汽车芯片功能安全,一纸证书背后的“含金量”|电源|功能安全|芯片|iso26262

随着量产新车中自动驾驶功能的不断增加,功能安全问题已成为整个行业的关注焦点。从定义上来看,功能安全是指避免由系统功能性故障导致的不可接受的风险。其概念与本质安全相对,后者的优势在于可以彻底排除涉及危险的诱因,但大规模的改造成本很高。因此,功能安全的目的就是当系统发生故障后,将系统进入安全的可控模式,避免对人身、财产造成伤害。何为ISO 26262?为了解决功能安全问题,国际标准化组织(ISO)在2011年制定ISO 26262标准基础之上,又在2018年发布的第二版中追加了半导体指南内容。ISO 26262是专门用作提升汽车电子电气产品功能安全的国际标准,它派生于电子、电气及可编程器件功能安全基本标准IEC61508,又以IATF 16949为前提,对功能安全进行了规范化。其系列标准分为ISO26262-1到ISO26262-10,共10本。分别从功能安全管理、概念、系统级研发、软硬件研发,生产和操作等方面对产品的整个生命周期进行了规范和要求。而对于流程标准, ISO 26262的相关认证需要109个工作成果物。大致分为管理、概念、系统、硬件、软件、生产、支持程序,安全分析等方向。在依据ISO 26262标准进行功能安全设计时,首先需要识别系统的功能,并分析其所有可能的功能故障。在此过程中可使用HAZOP、FMEA、头脑风暴等分析方法。功能故障的其中一个特点是在特定的驾驶场景下才会造成伤亡事件。以近光灯系统为例,其功能故障之一就是非预期熄灭。在夜间,如果车辆行驶在漆黑的道路上,突发车灯熄灭,则可能会引发严重的交通事故。不过如果故障发生在白天,则不会产生任何影响。因此,功能故障分析需结合驾驶场景分析,例如公路类型、路面情况、车辆状态、环境条件、人员情况等。而功能故障和驾驶场景的组合叫做危害事件。危害事件确定后,则需根据严重度、暴露率和可控性三个因素来评估危害事件的风险级别——即ASIL等级。打开腾讯新闻,查看更多图片 >罗姆半导体(上海)有限公司技术中心副总经理李春华指出,对于芯片设计来说,首先需要定义对应哪个ASIL等级的产品开发。对于ASIL等级产品开发的项目,立项当中要完全符合ISO 26262认证流程,包括项目经理、开发负责人、开发担当的设立。而若想从技术上实现芯片开发的话,则需设立功能安全认证的相关职位。于公司内部也需要有负责功能安全的管理者。管理者需要负责功能安全相关工作成果物的制作、管理。同时,该流程中还需要第三方组织负责监管。第三方组织与公司内部的功能安全管理者需要相互对接,针对功能安全横向流程的构建、管理进行策略提供与流程监控。通过这些流程设立与针对流程的开发,才可以开发符合ISO 26262流程的产品。如何实现功能安全?为了取得ISO 26262认证,罗姆建立了专门的工作组,同时在内部实施开发流程。其中包括符合ISO 26262的车载IC开发流程的制定与维护管理、公司内部培训,体制的建立,同时对外提供ISO 26262相关稳健的格式建立。总体上,罗姆将工作分成了五个大的方面,并建立了流程、产品、教育、工具、生产在内的五个不同的分科。从安全认证到后续工作的开展,都有具体的小组进行负责与推进。其中,流程分科主要针对流程管理和方向、对于2018年第二版的流程认证调查,以及软件错误率的调查;产品(分科)部分主要针对FIT值、FMEDA值、约70多种成果物的制作支持,以及功能安全技术人员的资质取得等;工具(分科)则针对现有工具的认定和管理,新规工具的导入、考量和管理,以及故障注入仿真;最后,教育(分科)与生产(分科)部分分别针对社内教育、资格取得,以及生产相关账票的制作和管理。其中,在产品(分科)中,FIT是Failure In Time的简称,代表单位时间内的故障数。例如。1FIT即每小时10的负9次方,可以理解为10万个产品在运行1万个小时之后出现一个不良定义。而FIT数有很多标准,不同国家与协会的定义方式都是不一样的。其计算标准大致分为MIL-HDBK计算法、JEDEC计算法、IEC/TR 62380国际电气标准会议计算法、IEC61709等。李春华表示,从方向上来讲,FIT数的计算方式今后将过渡为IEC 61709的方式。而FMEDA是指对于故障模式影响诊断解析的说明,主要是不同区域板块对故障模式的发生率、故障的影响,对于安全方故障率和危险方故障率的方法解析。李春华表示,ISO 26262的认证可以通过很多机构来取得。例如德系的TüV Rheinland、TüV SUD、SGS TüV等。其中,取得流程认证首先需要审核认证是否符合ISO 26262标准的流程,包括公司内的规定、开发标准,是否有具体操作的流程书。以LSI开发为例,取得相关流程认证需要追加很多工作成果物。随后在产品规格上注明依据符合ISO 26262 ASIL的开发流程的等级标准。而产品的认证主要针对于超通用的产品,例如MCU。罗姆的相关产品在产品方面,罗姆有针对液晶面板的芯片组与车载ECU外围电源配置。同时,罗姆也是目前为数不多的,可以在液晶面板周边都有相应芯片组方案的公司。面对预防黑屏、误显示、死机等Safety Goal,罗姆可提供由时序控制器、源极驱动器、栅极驱动器、PMIC等组成的芯片组。其原理是通过IC之间互相的协作,将各个芯片错误的状态进行监控与回复。一旦错误出现,通过控制器来传达给后端的MCU,达到对于整体液晶面板Safety Goal的实现。在供电的功能安全方面,罗姆推出了相比传统更简便的方案:在现有电源构架不变的情况下,加一个电源监控的IC,并通过向电源输出的状态进行监控与自我诊断,再通过芯片对于监控的状态实时的反馈状态给到ECU,来传达供电端出现问题的部分。对于OEM、Tier1来说,这样可以有效节省开发周期与成本,达到实现同样功能等级的产品。另外,该方案对于系统端也可以有效进行功能安全策略上的对应。其优势在于可以沿用现有的电源构架,只要加上罗姆的芯片即可完成客户系统端的安全提升。目前,罗姆已实现量产了一款电源监控IC,即可监控多个电源的电源监控IC“BD39040MUF”。李春华强调,罗姆已经取得了ISO 26262的开发流程认证,现致力于进行功能安全的产品开发和设计。目前,PMIC符合工艺要求的三种机型产品正在开发中。不过,即使不符合工艺,也有能够支持ISO 26262的应用的产品,如PMIC、电源监视IC、T-CON、EEPROM和复位IC等也广泛地扩展到车规级,有超过1000种机型。

(0)

相关推荐