汽车电子系统中的冗余设计:从芯片架构到系统级功能安全
作者| 北湾南巷 出品 | 汽车电子与软件
随着汽车电动化、智能化和自动驾驶技术的快速发展,车辆对电子系统的依赖程度前所未有地提升。制动、转向、动力控制等原本高度依赖机械结构的功能,正在逐步被电子控制和电驱执行所取代。在这一背景下, 如何在电子系统发生故障时仍然保证车辆安全,成为汽车工程无法回避的核心问题。
目 录:
1. 功能安全视角下的冗余设计理念
2. 控制器层面的冗余设计:计算正确性的
第一道防线
3. 传感器层面的冗余设计:确保感知信息
可信
4. 执行与驱动层面的冗余设计:面向可控
失效与降级运行
5. 避免共因失效:冗余设计真正的难点
6. 系统级协同冗余:面向线控底盘与
集中式架构的演进
一、功能安全视角下
的冗余设计理念
在汽车电子系统中,冗余设计(Redundancy Design)是实现功能安全目标的核心工程手段之一,也是高等级自动驾驶和高级驾驶辅助系统不可或缺的基础设计思想。所谓冗余,并非简单地“多加一套硬件”,而是通过在关键功能路径上引入备份机制、监测机制和容错机制,使系统在部分组件发生故障(失效)时,仍能够维持基本功能,或在可控范围内安全降级运行。
与消费电子产品追求“尽量不出故障”的设计理念不同,汽车电子系统在功能安全领域遵循一种更为严格且现实的工程假设:故障是不可避免的。在车辆全生命周期内,由于器件老化、环境温度变化、电磁干扰、软件缺陷或外部冲击等因素,硬件或软件发生失效几乎是必然事件。因此,汽车系统的设计目标并不是彻底消除故障,而是在故障发生时,系统仍然能够保持可控,或者迅速进入预期的安全状态(Fail-Safe / Fail-Operational),从而避免对驾乘人员和道路环境造成不可接受的风险。
从工程实现角度看,冗余设计的核心价值体现在三个方面:
第一,通过冗余路径和备份单元,提高系统对单点故障(Single Point Fault)的容忍能力;
第二,通过交叉监测和一致性校验,实现对潜在故障的快速检测与定位;
第三,通过安全降级策略,确保在关键功能失效时,车辆仍能够执行最基本的安全动作,例如减速、停车或将控制权安全交还给驾驶员。
从芯片和整车电子电气架构的角度来看,冗余设计并非可选项,而是决定系统能否通过功能安全认证的关键因素。在 ISO 26262 标准体系中,不同的汽车安全完整性等级(ASIL)对系统的容错能力提出了明确要求。对于 ASIL-A 或 ASIL-B 等较低安全等级,系统通常可以通过故障检测与报警来满足要求;而对于 ASIL-C 和 ASIL-D 这类最高安全等级,则必须在系统架构层面引入多层次的冗余设计,包括但不限于:
芯片内部的计算单元冗余(如双核锁步、交叉校验);
传感器层面的冗余感知路径;
执行机构和通信链路的冗余设计;
软件算法层面的冗余与合理性校验。
因此,冗余设计直接决定了系统在发生硬件或软件失效时的行为模式,是高安全等级汽车电子系统能否实现“可预测失效”和“受控运行”的基础。从某种意义上说,冗余设计并不是为了提高系统“正常工作时”的性能,而是为了在系统“不正常”时,仍然保持安全,这正是汽车功能安全工程与传统电子系统设计最本质的区别所在。
二、控制器层面的冗余设计:
计算正确性的第一道防线
在控制器层面(ECU/域控制器),最常见、也是最基础的冗余形式是计算单元冗余。由于控制器承担着对关键执行机构的实时控制与决策任务,其计算结果的正确性直接关系到车辆的安全状态,因此必须具备对计算错误的快速检测和响应能力。
2.1 计算单元冗余:锁步 CPU 架构
在车规 MCU 中,最典型的实现方式是采用锁步(Lockstep)CPU 架构。该架构通常包含两套在结构、指令集和功能上完全一致的处理器内核,这两套内核:
在同一时钟源驱动下同步运行;
执行完全相同的指令流;
对同一组输入数据进行计算。
在运行过程中,硬件比较逻辑会对两套内核的关键计算结果(如寄存器值、运算输出、程序状态等)进行周期性或实时比对。一旦检测到不一致,系统即可判定发生了潜在故障,并立即触发预定义的故障响应机制,例如:
进入安全状态;
复位系统;
禁止输出控制信号;
向上层系统上报故障信息。
这种锁步设计可以有效覆盖 MCU 内部的随机硬件故障,如瞬态位翻转、寄存器失效、计算单元异常等,是满足 ASIL-C 及部分 ASIL-D 要求的基础手段之一。
2.2 更高安全等级:双 MCU 与主从 ECU 架构
对于安全等级要求更高、或对持续可用性(Fail-Operational)有要求的系统,仅依靠单芯片内部的锁步机制往往已不足以覆盖所有风险。因此,工程上还会进一步引入双 MCU 架构或主从 ECU 架构。在这类架构中:
系统由两颗相互独立的 MCU 或 ECU 组成;
两者通常采用独立芯片、独立电源、独立时钟;
软件栈也相互独立,甚至由不同团队或不同工具链开发;
通过通信接口实现交叉监控与结果比对。
主从架构中,主控制器负责正常控制任务,从控制器持续对主控制器的输出和行为进行监测;一旦检测到异常,从控制器可以接管部分功能或触发系统进入安全模式。这类设计不仅能够覆盖 MCU 内部的随机硬件故障,还可以在一定程度上降低系统性失效(Systematic Fault)和共因失效(Common Cause Failure)的风险。
三、传感器层面的冗余设计:
确保感知信息可信
3.1 多通道与多物理量冗余设计
在转向、制动、加速踏板等安全关键系统中,常见的做法是为同一物理量配置双通道甚至多通道输出。例如:
一个转角传感器同时输出两路角度信号;
两个通道在电路结构、信号调制方式或测量原理上存在差异;
一路可能采用模拟电压输出,另一路采用 PWM 或数字编码输出。
通过在物理实现和信号形式上的差异化设计,可以显著降低因同一原因导致两路信号同时失效的概率,从而有效防范共因失效。
在更复杂的场景中,还会引入多物理量冗余,即通过测量不同但相关的物理量,对同一系统状态进行交叉验证。例如:
同时测量制动踏板行程和制动压力;
同时监测转向角度和转向力矩。
3.2 芯片与接口层面的冗余支撑能力
从芯片实现角度看,这类传感器冗余设计对控制器和接口提出了更高要求,包括:
传感器通道具备独立供电能力,避免单点供电失效;
支持独立采样与独立 ADC 通道,防止采样链路故障扩散;
内置或支持一致性校验、范围校验和合理性检查功能。
相关的诊断与校验逻辑通常由 MCU 内部的软件安全机制或 专用模拟前端(AFE)来完成。AFE 负责对模拟信号进行预处理和基础诊断,而 MCU 则结合系统状态和控制逻辑,对多路传感器数据进行融合判断,并在异常情况下触发安全响应。
总体而言,无论是在控制器层面还是传感器层面,冗余设计的核心思想都是通过结构独立性、功能重复性和结果交叉验证来提升系统对故障的感知能力和容错能力。这些冗余机制相互配合,共同构成汽车电子系统满足高ASIL 等级功能安全要求的重要技术基础。
四、执行与驱动层面的冗余设计:
面向可控失效与降级运行
在执行机构与功率驱动层面,冗余设计的侧重点与计算和感知层有所不同,更加强调故障的可检测性、可控性以及失效后的可预测行为。由于执行层直接驱动车辆的转向、制动、动力输出等关键动作,一旦发生异常,其影响往往具有即时性和不可逆性。因此,这一层级的冗余设计目标并不局限于“继续正常工作”,而是确保在发生故障时,系统仍然能够以受控方式运行,或平稳进入安全状态。
4.1 功率驱动芯片中的诊断型冗余设计
在电机驱动、制动执行器或转向助力系统中,功率驱动芯片(如高压或低压驱动 IC)通常集成了多种诊断和监测机制,以实现对关键失效模式的实时感知。这类冗余主要体现在诊断路径和监测通道的冗余,而非简单增加功率器件数量。典型的诊断与监测手段包括:
高边 / 低边独立诊断:对功率开关的导通状态进行分别监测,能够区分短路至电源、短路至地或开路等不同故障类型;
电流镜或电流采样电路:实时监测驱动电流,判断是否存在过流、堵转或负载异常;
这些诊断通道通常在电路结构和信号路径上相互独立,一旦检测到异常,驱动芯片可以在硬件层面立即采取保护措施,如关闭功率输出、限制占空比或向控制器上报故障状态,从而将风险控制在可接受范围内。
4.2 面向高安全等级的结构性冗余设计
在部分对安全等级要求极高的系统中,仅依靠单一功率级的诊断保护仍不足以满足 ASIL-D 等等级的需求。因此,工程上还会进一步引入结构性冗余设计,例如:
双逆变器架构;
分相驱动或多相电机结构。
以双逆变器为例,系统通过两套相互独立的功率驱动单元驱动同一执行机构。当其中一套逆变器或部分功率器件发生失效时,另一套仍可在降额条件下继续工作,从而保证系统具备最低限度的执行能力。
在分相驱动结构中,即使某一相或部分功率级发生故障,其余相位仍可以输出受限但稳定的驱动力,使执行机构保持一定程度的可控性。这对于转向或制动系统尤为重要,因为即使性能下降,只要行为可预测,系统就有机会通过上层控制策略实现安全降级。
4.3 面向降级运行的工程设计思想
需要强调的是,执行与驱动层面的冗余设计并不是简单意义上的“备份方案”。与传统的“主备切换”不同,这类冗余更关注:
故障发生后系统输出是否可预测;
执行能力是否能够平滑下降而非突然丧失;
上层控制器是否能够基于已知的性能边界进行重新决策。
因此,这是一种面向降级运行(Degraded Operation)和持续安全控制(Fail-Operational)的工程设计思路。通过在驱动层引入诊断冗余和结构冗余,系统能够为上层控制和决策层提供明确的故障状态和能力边界,使整车在异常情况下仍然具备安全处置空间。
总体来看,执行与驱动层面的冗余设计通过诊断机制、结构冗余和受控输出能力的组合,实现了从“防止故障扩散”到“支撑安全降级运行”的功能安全目标,是高安全等级汽车电子系统不可或缺的重要组成部分。
五、避免共因失效:
冗余设计真正的难点
值得特别注意的是,冗余设计并不等同于“把所有关键部件简单地做两份”。在汽车电子系统中,如果冗余单元在结构、资源或设计缺陷上高度相关,那么在发生特定故障时,它们很可能同时失效,从而使所谓的冗余形同虚设。正因如此,从芯片设计和系统工程的角度来看,冗余设计面临的真正挑战并不在于数量,而在于如何有效避免共因失效(Common Cause Failure)。
所谓共因失效,是指多个本应相互独立的冗余单元由于共享同一失效源而同时发生故障。例如,如果两套冗余计算单元:
共用同一电源轨,一旦电源电压异常,两者会同时失效;
共用同一时钟源,时钟漂移或停振会导致同步错误;
运行同一份存在缺陷的软件代码,系统性软件错误将同时影响两套单元。
在上述情况下,即便系统在硬件层面具备“看似完整”的冗余结构,也无法真正提升功能安全水平。因此,在高安全等级汽车电子系统中,冗余设计的核心目标是实现冗余单元之间的充分独立性和多样性,而非形式上的重复。
为了降低共因失效风险,车规芯片通常在架构层面集成多种独立监测与诊断机制。典型做法包括:
独立的电源监控模块,对不同电源域进行电压、欠压和过压检测,确保单一路径的电源异常不会悄然影响所有冗余单元;
独立的时钟监控电路,通过主从时钟、时钟监测器或频率比较机制,及时发现时钟失效或异常漂移;
多级错误检测与保护逻辑,如 ECC 校验、奇偶校验和安全状态机,用于监控计算与数据路径的正确性。
此外,仅有监测机制并不足以证明冗余路径在真实故障场景下确实有效。因此,车规芯片还往往集成错误注入(Fault Injection)机制,用于在开发、验证和量产测试阶段主动引入可控故障,例如:
模拟存储单元位翻转;
注入时钟异常或通信错误;
触发电源扰动或计算错误。
总体而言,真正有效的冗余设计是一种高度工程化、系统化的工作,它要求在硬件架构、软件设计、供电与时钟规划以及验证方法等多个层面协同考虑。只有当冗余单元在结构和行为上真正具备独立性,并且其有效性经过充分验证,冗余设计才能在关键时刻发挥应有的安全保障作用。
六、系统级协同冗余:
面向线控底盘与集中式架构的演进
随着线控底盘(Brake-by-Wire、Steer-by-Wire)技术的逐步落地以及集中式、域融合乃至中央计算电子电气架构的不断演进,汽车电子系统中冗余设计的内涵和实现方式正在发生深刻变化。传统分布式架构下,冗余往往以“模块级堆叠”的形式存在,即通过在关键 ECU、传感器或执行模块上增加备份单元来提升安全性。然而,在高度集成和功能强耦合的新一代架构中,这种简单叠加的方式已难以满足复杂系统对安全性、可靠性和成本的综合要求。
在集中式电子架构中,车辆的感知、决策与控制能力高度集中于少数高算力控制节点,底盘、制动、转向等关键功能之间的耦合程度显著提高。这使得冗余设计必须从“某个模块是否有备份”,转变为“整个系统在故障情况下是否仍然具备可控行为”。也正是在这一背景下,冗余设计逐渐演进为一种系统级协同机制,需要在芯片、控制器、通信网络和执行机构等多个层级进行统一规划和协同设计。
在这种架构范式下,芯片的角色也发生了根本性变化。芯片不再只是被动执行某项功能的“功能实现单元”,而是逐步演变为功能安全架构中的基础构件。其内部集成的计算冗余、供电与时钟隔离、诊断与监测机制,直接决定了系统层面能够实现怎样的安全策略和降级路径。换言之,系统级功能安全能力在很大程度上,是由底层芯片架构所“预先定义”的。
这种从模块冗余向系统协同冗余的转变,对于线控制动系统尤为典型。以 EHB(Electro-Hydraulic Brake,电液制动)和 EMB(Electro-Mechanical Brake,电机械制动)为例,这类高安全制动系统不再依赖传统的机械或液压备份路径,而是高度依赖电子控制、传感器反馈和电驱动执行。在此类系统中,任何单一组件的失效都可能直接影响车辆的制动能力,因此必须通过系统级的冗余与协同设计,确保在局部失效情况下仍能维持最低限度、但可预测的制动性能。
要真正理解 EHB、EMB 等高安全制动系统的设计逻辑,首先需要深入理解冗余设计的本质:冗余不是简单增加硬件数量,而是通过结构独立、功能互补和状态可感知的设计,使系统在失效情况下依然保持受控。只有在这一前提下,才能正确理解这些系统为何在芯片选型、控制架构、执行机构设计以及软件策略上表现出高度复杂却又高度克制的工程取舍。
总体而言,冗余设计的演进过程,正是汽车电子系统从“局部安全”迈向“系统安全”的缩影。它不仅是一种硬件设计策略,更是一套贯穿芯片、软件、架构与验证全过程的工程方法论。
在未来以线控底盘和集中式电子架构为核心的汽车系统中,谁能够在芯片层面和系统层面同时构建结构独立、行为可预测、验证充分的冗余与降级策略,谁就能在高安全汽车电子领域占据真正的技术制高点。
参考: