标签: 功能安全

在汽车产业高度发展的当下，功能安全已从抽象概念转化为系统性防控要求。ISO 26262定义的核心术语正是突破概念模糊性的首道门槛——既是工程师协同的技术语言，也是实现安全出行的底层方法论。 今天我们就来聊一下几个核心术语，一起走进这片功能安全术语的“暗黑森林”。 01 安全目标：顶层安全需求的基石 【Safety Goal】 : top-level Safety requirement as a result of the hazard analysis and risk assessment at the vehicle level. 功能安全目标 是汽车功能安全领域的核心概念，指通过车辆系统或部件进行危害分析与风险评估后，针对已识别的危害事件制定的具体（顶层）安全需求，目的是控制或降低危害可能导致的不合理风险，确保系统在预期运行条件下的安全性 。 其核心属性包括： ①量化可测性： 目标必须是具体的、可量化、可验证的。 ②ASIL等级绑定： 每个目标需关联ISO 26262定义的ASIL等级（A至D）。 ③系统级分解： 安全目标的导出是针对每个危害事件，明确需要避免什么和需要实现什么，并确保顶层安全目标分解到子系统，确保每个组件的设计符合对应ASIL等级要求。 02 安全措施VS 安全机制 【safety measure】 activity or technical solution to avoid or control systematic failures and to detect or control random hardware failures, or mitigate their harmful effects. 【safety mechanism】 technical solution implemented by E/E fucntions or element, or by other technologies, to detect and mitigate or tolerate faults or control or avoid failures in order to maintain intended functionality or achieve or maintain a safe state. 安全措施属于系统级安全要求的顶层设计，明确所需的安全机制类型；安全机制则是安全措施的技术实现手段。 例如：ASIL D系统需采用冗余设计作为安全机制，通过“双传感器+多数表决机制”实现故障容错功能。 03 系统性失效VS 随机硬件失效 【systematic failure】 failure related in a deterministic way to a certain cause, that can only be eliminated by a change of the design or of the manufacturing process, operational procedures, documentation or other relevant factors. 【random hardware failure】 failure that can occur unpredictably during the lifetime of a hardware element and that follows a probability distribution. 系统性失效 是“ 人因与流程错误 ”的产物，可通过规范开发流程、严格测试验证消除或控制； 硬件随机失效 是“ 物理世界的不确定性 ”的体现，需通过可靠性分析、冗余设计降低风险。 04 共因失效VS 级联失效 【common cause failure】 failure of two or more elements of an item resulting directly from a single specific event or root cause which is either internal or external to all of these elements . 图1 共因失效 【cascading failure】 failure of an element of an item resulting from a root cause and then causing a failure of another element or elements of the same or different item. 图2 级联失效 在复杂系统中（汽车、航空等）两者都是导致 系统性风险 的重要因素，两者的核心差异如下表所示。 在安全分析过程中，需同步考量共因失效与级联失效两类风险： 共因失效 需 通过冗余设计的独立性验证 ， 级联失效 分析则需 通过传播路径建模构建失效隔离屏障 。 二者均需结合定性与定量分析方法，并与功能安全开发流程深度融合 ，最终实现复杂系统失效的全面管控。 05 总结 定义并非是冰冷的存在，而是前辈们在千万次事故中凝练的安全智慧，唯有理解其内涵，才能在系统开发中把握汽车安全的本质规律。

全球嵌入式软件开发解决方案领导者IAR与全场景智能车芯引领者芯驰科技近日正式宣布，IAR Embedded Workbench for Arm已全面支持芯驰E3650，为这一旗舰智控MCU提供开发和调试一站式服务，进一步丰富芯驰E3系列智控芯片工具链生态，共同为客户提供优质产品和高效的开发体验。 IAR与芯驰科技是长期合作伙伴，此前已全面支持芯驰科技E3系列车规MCU产品。芯驰E3系列是面向最新一代电子电气架构打造的智能车控产品，以完善的产品布局，覆盖区域控制、车身控制、电驱、BMS电池管理、智能底盘、ADAS智能驾驶等核心应用领域，已在超50款主流车型上量产。其中，E3650是芯驰科技打造的自主高端车规MCU芯片新标杆，采用最新的Arm Cortex R52+高性能锁步多核集群，主频达到了同档位产品最高的600MHz，具有更高的实时和安全性能。E3650可全面覆盖整车区域控制器、VMC底盘域控、智舱/智驾域控、动力域控四大核心应用场景，已于2025年初开启客户送样，并获多家头部车企定点。 作为嵌入式软件开发领域的行业标杆，IAR Embedded Workbench for Arm是一套功能强大的集成开发环境，包括： 领先的编译器：生成体积更小、效率更高的代码，适配资源受限的嵌入式系统； 强大的调试器：搭配I-jet硬件仿真器，支持SMP和AMP多核调试，帮助开发者迅速定位问题； 代码质量保障：集成的静态代码分析工具C-STAT和动态代码分析工具C-RUN，在日常开发过程中及早发现代码中的潜在问题，从源头提升代码质量，为构建高可靠性的嵌入式应用打下坚实基础； 支持CI/CD工作流：IAR构建工具支持自动化CI/CD工作流，优化工作流程，提升开发效率，缩短开发周期； 功能安全：IAR Embedded Workbench for Arm提供经过TÜV SÜD认证的功能安全版本，符合ISO 26262等10项功能安全标准，助力企业高效完成功能安全开发与认证，加速产品上市进程； 持续扩展的生态建设与本地技术支持：与主流芯片厂商、合作伙伴深度协作，提供本地技术支持，快速响应。 凭借完整的开发工具链、功能安全合规支持、卓越的性能优化和持续扩展的生态建设，IAR Embedded Workbench for Arm始终是汽车电子安全关键型应用的首选平台，助力企业打造高质量、安全可靠的智能产品。 芯驰科技首席技术官孙鸣乐表示：“IAR在嵌入式开发工具和功能安全领域都有着深厚积累，双方多年的深厚合作为芯驰科技车芯产品提供了强大的生态支持。双方将继续携手为客户带来更高效、更可靠的开发流程，助力汽车智能化的未来发展。” IAR首席产品官Thomas Andersson表示：“作为拥有40余年嵌入式开发经验的欧洲独立软件公司，IAR始终坚持中立专业，致力于提供稳定可靠、符合功能安全标准的开发工具。IAR与芯驰科技合作由来已久，已在多个项目中彼此信任、相互成就。未来，IAR将继续发挥自身在优化性能、功能安全和开发效率方面的优势，携手芯驰科技共同服务本地客户，助力更多高质量汽车电子项目成功落地。”

汽车行业正经历百年未有的技术革命，而作为汽车电子控制核心的微控制器（MCU），其发展路径已成为智能汽车竞争的关键战场。 从分布式架构到域融合、从单一功能到智能中枢，汽车MCU的迭代速度远超传统半导体周期。 本文将深度剖析未来五年汽车MCU的六大演进维度，揭示技术、产业与供应链的颠覆性趋势。 一、架构革命：从“功能分散”到“算力集中”‌ 传统燃油车依赖数百个分布式ECU（电子控制单元），导致系统复杂、通信效率低下。以特斯拉Model 3为起点，域集中式架构通过“区域控制器+中央计算单元”重构电子电气架构。 这一变革对MCU提出双重需求： 高性能异构集成‌：如将MCU与MPU（微处理器）融合，集成8个Cortex-A53内核与4个Cortex-M7内核，算力突破5000 DMIPS，同时支持CAN FD、以太网等通信协议。 硬件虚拟化技术‌：通过Hypervisor实现“一芯多系统”，例如可在单个MCU上同时运行Linux（智能座舱）和AutoSAR（车身控制），降低30%硬件成本。 主流车型的MCU数量将从150-200颗缩减至80-100颗，但单颗芯片价值量将增长3倍，推动全球车规MCU市场规模的突破。 二、安全范式升级：从“功能安全”到“全栈防御”‌ 智能网联汽车面临物理攻击、远程入侵、数据泄露三重威胁。新一代MCU需构建“芯片-系统-云端”立体防御体系： 硬件安全锚点‌：集成HSM（硬件安全模块），支持国密算法和真随机数生成器（TRNG），加密速度提升； 动态安全防护‌：通过ISO/SAE 21434标准实现入侵检测（IDS）与OTA安全更新，例如通过MCU固件实时验证，将漏洞响应时间缩短； 功能安全冗余‌：符合ASIL-D等级的MCU采用锁步核（Lockstep Core）与ECC内存纠错，故障覆盖率超99%，满足自动驾驶系统Fail-Operational需求。 针对车载网络攻击中,安全能力将成为车企选择芯片供应商的核心指标。 三、算力爆发：从“控制执行”到“边缘智能”‌ 自动驾驶与智能座舱推动MCU向“边缘AI”进化： NPU集成化‌：MCU内置双核BPU（Brain Processing Unit），可在本地完成驾驶员状态监测与语音降噪处理； 存算一体架构‌：集成48MB SRAM缓存，减少数据搬运能耗； 实时性跃迁‌：中断响应时间20ns，满足线控制动系统μs级控制需求。 支持AI加速的MCU占比将增加，L4级自动驾驶单车MCU算力需求增大。 四、制程工艺进阶：3D封装破局‌ 车规MCU制程正突破： 先进工艺落地‌：台积电22nm嵌入式MRAM技术已量产，相比40nm eFlash工艺，面积缩小30%，读写速度提升10倍； 3D异构集成‌：TI通过CoWoS封装将MCU、PMIC、传感器集成于SiP模块，功耗降低40%； 耐高温能力‌：ST的FD-SOI工艺MCU可在175℃环境下运行，适配电机控制器等高温场景。 预计14nm MCU将进入量产阶段，支撑500MHz以上主频需求。 五、国产替代加速：从“低端突破”到“高端卡位”‌ 中国车规MCU正打破海外垄断： 技术突破‌：通过ASIL-D认证，集成12核Cortex-R52，进入高端车企电驱系统； 生态协同‌：RISC-V车用内核，开发周期缩短； 产能保障‌：12英寸晶圆厂投产，车规MCU月产能提升至5万片。 政策利好，本土厂商有望在BMS、座舱域控制领域实现规模化替代。 六、碳中和驱动：能效比成核心竞争力‌ 欧盟2035燃油车禁售令倒逼MCU能效升级： 功耗优化‌：采用动态电压频率调整（DVFS），休眠模式功耗降低； 材料革新‌：GaN-on-Si技术将MCU电源模块效率提升至98%； 生命周期管理‌：内置传感器监测芯片全周期碳排放。MCU能效提升可使电动车续航增加5-8km，减排潜力达百万吨级。 未来展望：多维重构下的产业新秩序‌ 汽车MCU的竞争已超越传统半导体范畴，呈现三大融合特征： “软硬一体”‌：MCU厂商需提供AutoSAR中间件、AI工具链等完整开发生态； “跨界竞合”‌：消费电子巨头凭借制程优势切入车规MCU； “区域闭环”‌：北美、欧洲、亚洲将形成本地化供应链集群。 对于中国企业而言，唯有在RISC-V架构、先进封装、功能安全三大领域构筑技术护城河，才能在全球智能汽车芯片版图中占据一席之地。 这场由MCU引发的汽车电子革命，终将重塑未来十年的产业格局。

全球领先的硅知识产权（IP）提供商Imagination Technologies（以下简称“Imagination”）宣布：其最新专注汽车领域的 Imagination DXS GPU IP 已通过 SGS-TÜV Saar（SGS旗下，世界领先的测试、检验和认证机构）的全面审核与评估，正式获得 ISO 26262 标准的 ASIL-B 级别认证。 根据ISO 26262 汽车安全完整性等级（ASIL），所有车辆执行的功能都根据潜在风险进行分级。ASIL-B 标准要求处理器对单点故障的诊断覆盖率超过 90%。 Imagination DXS GPU 在分布式功能安全领域引入了一项创新，该创新消除了满足ASIL-B 功能安全标准所需的PPA（功耗、性能、面积）开销。它采用已获得专利的机制，即利用当今处理器固有的并行性，以及任何线程都不会被完全利用的事实，在不重复工作负载或增加硅片面积的情况下，按照ASIL-B 标准设定的时间范围内识别故障。更多详细技术细节可查看白皮书——《分布式功能安全的创新与突破》。 “Imagination的GPU在汽车市场得到了广泛应用，并正在将其业务范围从车载信息娱乐扩展到更为关键的安全领域——高级驾驶辅助系统，”Imagination的首席产品官James Chapman表示。 “独立认证表明Imagination DXS GPU满足了ISO 26262 ASIL-B组件所期望的超过90%的诊断覆盖率，这为安全关键系统的集成商提供了必要的信心，证明Imagination创新的分布式安全技术能够满足他们的需求。我们预计该产品不仅在汽车领域会有很高的需求，还将在其他注重安全的市场中获得广泛应用。” “祝贺Imagination Technologies为其最新的汽车处理器获得ASIL-B认证。在整个评审过程中，Imagination展现了其重视安全的文化，以及适当严格的产品设计和开发流程，”SGS-TÜV Saar的功能安全产品经理Liu Min表示。 获得认证的具体产品型号是IMG DXS-8-256 GPU。Imagination计划在未来几个月内提交所有Imagination DXS GPU配置进行独立认证。

一、ISO26262-MBD-静态验证的迷惑 模型的开发方法（Model-Based Design，MBD）在汽车行业嵌入式软件开发中扮演着重要的角色，功能安全ISO26262要求对我们搭建的模型进行规范检查。合规检查我们可以借助第三方工具来实现静态检查，而模型设计V左过程自动合规、如何快速合规，是我们需要持续改进实施过程、实施手段的重要的部分。 这个过程中，你是否遇到的这样的迷惑？ ① 规范检查工具支持规范检查，但选择哪些规范能够满足不同ASIL等级的标准要求，是否能有个规则清单？ ② 设计工具自带的library就不合规，导致静态规范检查不通过，如何解决设计工具天生的缺陷？静态规范检查不通过，逐条修改很费时。 ③ 设计工具configration选项非常多，哪些有规范约束要求，是否能提前配置好？静态规范检查不通过，逐条修改也很费时。 ④ 设计工具建模风格不统一、信号命名等到建模规范检查再考虑，迭代修改费时不情愿；全部提前在设计阶段约束，使用门槛又很高，让项目推进困难。是否有合适的推荐，来解决设计阶段快速合规的要求推荐？ 二、ISO26262-MBD-静态验证的解密 静态模型规范规则集—ISO26262映射清单 模型的静态检查，参考规范如行业应用较多的MAB/HIS/CG/MISRA规则集合，可以达到ISO26262认证要求。用户结合产品经验、ISO26262要求、规范理解、认证经验，形成《静态模型规范规则集—ISO26262映射清单》。 该清单需要考虑ISO26262软件阶段有Table如下： 需要梳理所有的规范条目，理解Table的内容，与Table建立映射关系，最终形成ASILA/B/C/D不同的规则集。 ISO26262-Table内容理解 规范条目与ISO26262-Table映射关系梳理 ASILA/B/C/D不同的规则集（规则-table映射后） 合规的library/confiration/设计模板需固定 模型的规范约束，需要在设计之初就定义好规则。上一主题产品ASIL等级确定，规则集就定好了，针对这个规则集的library/confiration/设计模板可以固化（如通过APP来固化），可以通过一键刷新让工程师特别“香”地设计模型。例如： 一键刷新configration让模型合规 一键刷新configration/library/建模模板 变被动为主动，由繁到简 当然，在设计前，还可以预选一些规范，让工程师的大脑了解到哪些可以主动快速遵守，代替被动约束。这部分重点在于，基于经验筛选出接口类、子系统划分交互类的关键规范，主动合规，既不会导致规范约束太重，又提前避免静态检查不合规再修改，导致“动了设计的筋骨”“改得面目全非”。 梳理总结 建模规范总体而言，通过第三方规范检查工具，在最后一环约束模型行为的同时，可以提前从几个方面提前约束设计行为： ① 规范集合（不同ASIL等级）和ISO26262的Mapping关系表 ② 通过工具合规的library/confiration/设计模板需要固定 ③ 关键规范先行，设计之初做好约束 此外，规范检查工具无法检查项，可以形成规范检查表单继续人工评审。 基于功能安全的恒润建模规范自动检查方案 整体来看，根据行业规范集合、ISO26262要求及专家经验等定制建模规范，并形成规范指南和映射清单；根据规范要求将模型配置参数和建模库等形成刷新工具，用于辅助用户在开发过程中遵守规范；根据能否自动检查分成工具检查和人工检查两部分，通过检查结果来回归模型开发，最终输出规范检查报告。经纬恒润有多项目的开发实践、认证实践，经验丰富，同时搭建精致实用的APP来快速符合规范要求，大大节省工程师重复劳动、理解规范的时间成本。 如需获取规范包、规范方案指导及更多信息，请在 经纬恒润 官网观看8月8日在线研讨会《如何快速开发量产级别功能安全应用软件》和相关主题《智能汽车域控中间件功能安全方案设计及应用》研讨会回放。 了解更多 请致电 010-64840808转6117或发邮件至market_dept@hirain.com（联系时请说明来自面包房社区）