车产业发生了前所未有的变革。随着算法复杂度的增加，以及自动驾驶等级的提高，安全问题成为了人们最为关心的热点之一。

据统计，随着汽车智能化程度的不断提高，“影音系统故障”、“车载互联故障”以及“行车安全辅助系统故障”的投诉在2017-2019年呈现出阶梯式增长趋势。汽车故障率的逐年提升，让我们不得不对智能化时代下的汽车安全问题进行重新审视。眼下，提高汽车功能安全便显得格外重要。

或许大家对“功能安全”这个概念还不太了解，下面先给大家科普一下什么是“功能安全”与“本质安全”?

功能安全与本质安全

1、功能安全

“功能安全性”是为了确保可接受的安全水平而进行的功能调整(确保安全的机能：以下称为安全功能)。

2、本质安全

“本质安全”是指为减少/消除设备或结构变化对人或环境造成的危害而采取的措施。

例如，道路交通横穿铁轨的交道口。

3、“功能安全”的概念

“交道口”的位置通常配备有警报器，以通知列车驶近，并以断路器促使车辆停车。这些安全措施将事故风险降低到可接受的水平。

4、“本质安全”的概念

在“三维交叉口”中，火车和车辆都不相交，因此事故发生的机会很少，能有效确保安全。

需要注意的是，三维交叉口将铁路置于道路之上，反之亦然。但是，事故仍然可能造成各种各样的伤害。例如，由于自然灾害或其它灾难，可能会发生物体坠落、围栏构造问题或立交桥完全倒塌的情况。因此，三维交叉口并不意味着绝对的安全。然而，就铁路道口安全而言，三维交叉口是本质安全的一个示例，因为它通过消除交叉路口(根本问题)本身来确保安全。

安全观念的背景

1、 欧洲和北美

安全是要追求的目标，但却是无法完全实现的想法。即使制造业以零缺陷为目标，但仍不能百分百避免故障及损坏，因为当中可能涉及设计或人为错误。随着系统越来越复杂，很难通过本质安全来实现完全安全。对此，标准化“功能安全”的理念应运而生，以弥补本质安全的欠缺。在最大程度上，防止由于产品故障或错误而对人造成的伤害。

2、日本

制造业基于设计质量改进和持续制造改进的理念，力求通过提高可靠性和零缺陷来完全实现“本质安全”。结果，“日本制造”以高品质而享誉国际。要在世界市场上推出产品，它必须满足每个特定国家/地区的标准，并且随着功能安全标准的日益普及，让这一想法在日本也广为人知并接受。

3、制定ISO 26262汽车功能安全标准的背景

单一汽车零件的误差*，可能导致无法控制发动机/操作方向盘/停车或其它故障，导致对人(驾驶员、乘客或车外的人)构成伤害。

由于汽车设备的电子化、ECU(电子控制单元)之间的协同操作以及多家供货商开发的设计，衍生设计复杂化，可能会引起个别功能混乱，从而导致误差*/错误*。在发生事故时，有必要确定谁要对造成的人身或财产损失负责。

以“功能安全”的概念，揭示为迈向汽车故障零事故的整个开发过程，来履行安全负责，并在发生诉讼时提供证据。

为此，在IEC 61508的基础上制定了ISO26262安全标准，以专门降低由电气和电子(E/E)系统的故障行为引起的危险事件的可能性。

*误差：可能导致系统或车辆故障的异常情况。

*错误：计算值，观察值或测量值或条件与真实值，指定值或条件之间的差异。

*故障：由于系统或车辆执行所需功能的能力故障而导致的终止。

(引用自ISO 26262-10:2018)

4、功能安全的安全机制

“功能安全性”是为了确保可接受的安全水平而进行的功能性调整。

汽车系统、组件、电子电路和软件可以通过添加安全机制来实现“功能安全”。

安全机制包括功能停止(故障安全)和功能继续(故障操作)，并且必须具有符合ASIL的安全机制。

什么是ASIL?

ASIL指汽车安全完整性等级，这是由ISO 26262标准定义的风险分类系统。

ASIL根据伤害的可能性和可接受性来确定安全要求，以使汽车零部件符合 ISO 26262。

ISO 26262标识了ASIL的四个等级-A、B、C和D。其中，ASIL-A代表最低的汽车危险等级，而ASIL-D代表最高的汽车危险等级。

安全气囊，防抱死制动器或动力转向系统之类的系统要求ASIL-D级(对安全性的要求最为严格)，因为与故障相关的风险最高。此外，所有电气和电子系统都必须经过安全分析。例如，尾灯和其它组件归类为ASIL-A，前大灯和刹车灯归类为ASIL-B，而自适应巡航控制归类为ASIL-C或D。

安全机制应用示例

1、冗余设计

在这种设计方法中，如果主要功能发生故障，备用功能将接管工作，以防止发生事故或问题，以减少伤害。

2、故障检测

这是一种使用其它部件来添加功能的措施，以监视主要功能中的异常，或者在发生危害之前将其告知以防止受到伤害。

一般情况，汽车会使用多个MCU，假定MCU出现异常：

• 添加一个电池监视IC(Battery Monitoring IC)，以监视并通知由于电源的过压或低压引起的MCU异常。

• 添加看门狗计时器(WDT)，以监视并通知由于软件错误而导致MCU程序失控，甚至停止运行。

假设电动汽车(HEV，EV 等)的锂离子电池出现异常，

• 添加锂离子电池保护IC来监视并通知过电压，过放电。

在产品设计中，加入以下功能原素 ，有助于构建功能安全性。

• 磁传感器IC(霍尔效应 IC)：监视滑门和座椅位置等。

• 定时器IC：定期监视传感器等

• EEPROM：保存各种校准数据，日志等

※ABLIC可提供根据用户的使用条件而计算的FIT值，以支持用户设计应对功能安全标准的产品。

有关FIT值计算的实施详情，请联系销售代表(ic-sales-cn@ablic.com)。

ABLIC的车载理念

(ABLIC车载IC)

ABLIC从前身精工电子(SII)在手表制造工艺中培育的低消耗电流技术(Zero Standby)和高精度技术(Zero Error)，以及在日本车载设备市场占有率第一位的以高品质(Zero Defect)为目标的EEPROM等的“3-Zero Concept”，提供可满足客户和社会需求的汽车电子设备用IC。

1、高品质和高可靠性

汽车电子设备用IC采用了汽车电子设备委员会(AEC)的针对车载电子部件所进行的各种可靠性和质量评价测试的AEC-Q100的测试项目，并且准备了可支持PPAP(生产件批准程序)要求的产品。

并于早年已获得面向汽车行业的质量管理体系规格的IATF16949认证，汽车电子设备用IC是按照IATF16949体系的规格来进行产品开发。

2、用途分类

3、产品系列

• 电压稳压器(LDO)

• 电压检测器(Battery monitoring & Reset ICs)

• 看门狗定时器

• DC-DC控制器

• 天线诊断IC

• 车载用电池保护IC，EDLC保护IC

• 串行EEPROMs(SPI，I2C，Microwire)

• 磁性传感器IC(霍尔IC)

• 实时时钟

• 便利型定时器

• CMOS运算放大器

---

查詢電郵 : ic-sales-cn@ablic.com

車載IC 查詢 : +86 21 53507173

其他IC查詢 : +852-2494-5111 / +86-755-2511-0492