來源：納芯微電子

隨著汽車電子電氣系統(tǒng)復(fù)雜度的不斷提升，功能安全已成為汽車行業(yè)不可或缺的技術(shù)要求。ISO 26262標(biāo)準(zhǔn)作為汽車功能安全的基石，為電子電氣系統(tǒng)的安全開發(fā)提供了全面框架。

在此框架下進(jìn)行系統(tǒng)設(shè)計時，開發(fā)團(tuán)隊首先面臨一個非常實際的芯片選型問題：針對系統(tǒng)中需要實現(xiàn)的安全功能，是應(yīng)直接選用符合特定ASIL等級的功能安全芯片，還是可以采用滿足質(zhì)量管理(QM)級別的芯片來實現(xiàn)？這一決策將深刻影響系統(tǒng)的安全架構(gòu)與開發(fā)路徑。

本文將從系統(tǒng)安全概念、ISO 26262硬件要素評估方法論及典型測試實踐三個層面展開解析，為功能安全系統(tǒng)中的芯片選型提供系統(tǒng)化的考量框架與決策依據(jù)。

01功能安全系統(tǒng)的整體性邏輯

ISO 26262標(biāo)準(zhǔn)強(qiáng)調(diào)的是系統(tǒng)層面的安全屬性，安全目標(biāo)，或高層級的安全需求，通常是賦予一個完整的安全功能，而該功能往往由多個硬件、軟件組件協(xié)同實現(xiàn)，并非依賴于單一芯片。

無論哪個層面，實現(xiàn)功能安全的核心之一都是設(shè)計和驗證一系列安全機(jī)制。這些機(jī)制用于檢測、診斷和控制系統(tǒng)內(nèi)可能發(fā)生的危險故障。從系統(tǒng)視角來看，芯片內(nèi)部的診斷功能是這些機(jī)制的一部分，但絕非全部。系統(tǒng)層面的安全需求通常需要結(jié)合硬件和軟件安全機(jī)制共同滿足。

以一個ASIL D電驅(qū)系統(tǒng)為例。在逆變器層面，其關(guān)斷路徑通常按照ASIL等級分解進(jìn)行分級執(zhí)行：

Primary Shut Off Path ASIL A(D）：用于處理非嚴(yán)重故障。常見方案是通過MCU發(fā)送PWM波控制6個驅(qū)動芯片進(jìn)入相應(yīng)安全狀態(tài)(ASC或Freewheeling)

Redundant Shut Off Path ASIL C(D): 冗余關(guān)斷路徑，僅在MCU失效、關(guān)鍵供電異?；蛑麝P(guān)斷路徑失效等嚴(yán)重故障時觸發(fā)。此路徑通常設(shè)計為純硬件控制，通過硬件安全邏輯電路直接驅(qū)動芯片的特定安全引腳（例如副邊或原邊的ASC pin)。

Note：

上述ASIL等級分解非唯一方案，僅做示例。

安全狀態(tài)的成功進(jìn)入不由單個驅(qū)動芯片承擔(dān)，此處不針對單個驅(qū)動芯片的ASIL等級分解進(jìn)行展開。

圖中的Level 1、Level 2、Level 3指代EGAS三層架構(gòu)中的應(yīng)用層和監(jiān)控層。

在此案例中，驅(qū)動芯片的ASC功能，直接承擔(dān)了高ASIL等級關(guān)斷需求的一部分，因此其自身應(yīng)繼承相應(yīng)的ASIL等級要求。這體現(xiàn)了安全概念和安全需求對芯片功能安全等級的直接影響。

反之，通過合理的系統(tǒng)設(shè)計，例如冗余和跨組件的合理性校驗，采用QM等級的組件同樣可以實現(xiàn)高級別的安全目標(biāo)。下圖展示了一種目前行業(yè)內(nèi)廣泛使用的驅(qū)動電機(jī)相電流傳感器監(jiān)控方案：

這是一個非常典型的通過采用多個QM傳感器芯片，配合系統(tǒng)層級安全措施達(dá)到高ASIL等級的實例。硬件層面可以采取以下措施實現(xiàn)安全需求：

U/V/W三相電流采樣所使用的ADC0/ADC1/ADC2應(yīng)為MCU內(nèi)相互獨立的ADC組.

U/V/W三相電流信號的Level1和Level2采樣要使用MCU內(nèi)相互獨立的ADC組

U/V/W三相電流采樣的Level1和Level2硬件采樣電路應(yīng)采用不同的設(shè)計參數(shù)

U/V/W三相電流采樣的硬件采樣電路在Layout時應(yīng)獨立走線并注意包地等處理

U/V/W三相電流采樣的芯片建議采用不同供應(yīng)商或不同原理的傳感器以避免同質(zhì)冗余

……

同步，軟件層面采取以下安全機(jī)制，配合實現(xiàn)整體ASIL D的電流采樣功能：

Note: 表中的安全機(jī)制非窮舉，存在其他診斷方法。

可見，實現(xiàn)功能安全系統(tǒng)的路徑并非單一。一方面，某些直接承擔(dān)關(guān)鍵安全需求的芯片，必須具備相應(yīng)的ASIL等級。另一方面，通過嚴(yán)謹(jǐn)?shù)南到y(tǒng)級安全概念定義與架構(gòu)設(shè)計，結(jié)合必要的冗余和多層次診斷策略，成熟可靠的QM等級芯片完全可以在系統(tǒng)中承擔(dān)特定角色，并在系統(tǒng)層面助力滿足整體功能安全要求。

因此，“選擇ASIL芯片還是QM芯片”并非一個非此即彼的命題，其決策必須基于具體的系統(tǒng)安全概念、ASIL等級分解、目標(biāo)芯片在架構(gòu)中的具體職責(zé)及其復(fù)雜度進(jìn)行綜合權(quán)衡。這對開發(fā)團(tuán)隊提出了較高要求，不僅需要深入理解ISO 26262標(biāo)準(zhǔn)方法，還要能夠準(zhǔn)確推導(dǎo)安全需求與概念，并深刻理解芯片功能與系統(tǒng)架構(gòu)之間的匹配關(guān)系。

02硬件要素評估：方法論與落地實踐

基于前文對系統(tǒng)級路徑的探討，芯片選型的決策需在具體的技術(shù)評估中落地。這引出了功能安全工程中的一個關(guān)鍵實踐問題：如何對計劃集成到安全相關(guān)系統(tǒng)中的各類硬件要素——尤其是并非專為功能安全設(shè)計的現(xiàn)成組件——進(jìn)行符合性論證？

例如，應(yīng)用于VCU、OBC-DCDC、Inverter等安全關(guān)鍵系統(tǒng)中的CAN通信芯片、隔離接口、電流傳感器芯片，其本身通常僅為QM等級。而ISO26262提出的硬件要素評估正是為解決這一挑戰(zhàn)而提出的規(guī)范性方法。

該方法的本質(zhì)，是復(fù)用開發(fā)過程中的已有驗證證據(jù)，其評估側(cè)重點在于工作性能驗證與系統(tǒng)性失效控制。它遵循“分而治之”的邏輯，即依據(jù)硬件要素的類別實施差異化評估策略，從而在確保安全的前提下，優(yōu)化開發(fā)資源分配，提升工程效率。

03硬件要素分類及特點解析

ISO 26262-8:2018將硬件要素根據(jù)其復(fù)雜度和內(nèi)部安全機(jī)制的有無等條件分為三類，這一分類同時也反映了安全驗證的難度。

I類要素：簡單無安全機(jī)制的硬件

I類要素是最簡單的硬件組件，其特點是運(yùn)行狀態(tài)極少且沒有內(nèi)部安全機(jī)制。這類要素的工作狀態(tài)可以從安全角度充分表征、測試和分析，或者是直接通過查詢行業(yè)標(biāo)準(zhǔn)得到，無需了解其實現(xiàn)細(xì)節(jié)和生產(chǎn)過程。

典型實例包括：電阻、電容、二極管、晶體管、晶振以及NTC/PTC溫度傳感器等。對I類要素的評估要求最為寬松——只要集成后的硬件要素滿足相關(guān)安全需求即可，通常不需要對要素本身進(jìn)行獨立評估。

標(biāo)準(zhǔn)原文

13.4.1.1 Classification of the evaluated hardware element

The hardware element shall be classified as one of the following classes:

a) Class I if:

— the element has at the maximum a few states which can be fully characterized, tested and analysed from a safety perspective;

— safety related failure modes can be identified and evaluated without knowledge about details of the implementation and the production process of the element; and

— the element has no internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

NOTE This does not include safety mechanisms that monitor properties outside of the element.

II類要素：中等復(fù)雜度無安全機(jī)制的硬件

II類要素具有少數(shù)幾種運(yùn)行狀態(tài)，介于簡單和復(fù)雜之間，但仍沒有用于檢測和控制要素內(nèi)部失效模式的內(nèi)部安全機(jī)制。

標(biāo)準(zhǔn)原文

The element has no internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

NOTE This does not include safety mechanisms that monitor properties outside of the element.

值得注意的是，II類器件可以具備針對要素外部參數(shù)的安全機(jī)制/診斷功能，換言之，這個參數(shù)不屬于該II類器件本身。

與I類要素的關(guān)鍵區(qū)別在于，II類要素需要依賴現(xiàn)有文檔（如datasheet、user manual、application guide）從安全角度進(jìn)行充分分析。這里對于分析的要求就明顯上了一個臺階。

標(biāo)準(zhǔn)原文

b) Class II if:

— the element has e.g. few operating modes, small value ranges, few parameters and can be analysed from safety perspective without knowing implementation details;

— available documentation allows valid assumptions supporting evaluation of systematic faults by testing and analysis without knowledge about details of the implementation and the production process of the element; and

EXAMPLE Datasheets, user manuals, application notes.

II類要素的典型實例包括：電流傳感器、運(yùn)算放大器、ADC/DAC、CAN/LIN收發(fā)器、簡單高低邊驅(qū)動等，且以上要素不集成與安全概念相關(guān)的內(nèi)部安全機(jī)制。對II類要素需要制定評估計劃，通過分析和測試證明其工作性能，并記錄評估證據(jù)。這可能會引起工程師對額外工作量的擔(dān)憂，但事實上，硬件組件評估中的測試大多可復(fù)用已有的合規(guī)證據(jù)（如開發(fā)過程中進(jìn)行的各層級硬件測試），具體方法將在下一章節(jié)詳細(xì)論述。

III類要素：復(fù)雜且有內(nèi)部安全機(jī)制的硬件

III類要素是最復(fù)雜的硬件組件，具有多種運(yùn)行模式和直接關(guān)聯(lián)安全概念的內(nèi)部安全機(jī)制。這意味著開發(fā)人員在不了解這類要素的實現(xiàn)細(xì)節(jié)情況下完全無法分析，因此評估要求最為嚴(yán)格。

標(biāo)準(zhǔn)原文

c) Class III if:

— the element has e.g. many operating modes, wide value ranges or many parameters which are impossible to analyse without knowing implementation details,

— sources for systematic faults can only be understood and analysed by knowledge about detailed implementation, the development process and/or the production process, or

— the element has internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

典型實例包括：MCU、帶有內(nèi)部安全機(jī)制的復(fù)雜柵極驅(qū)動、多通道PMIC、帶內(nèi)部安全機(jī)制的高精度磁編碼器等。

對于III類要素，標(biāo)準(zhǔn)建議優(yōu)先采用符合ISO26262硬件開發(fā)流程的方法進(jìn)行開發(fā)，而非依靠后續(xù)的評估方法進(jìn)行論證。換句話說，這種情況下標(biāo)準(zhǔn)強(qiáng)烈建議采用帶ASIL等級的硬件要素。

標(biāo)準(zhǔn)原文

13.4.4.1 Class III hardware elements should be developed in compliance with ISO 26262.

NOTE This means that the “evaluation of class III elements” is not the preferred approach and therefore the next version of the hardware element is planned to be developed in compliance with ISO 26262.

值得注意的是，在III類硬件要素評估中，標(biāo)準(zhǔn)特別強(qiáng)調(diào)需要論證系統(tǒng)性失效導(dǎo)致的風(fēng)險足夠低，而對隨機(jī)硬件失效的關(guān)注則放在更高集成層面，通過系統(tǒng)級FMEDA計算去進(jìn)行論證整體硬件架構(gòu)與安全目標(biāo)等級的符合性。

標(biāo)準(zhǔn)原文

13.4.4.3 Additional measures shall be provided to argue that the risk of a safety goal violation or the risk of a safety requirement violation due to systematic faults is sufficiently low.

這一區(qū)別對待背后有著深刻的考量。這里就需要提到系統(tǒng)性失效與隨機(jī)失效的區(qū)別。系統(tǒng)性失效往往來自于不良的開發(fā)或生產(chǎn)。常見例子包括：開發(fā)過程中的人為失誤，需求規(guī)范錯誤、設(shè)計缺陷或生產(chǎn)問題。

相比之下，隨機(jī)硬件失效是由物理過程（如老化）導(dǎo)致的，其發(fā)生時間不確定但遵循概率分布。對于III類要素，由于其高度復(fù)雜性，因此對于開發(fā)過程、生產(chǎn)制造等環(huán)節(jié)均提出很高的挑戰(zhàn)，每個環(huán)節(jié)都可能引入系統(tǒng)性缺陷。因此出現(xiàn)系統(tǒng)性失效的概率顯著高于簡單硬件組件。這也是標(biāo)準(zhǔn)對于III類要素評估特別關(guān)注系統(tǒng)性失效的原因所在。

表：三類硬件要素的評估要求對比

04硬件要素評估

測試要求與實例分析

前述提到，對于II類和III類硬件要素，硬件要素評估需要通過測試和分析證明其工作性能符合安全需求。這些測試活動通常圍繞兩個維度展開。

基本功能性能測試

基本功能性能測試旨在確認(rèn)硬件要素在特定工作環(huán)境下能否按預(yù)期工作并符合性能要求。這類測試關(guān)注的是硬件要素的固有性能，與具體安全需求無關(guān)，但為安全應(yīng)用提供基礎(chǔ)信心。

對于一個具備成熟開發(fā)能力的零部件供應(yīng)商或整車廠，通常在進(jìn)行硬件電路開發(fā)時，均會進(jìn)行硬件模塊級別、集成級別、整機(jī)系統(tǒng)級別的測試，測試條件涵蓋不同電壓、不同溫度、不同負(fù)載等等。分別以一個典型Class II和Class III要素舉例測試應(yīng)涵蓋的項目（示例非窮盡）。

Class II要素 - QM電流傳感器

供電電壓精度

三溫下的零漂/靜態(tài)精度/動態(tài)精度

三溫下的單板和整機(jī)響應(yīng)時間

整機(jī)采樣精度（帶軟件算法）

相間串?dāng)_

其他

Class III要素 - 功能安全PMIC/SBC

三溫下，不同喚醒源下的上、下電特性，包含電平/邊沿喚醒有效性、電源輸出、安全Pin正確置位和通信建立時間等

三溫下，不同供電電壓下分別組合空載/輕載/重載/跳載條件下的各級Buck/LDO等電源輸出精度，包括平均電壓及紋波等

三溫下，各通道LDO的過欠壓/過載保護(hù)的響應(yīng)特性，包含其對應(yīng)的安全狀態(tài)輸出

三溫下，芯片內(nèi)部集成的CAN/LIN/SPI/MSC等通信接口的信號特性，包括高低電平、差分電平、上升下降時間、不同條件的抗短路特性等

三溫下，集成看門狗及關(guān)聯(lián)Reset功能邏輯的故障響應(yīng)正確性

整機(jī)運(yùn)行時，PMIC/SBC不同喚醒源下的上、下電特性，各主要功能輸出的建立是否符合預(yù)期

整機(jī)運(yùn)行時，PMIC/SBC帶實際負(fù)載的電源輸出穩(wěn)定性，包括平均值、紋波等等

整機(jī)運(yùn)行時，PMIC/SBC的通信接口輸出是否符合預(yù)期，能否進(jìn)行正確讀寫

整機(jī)運(yùn)行時，PMIC/SBC各安全機(jī)制的響應(yīng)是否符合預(yù)期，是否能正確響應(yīng)

其他

由此可見，芯片復(fù)雜度的提升，對測試驗證工作的全面性提出了更高要求。對于具備成熟開發(fā)經(jīng)驗的公司，其制定的測試規(guī)范（Test Specification）通常已系統(tǒng)性地涵蓋了各類驗證場景與標(biāo)準(zhǔn)。因此，在開展評估時，完全可以優(yōu)先利用這些現(xiàn)有的、成熟的測試證據(jù)，從而避免重復(fù)工作，顯著提升效率。

安全需求評估測試

安全需求符合性測試旨在驗證分配給特定硬件要素的具體安全需求。在功能安全開發(fā)中，高層級的安全需求會逐步分解并最終分配給到具體的硬件組件，這些分配的需求就是此類測試的驗證目標(biāo)。

測試內(nèi)容可能包括針對關(guān)聯(lián)安全需求的診斷功能進(jìn)行故障注入測試等，目的是確保該機(jī)制能夠有效檢測失效模式，并觸發(fā)正確的系統(tǒng)響應(yīng)。例如，上述提到的電驅(qū)系統(tǒng)冗余關(guān)斷路徑設(shè)計中，一種常見方案是采用數(shù)字隔離器（如納芯微NSI82xx數(shù)字隔離器系列，屬于Class II硬件要素）來傳遞來自逆變器低壓側(cè)的安全關(guān)斷信號，給到驅(qū)動芯片副邊的安全引腳（ASC PIN）來實現(xiàn)緊急關(guān)斷。此時，該數(shù)字隔離器承擔(dān)了一項關(guān)鍵的安全需求：當(dāng)原邊輸入信號開路或原邊供電丟失時，其副邊輸出必須為預(yù)設(shè)的高電平，以確保能可靠觸發(fā)后續(xù)的緊急ASC，使系統(tǒng)進(jìn)入安全狀態(tài)。

為驗證此需求，需開展以下安全需求相關(guān)測試：

硬件單元測試：

正常功能測試，如隔離芯片傳輸時間、輸入高低電平閾值、輸出高低電平閾值等

故障注入測試，如輸入電阻開路、隔離芯片輸入PIN開路、輸入側(cè)電源丟失，觀察輸出是否為默認(rèn)高電平

硬件集成測試：

無低壓KL30，只上高壓，數(shù)字隔離芯片輸出信號及冗余關(guān)斷路徑工作狀態(tài)

上下電時序測試，如原副邊供電建立時間不一致，數(shù)字隔離芯片輸出是否默認(rèn)進(jìn)入安全狀態(tài)

05何種條件下強(qiáng)烈建議

采用功能安全芯片

通過上述的介紹，我們已經(jīng)了解到功能安全是一個整體性概念。在進(jìn)行芯片選型時，需要結(jié)合相關(guān)的安全功能和架構(gòu)設(shè)計進(jìn)行權(quán)衡。在強(qiáng)調(diào)實現(xiàn)系統(tǒng)功能安全的多種路徑時，必須明確指出，在特定條件下，直接采用功能安全芯片是更優(yōu)甚至必要的選擇。這并非否定系統(tǒng)級設(shè)計的重要性，而是為了在效率、可靠性和成本之間取得最佳平衡。

表-何種條件下建議采用功能安全芯片

結(jié)論與展望

本文旨在闡明，在功能安全系統(tǒng)中，選擇功能安全芯片或QM等級芯片是取決于具體的系統(tǒng)安全概念與架構(gòu)設(shè)計的結(jié)果。通過合理的系統(tǒng)級設(shè)計并結(jié)合ISO 26262的硬件要素評估方法，成熟可靠的QM芯片能夠被安全地集成，并在系統(tǒng)層面滿足安全要求。然而，這通常也會在系統(tǒng)級帶來一定的額外開發(fā)代價，例如需要增加額外的硬件電路、引入新的軟件監(jiān)控機(jī)制，并提供充分的驗證論據(jù)。因此，在實際開發(fā)中，Tier1與OEM的功能安全團(tuán)隊需進(jìn)行多維度的審慎權(quán)衡，包括：目標(biāo)ASIL等級、系統(tǒng)復(fù)雜度、開發(fā)成本、驗證投入等，以選擇最適配的整體解決方案。

在芯片功能安全層面，納芯微已建立起從管理體系到工程實踐的完整能力框架，實現(xiàn)了從方法論到產(chǎn)品落地的成功閉環(huán)。納芯微SafeNovo產(chǎn)品組合覆蓋傳感器、信號鏈、電源管理，功能安全產(chǎn)品品類仍在持續(xù)拓展中，已發(fā)布的產(chǎn)品矩陣包括：

ASIL D 隔離式柵極驅(qū)動 NSI6911F

ASIL B 超聲波雷達(dá)探頭芯片 NSUC1800

ASIL B 線性LED驅(qū)動 NSL21912/16/24FS

ASIL B（D）ABS輪速傳感器 NSM41xx

深耕汽車模擬芯片，納芯微始終將功能安全作為核心能力深度融入產(chǎn)品與技術(shù)布局。納芯微已通過ISO 26262 ASIL D “Defined-Practiced”能力認(rèn)證，建立起覆蓋產(chǎn)品定義、開發(fā)到驗證的完整工程體系,為客戶提供從安全關(guān)鍵芯片到系統(tǒng)解決方案的完整支持。

納芯微電子（簡稱納芯微，科創(chuàng)板股票代碼：688052；香港聯(lián)交所股票代碼：02676.HK）是高性能高可靠性模擬及混合信號芯片公司。自2013年成立以來，公司聚焦傳感器、信號鏈、電源管理三大方向，為汽車、工業(yè)、信息通訊及消費(fèi)電子等領(lǐng)域提供豐富的半導(dǎo)體產(chǎn)品及解決方案。

納芯微以『“感知”“驅(qū)動”未來，共建綠色、智能、互聯(lián)互通的“芯”世界』為使命，致力于為數(shù)字世界和現(xiàn)實世界的連接提供芯片級解決方案。