汽车功能安全标准 ISO 26262是汽车领域的电气/电子相关功能安全国际标准,贯穿于整个车辆的生命周期。在2018年颁布的第2版中,还新增了半导体元器件作为支持自动驾驶功能安全的核心产品。如何在取得ISO 26262认证过程中做好流程认证、产品认证、开发端口协议责任等细致完备的工作,对每一家企业来说都绝非易事。
汽车功能安全标准ISO 26262是在汽车的电子化及高性能化发展,以及全球市场对汽车安全性能要求日趋严格的背景下,于2011年11月正式颁布的关于汽车电控系统功能安全的国际标准。该标准是预先计算出汽车电控方面的故障风险,并把降低该风险的机制作为功能的一部分预先植入系统中,从而实现"功能安全"的标准化开发工艺。该标准的对象涵盖从车辆的构思到系统、电子控制单元(ECU)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。
随着自动驾驶(ADAS)相关的技术不断创新,以ADAS为代表的技术革新进程加速,为确保汽车的安全性,要求组成车载零部件的半导体也要达到自身的安全标准。在2018年颁布的第2版中,不仅对象范围扩大到巴士、卡车、两轮车辆,还新增了半导体部分,半导体元器件作为支持自动驾驶功能安全的核心产品成为关注的焦点。
按照罗姆半导体(上海)有限公司技术中心副总经理李春华给出的定义,“安全=没有不可容忍的风险”。在这一前提下,安全自身又被分为“本质安全”和“功能安全”两类:其中,“本质安全”是指降低机器危及人命和环境的因素,或彻底排除这种诱因。日常生活中,将列车线路和常规马路设置为立交状态,避免事故发生,即为此类案例。它的优势在于可以确保绝对的安全,但大规模的改造成本很高;“功能安全”是指引入有效的改善办法,确保可容忍范围的安全。通过在铁道口设置报警器和安全栏杆,将风险降低到可容忍范围内即属于此类范畴。它的特点在于可以根据改善方案实现成本的降低,但必须考虑到故障的发生。
初识ISO 26262认证
ISO 26262认证分为两方面:一个是流程(开发流程)的标准,通常以IATF 16949为基础引入账票类、可追溯性管理等,需要追加功能安全的工作成果;另一个是产品(产品性能)的标准,安全机制符合ASIL所要求的安全等级,并追加自诊断等功能。
先看流程标准。ISO 26262流程认证需要109个工作成果,它们依据内容的不同被分为管理、概念、系统、硬件、软件、生产、支持程序、安全分析等不同的类别,对于像罗姆这样的IC公司来说,主要考虑的是管理、硬件、生产、支援、安全分析在流程上的认证,而像概念、系统、软件等类别,由于主要面向OEM、Tier1和软件厂商,并不在其取得认证流程的内容当中。
确定好类别后,接下来需要考虑的是对应于ISO 26262的开发体制。李春华说,对于芯片设计企业而言,首先需要明确待开发的LSI项目对应哪个ASIL等级,项目中包括项目经理、开发负责人、功能安全管理者、开发担当的设立,都要完全符合ISO 26262认证流程。其中,又以功能安全管理者的职责最为重要,因为与功能安全相关工作成果的制作、管理都在其名下。同时,该流程中还需引入第三方组织进行监管,直接与公司内部的功能安全管理者进行对接,工作内容包括功能安全相关的横向流程构建、管理确认策略和流程监控。
再来看产品性能标准。产品性能标准就是我们日常熟知的ASIL各种等级,根据不同用途,危险度从ASIL-A到ASIL-D逐级增加。图1展示了不同ASIL级别的工作成果,可以看到,在最高的ASIL-D等级中,一些关键指标,例如SPFM(99%)、LFM(90%)等,远远高于ASIL-A等级要求。
图1:不同ASIL级别的工作成果
以应用于ADAS或EPS电源中的电源LSI为例,图2中虚线框内部分是芯片自身所具有的主要功能,既包括电源的输入输出特性,也包括TSD过热保护回路、OVP过压保护回路和UVP欠压保护回路在内的保护功能。但考虑到必须要满足ASIL-D等级要求,在和Tier1厂商、OEM厂商进行充分协商后,罗姆对红色框图区域进行了功能强化,主要是构建安全机制和自诊断功能,确保一旦芯片自身保护功能失效,系统中的失效机制能够快速将其反应出来并采取正确补救措施。
图2:为确保汽车行驶安全,LSI需要符合安全功能
总体来说,流程认证和产品认证的不同之处在于,流程认证的取得,首先需要审核公司规定、开发标准、操作流程书等是否确立符合ISO 26262标准的流程,然后依据取得认证的流程进行LSI开发时,需要追加很多工作成果,并在规格书上注明“依据符合ISO 26262 ASIL-X标准的流程进行开发”;而产品认证主要针对MCU等超通用品,各产品分别取得认证,每个产品都要符合ISO 26262标准的流程进行开发,各工作成果也要经过审核认证。
ROHM认证工作带来的启示
作为半导体制造商,罗姆自2017年开发由液晶驱动电源IC等构成的、支持功能安全的液晶面板芯片组,并于2018年3月21日通过第三方认证机构德国莱茵TÜV Rheinland取得了ISO 26262的开发工艺认证,这意味着罗姆面向车载领域的元器件开发工艺被认定为可满足该标准中的高安全等级"ASIL-D"。
李春华介绍说,为取得ISO 26262认证,罗姆成立了专门的工作组,下设五个不同的分科(流程、产品、教育、工具、生产),主要职责包括符合ISO 26262的车载IC开发流程的制定和维护管理、符合ISO 26262的公司内部体制的建立、整合统一需要对外提供的ISO 26262相关文件的格式、实施关于ISO 26262的培训、以及向外部宣传ROHM致力于取得ISO 26262的行动。
其中,流程分科,主要针对流程的管理和方针、构建应对第二版的流程、以及SER(软错误)调查;产品分科,主要工作包括单位时间故障数(FIT)、故障模式影响诊断解析(FMEDA)制作支持、70余种工作成果的制作、功能安全技术人员的资质取得;工具分科,包括现有工具的认定和管理、新规工具的导入、考量和管理、故障注入Sim;教育分科,工作内容涵盖公司内部学习会、功能安全经理资格认证、功能安全工程师资格认证;生产分科,主要针对于生产相关账票的制作和管理。
图3:2015-2020罗姆ISO 26262认证时间表
在车载级元器件方面,罗姆打造了车载产品专用生产线,并遵行汽车行业质量管理体系"IATF 16949"及电子元器件可靠性标准"AEC-Q100/101/200"等来推进产品开发。目前,罗姆的解决方案主要包括“针对液晶面板的解决方案”和“针对ECU电源电路的解决方案“。
图4:车辆显示装置的电路配置示例
图5:罗姆电源监控IC“BD39040MUF”框图,内置各种监控功能和自我诊断功能
“虽然ISO 26262旨在实现功能安全,但它并不是法律。因此,不遵守ISO 26262标准并不违法。不过,汽车制造商并不会购买不符合标准的产品。”李春华表示,汽车制造商通过根据ISO 26262设计电气/电子系统来证明能够确保汽车的安全。而且,设计应确保即使发生了电气/电子系统故障,也不会造成人身伤害。相比之下,尽管支持功能安全的芯片成本会有所上升,但从系统角度来衡量,功能提升和消减开发工时所带来的好处远远胜过成本的增加。
您可能感兴趣
