•  

    汽車電子功能安全工程師必看!ISO 26262認證基本原理解析

    2019-02-18 17:09:33 來源:chinaaet
    標簽:

     

    汽車半導體設備和電子系統的開發人員要小心:可能有些供應商聲稱他們的產品符合ISO 26262安全標準要求,如果這些說法未能闡明用于制造汽車產品的人員和流程驗證,則這些說法可能是不可靠的。如果系統設計人員未能仔細評估供應商的資質,他們就很難在汽車供應鏈中讓客戶接受其產品。

     

    汽車供應鏈的參與者負責對每個供應商的產品進行自己的功能安全評估,同時考慮供應商記錄的使用假設(AoU),描述供應商的產品如何用于汽車系統。供應商根據特定配置和用例來定制自己的分析,這些配置和用例有望與其集成商客戶的配置相匹配。針對汽車系統中使用的元件的第三方ISO 26262認證可以幫助系統集成商執行此分析,但它不會取代集成商在其自己的使用環境中分析其供應商產品的義務。

     

    本文探討了ISO 26262認證的基本原理,該認證涉及設計功能安全的汽車電子系統所涉及的人員,流程和產品。最終目標是讓開發團隊,管理人員和投資者更加了解遵守汽車安全標準細節所涉及的責任。反過來,這將提供有關合規性的工作和成本的更多信息,還將使供應鏈成員之間的溝通更加有效。

     

    不斷變化的汽車行業:新電子設備和新進入者

    所有乘用車電子系統在集成到汽車制造商的產品之前必須滿足嚴格的安全要求。該行業的供應商已經建立了一個復雜的供應鏈,以提供這些系統,以及產品滿足這些安全要求的能力的證明。這種信息共享系統需要IP供應商、半導體SoC開發人員、零組件供應商、軟件提供商、電子系統設計師和許多其他相關人員之間的詳細交流,以確保所有關鍵組件符合ISO 26262指南、程序、培訓水平、審核和評估。

     

    圖1:以半導體為中心的供應鏈,用于奧迪zFAS中央駕駛輔助控制器的關鍵部件(來源:奧迪; IHS Markit; Arteris IP)

     

    然而,隨著越來越多的機械部件轉變為電子系統,汽車工業正在迅速發生變化。其結果是,過去由人類駕駛員執行的功能正在由先進的駕駛員輔助系統(ADAS)補充和替代,其正在演變為自動駕駛系統。這兩個趨勢正在推動汽車行業的經濟增長和技術創新浪潮。市場快速增長的希望正在刺激新進入者,參與到汽車電子系統的浪潮之中。

     

    最近進入者可能缺乏根據ISO 26262功能安全標準開發和交付產品的經驗。雖然這些供應商可能聲稱其產品已準備好符合汽車安全標準,但供應鏈中的公司仍需要對產品開發過程中涉及的人員和程序進行廣泛、仔細的審查和評估,然后才能將其集成到更大的系統中。

     

    汽車電子供應鏈參與者主動解決此問題的一種方法是從認可的評估機構獲得ISO 26262認證。然而,大多數針對汽車用途的電子產品并非完整的獨立系統,可以通過ISO 26262標準認證,并完全了解產品如何在車輛中集成和使用。因此,對于認真服務于該市場的任何開發團隊而言,重要的是探索其供應商關于功能安全的聲明,無論是否聲明了認證。雖然第三方產品認證可以成為重要參考,但對任何組件的評估必須更深入,并且必須通過公司使用和集成產品來完成考察與認證。如果未能對供應商的人員,流程和產品進行評估,則可能導致客戶拒絕。

     

    為什么選擇ISO 26262?

    國際標準組織(ISO)聲明如下:

    ISO 26262旨在應用于安全相關系統,其包括一個或多個電氣或電子(E / E)系統并且安裝在批量生產的乘用車中。

     

    ISO 26262解決了E / E安全相關系統故障行為可能造成的危害,包括這些系統的相互作用。

     

    第一原則:信息共享是關鍵

    汽車系統的電氣化在快速進行。這一趨勢推動著創新,同時也吸引了更多投資、更多研發工作,以及汽車市場的新進入者。

     

    許多新進入者可能不知道的是,遵守汽車安全標準要求通過供應鏈的每個部分共享信息。各級經驗豐富的開發團隊都受到這些標準的挑戰,因為需求在不斷變化,整個行業中只有少數專家可以指導項目完成這一過程。此外,半導體和軟件供應鏈的參與者通常對其IP的開發方式及其工作原理保密。

     

    圖2:ADAS和自動駕駛系統價值鏈以半導體為中心

     

    供應商必須提供的信息包括具有安全目標的系統的每個元件的分析,教育和文檔。供應鏈的每個成員都必須提供這些信息。半導體IP供應商向SoC的開發人員提供此信息,芯片設計團隊使用這些信息來分析他們的定制系統,并將結果傳遞給Tier-1電子系統供應商。然后,這些一級供應商執行自己的分析并將結果發送給車輛制造商及其客戶。

     

    汽車供應鏈中的這些關系正變得越來越復雜,因為制造或設計自動駕駛應用芯片的傳統半導體供應商現在有時與Tier-1電子系統設計人員和OEM競爭,他們可能正在自己制造或設計芯片。此外,Uber,Waymo和Apple等新進入者正在設計自己的整套系統,盡管他們在汽車行業缺乏經驗。ISO 26262要求整個價值鏈中的高水平協作和信息共享,新進入者可能不熟悉這些。

     

    復雜性要求更好的分析

    整個汽車行業日益復雜,需要加強這些系統的安全性。現代汽車使用“線控”系統,例如線控油門,駕駛員推動加速器和傳感器。踏板將電信號發送到電子控制單元(ECU),該電子系統取代了過去使用連接在加速踏板和機械節流控制板上的金屬電纜。ECU比機械方法更智能,因為它可以做更多分析工作,如發動機轉速,車速和踏板位置,然后將命令傳遞給油門。

     

    我們也可以看到,測試和驗證線控油門系統比測試舊機械版本更困難。隨著我們用電子系統,電動傳動系統以及為汽車增加ADAS和自動駕駛功能取代機械系統,復雜性呈現爆炸式增長。ISO 26262的目標是建立一個統一的功能安全標準,以滿足所有汽車電子系統的需求。

     

    駕駛員輔助,電力推進,車載動態控制以及主動和被動安全系統等新功能越來越多地涉及系統安全工程領域。更大的技術復雜性、軟件內容和機電一體化實施帶來了系統硬件故障的更大風險,系統硬件故障是由系統開發期間的人為錯誤產生的。ISO 26262提供了如何通過規定要求和流程來最小化風險的指導。

     

    對于半導體SoC器件和IP的設計人員來說,與完整系統的指南相比,ISO 26262合規性的要求更加抽象。因此,IP開發人員必須對許多假設進行額外的分析,以確定集成到功能安全的汽車系統中的IP準備情況。

     

    功能安全

    ISO 26262的目標是為所有汽車電子系統提供統一的安全標準。實現系統安全要求在機械、液壓、氣動、電氣和電子系統等各種技術中實施若干安全措施,并且這些安全措施應用于開發過程的各個層面。

     

    ISO 26262定義了各種汽車安全完整性等級(ASIL)——QM,A,B,C和D-,以幫助將所需的流程、開發工作和產品內功能安全機制映射到可接受的風險等級。這五個級別的嚴格范圍涵蓋從基本質量管理到故障可導致致命事故的系統的廣泛范圍。在后一種情況下,ASIL D要求汽車系統中的單點故障量(SPFM)小于1%。下面的表1提供了有關ASIL水平與故障指標的更多信息。

     

    表1要實現ASIL D,系統中99%以上的單點故障必須由安全機制覆蓋。ASIL B和C需要較少的覆蓋范圍。(資料來源:ISO 26262-5:2011,表4和表5內容來自ISO 26262-1:2011)

     

     

    汽車SoC通過特定的硬件功能提供診斷覆蓋,以確保符合ISO 26262標準。這些片上功能安全機制包括糾錯碼(ECC)、數據鏈路和內部存儲器的奇偶校驗保護等技術,通過智能互連結構智能復制處理元件,內置自測(BIST)和錯誤報告機制。

     

    盡管ISO 26262關注的是E / E系統的功能安全性,但它實際上提供了一個框架,可以解決安全相關系統的整個生命周期。ISO 26262提供以下指導:

    生命周期管理,產品開發,生產,運營,服務,退役以及在這些生命周期階段定制必要的活動

    根據危險的嚴重程度,暴露概率和可控性來應用安全要求,以避免不合理的風險

    驗證和確認措施,以確保足夠和可接受的安全水平

    與供應商關系的要求

     

    所有這些看起來很復雜,但是通過關注三個主要方面,即“3P”,可以簡化對ISO 26262的要求的理解:

     

    人(People)

    流程(Process)

    產品(Product)

     

    供應商必須向客戶提供文檔,詳細說明其為準備符合標準的人員,流程和產品所采取的措施。有了“3P”在半導體IP市場中所起作用這一視角,SoC架構師和設計團隊可以在選擇合適的IP時做出明智的選擇。了解IP供應商的組織和運營特征可以實現更好的芯片、更安全的汽車,以及更高效的開發能力。

     

    圖3:人員、流程和產品是ISO 26262功能安全活動的基礎

     

    功能安全涉及開發過程的所有部分,包括規范,設計,實現,集成,認證和驗證,還包括生產,管理和服務流程。由于安全標準的特定要求,構建為汽車SoC設計IP的組織存在很大困難。客戶資格認證和第三方ISO 26262認證所需的額外培訓、評估、分析和文檔可能會使汽車電子的IP開發增加大量費用。

     

    必須在供應鏈上傳達這些功能安全活動的證據。因此,為汽車半導體市場提供產品的每個組織都必須記錄符合標準的開發活動。該文檔內容必須涵蓋相關人員、用于開發解決方案的流程,以及符合ISO 26262標準所需產品的分析。

     

    朝著半導體IP的ISO 26262合規邁出的第一步是培訓參與IP開發的人員。許多公司采取培訓一小群人的“捷徑”,通常是ISO 26262要求的功能安全管理員(FSM)和少數“安全工程師”。

     

    然而,由于ISO 26262第2部分“功能安全管理”的要求,特別是條款5.4.2“安全文化”和5.4.3“權限管理”,要確保可持續的安全文化,團隊成員具有與其職責相對應的足夠技能、能力和資格,就要求在整個組織中廣泛了解功能安全知識。這需要大量的員工培訓。

     
    關注與非網微信 ( ee-focus )
    限量版產業觀察、行業動態、技術大餐每日推薦
    享受快時代的精品慢閱讀
     

     

    繼續閱讀
    ROHM 擴展SiC MOSFET產品線 滿足汽車電子標準

    全球知名半導體制造商ROHM(總部位于日本京都)面向車載充電器和DC/DC轉換器※1)又推出SiC MOSFET※3)“SCT3xxxxxHR系列”共10個機型,該系列產品支持汽車電子產品可靠性標準AEC-Q101※2),而且產品陣容豐富,擁有13個機型。

    泰瑞達和杭州士蘭微電子合作量產測試汽車電子和大功率電子器件

    業屆領先的自動測試解決方案供應商泰瑞達公司(納斯達克股票代碼:TER)和士蘭微電子有限公司宣布,士蘭的新型智能功率模塊(IPM)測試方案已經投入量產,該方案的測試品質和覆蓋范圍,在汽車功率電子器件測試業界處于領先地位。

    汽車信息安全決定智能網聯汽車發展趨勢

    智能化時代的到來,改變了人們對汽車的需求,智能網聯汽車作為一種新興應用的平臺,已經逐漸成為汽車產業發展的風向標。

    從瑞薩停工看汽車電子的格局變化
    從瑞薩停工看汽車電子的格局變化

    日本半導體大廠瑞薩電子計劃在在全球范圍內停產一個月,以應對來自中國市場需求的減少。由于中國市場汽車與機床銷售猛烈下降,日本國內6家工廠停產時間甚至長達兩個月。第四季度汽車應用半導體細分市場下滑4.2%

    MEMS傳感器應用領域一覽

    MEMS傳感器是在微電子技術基礎上發展起來的多學科交叉的前沿研究領域。經過四十多年的發展,已成為世界矚目的重大科技領域之一。

    更多資訊
    美國是如何解決新能源汽車充電難題的?
    美國是如何解決新能源汽車充電難題的?

    就電動汽車數量而言,中國仍然是全球第一,但美國和中國的差距正在縮小。

    自動駕駛投資熱潮的背后 隱憂依舊

    自動駕駛已經成為當今世界最熱門的投資領域之一,大量風險資本的涌入也推動了全球新一輪造車運動的熱潮。

    鋰離子電池價格將大降,5年內電動車成本追上傳統汽車

    鋰離子電池占電動汽車總價格的水平預計將從目前的50%下降至10%。

    充電樁困局,看看美國人是怎么做的

    中國電動汽車充電基礎設施發展迅速,但是好像誰都不太滿意。

    Lumotive推出突破性高性能激光雷達 (LiDAR) 消除自動駕駛汽車障礙

    Lumotive今天宣布,推出一種突破性光束控制技術,該技術將為新興的自動駕駛汽車行業大大提高激光雷達 (LiDAR) 系統的性能、可靠性,同時降低其成本。

    電路方案
    北京十一选五走势图