功能安全即不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险。随着汽车智能化、网联化进程加速，芯片作为车辆电子电气系统的核心载体，其功能安全性能直接决定整车安全水平。2022年发布的GB/T 34590《道路车辆 功能安全》标准（以下简称"标准"）首次系统构建了我国汽车芯片功能安全技术体系，为行业提供了覆盖芯片全生命周期的开发指南。本文结合标准核心内容，解读芯片功能安全流程框架及产品开发要点。

从国际对标到本土创新

GB/T 34590标准由中国汽车技术研究中心等单位牵头制定，共包含11章节。该标准不仅吸纳了ISO 26262-2018版的核心要求，还特别增加了半导体应用指南，标准创新性地将ISO 26262-2018功能安全要求与半导体特性深度融合。通过建立"V型"开发流程框架，要求芯片企业从需求定义、架构设计到验证测试全环节实施失效模式分析及安全机制部署，填补了国内汽车芯片功能安全标准的空白。该标准旨在通过全生命周期管理，系统性控制芯片的系统性失效（如设计缺陷）和随机硬件失效（如元器件老化），从而降低因芯片故障导致的交通事故风险。针对汽车芯片，一方面需要建立完善的芯片功能安全流程体系，另一方面需要基于标准要求和流程体系开展芯片功能安全产品开发，保障芯片产品的系统性失效和随机硬件失效均达到功能安全标准要求。标准通过规范开发流程、量化安全指标，为芯片制造商和整车企业提供了统一的技术语言，推动产业链协同创新。

夏显召,中汽中心 首席专家中汽中心首席专家、中汽研科技芯片研究部副部长夏显召指出："GB/T 34590的发布标志着我国汽车芯片功能安全从‘跟跑’转向‘并跑’。标准首次将半导体特性与功能安全深度融合，为芯片企业提供了全生命周期开发框架，但在落地过程中既要避免流程裁剪过度削弱安全有效性，也要防止教条化执行增加开发成本。"

ASIL等级的三维判定法则

标准沿用了国际通行的汽车安全完整性等级（ASIL）体系，其判定逻辑基于风险三维评估模型：

严重度（S）：失效对人员伤害的严重程度，分S0-S3四级

暴露度（E）：运行场景发生的概率等级，分E0-E4五级

可控性（C）：驾驶员避免事故的可能性，分C0-C3四级

通过组合评估三个维度参数，最终确定ASIL A至D四个安全等级。

图1 ASIL等级确定表

以自动驾驶域控制器主芯片为例，涉及车辆横向控制的失效可能导致严重碰撞（S3），在高速公路场景具有高暴露概率（E4），且驾驶员难以实时接管（C3），故需满足最高等级ASIL D要求。

功能安全开发流程裁剪策略

汽车产品的功能安全并非独立于已有的质量管理体系，而是两者融合，即将功能安全体系融合到ISO9001、IATF16949等现有质量管理体系中，贯穿产品开发的整个周期。标准特别强调开发流程的适配性优化，允许企业基于项目特性实施"合理裁剪"。以一款汽车芯片产品的功能安全开发为例，其需要遵从安全的V-Model，即至少满足GB/T 34590的第2、4、5、6（若涉及软件开发）、8以及9部分中功能安全的要求。一般的裁剪原则为：序号裁剪章节裁剪原则

图2 一般功能安全开发流程裁剪原则

根据芯片产品实际开发过程一般裁剪Part3、Part4-5、Part4-7、Part4-8、Part7-6、Part8-14、Part8-15、Part8-16、Part12的安全活动。

图3 芯片功能安全开发活动裁剪

依据标准开展芯片产品开发

基于GB/T 34590标准，芯片功能安全产品开发V模型的左侧一般开始于SEooC定义，首先假设定义出顶层安全需求TLSR；然后逐级分解细化为技术安全需求TSR、硬件安全需求HWSR，如涉及软件开发还需考虑软件安全需求SWSR；进而开展硬件架构设计、数字和模拟IP模块设计、软件架构设计和详细设计，以及安全分析等活动。V模型右侧开展芯片功能安全的验证测试活动，包括硅前模块验证、硅前集成验证、硅前芯片级验证、硅后验证确认等活动，如涉及到软件测试还需进行静态分析、单元测试、集成测试等活动。经过这一系列的安全活动，保障芯片产品的设计实现了功能安全要求，有效避免或控制了系统性失效和随机硬件失效等失效模式，芯片产品的安全性得到了保障。

图4 芯片产品硬件开发V模型

图5 芯片产品软件开发V模型

硬件与软件产品认证关键审核指标

GB/T 34590标准的第五部分与第六部分分别为芯片功能安全产品的软硬件开发提供了参考要求。针对芯片硬件产品开发，关注的关键量化指标有单点故障度量( SPFM )、潜伏故障度量( LFM )以及随机硬件失效概率度量（PMHF）的评估等。其目标值的推导来源可以参考下表：

图6 不同ASIL等级对应

故障度量、潜伏故障度量及随机硬件失效概率度量值通过这三个"安全体检指标"，确保芯片足够可靠，例如最高安全等级ASIL D的要求为：

单点故障防御率（SPFM） ≥99%，相当于每100次关键故障中，至少有99次能被立即发现。

潜伏故障检出率（LFM） ≥90%，确保90%以上的"隐藏炸弹"在爆发前被排除。

随机硬件失效概率度量（PMHF） ＜10-8h-1 相当于芯片连续工作1亿小时才可能出现1次致命故障。

针对芯片硬件产品开发，关注的关键指标有软件单元层面的结构覆盖率度量以及软件架构层级的结构覆盖率等。其结构覆盖度测定方法的选择依据可以参考下表：

图7 不同ASIL等级对应软件单元及架构层面结构覆盖率度量

结  语

GB/T 34590《道路车辆 功能安全》标准的发布，标志着我国汽车芯片功能安全技术从标准空白迈向体系化建设的新阶段。通过融合国际经验与本土创新，该标准不仅填补了国内汽车芯片功能安全开发的技术鸿沟，更以全生命周期管理、量化安全指标和灵活流程裁剪策略，为产业链上下游提供了可落地的技术框架，为智能汽车的高可靠性发展奠定了基石。未来，随着汽车智能化向高阶自动驾驶演进，芯片功能安全的复杂性和重要性将进一步提升。可以预见，在政策牵引、标准护航与产业协同的多重驱动下，中国汽车芯片功能安全技术将加速从“并跑”向“领跑”跃迁，为全球智能汽车产业的可持续发展贡献中国方案。