當今汽車電子工程師所面臨的嚴峻挑戰就是構建低成本、無故障(fail-silent)甚至在發生故障時也能正常工作的汽車系統。制動、轉向以及其他車輛穩定控制功能都屬于任務關鍵型特征，對安全有著極高的要求，即使電子底盤控制技術日益受到大眾的青睞，也不能輕易應對上述挑戰。

　　對于主要的汽車系統功能而言，電子底盤管理技術都具有極大的吸引力，但由于種種原因，該技術還很難實現，在安全與可靠性方面還面臨眾多難題。為應對當前面臨的安全規定挑戰，國際電工委員會(IEC)已針對電氣/電子/可編程電子安全相關系統的功能安全性定義了相關標準。目前，IEC 61508被視為安全關鍵型系統開發領域的最高級標準。盡管該標準尚未以法律的形式全面強制實施，但還是希望汽車系統設計人員能夠滿足這一實際的技術標準要求。汽車系統設計人員在構建應用功能安全性時必須考慮到從輸入傳感器到數字處理和傳動裝置等整個信號鏈的要求。

　　IEC 61508將“危險”與“風險分析”作為系統設計的一部分，并將電子控制單元(Electronic Control Unit)的“功能安全性”定義為“整體安全性的一部分—取決于系統或設備能否對其輸入進行正確響應”。如圖1所示。系統的每項安全功能均根據“要求”(該功能需要完成什么工作)和“完整性”(圓滿執行該功能的可能性)進行評估。此外，該標準還進一步將高強度工作模式或持續工作模式下安全功能發生危險故障的概率分為四種不同的“安全完整性等級”(SIL)。每種等級涵蓋一定范圍的可接受故障率，也就是“平均故障間隔時間”(MTTF)，而SIL4是其中最嚴格的標準。SIL評級適用于包括汽車業在內的許多行業，每種SIL分級的定義均適用于各自行業領域。安全完整性等級中的SIL2和SIL3是非道路應用中最常見的安全級別。

　　圖1 總體系統的功能安全性依靠設備響應輸入進行正常工作

　　根據安全功能和重要性的不同，汽車系統可遵從IEC 61508標準下的SIL2或SIL3規定。自檢測系統的可靠性要求多級統計獲得的“安全故障系數”(SFF)達到99 %，可靠性參數的具體計算方式為檢測到的危險故障(包括非危險故障)與所有故障之比。“診斷覆蓋率”(DC)是指檢測到的危險故障相對于所有危險故障之比。此外，對于安全關鍵型汽車系統來說，DC應達到99%。

　　能否通過汽車系統的SIL3認證，通常取決于啟動并控制機械系統的電子控制單元(ECU)的性能。諸如德國萊茵集團(TUV Rheinland)等獨立安全評估機構負責汽車系統的 ECU評估和SIL3認證工作。TUV是一家國際化的服務集團，可頒發產品、系統及服務的安全和質量證書。

　　任務關鍵型集成機械系統(如制動)還不能完全被電子產品取代。但任何SIL3認證要求的高級機械或電子安全性均需通過利用冗余系統來實現，電子系統有助于廣泛實施冗余。

　　電子子系統的SIL3認證

　　用電子系統取代液壓或機械系統，必然使OEM、汽車制造商及消費者各方充分受益。電子系統可消除內燃機的皮帶傳動負擔，從而有助于降低成本、重量與燃油消耗。

　　汽車制造商可用機械解決方案取代液壓制動助力器，并最終完全取消液壓傳動系統，實現完全電控的線控制動系統，如圖2所示。不過，這一革命性轉變需要實施冗余系統或后備系統(類似于航空電子系統)，才能避免在危險時刻車輛會完全喪失制動能力的風險。期間的過度性步驟包括“混合制動”模式，也就是只在車輛的一個而不是兩個車軸上安裝液壓后備系統即可。

　　圖2 用電氣解決方案取代液壓助力器有助于大幅降低燃油消耗、成本及噪聲

　　微處理器(MCU)是ECU中的關鍵組件。使用傳統的汽車MCU不可能達到SIL3認證要求。需要采用全新的芯片架構，以確保處理結果、總線流量的數據完整性以及存儲器中數據的安全性與可靠性，同時滿足嚴格的響應時間要求。

　　根據IEC 61508標準，危險故障的成因包括以下因素：

　　(1)軟件或硬件系統規范不正確;

　　(2)安全要求規范缺失;

　　(3)硬件隨機故障;

　　(4)系統原因故障;

　　(5)人為錯誤;

　　(6)環境影響(EMI、溫度以及機械等)。

　　從完整系統的角度來說，危險評估和安全完整性要求包括以下因素：

　　在電壓下降、假信號等情況下確保穩定的電源供給和時鐘信號完整性; 用于處理與通信的冗余性或真實性檢查，其中包括往返于傳感器和執行器的信號; 提供故障檢驗功能; 提供故障管理策略，其中包括在故障容錯架構、緊急操作模式及可控系統關斷等情況下定義安全狀態和故障防護; 增強型軟件開發進程包括使用正式規范、編程語言子集以及代碼驗證工具等。