汽车功能安全从元器件级做起,ROHM在行动

日期:2020-08-03

 
汽车功能安全标准ISO 26262是汽车领域的电气/电子相关功能安全国际标准,贯穿于整个车辆的生命周期。随着电子电气系统越来越集成和复杂,汽车安全性就更为突显。日前,ROHM成功举办“汽车功能安全标准ISO 26262”线上媒体交流会,ROHM半导体(上海)有限公司技术中心副总经理李春华在交流会上分享了ROHM在ISO 26262所做的前沿工作,包括流程认证、产品认证、开发端口协议责任等,并详细介绍了支持功能安全的车载应用及ROHM的半导体产品。
 
功能安全是大势所趋
近年来,在汽车领域,随着自动驾驶技术的持续创新和迅速发展,越来越需要有助于在紧急情况下防患于未然的功能(功能安全)、以及将功能安全标准化的ISO 26262等标准。特别是在不断技术创新的中国,ISO 26262已被确立为以“GB/T”开头的推荐性国家标准,ISO 26262的第一版中文译本“GB/T 34590”已于2017年10月发布,并且已于2018年5月起开始施行。
在这种背景下,不仅汽车制造商(OEM),越来越多的汽车电子产品制造商(Tier1)也纷纷加速功能安全支持,从全球范围来看,实现功能安全已经是必经之路。
 
ISO 26262及其相关标准
ISO是负责制定国际标准的国际标准化组织,如品质管理系统ISO 9001、环境管理系统ISO14001等。汽车产业的国际性品质管理系统标准IATF 16949,作为ISO 9001:2015的追加条款,必须和ISO 9001:2015并行使用。
ISO 26262是在汽车的电子化及高性能化发展,以及全球市场对汽车安全性能要求日趋严格的背景下,于2011年11月正式颁布的关于汽车电控系统功能安全的国际标准。该标准是预先计算出汽车电控方面的故障风险,并把降低该风险的机制作为功能的一部分预先植入系统中,从而实现"功能安全"的标准化开发工艺。该标准的对象涵盖从车辆的构思到系统、ECU(电子控制单元)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。以IATF 16949等品质管理为前提,ISO 26262对于功能安全进行了规范化。
李春华说,2018年ISO 26262发布了第二版,追加了半导体指南,包括流程标准(需要追加功能安全的工作成果)和产品标准(安全机制符合ASIL所要求的安全等级追加自诊断等功能),而由ASIL(汽车安全完整性等级,Automotive Safety Integrity Level)根据不同用途定义危险度。
那么,什么是功能安全呢?也就是安全=没有不可容忍的风险。在介绍“功能安全”时,经常引用的术语是“本质安全”。“本质安全”是一种通过消除危险原因来确保安全的方法。而“功能安全”是通过功能方面的努力将风险降低到可接受水平来确保安全的方法。他举例说,将列车线路和常规马路设置为立交状态,可避免事故的发生,但大规模的改造成本很高,却可以确保绝对的安全。而“功能安全”的方法则可能是通过设置铁路道口来避免碰撞。在道路与铁路的交叉处设置警报器和栏杆,在铁路上安装传感器,当传感器检测到火车接近时,警报器响起,并降下栏杆。当另外的传感器检测到火车已经通过时,警报器停止,并升起栏木机。虽然道路与铁路在物理上仍然交叉,但可通过设置铁路道口的方法将把汽车和火车相撞的风险降低到可接受的水平。这就是“功能安全”的思路。根据改善方案可实现成本的降低,但必须考虑到故障的发生。
 

“本质安全”与“功能安全”
 
流程的标准是为了保证工作成果的规范,对应ISO 26262流程,需要109个工作成果。而对应ISO 26262的开发体制,需要有能理解ISO 26262规则的“功能安全管理者”。
 

ISO 26262流程
 
产品的标准是为了实现客户所要求的安全功能,以用途为ADAS、EPS的电源LSI为例,传统电源LSI无法规避共同原因故障,需要构建安全机制和自诊断功能,使LSI符合安全功能,才能确保汽车行驶安全。
 

电源LSI实例
 
与用户协商确定规格之后还要进行产品对应的安全分析,用数值来体现安全机制的有效性,并汇总出分析结果示意图,准备好标准值计算所必需的FIT值、FMEDA以便提供给用户。
 

产品对应的安全分析
 
取得ISO 26262认证,ROHM做了什么?
李春华表示,随着自动驾驶(ADAS)相关的技术不断创新,以ADAS为代表的技术革新进程加速,为确保汽车的安全性,要求组成车载零部件的半导体也要达到自身的安全标准。在2018年颁布的第2版中,不仅对象范围扩大到巴士、卡车、两轮车辆,还新增了半导体部分,半导体元器件作为支持自动驾驶功能安全的核心产品成为关注的焦点。
现在,如果想要推进车载业务,必须向客户保证符合ISO 26262标准。要取得ISO 26262的认证,通常的做法是接受以TÜV Rheinland、TÜV SUD、SGS TÜV、DNV-GL、TÜV Saarland等为代表的第三方认证机构的审查,并取得认证。ROHM为此设立了ISO 26262工作组,以保证元器件制造商必须要对应功能安全的要求。ROHM在公司内部推广实施开发流程,以便取得第三方认证机构的认证、推进符合标准的车载产品开发。其主要活动包括,符合ISO 26262的车载IC开发流程的制定和维护管理;符合ISO 26262的公司体制的构建;整合统一需要对外提供的ISO 26262相关文件的格式;实施关于ISO 26262的培训;对外宣传ROHM致力于取得ISO 26262的行动。
作为半导体制造商,ROHM自2017年开发由液晶驱动电源IC等构成的、支持功能安全的液晶面板芯片组,并在2018年取得第三方认证机构德国莱茵TÜV Rheinland取得了ISO 26262的开发工艺认证,不断推进支持汽车功能安全的产品开发,之后又在构建支持第二版的流程。这意味着ROHM面向车载领域的元器件开发工艺被认定为可满足该标准中的高安全等级"ASIL-D"。
 

不同分科的工作内容
 
ROHM支持功能安全的车载应用实例
在车载应用中,ROHM的半导体器件为构建功能安全作出了贡献。第一个实例是针对液晶面板的解决方案。在使用仪表盘和电子镜的液晶面板应用中,如果时序控制器控制两个驱动器,把来自GPU的图像数据直接显示在液晶面板上,一旦发生显示异常,将无法做任何操作,会直接导致事故发生。
 

车载显示装置电路配置
 
针对这个问题,ROHM的车载用时序控制器能够监测来自GPU的图像数据,当发生数据异常或输入信号异常时,使之显示黑屏,或通知微控制器使之显示错误警告画面等,从而让驾驶员注意到异常,成功地解决了该问题。
第二个实例是针对ECU电源电路的解决方案。在汽车ECU中,通常需要多个电源。该电源发生异常时可能会引发事故。因此,需要能够监控ECU内的多个电源、并在发生异常时根据所异常进行避免事故的处理,电源监控IC就发挥着这个作用。电源监控IC会监控这些电压,并在发生异常时通知MCU,提示其进行处理。
车载应用要实现“功能安全”,不仅需要主功能,还需要“安全机制”,即能够监控主功能是否正常,当发生异常时,能够根据每种功能进行处理,保护人员(包括驾驶员、乘客以及行人)安全的功能。此外,还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。
 

ROHM的电源监控IC“BD39040MUF”框图
 
针对这一问题,ROHM通过在独立的电源监控IC中内置各种监控功能和自我诊断功能,实现了可以轻松为现有电源增加功能安全性,并且已经实现量产的一款电源监控IC,即可以监控多个电源的电源监控IC“BD39040MUF”。另外,具有更高检测精度的“BD39042MUF”也正在开发中。
李春华在回答记者提问时表示,罗姆提供的电源辅助类产品,如电源监控IC BD39040MUF,其芯片中已经具有自我诊断等功能安全特性,可以帮助厂商提升电源性能,并有助于OEM、Tier1缩短开发周期,节省开发成本。
他最后强调,虽然ISO 26262旨在实现功能安全,但它并不是法律。因此,不遵守ISO 26262标准并不违法。但是,汽车制造商和一级供应商不会购买不符合标准的产品。汽车制造商正在通过根据ISO 26262设计电气/电子系统来证明能够确保汽车的安全。而且,从元器件开始设计就应确保即使发生了电气/电子系统故障,也不会造成人身(不仅包括驾驶员和乘客,还包括行人等)伤害。
 
www.rohm.com.cn

订阅我们的通讯!

电子邮件地址