在 汽车功能安全标准ISO 26262导入实践(上)中,我们详细解读了功能安全的概念、相关标准和实现。本篇我们解读一下功能安全的内容、认证和设计实例。
ISO 26262 于 2011 年 11 月发布第一版,于 2018 年 12 月发布修订后的第二版。在第一版中,涉及的对象是 3,500kg 以下的量产乘用车;在第二版中,对象范围扩大至卡车、公共汽车及两轮机动车。在这里将围绕第二版中修订的内容来详细介绍 ISO 26262 的细节(图 3)。
图3
在第二版中的第一个主要变化是受该标准约束的对象车辆。在第一版中的对象车辆是3,500kg 以下的量产乘用车,但第二版中超出了该框架,对象车辆扩大到了卡车、公共汽车及两轮机动车。实际上,在制定第一版时,也曾经计划包括卡车和公共汽车等对象,但是由于相关的研究需要花费很多时间,于是暂时限定为 3,500kg 以下的车辆。通常,卡车多由汽车制造商来制造基础车辆(驾驶室、引擎、底盘零件部分等),由车身制造商(Body Builder)来制造车身部分(集装箱、翻斗、搅拌筒等)。由于可能会发生根据 ISO 26262 设计和制造的基础车辆上组装了没有根据 ISO 26262 设计和制造的车身部分等情况,因此似乎需要很长时间来讨论该如何应对这类情况。另外,图 3 的 Part 1 的术语集中,也增加了卡车和公共汽车(T&B)用的术语和缩写。
如图 3 所示,通过“Part 12”新增了两轮机动车相关的规定。在这里规定的对象是“除 ISO 3833中定义的轻便摩托车之外的两轮机动车或无载荷时重量低于 800kg 的三轮机动车”。轻便摩托车是指最高时速低于 50km/h 的 50cc 以下的两轮车。虽然日本的机动自行车(带马达的自行车)的法定速度是 30km/h,但设计速度为 60km/h 左右,因此不属于轻便摩托车范畴。为了便于理解,下面将 Part 12 的对象两轮机动车进行了分类:
轻便摩托车、电动自行车:非对象
日本的机动自行车、两轮机动车、低于 800kg 的三轮车:对象
800kg 以上的三轮车和四轮以上的车辆:非对象(这些不属于 Part 12 的范畴,而是原有Part 中的约束对象)
通过“Part 11”新增了半导体指南。Part 11 仅仅是一个指南,因此这部分中没有必要条件和工作成果相关的内容,但提出了在进行半导体设计时应该如何理解 Part 5(硬件设计)和 Part 6(软件设计)中规定的内容。在第一版中,对于半导体设计时应该如何应对的规定是比较模糊的,但在第二版中则给出了很多示例,可以说,按照 ISO 26262 进行半导体设计变得更加容易了。
比较 ISO 26262 标准的第一版和第二版可以看出,第二版中对目的项目的描述显著增加。这是为了通过增加具体案例等,来使各部分的目的变得更容易理解。由于不仅仅局限于必要条件项目,还可以通过其他手法来确保安全性,因此详细描述了应该遵守的原理。
增加了很多备注和案例,以使必要条件和推荐的说明更加容易理解。
前面介绍了 ISO 26262 的概要和一些细节,那么怎样才能获得 ISO 26262 的认证呢。在本节中,我们将介绍该认证的获得方法。
要取得上述ISO 26262的认证,通常的做法是接受以TÜV等作为代表的第三方认证机构的审查,并取得认证。TÜV(=Technischer Überwachungs-Verein)是获得德国技术监督协会批准的、进行审查和认证的民间审查机构。对于是否已确立了符合 ISO 26262 标准的流程(公司内部规定、开发标准、程序书等)进行审查和认证。
只要能说明是按照 ISO 26262 标准执行的,未必一定要通过第三方认证机构获取认证。即使没有获得认证,只要能够证明是按照标准中规定的必要条件组成的工作成果,并且是按照标准进行的开发,也没有问题,但要理解标准中的含义并付诸实践,需要非常大的工作量,要想证明满足了所有的要求,可能是一项艰巨的任务。因此,比起向每个客户一一证明遵行标准的内容,还不如接受第三方认证机构审查并获得认证,以此来表明符合标准的做法效率更高。
功能安全的认证分为人员、流程和产品三类。人员认证主要通过培训和考试的形式,对具备功能安全开发能力的工程师颁发功能安全工程师(Functional Safety Engineer)或功能安全经理(Funtional Safety Manager)资质证书。流程认证通过对企业的开发过程进行审核(Audit),对符合标准要求的颁发功能安全管理(Functional Safety Management)认证证书。产品认证通过对产品安全设计的评估(Assessment),对符合标准要求的产品颁发功能安全产品认证证书。上海驭捷智能科技有限公司自2017年开始建设安全技术中心,形成了从培训、咨 询辅导到资质认证的一站式技术服务能力,可以全面支持ADAS和自动驾驶、车身电子、底盘电子、动力传动系统、信息娱乐系统、新能源电控系统的安全技术支持。与众不同的是,我们的工程专家都是从事汽车电子产品开发的工程师,可以指导产品安全设计量产实践。我们还是TÜV在中国的官方合作伙伴,也是上海市科技创新行动计划项目“智能汽车安全芯片技术”的负责单位,被认定为国家级高新技术企业。
图4
功能安全工程师,在按照 ISO 26262 流程推进开发时,以及在接到客户的FIT、FMEDA 委托时,作为功能安全负责人履行职责。功能安全经理,确保标准要求的独立性的形式,执行评审确认、功能安全审查、功能安全评估等确认证实措施。
最后,介绍一下在最近的车载应用中,半导体是如何为构建功能安全作贡献的。
说到车内的显示装置,除了车速里程表、转速表、水温表、燃油表、各种指示器等仪器仪表外,当然还有导航系统等。此外,近年来,仪表盘已经逐渐开始采用 LCD(液晶显示),后视镜和内后视镜采用电子镜的车辆也多起来了(图 5)。
图 5. 车辆的显示装置示例
这些显示装置具有向驾驶员传递各种信息的重要作用,因此如果显示装置发生故障导致无法显示、出现黑屏的话,就会给驾驶员带来麻烦。但是,对于仪表盘和电子镜来说,比起黑屏,错误显示可能更危险。
如果出现黑屏,驾驶员会立即注意到问题,但在驾驶过程中驾驶员不会一直凝视仪表盘和电子镜,因此一旦发生显示卡顿、延迟显示等情况,驾驶员可能不会意识到发生了故障。如果车速里程表显示发生卡顿,且显示的速度比实际速度低的话,那么驾驶员就可能注意不到超速。另外,如果电子镜的显示滞后于实际状态,当其他车辆已经从后方接近了,但车上的电子镜却没有显示时,后果会怎样呢?如果真的发生这种故障,驾驶员可能会在改变车道时无法注意到后方车辆,从而引发事故。仪表盘和电子镜的设计必须要避免这类故障的发生。但是,虽说是“不发生故障的设计”,只要是电子设备,就如前面所介绍的,都有可能因某种问题而损坏。
那么,怎样的设计才算好呢?可以通过一些设计,让驾驶员能够注意到故障情况,例如,始终监测显示的数据,当显示卡顿时,或当发生错误显示时,也像发生黑屏和异常时一样,能够显示错误警告画面。如上所述,即使发生故障也不会引发事故的设计,也就是针对“功能安全”的设计是非常必要的。
让我们来具体看一下在进行这样的设计时,实际的仪表盘和电子镜的电路配置是怎样的。
图 6. 显示装置的电路配置示例
图 6 是车辆显示装置的电路配置示例。下面将按图中的编号来介绍它们各自的功能。
① 系统 MCU(Micro Control Unit)负责控制整个系统。它相当于系统的大脑,负责整个系统的处理。
② GPU(Graphics Processing Unit)负责显示、相当于显示的大脑的部分。相对于 CPU(CentralProcessing Unit)作为电脑的大脑,擅长整个计算机的处理,这里的 GPU 是专门用于图形处理的 IC。
③ 电源 IC 负责供给整个系统所需的电源。
④ 时序控制器负责把来自 GPU 的图像数据发送到显示液晶面板的源极驱动器,并根据其显示结果来控制栅极驱动器。
⑤ 源极驱动器根据液晶面板的显示所需的图像数据,调整源极放大器电路的电流,并决定一个像素的亮度。
⑥ 栅极驱动器根据源极驱动器的显示数据逐行显示。
⑦ 面板用 PMIC(Panel Power Management IC)用来生成显示液晶面板所需的电压。
⑧ EEPROM / FLASH 用来存储时序控制器的初始设置数据、查找表、指示器的图像等,并可在 GPU 发来的图像上覆写显示指示器的图像。
在图 6 的应用中,如果时序控制器控制两个驱动器,把来自 GPU 的图像数据直接显示在液晶面板上的话,一旦发生显示异常,将无法做任何操作,会直接导致事故发生。
针对这种问题,如果车载用时序控制器能够监测来自 GPU 的图像数据,当发生数据异常或输入信号异常时,使之显示黑屏,或通知微控制器使之显示错误警告画面等,从而让驾驶员注意到异常,成功地解决了该问题。
比如,ROHM 的液晶面板用芯片组,拥有控制各液晶驱动器的时序控制器:BU90AL210 /BU90AL211 / BU90AD410、驱动液晶面板的源极驱动器和栅极驱动器:ML9882 / ML9873 /ML9872、多功能电源 IC:BM81810MUV、进行图像视频校正的伽玛校正 IC:BD81849MUV,可从整体上确保液晶面板的功能安全(图 7)
图 7. 功能安全芯片组产品示例
如图 8 所示,液晶面板芯片组可检测出各种故障,具有与车辆显示装置所要求的安全性相对应的功能。
组成芯片组的每个IC,都有相互检测可能会出现的故障模式的功能,除了前述的时序控制器功能外,还可以随时确认并反馈源极驱动器和栅极驱动器的损坏、剥落、以及输入液晶的信号等信息。所组成的芯片组可完善检测出面板的异常。在车速表和后视镜采用液晶面板时,通过导入功能安全,有助于预防所担心的重大事故。
面板用的 PMIC 中搭载了丰富的功能:始终监测是否能够正常提供液晶面板显示所需的电压,当发生电压异常时,自动关闭电源的功能,另外内置双重寄存器用以在异常检出时,实行自动刷新使之从异常中恢复。因此还可防止噪声干扰等意外的影响,具有非常高的可靠性。
图 8. 可检测出的故障示例
下面将另一个话题。在汽车 ECU(Electronic Control Unit)中,通常需要多个电源。要求分别提供适合 MCU(也有内核和 I/O 需要独立电源的情况)、传感器、电机驱动器、CAN(Controller Area Network:车内使用的串行通信协议)等的电压和电流。在车内,电源 IC 通过 12V 电池生成所需电压/电流的电源。这些电源既可以由多个电源 IC 构成,也可以由多通道 PMIC(Power Management IC)构成,在车载 ECU 的情况下,该电源发生异常时可能会引发事故(图 9)。
图 9. 电源配置示例
所以,需要能够监控 ECU 内的多个电源、并在发生异常时根据所异常进行避免事故的处理,电源监控 IC 就发挥着这个作用。电源监控 IC 会监控这些电压,并在发生异常时通知MCU,提示其进行处理。
如上所述,车载应用要实现“功能安全”,不仅需要主功能,还需要“安全机制”,即能够监控主功能是否正常,当发生异常时,能够根据每种功能进行处理,保护人员(包括驾驶员、乘客以及行人)安全的功能。此外,还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。
针对这一问题,可以设计独立的电源监控 IC ,内置各种监控功能和自我诊断功能,实现了可以轻松为现有电源增加功能安全性,这种IC除了电源电压 VDD 的监控(RESET)功能外,还可以同时监控 4 通道的电源,并可分别独立检测电源的异常(欠压/过压)。还配有窗口型看门狗定时器(WDT),可检测出 ECU 内部 MCU 的异常。另外,还具有支持 ECU 的功能安全所需的以下功能:内置多重基准电压来进行相互监控功能、WDT 的时钟振荡器监控功能、启动时诊断 IC 内部的检测功能是否正常工作的自我诊断功能(图 11)。
图 11. 电源监控 IC示例框图
仅需在现有系统中添加电源监控 IC,既可以利用很小的空间实现功能安全所要求的电源监控功能。电源监控 IC,非常有助于简化功能安全系统设计。
我们花了很长时间来谈论功能安全和 ISO 26262,如果您能够学到一点并且满意,我们将感到非常高兴。我们将面向汽车领域继续开发众多高品质、高可靠性的服务,也会继续提供类似此次介绍的解决方案,助力实现汽车的安心与安全。未来,我们将通过加强符合 ISO 26262 标准的产品开发,为汽车文化的进一步发展贡献力量。