作者:Bruno Boury /邁來芯(Melexis)
安全性從汽車產業發展的最初階段起,就一直是非常重要的部分,其重要程度在最近變得越來越高。目前,如果考慮汽車電子銷售額,安全應用具有最高的複合年平均成長率(CAGR)。汽車製造商越來越多地把安全性能作為一個重要賣點,也把其作為和競爭對手有所差異的手段。
但隨著汽車物料清單中有越來越多的電子內容,現在有必要擯棄長期以來建立的、貌似是最佳的傳統慣例,轉而去採納一個更合理定義的通用準則。因此,產業界一些主要力量已經在聯手制定具有更深遠涵義的標準。
“安全性”這個詞有各種不同的解釋;然而,在應用於當代汽車設計時,通常可以被歸類為使用以下結構的應用:
1. 被動安全:假設意外事故是不可避免的,被動安全機制的目的是儘量降低事故的嚴重程度。在汽車中的被動安全單元包括安全帶和撞擊力吸收區域(crumple zones)等。
2. 主動安全:根據目前對於車輛認知的程度,主動安全系統所關心的目標是完全避免事故的發生。如果發生事故,則最大限度地減少其影響。安全帶預張緊、安全氣囊部署、預測性緊急煞車(predictive emergency braking)、防鎖死煞車系統和牽引控制系統等都是這方面的例子。
3. 功能安全性:功能安全性主要集中在確保所有的電氣和電子系統(如電源,感測器,通信網路,執行器等)正確工作,包括(但不限於)所有主動安全相關的系統。功能安全性所遵循的是ISO-26262標準(2011年11月公佈)。
這裡從一開始就需要慎重表明,功能安全並不意味著不存在發生故障的風險,實際上,由於電氣和電子系統運行故障所造成的危害存在,功能安全只意味著沒有不可接受的風險。
ISO-26262的起源
ISO-26262標準的基礎是更通用的IEC-61508標準,IEC-61508具有更廣泛的應用領域,包括工業過程、控制和自動化,以及石油/天然氣、核能等等)。
ISO-26262雖然是建立在 IEC-61508基礎上,但它是完全專注於汽車產業,更準確地說,它的應用僅限於安裝在最大總重量為3.5公噸的系列生產乘用車中與安全相關的電氣和電子系統。
該標準的第一個草案版本在2009年開始出現,在當時的汽車產業造成相當大的震動。那時普遍的看法是,這是另一套強制約束汽車產業的規則,會導致較長的開發週期和更多的認證工作。然而,一旦標準到位,利益相關各方很快發現了這種統一標準的好處。
ISO-26262的優勢
ISO-26262允許汽車製造商在遵循標準的前提下,如果故障未被檢測出可以免除賠償責任,因為標準被司法制度視為“促進發展的基準(the reference for development)”。在製程等級它可以為電氣和電子系統的開發和驗證提供一個明確的指導意見以便遵循,因此在實施階段可避免錯誤出現,否則可能會引起昂貴的召回並損害品牌形象。
對客戶的好處雖然可能不被特別明顯注意到,但也的確存在,該標準可以使每個消費者在購買汽車時更有信心。
ASILs
在談到功能安全時,最重要的目標是儘量減少硬體隨機故障的敏感性,這主要是在開發過程中通過採取必要的設計措施、確定功能要求、運用系統的分析方法、以及更嚴格地執行應用程式來避免系統故障。
汽車安全完整性等級(ASIL)是確保ISO-26262得到堅持遵守的關鍵,在開發過程的開始階段即得到確定。透過實施ASIL,汽車系統的功能得以進行分析,並進行徹底的風險評估。現實中的半導體供應商不能把經過ASIL-X認證的IC推向市場,因為ASIL是被賦予到一個應用或功能,而不是一個孤立的硬體元件或單元(element)。
供應商如果聲稱任何有悖於此的相反行為,只能是根本沒有認真對待ISO-26262標準或者對其複雜性缺乏真正的瞭解。
硬體設計中的功能安全性
功能安全概念的基礎是建立功能安全目標;對於一個特定的系統或專案,由於可由ISO-26262標準參考,這些目標可以被定義。對於每一個專案,需要進行危險和風險評估
(HARA),這將產生一個列表列出可能產生的危害,例如需要降低風險,同時也列出與一系列情形相關的危險。只需要保留相關危害和情況的組合,並簡稱為“場景(scenarios)”,就每一個場景,可以針對嚴重性/曝露程度/可控性進行評估確定。
嚴重性主要評估場景的潛在危害性(0到3級);曝露程度(級別為0到4)主要評估場景的平均曝露幾率;可控性(0到3級)主要評估在該場景下避免傷害的可能性。對於不同的級別沒有獨立自由的解釋,但是他們與一些量化指標相關。
設計工程師的工作出發點應該是從最高價值點出發,直到下一個相關的說明不再適用。可以用一個表格把嚴重性/曝露程度/可控性的級別與ASIL評級聯繫在一起。一旦每個場景的ASIL被確定,下一個步驟就是為每個場景定義安全目標,以及安全狀態。
表一 根據嚴重性/暴露程度/可控性等級來確定ASIL
(來源:國際標準組織--the International Organization for Standardization,在此致謝!)
依照上述邏輯,一整套目標和狀態可轉化為功能性安全要求。接下來是定義功能安全概念的關鍵一步,為減少災害性風險去實現相應功能或項目以及相關的安全措施/機制。當有多個單元用來實現一個功能時,安全目標和要求必須分配和指定,然後再級聯到單個單元。 ASIL仍然保持與每個要求相關,但關聯的不是單元。
因此,一個單元可以有多個安全功能和要求,它們每一個都有自己的ASIL。通過系統級研究可尋求最優化的體系結構,為指定到一個架構單元的相同功能產生不同的ASIL,因為何謂在每一種情況下的“最優”很大程度上取決於設計師的約束條件(現有硬體元件的選擇限制, PCB面積限制,計算能力限制,系統成本的限制等)。
上述原則可以通過下面一個電動助力轉向系統(EPAS)和油門踏板系統兩個簡化的例子來具體說明,這兩個功能都是通過磁式位置感測器(magnetic position sensor)IC來實現的。我們假設,兩個系統已經經過了完全的危險和風險評估,並產生與功能性安全目標有關的ASIL-D要求,該目標是“確保輸出訊號是正比於駕駛者的意圖”。
假設在每種情況下有相同的功能傳遞,最大輸出訊號等於加速系統的節氣門全開(WOT)或轉向系統的最大扭矩。以500毫秒作為感測器IC的故障檢測時間,這對於油門踏板情況下來避免意外事故已經是足夠了,但對於轉矩轉向感測器,這可能會導致嚴重的安全問題出現,使該IC不適合高速EPAS系統的設計。
半導體供應商在功能性安全方面的角色
有遠見的半導體供應商可以在系統級以多種方式參與到功能安全的新時代。首先,通過在他們的元件上最大限度地增加片上診斷功能(提供欠/過電壓保護機制,把迴圈冗餘校驗包括到報告的消息,在記憶體內容上增添資料冗餘以提高容錯能力,提供訊號鏈路限幅/箝位元資訊,引入內置自測試等)。
其次,透過實施廣泛採用的數位協定,如SAE-J2716 (SENT)、PSI-5和SPI等等,以便可以把這些診斷報告傳送給系統微控制器。第三,半導體供應商需要通過其擴展的產品組合(包括雙晶片感測器,可以用單一封裝提供同質冗餘(homogeneous redundancy))來實現更高的系統設計靈活性。
總之,不應該把ISO-26262認為只是一個行政管理負擔,而需要把它理解為一種文化理念,它不僅會影響汽車產業的每一個組織層面,也會對產品開發週期的各個階段產生深遠影響。它是一個產業發展的方向,表述成文用來確定我們每天從事的汽車設計。
沒有留言:
張貼留言