功能安全量产落地的三座大山(五)
周期与成本(二)
导入功能安全的成本到底有多高
上一篇我们讨论了交付周期,其实严格来说,交付周期也是成本的一种——时间成本。只不过在当前的市场环境下,交付周期的问题特别突出,所以有必要单独进行讨论。
降低成本的重要性无需多言,不管是哪个行业、哪家公司,降本增效都是永恒的课题。但是汽车行业又有其特殊性——汽车是一个规模效益的产业,所以对汽车企业来说,销量非常关键。销量越大,均摊的成本就越低。而成本越低,在产品营销上就越有优势,销量就越能继续扩大。这是一个相互促进的过程。所以对于汽车产业而言,降低成本显得更为迫切。
接触过功能安全的人都知道,功能安全的导入会给企业增加不少成本,包括:
硬件成本
高ASIL等级的安全功能常常需要增加冗余,也就是增加硬件组件
核心芯片往往都需要经过功能安全认证,而且往往不止一个芯片
硬件失效率不达标,需要更换可靠性更高/失效率更低的电子元器件
硬件FMEDA及故障注入测试需要投入大量的时间精力,而且常常要反复好几轮……
软件成本
需要开发新的软件(承担安全功能)
软件分区等措施的引入可能对原有软件架构影响很大,需要大改
软件白盒测试的覆盖率指标要求很高,达不到的话需要返工
增加很多安全机制有可能造成软件不稳定,需要大量时间来调试、修改、验证……
工具链成本
需求管理工具;
安全分析工具;
软件开发工具;
软件测试工具……
管理成本
流程体系建立需要投入人力;
项目安全管理需要投入人力;
功能安全审计需要投入人力;
功能安全评估(如有)需要投入人力……
这一系列折算下来,保守估计也得上千万。而且这还主要是设计研发环节的统计,并没有包括产品的全生命周期。导入功能安全会引起成本上升这很正常,但如果增加的太多,很容易让人望而却步。尤其对于很多中小企业来说,可能基本的流程体系都还不健全,现金流压力也比较大。在这种情况下想要实施功能安全,往往需要面临更大的挑战。
这一系列折算下来,保守估计也得上千万。而且这还主要是设计研发环节的统计,并没有包括产品的全生命周期。导入功能安全会引起成本上升这很正常,但如果增加的太多,很容易让人望而却步。尤其对于很多中小企业来说,可能基本的流程体系都还不健全,现金流压力也比较大。在这种情况下想要实施功能安全,往往需要面临更大的挑战。
当然,对于上述这些成本,我们也应该辩证的来看:
硬件BOM成本随着出货量增大而降低,而且现在芯片厂家提供的芯片很多都是经过功能安全认证的,不做功能安全反而没有“物尽其用”
软件在首次开发时会遇到很多困难,但是只要成熟、稳定之后,就可以作为平台软件长期复用,尤其是基础软件模块,非常典型
很多工具软件并不是实施功能安全才要求的,比如需求管理工具、软件测试工具等,只不过之前一直没有,所以在导入功能安全时暴露了当前存在的问题
功能安全流程涉及的管理职责,可以由现有的角色比如项目经理、质量工程师等兼任,大家各自负责一部分,这样每个人增加的工作量就比较容易让人接受
这么看下来的话,导入功能安全的成本其实也没有那么高了,对吧?所以,很多企业实施功能安全的成本特别高昂,很大程度上是因为第一次搞,而且在搞功能安全之前的研发流程、软件工具等基础设施并不完善。基础差、底子薄,却要一下子来个“三级跳”,感觉吃不消其实很正常。
所以笔者认为,企业首先需要真正做到ISO 26262标准里要求的QM,然后在这个基础上再导入功能安全,这是最理想的情况。在这种从QM到ASIL的发展模式下,增加的成本仍然会有,但绝不会像现在这样让人难以接受。
罗马不是一天建成的,基础设施的建设也需要持续投入,在此我们也就不再过多讨论了。作为一名功能安全工程师,我们首先要做的、并且肯定能做的就是在项目实施的过程中,想方设法用最低的成本来实现功能安全的要求。把功能安全做出来没有什么了不起的,我们的目标是要用最低的成本做出来。如果能做到这一点,那就意味着我们的产品相比同行友商而言,已经有了竞争优势。
案例分享
给大家分享一个笔者在实际项目中遇到的案例。要实现ASIL C的电流采样功能,我们可以使用两个Hall传感器来进行冗余比较,但是这样成本太高。然后我们可以使用一个Hall传感器+一个分流器来进行冗余比较,这样能降低成本。接下来我们还可以使用两个分流器来进行冗余比较,进一步降低成本。
然而这样就结束了吗?并不是,实际上我们可以采用一个分流器来实现ASIL C的电流采样功能。安全目标没有变,但我们的设计成本在不断降低。
实施建议
我们的目标是用最低的成本实现功能安全的要求。要做到这一点,我们必须密切关注行业发展动向,因为整个行业都在追求降本,更低成本的方案/设计/芯片在不断的面世。如果有一种物美价廉的新技术,同时又能满足我们的需求,我们为什么不采用呢?另一方面,我们需要对功能安全深入理解,达到灵活运用的水平。这样的话,当新的技术方案摆在你面前的时候,你才能够判断出它是否可以满足功能安全的要求。这一点将在“理论与实践”部分再与大家详细讨论。
To Be Continued
说明:
* 文章仅代表作者个人观点,不代表'仨人谈起'立场