从国际对标到本土创新
夏显召
中汽中心 首席专家
中汽中心首席专家、中汽研科技芯片研究部副部长夏显召指出:"GB/T 34590的发布标志着我国汽车芯片功能安全从‘跟跑’转向‘并跑’。标准首次将半导体特性与功能安全深度融合,为芯片企业提供了全生命周期开发框架,但在落地过程中既要避免流程裁剪过度削弱安全有效性,也要防止教条化执行增加开发成本。"
ASIL等级的三维判定法则
标准沿用了国际通行的汽车安全完整性等级(ASIL)体系,其判定逻辑基于风险三维评估模型:
严重度(S):失效对人员伤害的严重程度,分S0-S3四级
暴露度(E):运行场景发生的概率等级,分E0-E4五级
可控性(C):驾驶员避免事故的可能性,分C0-C3四级
通过组合评估三个维度参数,最终确定ASIL A至D四个安全等级。
| C1 | C2 | C3 | ||
| S1 | E1 | QM | QM | QM |
| E2 | QM | QM | QM | |
| E3 | QM | QM | A | |
| E4 | QM | A | B | |
| S2 | E1 | QM | QM | QM |
| E2 | QM | QM | A | |
| E3 | QM | A | B | |
| E4 | A | B | C | |
| S3 | E1 | QM | QM | A |
| E2 | QM | A | B | |
| E3 | A | B | C | |
| E4 | B | C | D |
图1 ASIL等级确定表
以自动驾驶域控制器主芯片为例,涉及车辆横向控制的失效可能导致严重碰撞(S3),在高速公路场景具有高暴露概率(E4),且驾驶员难以实时接管(C3),故需满足最高等级ASIL D要求。
功能安全开发流程裁剪策略
汽车产品的功能安全并非独立于已有的质量管理体系,而是两者融合,即将功能安全体系融合到ISO9001、IATF16949等现有质量管理体系中,贯穿产品开发的整个周期。标准特别强调开发流程的适配性优化,允许企业基于项目特性实施"合理裁剪"。
以一款汽车芯片产品的功能安全开发为例,其需要遵从安全的V-Model,即至少满足GB/T 34590的第2、4、5、6(若涉及软件开发)、8以及9部分中功能安全的要求。一般的裁剪原则为:
| 序号 | 裁剪章节 | 裁剪原则 |
| 1 | Part3 | 概念阶段是由整车厂OEM负责,芯片企业不适用。 |
| 2 | Part4-5、Part4-7、Part4-8 | 芯片产品不是一个GB/T 34590标准定义的完整系统part4-5、part4-7、part4-8是Tier1负责,芯片企业不适用。 |
| 3 | Part7-5和Part7-7部分裁剪、Part7-6 | 芯片行业一般委托外部供应商完成生产制造过程Part7-5、Part7-7部分适用,芯片企业审核并监督生产供应商;Part7-6生产,芯片企业不适用。 |
| 4 | Part12 | 摩托车、卡车、巴士不在芯片企业业务范围内,芯片企业不适用。 |
| 5 | Part8-14 | 由于缺乏足够的现场数据,芯片企业一般不采用在用证明的方法,不适用。 |
| 6 | Part8-15,Part8-16 | 标准之外的应用接口或不遵循标准要求的安全元素开发,芯片企业不涉及,芯片企业不适用。 |
图2 一般功能安全开发流程裁剪原则
根据芯片产品实际开发过程一般裁剪Part3、Part4-5、Part4-7、Part4-8、Part7-6、Part8-14、Part8-15、Part8-16、Part12的安全活动。
图3 芯片功能安全开发活动裁剪
依据标准开展芯片产品开发
基于GB/T 34590标准,芯片功能安全产品开发V模型的左侧一般开始于SEooC定义,首先假设定义出顶层安全需求TLSR;然后逐级分解细化为技术安全需求TSR、硬件安全需求HWSR,如涉及软件开发还需考虑软件安全需求SWSR;进而开展硬件架构设计、数字和模拟IP模块设计、软件架构设计和详细设计,以及安全分析等活动。V模型右侧开展芯片功能安全的验证测试活动,包括硅前模块验证、硅前集成验证、硅前芯片级验证、硅后验证确认等活动,如涉及到软件测试还需进行静态分析、单元测试、集成测试等活动。经过这一系列的安全活动,保障芯片产品的设计实现了功能安全要求,有效避免或控制了系统性失效和随机硬件失效等失效模式,芯片产品的安全性得到了保障。
图4 芯片产品硬件开发V模型
图5 芯片产品软件开发V模型
硬件与软件产品认证关键审核指标
GB/T 34590标准的第五部分与第六部分分别为芯片功能安全产品的软硬件开发提供了参考要求。
针对芯片硬件产品开发,关注的关键量化指标有单点故障度量( SPFM )、潜伏故障度量( LFM )以及随机硬件失效概率度量(PMHF)的评估等。其目标值的推导来源可以参考下表:
图6 不同ASIL等级对应故障度量、潜伏故障度量及随机硬件失效概率度量值
通过这三个"安全体检指标",确保芯片足够可靠,例如最高安全等级ASIL D的要求为:
单点故障防御率(SPFM) ≥99%,相当于每100次关键故障中,至少有99次能被立即发现。
潜伏故障检出率(LFM) ≥90%,确保90%以上的"隐藏炸弹"在爆发前被排除。
随机硬件失效概率度量(PMHF) <10-8h-1 相当于芯片连续工作1亿小时才可能出现1次致命故障。
针对芯片硬件产品开发,关注的关键指标有软件单元层面的结构覆盖率度量以及软件架构层级的结构覆盖率等。其结构覆盖度测定方法的选择依据可以参考下表:
图7 不同ASIL等级对应软件单元及架构层面结构覆盖率度量
结 语
GB/T 34590《道路车辆 功能安全》标准的发布,标志着我国汽车芯片功能安全技术从标准空白迈向体系化建设的新阶段。通过融合国际经验与本土创新,该标准不仅填补了国内汽车芯片功能安全开发的技术鸿沟,更以全生命周期管理、量化安全指标和灵活流程裁剪策略,为产业链上下游提供了可落地的技术框架,为智能汽车的高可靠性发展奠定了基石。
未来,随着汽车智能化向高阶自动驾驶演进,芯片功能安全的复杂性和重要性将进一步提升。可以预见,在政策牵引、标准护航与产业协同的多重驱动下,中国汽车芯片功能安全技术将加速从“并跑”向“领跑”跃迁,为全球智能汽车产业的可持续发展贡献中国方案。
专家介绍
夏显召
中汽中心 首席专家
主要研究方向为汽车芯片安全检测认证技术与体系,牵头制定汽车芯片“3+X”测试评价体系;牵头及参与制定汽车芯片信息安全、智能网联汽车AI芯片产品技术要求等多项国家和行业标准;国家汽车芯片标准体系起草人;牵头及参与国家重点研发计划、核高基项目、省部级重大科研计划等课题10余项,发表高水平论文20余篇,授权发明专利20余项。