芯片是智能新能源汽车核心技术的竞争高地，是车辆智能化技术实现和安全法规要求的底层载体，确保安全相关核心芯片的安全性是芯片产品在系统和整车长期应用的基本保障。芯片安全主要包括功能安全和信息安全，芯片的信息安全是国家汽车相关法律法规和强制性标准的延伸要求，芯片的功能安全是指不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险，是维护车辆安全基本属性的技术手段。2022年发布的GB/T 34590《道路车辆 功能安全》标准（以下简称“标准”）对汽车芯片功能安全进行了定义，首次系统构建了我国汽车芯片功能安全技术体系，标志着我国从国际标准的“跟跑者”转向“并跑者”，并为产业技术能力的持续提升奠定基础。该标准将ISO 26262国际标准与半导体特性深度融合，填补了国内技术空白，为芯片全生命周期管理提供了系统性框架。

PART/ 01

标准要点：全生命周期管理与ASIL等级体系

1、安全活动的闭环管理GB/T 34590以“V型”开发流程为核心，覆盖需求定义、架构设计、验证测试等全环节，通过失效模式分析（FMEA）、安全机制部署等系统性控制手段，降低芯片的系统性失效（如设计缺陷）和随机硬件失效（如元器件老化）风险。其中，标准落地需平衡“流程裁剪的灵活性”与“安全有效性”的关系，避免过度简化或僵化执行。

2、ASIL等级的三维判定法则沿用国际通行的汽车安全完整性等级（ASIL）体系，通过严重度（S）、暴露度（E）、可控性（C）三维评估模型划分ASIL A至D四级。以自动驾驶域控制器主芯片为例，涉及车辆横向控制的失效需满足ASIL D最高等级要求（S3/E4/C3组合）。为实现这一目标，硬件需满足单点故障防御率（SPFM）≥99%、潜伏故障检出率（LFM）≥90%、随机硬件失效概率（PMHF）<10⁻⁸h⁻¹等严苛指标。

中汽研科技芯片技术专家中汽研科技芯片技术专家李明阳提出，汽车芯片功能安全设计绝非孤立存在，而是应当全方位、深层次地融入产品管理、开发、应用流程之中，成为开发进程的有机组成部分。唯有如此，方能在确保系统安全无虞的基础上，达成高效且稳定的系统开发目标。

PART/ 02

技术要领解析：汽车应用场景的芯片功能安全开发

1、独立于环境的安全要素的开发（SEooC）

SEooC是基于假设开发（即非定制的）的产品，通常汽车芯片（如MCU、SoC、DSP等）开发使用这种开发方式，这是一种不依赖于特定车辆环境、基于假设进行功能安全开发的方法，在整车架构中，芯片的使用场景涵盖了智能驾驶域、智能座舱域、动力域、底盘域、车身域等各方面，在对车载芯片定义安全需求前需要明确不同芯片的使用场景。

2、开发流程的合理裁剪

一个开发为SEooC的要素，无论是硬件、软件还是系统，都应根据GB/T 34590-2022进行裁剪，以适应其自身的开发范围。例如芯片企业可裁剪整车概念阶段（Part3）、系统级验证（Part4-5/4-7/4-8）及生产环节（Part7-6）等，但需保留核心安全活动（如V-Model中的需求分解、硬件安全机制验证）。中汽研科技基于GB/T 34590标准框架构建可裁剪的开发体系，通过"安全目标-企业能力-资源约束"三方面评估，帮助企业实现功能安全流程与企业既有开发体系的有机融合。

3、基于失效模式的功能安全设计

芯片安全机制的目的是对失效模式的发生及影响进行预防、探测及控制，进而将芯片带入安全状态，汽车芯片主流的功能安全机制设计，按照其技术原理可以分为以下几类：

冗余设计：

在汽车芯片中，常采用多个相同或相似的硬件模块来执行同一功能，以达到增强其安全性的目的。如使用多个处理器核心，当一个核心出现故障时，其他核心可继续工作，确保系统的关键功能不受影响。同时，高等级安全需求（如ASIL D）可通过分解为两个独立冗余子系统（如ASIL C(D)+ASIL A(D)）实现降级开发。例如，自动驾驶芯片的横向控制功能可通过独立传感器（轮速与轴速）冗余设计，但需满足无共因失效（如独立供电、物理隔离）及无级联失效（如内存保护机制）的“双无”要求。

故障检测与诊断：

一是从功能单元外部进行的诊断和监控，例如输入输出信号监测，通过监测输入信号，可以确保输入到功能单元的数据是正确的、完整的，并且符合协议规范。例如，在车载网络中，会对输入到芯片的 CAN 总线信号进行实时监测，检查信号的电平、位定时以及数据格式等是否正确。二是功能单元内部的自测试和自诊断，包括内置自测试（BIST）、错误检测与纠正（EDAC）等，例如，一些汽车芯片会在每次上电启动时执行 BIST，以确保芯片在正常工作前没有硬件故障。

隔离设计：

在车载芯片功能安全设计中，隔离是一项关键措施，旨在防止各类失效影响扩大，包括物理隔离、通讯隔离、电源隔离、时钟隔离等。例如，在BMS芯片设计中，为防止功率电路对控制电路的电源干扰，采用独立的 DC - DC 转换器为不同功能模块供电，确保 BMS 对电池状态的准确监测和控制，避免因电源问题导致的电池过充、过放等安全隐患。

中汽研科技芯片技术专家李明阳提出，为了更好地保障汽车芯片功能安全，企业应遵循GB/T 34590《道路车辆 功能安全》标准要求，根据汽车不同应用场景的安全需求，划分安全等级，设计相应的安全机制。同时，建议整车企业在选型过程中，针对芯片功能安全应关注以下几点：

1）汽车芯片开发的SEooC能覆盖产品应用需求，且ASIL等级符合需求；

2）能提供芯片安全手册、功能安全评估报告、安全分析报告、FMEDA报告等相关功能安全资料；

3）能提供第三方产品认证证书或满足独立性要求的功能安全评估报告。

未来展望高阶自动驾驶驱动安全体系升级随着高阶自动驾驶商业化落地，芯片功能安全复杂度将显著提升，汽车芯片将朝着更高的汽车安全完整性等级迈进，进一步扩展对AI芯片、高算力SoC的功能安全技术覆盖，并深化预期功能安全（SOTIF）与功能安全要求的融合应用。汽车芯片功能安全也不再仅仅是芯片设计企业的 “独角戏”，而是需要与整车厂、零部件供应商等产业链上下游深度协同。

中汽研科技作为芯片功能安全技术的引领者协同产业上下游头部企业，深耕于汽车芯片功能安全的标准研究和产品的检测、咨询及认证，推动国产芯片实现从"跟跑"到"并跑"的阶段性跨越，助力构建安全可靠的智能网联汽车产业新生态。