在汽车电子领域,有两个认证是芯片厂商绕不开的:一个是管“质量”的AEC-Q100,另一个是管“安全”的ISO 26262。随着自动驾驶等级的提升,功能安全(Functional Safety)的重要性甚至超过了可靠性。ISO 26262旨在避免因电子电气系统故障而导致的安全风险。
什么是ASIL等级?
ISO 26262根据故障发生的可能性、严重度及可控性,将安全风险划分为四个等级:ASIL A, B, C, D。
- ASIL A: 最低等级,如后灯、娱乐系统。
- ASIL D: 最高等级,如转向、制动、安全气囊控制。
芯片要应用在这些系统中,其设计必须满足相应等级的要求。例如,ASIL D级别的芯片必须具备极高的故障诊断覆盖率(>99%)。
芯片设计中的功能安全实践
要让芯片符合ISO 26262,设计阶段就必须引入安全机制(Safety Mechanism)。
1. FMEDA (失效模式、影响及其诊断分析)
这是一项定量的计算工作。工程师需要分析芯片内每一个模块(如ALU、RAM、Clock)可能发生的故障(如位翻转、卡死),并计算这些故障导致整车违背安全目标的概率。
2. 硬件冗余与自检
为了达到高ASIL等级,芯片通常采用:
- 双核锁步 (Dual-Core Lockstep): 两个核心跑同样的任务,实时比对结果。一旦不一致,立即报错。
- ECC校验: 对存储器(Flash/RAM)增加纠错码,防止单粒子翻转导致的错误。
- LBIST/MBIST: 内置自测试逻辑,每次上电自动检查芯片健康状况。
总结
AEC-Q100解决的是“物理上不坏”,ISO 26262解决的是“坏了之后不失控”。对于智驾SoC和底盘控制MCU来说,通过ISO 26262流程认证和产品认证,是证明其具备“安全基因”的最高荣誉。
上海德垲拥有资深的功能安全专家团队。我们不仅提供AEC-Q100物理测试,更提供ISO 26262功能安全咨询服务。从FITs值计算、FMEDA报告编写到故障注入测试(Fault Injection),我们协助芯片设计企业构建符合ASIL标准的开发流程与产品验证体系。
