ZHDS036 January 2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1
近年来,由于环保效益(包括零排放和对化石燃料的依赖减少),电动汽车数量迅速增长。随着电气化和自动驾驶技术的不断发展,电动汽车的安全问题变得越来越重要。
功能安全 (FuSa) 是整体系统安全的一个关键要素,重点是确保系统以可预测的方式对正常输入和故障状况做出响应。FuSa 的主要目标是通过战略性实施适当的安全机制和设计方法,系统地将风险降至可接受的水平。
ISO 26262:2018 年是道路车辆中电气及电子 (E/E) 系统功能安全的国际标准。它调整了通用 IEC 61508:2010 安全‑生命周期框架迁移至汽车领域。它提供了一种结构化、基于风险的方法来验证故障不会导致不安全的情况。
这些故障可以分为系统故障和随机硬件故障。系统故障在硬件设计和软件设计中都存在,可通过严格的开发流程或独立评估来管理和缓解。随机硬件故障仅限于硬件,此类故障无法消除,但可以通过实施安全机制来检测和预防。表 1-1总结了系统故障和随机硬件故障之间的差异。
| 方面 | 系统故障 | 随机硬件故障 |
|---|---|---|
| 定义 | 在特定条件下表现一致的设计、规范、实施或者操作所固有的确定性故障 | 在硬件运行期间因物理现象、老化、应力或者环境因素而不可预测地发生的物理缺陷或故障 |
| 根本原因 | 例如设计错误、规格错误、实施错误 | 例如物理性能劣化、电应力、元件老化 |
| 可预测性 | 确定且可重现,可消除并永久修复 | 概率性和统计性发生,不能消除和重现 |
| 目标 | 在发布前消除缺陷。 | 在故障发生时,检测和缓解故障。 |
| 措施 | 在整个生命周期内进行功能安全管理、开发、测试、验证、确认活动。 | 安全机制设计及验证。 |
| 典型指标 | 未发现的安全要求数量、检查覆盖范围、工具可信度。 | 故障率、诊断覆盖率。 |
由于可以通过确保高质量的开发流程来防止和消除系统故障,因此本白皮书将重点介绍随机硬件故障分析。硬件指标 — 单点故障指标 (SPFM)、潜在故障指标 (LFM) 及随机硬件失效概率指标 (PMHF) — 用于定量评估随机硬件失效并确定符合汽车安全完整性要求。
汽车安全完整性等级 (ASIL) 从 ASIL A 到 ASIL D 不等,其中 ASIL D 最为严格。表 1-2 列出了依据 ISO 26262 与每个 ASIL 级别关联的随机硬件故障指标的可接受值。
| ASIL 级别 | SPFM | LFM | PMHF(以 FIT 为单位;时基故障) |
|---|---|---|---|
| ASIL-A | 不相关 | 不相关 | 不相关 |
| ASIL-B | ≥ 90% | ≥ 60 % | ≤ 100 FIT |
| ASIL-C | ≥ 97% | ≥ 80 % | ≤ 100 FIT |
| ASIL-D | ≥ 99% | ≥ 90% | ≤ 10 FIT |