车机HMI开发过程中的功能安全方案

开发汽车仪表的过程中，常会遇到有ASIL-A，ASIL-B的需求。比如说汽车挡位的显示，安全气囊报警灯，制动故障报警灯等。随着液晶屏的普遍使用，仪表中的信息指示及报警逐步地往液晶屏幕中迁移，物理显示向数字显示转变，要满足ASIL安全需求的方法也因此有一定的区别。

什么是ASIL

ASIL（Automotive Safety Integration Level，汽车安全完整性等级）是ISO 26262中一个对危害进行评级的方法。
进行ASIL的考量时会有三个因子对危害进行描述——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）。根据这三个因子，就可以判定一个危害的ASIL等级。
ASIL分为A、B、C、D四个等级，其中A为最低等级，D为最高等级。QM指质量控制体系就能够满足该危害的风险控制要求。

报警指示灯为例，

ASIL-A的物理报警指示灯

1. 信号中添加Alive Timeout，以方波信号检测信号是否仍然有效；
2. 硬件电路中检测电压，以检测指示灯是否依照信号工作（亮灭）；

ASIL-B的物理报警指示灯

1. 以E2E替代Alive Timeout；
2. 硬件电路中检测电压，以检测指示灯是否依照信号工作（亮灭）；

ASIL-A的液晶报警指示灯

1. 回读Frame Buffer中的功能安全图像显示区域，进行CRC校验；
2. CRC值离线计算；
3. VOM；

ASIL-B的液晶报警指示灯

1. 独立的Flash存储空间；
2. 独立的Frame Buffer；
3. 回读Frame Buffer中的功能安全图像显示区域，进行CRC校验；
4. CRC值实时计算；

当汽车仪表进入全液晶时代时，其实液晶屏本身的故障同样也会存在成为危害的风险。
如果液晶屏自身的故障为花屏，黑屏，那样驾驶员还是能够及时分辨得出来是有存在风险的，而如果液晶屏本身出现如画面冻结住的这种难以及时分辨出来的情况，就会成为一个较为严重的危害了。
因此，液晶屏在今后的发展中，可能也会有加入符合功能安全的自检机制。