不仅需要主功能,还需要“安全机制”。
2006年至2016年间,综合来看在所有汽车市场中,平均每辆车的电子控制单元(ECU)数量从28个增加到了38个。目前,高端汽车一般配备超过100个独立的控制单元,小型车辆也配备了30到50个。”(博世语)
“大众的计划是将过去70个ECU变成3-5个高性能的行车电脑和安全相关功能ECU的进化。”(大众语)
从Tier1和车企透露的数据来看,汽车在智能化过程中,ADAS使组成车载零部件的半导体数量急剧增加,自动驾驶和整车OTA要求企业缩减ECU数量,同时优化性能,使之能够承载大量数据的处理。
这些ECU分布在动力管理系统、底盘控制系统、制动系统、座舱、车身模块等各种与驾乘安全、舒适相关的系统中。
在此背景下,ISO 26262及其涵盖的系统风险等级评估标准ASIL等级应运而生,成为一个行业标准,力求实现汽车电子电气系统的安全设计。
不强制,但必需
ISO 26262是汽车的电气/电子相关的功能安全标准,该标准制定于2011年11月,并且在2018年又发布了第二版,追加了半导体指南内容。
该标准的对象涵盖从车辆的构思到系统、ECU(电子控制单元)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。
ISO 26262认证分为开发流程的标准和产品性能标准。开发流程标准是以之前IATF 16949为基础,引入像账票类、可追溯类的管理这些内容。产品性能标准就是符合ASIL所要求的安全等级,追加自诊断等功能。
由此可见,ISO 26262是汽车电子元器件稳定性优劣的评判依据之一,通过等级要求代表其产品引入有效的改善办法,确保可容忍范围的安全。
获得ISO 26262认证有两种方式,通过第三方认证机构获得认证或自我认证。
第三方认证机构通常为TÜV Rheinland、TÜV SUD、SGS TÜV等为代表。他们对于半导体企业是否已确立了符合ISO 26262标准的流程进行审查和认证。
通过第三方认证机构的审查后,企业可取得认证,推进符合功能安全的车载产品的开发。
自我认证,是企业按照ISO2626标准执行,但需要向客户提供证明其遵行标准。此时相对于通过第三方认证机构建立符合标准的流程,自我认证可能需要耗费更多的工作量来证明。
据了解,半导体厂商罗姆(ROHM)就是基于此考虑,经过两年半的流程构建,在2018年3月通过德国第三方认证机构TÜV Rheinland获得了ISO 26262的流程认证。
罗姆半导体(上海)有限公司技术中心副总经理李春华解释称:“ISO 26262标准不是法律,不遵守ISO 26262标准并不违法。但是,汽车制造商不会购买不符合标准的产品。汽车制造商通过根据ISO 26262设计电气/电子系统来证明能够确保汽车的安全。”
虽不强制,但是必需。所以从上到下的Tier2、Tier1和车企对半导体都会有一项“通过功能安全标准 ISO 26262 ASIL等级”的要求。
成本与安全的平衡
ASIL分为四个等级,分别为A、B、C、D,其中A是最低等级,D是最高等级。ASIL等级越高,对安全性要求越高,为实现安全付出的成本越高。
ASIL等级根据不同用途定义危险度而定。比如等级高的AISL D多是面向事关生命的系统,比如自动驾驶、EPS。如天窗、仪表盘等应用的芯片安全等级一般在ASIL A或B。
李春华在接受NE时代记者采访时指出:“ASIL等级是通过定义产品的故障发生频率、故障可控性而定。”
但是从ASIL A到D,研发成本指数级上升。要达到ASIL D等级的要求,产品的成本可能就会向上增加很多。企业该如何在成本和安全等级之间取得一个平衡呢?
李春华对NE时代记者表示:“在现有的方案当中,比如电源系统,它本身能实现功能,但是对于产品功能要提升ASIL等级,如果在现有电源上去推翻,让芯片厂商重新开发一个对应的产品,对于开发时长、成本来说都比较贵。此时半导体企业可以提供一些电源辅助类的产品(如电源监控IC),在芯片里增加具有功能安全包括自我诊断的功能。通过加上罗姆的电源监控芯片就可以去帮助提升电源的方案,就是对于OEM、Tier1这块有效的去节省开发周期、开发成本,来达到实现同样功能等级的一些产品。”
在车载级元器件方面,罗姆面向功能安全开发的解决方案主要包括“针对ECU电源电路的解决方案“及“针对液晶面板的解决方案”。
在汽车ECU中,通常需要多个电源。该电源发生异常时可能会引发事故,因此,需要能够监控ECU内的多个电源、并在发生异常时根据异常进行避免事故的处理。电源监控IC就发挥着这个作用:电源监控IC会监控这些电压,并在发生异常时通知MCU,提示其进行处理。
如面向 ADAS(高级驾驶辅助系统)和自动驾驶用的传感器/摄像头、电动助力转向系统等都需要极高安全性的车载应用电源系统。对于所搭载的半导体,它们要求在产品开发时就要考虑到发生问题时如何确保安全,因此纷纷配置自我诊断等有助于实现功能安全的功能。
近年来,仪表盘已经逐渐开始采用LCD(液晶显示),后视镜和内后视镜采用电子镜的车辆也多起来了。这些显示装置具有向驾驶员传递各种信息的重要作用,因此如果显示装置发生故障导致无法显示、出现黑屏的话,就会给驾驶员带来麻烦。但是,对于仪表盘和电子镜来说,比起黑屏,错误显示可能更危险。
针对这种问题,罗姆开发出液晶面板用芯片组,拥有控制各液晶驱动器的时序控制器、驱动液晶面板的源极驱动器和栅极驱动器、多功能电源IC、进行图像视频校正的伽玛校正IC,可从整体上确保液晶面板的功能安全。
总而言之,车载应用要实现“功能安全”,不仅需要主功能,还需要“安全机制”。并且这些“安全机制”还需要确定自己正常运行的“自我诊断功能”。由此,现有车载芯片在运行时能够得到三层保护。
与此同时,通过ISO 26262的开发工艺认证后,半导体厂商面向车载领域的元器件开发工艺会被认定为可满足高安全等级,开发的新车载芯片也就更符合下游Tier 1和车企对安全的考虑。
当下游Tier 1和车企对功能安全提出需求,建立ISO 26262工作流程的半导体企业才能将功能安全深入整个车载芯片开发周期之中,应对电动化+智能化发展方向下的安全挑战。