纳芯微丨SafeNovo® 功能安全系统中的芯片选型考量：从系统概念到硬件要素评估

　　随着汽车电子电气系统复杂度的不断提升，功能安全已成为汽车行业不可或缺的技术要求。ISO 26262标准作为汽车功能安全的基石，为电子电气系统的安全开发提供了全面框架。

　　在此框架下进行系统设计时，开发团队首先面临一个非常实际的芯片选型问题：针对系统中需要实现的安全功能，是应直接选用符合特定ASIL等级的功能安全芯片，还是可以采用满足质量管理(QM)级别的芯片来实现?这一决策将深刻影响系统的安全架构与开发路径。

　　本文将从系统安全概念、ISO 26262硬件要素评估方法论及典型测试实践三个层面展开解析，为功能安全系统中的芯片选型提供系统化的考量框架与决策依据。

　　功能安全系统的整体性逻辑

　　ISO 26262标准强调的是系统层面的安全属性，安全目标，或高层级的安全需求，通常是赋予一个完整的安全功能，而该功能往往由多个硬件、软件组件协同实现，并非依赖于单一芯片。

　　无论哪个层面，实现功能安全的核心之一都是设计和验证一系列安全机制。这些机制用于检测、诊断和控制系统内可能发生的危险故障。从系统视角来看，芯片内部的诊断功能是这些机制的一部分，但绝非全部。系统层面的安全需求通常需要结合硬件和软件安全机制共同满足。

　　以一个ASIL D电驱系统为例。在逆变器层面，其关断路径通常按照ASIL等级分解进行分级执行：

　　Primary Shut Off Path ASIL A(D)：用于处理非严重故障。常见方案是通过MCU发送PWM波控制6个驱动芯片进入相应安全状态(ASC或Freewheeling)

　　Redundant Shut Off Path ASIL C(D): 冗余关断路径，仅在MCU失效、关键供电异常或主关断路径失效等严重故障时触发。此路径通常设计为纯硬件控制，通过硬件安全逻辑电路直接驱动芯片的特定安全引脚(例如副边或原边的ASC pin)。

　　Note：

　　上述ASIL等级分解非唯一方案，仅做示例。

　　安全状态的成功进入不由单个驱动芯片承担，此处不针对单个驱动芯片的ASIL等级分解进行展开。

　　图中的Level 1、Level 2、Level 3指代EGAS三层架构中的应用层和监控层。

　　在此案例中，驱动芯片的ASC功能，直接承担了高ASIL等级关断需求的一部分，因此其自身应继承相应的ASIL等级要求。这体现了安全概念和安全需求对芯片功能安全等级的直接影响。

　　反之，通过合理的系统设计，例如冗余和跨组件的合理性校验，采用QM等级的组件同样可以实现高级别的安全目标。下图展示了一种目前行业内广泛使用的驱动电机相电流传感器监控方案：

　　这是一个非常典型的通过采用多个QM传感器芯片，配合系统层级安全措施达到高ASIL等级的实例。硬件层面可以采取以下措施实现安全需求：

　　U/V/W三相电流采样所使用的ADC0/ADC1/ADC2应为MCU内相互独立的ADC组.

　　U/V/W三相电流信号的Level1和Level2采样要使用MCU内相互独立的ADC组

　　U/V/W三相电流采样的Level1和Level2硬件采样电路应采用不同的设计参数

　　U/V/W三相电流采样的硬件采样电路在Layout时应独立走线并注意包地等处理

　　U/V/W三相电流采样的芯片建议采用不同供应商或不同原理的传感器以避免同质冗余

　　……

　　同步，软件层面采取以下安全机制，配合实现整体ASIL D的电流采样功能：

　　可见，实现功能安全系统的路径并非单一。一方面，某些直接承担关键安全需求的芯片，必须具备相应的ASIL等级。另一方面，通过严谨的系统级安全概念定义与架构设计，结合必要的冗余和多层次诊断策略，成熟可靠的QM等级芯片完全可以在系统中承担特定角色，并在系统层面助力满足整体功能安全要求。

　　因此，“选择ASIL芯片还是QM芯片”并非一个非此即彼的命题，其决策必须基于具体的系统安全概念、ASIL等级分解、目标芯片在架构中的具体职责及其复杂度进行综合权衡。这对开发团队提出了较高要求，不仅需要深入理解ISO 26262标准方法，还要能够准确推导安全需求与概念，并深刻理解芯片功能与系统架构之间的匹配关系。

　　硬件要素评估：方法论与落地实践

　　基于前文对系统级路径的探讨，芯片选型的决策需在具体的技术评估中落地。这引出了功能安全工程中的一个关键实践问题：如何对计划集成到安全相关系统中的各类硬件要素——尤其是并非专为功能安全设计的现成组件——进行符合性论证?

　　例如，应用于VCU、OBC-DCDC、Inverter等安全关键系统中的CAN通信芯片、隔离接口、电流传感器芯片，其本身通常仅为QM等级。而ISO26262提出的硬件要素评估正是为解决这一挑战而提出的规范性方法。

　　该方法的本质，是复用开发过程中的已有验证证据，其评估侧重点在于工作性能验证与系统性失效控制。它遵循“分而治之”的逻辑，即依据硬件要素的类别实施差异化评估策略，从而在确保安全的前提下，优化开发资源分配，提升工程效率。

　　硬件要素分类及特点解析

　　ISO 26262-8:2018将硬件要素根据其复杂度和内部安全机制的有无等条件分为三类，这一分类同时也反映了安全验证的难度。

　　I类要素：简单无安全机制的硬件

　　I类要素是最简单的硬件组件，其特点是运行状态极少且没有内部安全机制。这类要素的工作状态可以从安全角度充分表征、测试和分析，或者是直接通过查询行业标准得到，无需了解其实现细节和生产过程。

　　典型实例包括：电阻、电容、二极管、晶体管、晶振以及NTC/PTC温度传感器等。对I类要素的评估要求最为宽松——只要集成后的硬件要素满足相关安全需求即可，通常不需要对要素本身进行独立评估。

　　标准原文

13.4.1.1 Classification of the evaluated hardware element

　　The hardware element shall be classified as one of the following classes:

　　a) Class I if:

　　— the element has at the maximum a few states which can be fully characterized, tested and analysed from a safety perspective;

　　— safety related failure modes can be identified and evaluated without knowledge about details of the implementation and the production process of the element; and

　　— the element has no internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

　　NOTE This does not include safety mechanisms that monitor properties outside of the element.

　　II类要素：中等复杂度无安全机制的硬件

　　II类要素具有少数几种运行状态，介于简单和复杂之间，但仍没有用于检测和控制要素内部失效模式的内部安全机制。

　　标准原文

The element has no internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

　　NOTE This does not include safety mechanisms that monitor properties outside of the element.

　　值得注意的是，II类器件可以具备针对要素外部参数的安全机制/诊断功能，换言之，这个参数不属于该II类器件本身。

　　与I类要素的关键区别在于，II类要素需要依赖现有文档(如datasheet、user manual、application guide)从安全角度进行充分分析。这里对于分析的要求就明显上了一个台阶。

　　标准原文

b) Class II if:

　　— the element has e.g. few operating modes, small value ranges, few parameters and can be analysed from safety perspective without knowing implementation details;

　　— available documentation allows valid assumptions supporting evaluation of systematic faults by testing and analysis without knowledge about details of the implementation and the production process of the element; and

　　EXAMPLE Datasheets, user manuals, application notes.

　　II类要素的典型实例包括：电流传感器、运算放大器、ADC/DAC、CAN/LIN收发器、简单高低边驱动等，且以上要素不集成与安全概念相关的内部安全机制。对II类要素需要制定评估计划，通过分析和测试证明其工作性能，并记录评估证据。这可能会引起工程师对额外工作量的担忧，但事实上，硬件组件评估中的测试大多可复用已有的合规证据(如开发过程中进行的各层级硬件测试)，具体方法将在下一章节详细论述。

　　III类要素：复杂且有内部安全机制的硬件

　　III类要素是最复杂的硬件组件，具有多种运行模式和直接关联安全概念的内部安全机制。这意味着开发人员在不了解这类要素的实现细节情况下完全无法分析，因此评估要求最为严格。

　　标准原文

c) Class III if:

　　— the element has e.g. many operating modes, wide value ranges or many parameters which are impossible to analyse without knowing implementation details,

　　— sources for systematic faults can only be understood and analysed by knowledge about detailed implementation, the development process and/or the production process, or

　　— the element has internal safety mechanisms which are relevant for the safety concept to control or detect internal failures.

　　典型实例包括：MCU、带有内部安全机制的复杂栅极驱动、多通道PMIC、带内部安全机制的高精度磁编码器等。

　　对于III类要素，标准建议优先采用符合ISO26262硬件开发流程的方法进行开发，而非依靠后续的评估方法进行论证。换句话说，这种情况下标准强烈建议采用带ASIL等级的硬件要素。

　　标准原文

13.4.4.1 Class III hardware elements should be developed in compliance with ISO 26262.

　　NOTE This means that the “evaluation of class III elements” is not the preferred approach and therefore the next version of the hardware element is planned to be developed in compliance with ISO 26262.

　　值得注意的是，在III类硬件要素评估中，标准特别强调需要论证系统性失效导致的风险足够低，而对随机硬件失效的关注则放在更高集成层面，通过系统级FMEDA计算去进行论证整体硬件架构与安全目标等级的符合性。

　　标准原文

13.4.4.3 Additional measures shall be provided to argue that the risk of a safety goal violation or the risk of a safety requirement violation due to systematic faults is sufficiently low.

　　这一区别对待背后有着深刻的考量。这里就需要提到系统性失效与随机失效的区别。系统性失效往往来自于不良的开发或生产。常见例子包括：开发过程中的人为失误，需求规范错误、设计缺陷或生产问题。

　　相比之下，随机硬件失效是由物理过程(如老化)导致的，其发生时间不确定但遵循概率分布。对于III类要素，由于其高度复杂性，因此对于开发过程、生产制造等环节均提出很高的挑战，每个环节都可能引入系统性缺陷。因此出现系统性失效的概率显著高于简单硬件组件。这也是标准对于III类要素评估特别关注系统性失效的原因所在。

　　表：三类硬件要素的评估要求对比

　　硬件要素评估

　　测试要求与实例分析

　　前述提到，对于II类和III类硬件要素，硬件要素评估需要通过测试和分析证明其工作性能符合安全需求。这些测试活动通常围绕两个维度展开。

　　基本功能性能测试

　　基本功能性能测试旨在确认硬件要素在特定工作环境下能否按预期工作并符合性能要求。这类测试关注的是硬件要素的固有性能，与具体安全需求无关，但为安全应用提供基础信心。

　　对于一个具备成熟开发能力的零部件供应商或整车厂，通常在进行硬件电路开发时，均会进行硬件模块级别、集成级别、整机系统级别的测试，测试条件涵盖不同电压、不同温度、不同负载等等。分别以一个典型Class II和Class III要素举例测试应涵盖的项目(示例非穷尽)。

　　Class II要素 - QM电流传感器

　　供电电压精度

　　三温下的零漂/静态精度/动态精度

　　三温下的单板和整机响应时间

　　整机采样精度(带软件算法)

　　相间串扰

　　其他

　　Class III要素 - 功能安全PMIC/SBC

　　三温下，不同唤醒源下的上、下电特性，包含电平/边沿唤醒有效性、电源输出、安全Pin正确置位和通信建立时间等

　　三温下，不同供电电压下分别组合空载/轻载/重载/跳载条件下的各级Buck/LDO等电源输出精度，包括平均电压及纹波等

　　三温下，各通道LDO的过欠压/过载保护的响应特性，包含其对应的安全状态输出

　　三温下，芯片内部集成的CAN/LIN/SPI/MSC等通信接口的信号特性，包括高低电平、差分电平、上升下降时间、不同条件的抗短路特性等

　　三温下，集成看门狗及关联Reset功能逻辑的故障响应正确性

　　整机运行时，PMIC/SBC不同唤醒源下的上、下电特性，各主要功能输出的建立是否符合预期

　　整机运行时，PMIC/SBC带实际负载的电源输出稳定性，包括平均值、纹波等等

　　整机运行时，PMIC/SBC的通信接口输出是否符合预期，能否进行正确读写

　　整机运行时，PMIC/SBC各安全机制的响应是否符合预期，是否能正确响应

　　其他

　　由此可见，芯片复杂度的提升，对测试验证工作的全面性提出了更高要求。对于具备成熟开发经验的公司，其制定的测试规范(Test Specification)通常已系统性地涵盖了各类验证场景与标准。因此，在开展评估时，完全可以优先利用这些现有的、成熟的测试证据，从而避免重复工作，显著提升效率。

　　安全需求评估测试

　　安全需求符合性测试旨在验证分配给特定硬件要素的具体安全需求。在功能安全开发中，高层级的安全需求会逐步分解并最终分配给到具体的硬件组件，这些分配的需求就是此类测试的验证目标。

　　测试内容可能包括针对关联安全需求的诊断功能进行故障注入测试等，目的是确保该机制能够有效检测失效模式，并触发正确的系统响应。例如，上述提到的电驱系统冗余关断路径设计中，一种常见方案是采用数字隔离器(如纳芯微NSI82xx数字隔离器系列，属于Class II硬件要素)来传递来自逆变器低压侧的安全关断信号，给到驱动芯片副边的安全引脚(ASC PIN)来实现紧急关断。此时，该数字隔离器承担了一项关键的安全需求：当原边输入信号开路或原边供电丢失时，其副边输出必须为预设的高电平，以确保能可靠触发后续的紧急ASC，使系统进入安全状态。

　　为验证此需求，需开展以下安全需求相关测试：

　　硬件单元测试：

　　正常功能测试，如隔离芯片传输时间、输入高低电平阈值、输出高低电平阈值等

　　故障注入测试，如输入电阻开路、隔离芯片输入PIN开路、输入侧电源丢失，观察输出是否为默认高电平

　　硬件集成测试：

　　无低压KL30，只上高压，数字隔离芯片输出信号及冗余关断路径工作状态

　　上下电时序测试，如原副边供电建立时间不一致，数字隔离芯片输出是否默认进入安全状态

　　何种条件下强烈建议

　　采用功能安全芯片

　　通过上述的介绍，我们已经了解到功能安全是一个整体性概念。在进行芯片选型时，需要结合相关的安全功能和架构设计进行权衡。在强调实现系统功能安全的多种路径时，必须明确指出，在特定条件下，直接采用功能安全芯片是更优甚至必要的选择。这并非否定系统级设计的重要性，而是为了在效率、可靠性和成本之间取得最佳平衡。

　　表-何种条件下建议采用功能安全芯片

　　结论与展望

　　本文旨在阐明，在功能安全系统中，选择功能安全芯片或QM等级芯片是取决于具体的系统安全概念与架构设计的结果。通过合理的系统级设计并结合ISO 26262的硬件要素评估方法，成熟可靠的QM芯片能够被安全地集成，并在系统层面满足安全要求。然而，这通常也会在系统级带来一定的额外开发代价，例如需要增加额外的硬件电路、引入新的软件监控机制，并提供充分的验证论据。因此，在实际开发中，Tier1与OEM的功能安全团队需进行多维度的审慎权衡，包括：目标ASIL等级、系统复杂度、开发成本、验证投入等，以选择最适配的整体解决方案。

　　在芯片功能安全层面，纳芯微已建立起从管理体系到工程实践的完整能力框架，实现了从方法论到产品落地的成功闭环。纳芯微SafeNovo®产品组合覆盖传感器、信号链、电源管理，功能安全产品品类仍在持续拓展中，已发布的产品矩阵包括：

　　ASIL D 隔离式栅极驱动 NSI6911F

　　ASIL B 超声波雷达探头芯片 NSUC1800

　　ASIL B 线性LED驱动 NSL21912/16/24FS

　　ASIL B(D)ABS轮速传感器 NSM41xx

　　深耕汽车模拟芯片，纳芯微始终将功能安全作为核心能力深度融入产品与技术布局。纳芯微已通过ISO 26262 ASIL D “Defined-Practiced”能力认证，建立起覆盖产品定义、开发到验证的完整工程体系,为客户提供从安全关键芯片到系统解决方案的完整支持。