1、功能安全概述:ISO 26262标准简介、ASIL等级定义、功能安全生命周期

大家好,我是老张,在芯片功能安全这个领域摸爬滚打了十几年。今天咱们开始第一讲,聊聊功能安全的基础框架。说实话,我刚入行那会儿,ISO 26262还是个草案,现在它已经是汽车电子行业的“圣经”了。

功能安全是什么?说白了,就是当系统出故障时,它不能伤到人。你想想看,一辆车在高速上跑着,刹车芯片突然失效了——这可不是闹着玩的。ISO 26262就是一套方法论,教你怎么把这种风险降到可接受的水平。

1.1 ISO 26262标准简介

ISO 26262的全称是“道路车辆功能安全标准”,它脱胎于工业领域的IEC 61508。2011年发布了第一版,2018年更新了第二版。我个人习惯把2018版叫做“成熟版”,因为它在半导体这块讲得更细了。

这个标准覆盖了从概念设计到报废的全过程。它不关心你的芯片跑多快、功耗多低,它只关心一件事:当芯片出错了,后果有多严重?

核心思想: 功能安全不是消除所有故障——那不可能。而是通过系统化的方法,把故障导致的危害降到可接受的程度。

标准里把“故障”分成了几种:

  • 系统性故障:设计或制造时引入的bug。比如我当年做过一个芯片,复位逻辑写错了,导致上电时序乱掉——这就是系统性故障。
  • 随机硬件故障:芯片用着用着,某个晶体管突然坏了。这就像灯泡会烧掉一样,是物理规律决定的。
  • 共因失效:一个原因导致多个部件同时失效。比如温度过高,把两个冗余通道都烧了。

嗯,这里要注意:ISO 26262对系统性故障和随机硬件故障的处理方式完全不同。前者靠流程和验证,后者靠冗余和诊断。

1.2 ASIL等级定义

ASIL,全称Automotive Safety Integrity Level,汽车安全完整性等级。它分四个等级:A、B、C、D。A最低,D最高。

怎么定级?看三个参数:

  • 严重度(Severity):出事后人伤得多重?轻伤、重伤、还是致命?
  • 暴露率(Exposure):这种情况发生的概率高不高?每天遇到还是十年一次?
  • 可控性(Controllability):驾驶员能不能在故障时接管?比如刹车失灵,普通人基本控制不了。

这三个参数组合起来,查表就能得到ASIL等级。举个例子:

场景 严重度 暴露率 可控性 ASIL
刹车助力失效 S3(致命) E4(高频) C3(难控) D
车内氛围灯故障 S0(无伤) E2(偶尔) C0(可控) QM
转向灯闪烁异常 S1(轻伤) E3(常见) C1(易控) A

避坑指南: 我曾经见过一个团队,把ASIL等级定得太高,结果芯片面积翻了一倍,成本完全失控。记住:ASIL D不是目标,够用就好。QM(质量管理)级别的功能,不需要做安全设计。

不同ASIL等级对芯片设计的要求差异巨大。比如ASIL D要求硬件故障率低于10 FIT(1 FIT = 10亿小时1次故障),而ASIL B可能只要求100 FIT。你想想看,差了10倍!

1.3 功能安全生命周期

功能安全不是一锤子买卖,它贯穿整个产品生命周期。ISO 26262把它分成了三个阶段:

  1. 概念阶段:定义系统、分析危害、制定安全目标。
  2. 产品开发阶段:从系统级到硬件/软件级,再到集成测试。
  3. 生产与运维阶段:制造、使用、维修、报废。

下面这张图是我自己画的,把整个生命周期串起来了:

功能安全生命周期(ISO 26262) 概念阶段 危害分析 · 安全目标 产品开发 系统 · 硬件 · 软件 生产与运维 制造 · 使用 · 报废 项目定义 → 危害分析 → ASIL定级 系统设计 → 硬件/软件 → 集成测试 生产控制 → 售后监控 → 报废 持续改进与反馈循环 关键活动 安全计划 安全验证 安全确认 功能安全评估

我个人觉得,概念阶段是最容易被忽视的。很多团队上来就写代码、画版图,结果做到一半发现ASIL等级定错了,安全目标不明确——返工成本巨大。

警告: 功能安全生命周期不是瀑布模型!它强调迭代和反馈。比如你在硬件测试时发现了一个系统性故障,可能需要回到概念阶段重新评估安全目标。我曾经在一个项目中,因为测试发现了一个共因失效,硬是把ASIL B改成了ASIL D,整个设计推倒重来。

最后说一句:功能安全不是“加个看门狗”那么简单。它是一个系统工程,从标准解读到ASIL定级,再到生命周期管理,每一步都有坑。咱们后面几章会深入每个环节,结合芯片故障注入和测试,把实战经验掰开揉碎了讲。


公众号:蓝海资料掘金营,微信deep3321