芯片小講堂 | 汽車芯片功能安全

隨著新能源汽車的快速發(fā)展，車內控制器和相應的電子部件越來越多，相應的汽車芯片功能安全變得越來越重要。那什么是汽車芯片功能安全，車規(guī)級芯片又有哪些標準設定，請跟隨小編一起來聊聊汽車芯片功能安全的細節(jié)吧~

Automotive

功能安全案例

新能源汽車自燃事件及輔助駕駛安全事件屢見報端，如何避免類似案例發(fā)生，汽車芯片功能安全至關重要。

電動汽車通過BMS能夠更加有效率地控制和管理電池，讓每一個電池工作在可運行的區(qū)間范圍內，避免電池的過充過放和熱失控問題發(fā)生。

Automotive

什么是功能安全？

01

ISO26262的定義與應用

ISO 26262中對 “Functional Safety 功能安全” 的定義如下：

不存在由電氣/電子系統(tǒng)的功能異常表現(xiàn)引起的危害而導致不合理的風險。

ISO 26262的適用性：

量產(chǎn)道路車輛上的包含一個或多個電氣/電子系統(tǒng)的與安全相關的系統(tǒng)

安裝于不超過3.5噸的乘用車

2018版本第12章加入摩托車

02

功能安全在解決什么問題？

通過管理和設計來解決系統(tǒng)性失效

V型管理模型

需求管理

配置管理

變更管理

軟件質量評估等

通過安全分析指導設計來解決隨機硬件失效

單點失效

潛藏失效

共因失效

Automotive

ASIL安全等級

01

ASIL安全等級從何而來？

功能安全要求將風險控制在合理的范圍內。依據(jù)ISO 26262標準進行功能安全設計時，首先識別系統(tǒng)的功能，并分析其所有可能的功能故障。功能故障在特定的駕駛場景下，才會造成傷亡事件，所以進行功能故障分析后，要進行情景分析，識別與此故障相關的駕駛情景。功能故障和駕駛場景的組合叫做危害事件（hazard event）， 危害事件確定后，根據(jù)三個因子——嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）評估危害事件的風險級別——ASIL等級。

02

ASIL安全等級如何劃分？

ISO 26262從三個維度來進行分類和篩選：

S（Severity 嚴重度）：危害發(fā)生對駕駛員或乘客或路人或周邊車輛中人員會造成的傷害等級。

E（Exposure 曝光度）：運行場景在日常駕駛過程中發(fā)生的概率。

C（Controllability 可控度）：駕駛員或其他涉險人員控制危害以避免傷害的概率。

通過這三個維度的綜合評分確定ASIL，如下圖所示。ASIL D代表最高嚴格等級，ASIL A 代表最低嚴格等級。QM表示質量管理（Quality Management）。

下面以BMS系統(tǒng)為例介紹如何進行危害分析和風險評估。

1.BMS系統(tǒng)的危害：對電池過充，過放，熱失控

2.對于危害的評估：

嚴重程度：S3

暴露的可能性：E4

可控性：C3

導出ASIL等級ASIL-D

3.安全目標：

避免過充 – ASIL-D

避免過放 – ASIL-D

避免過熱 – ASIL-D

03

ASIL 等級意味著什么

1.管理

管理流程的不同

獨立性要求的不同

分析方法的不同

驗證方法的不同

2.技術指標

下期我們將繼續(xù)向大家分享功能安全中的失效模式分類和功能安全管理模型。