功能安全芯片选型考量
本质:决定用功能安全(ASIL)还是 QM 芯片,看的是"该芯片是否直接承担系统的安全需求",不是看芯片本身有多复杂。承担了就必须 ASIL,没承担可以 QM 加系统层冗余。
学习目标
- (LLM 自动生成,待人工补充 2-3 条学习目标)
背景与因果链
功能安全系统需要在满足 ISO 26262 规定的安全目标的前提下,完成硬件选型。选型的关键判断是:
- 芯片本身是否具备满足分配给它的安全需求的内部安全机制;
- 系统层面的安全概念能否通过冗余、监控等手段把 QM(质量管理)等级芯片提升到所需的 ASIL 等级。
如果芯片内部安全机制直接承担安全需求,则必须选用对应 ASIL 等级的功能安全芯片;否则,可通过系统级安全措施(冗余、跨芯片诊断)使用 QM 芯片,并在系统层面完成安全目标的分解与验证。
选型决策框架
| 步骤 | 关键问题 | 参考依据 |
|---|---|---|
| 1. 确定安全目标 & ASIL 等级 | 安全目标是否需要 ASIL C/D? | ISO 26262 第 5 章安全目标分配 |
| 2. 确认芯片在安全概念中的职责 | 芯片是否提供 ASC、诊断、看门狗等安全引脚? | 产品安全手册、功能安全手册 |
| 3. 评估芯片类别 (I/II/III) | 基于 ISO 26262‑8 的分类 | 章节 硬件要素分类(本页) |
| 4. 判断是否必须采用功能安全芯片 | 当芯片直接承担高 ASIL 安全需求或缺乏系统级冗余时 | 表 何种条件下建议采用功能安全芯片 |
| 5. 若使用 QM 芯片,制定系统安全措施 | 冗余路径、跨芯片交叉检查、软件诊断 | ISO 26262‑6 需求分配表 |
| 6. 收集证据 & 编制安全案例 | FMEDA、测试报告、供应商安全手册 | ISO 26262‑9 安全案例指南 |
典型应用示例
逆变器关断路径
- Primary Shut‑Off (ASIL A/D):MCU 通过 PWM 控制 6 路驱动芯片进入安全状态(ASC/Free‑wheeling)。
- Redundant Shut‑Off (ASIL C/D):独立硬件安全逻辑直接驱动 ASC 引脚,要求驱动芯片本身具备对应 ASIL 等级的安全功能。
如果使用仅具 QM 等级的普通驱动,则必须在系统层面增加独立的硬件安全回路(如数字隔离器)来承担冗余关断。
核心要点
- 高 ASIL(C/D)的关键安全回路 — 比如逆变器主关断 — 必须用 ISO 26262 流程开发的器件
- 系统层冗余 + 跨芯片交叉检查 + 软件诊断 = 把 QM 芯片"抬"到 ASIL 等级的合法路径
- 选型 6 步:安全目标 → 芯片职责 → 元件分类(I/II/III)→ 是否需安全芯片 → QM 系统措施 → 安全案例证据闭环
- 典型案例:EV 主驱冗余关断要求 10 µs 内完成,空间不允许双路硬件冗余 → 选 ASIL D 栅极驱动(NSI6911F)直驱 ASC 是唯一可行解
- 误区:不要把"贵的芯片 = 安全的芯片"。能不能做 ASIL 的判定是功能安全开发流程合规性,不是 datasheet 上的某个数字