功能安全介绍
功能安全是什么
功能安全是一套确保系统在可接受安全等级下运行的方法论。ISO 26262 是汽车行业的安全标准,规定了车辆系统安全所需的各项指标。通过实施安全机制,车辆在发生异常时能够及时发出警告并进入安全状态,从而避免人员受伤。
谁需要功能安全
功能安全不仅是整车厂的责任,还包括各级供应商。
OEM/OBM:原始设备制造商/品牌制造商
Tier 1:子系统供应商,例如:高级驾驶辅助系统(ADAS)
Tier 2:模块供应商,例如:摄像头
Tier 3:芯片供应商,例如:电源管理 IC
Tier 4:材料供应商,例如:知识产权(IP)
系统制造商负责分析系统故障可能对人员造成的潜在危害。鉴于系统包含众多组件,重要的是包括能够提升功能安全的特定组件。这些功能安全组件被设计成能够独立处理潜在故障,降低整个系统需要分析和应对随机组件故障的需求。
车辆安全完整性等级(Automotive Safety Integrity Level, ASIL)
对于每一个危险事件,应根据严重性、暴露度和可控性的分类来确定车辆安全完整性等级(ASIL),透过以下的问题来确定等级(从 QM、A 到 D):
Severity class(严重性)
|
Exposure class(暴露度)
|
Controllability class(可控性)
|
| C1 |
C2
|
C3
|
| S1 |
E1
|
QM |
QM
|
QM
|
| E2 |
QM |
QM
|
QM
|
| E3 |
QM |
QM |
A |
| E4 |
QM |
A
|
B
|
| S2 |
E1 |
QM |
QM |
QM |
| E2 |
QM |
QM |
A |
| E3 |
QM |
A |
B |
| E4 |
A |
B |
C
|
| S3 |
E1 |
QM |
QM |
A
|
| E2 |
QM |
A |
B |
| E3 |
A |
B |
C |
| E4 |
B |
C |
D |
1. Severity
如果发生故障,后果会是什么?它会影响驾驶员、乘客和/或车外的人吗?严重性包括以下等级:
- S1:轻度到中度的伤害
- S2:严重的伤害,但存活的可能性很大
- S3:严重和致命的伤害
2. Exposure
系统有多频繁会暴露于这特定的环境或情境?暴露度包括以下等级:
- E1:极少发生(如一年一次)
- E2:偶尔发生
- E3:经常发生
- E4:非常频繁(几乎每天都会遇到)
3. Controllability
如果发生故障,周围的人或操作车辆的人能够多容易地避免受伤和/或损害?可控性包括以下等级:
- C1:容易控制(驾驶员能轻松应对)
- C2:较难但可控制(需要一定技巧或经验)
- C3:难以控制或无法控制(一般人几乎无法应对)
4. ISO 26262 分为五个等级
- QM (Quality Management):适用于不会导致车辆安全危害的等级。
- ASIL A:这是最不严格的安全等级。
- ASIL B:涵盖从轻微到中等的条件。
- ASIL C:包括中等到严重的条件。
- ASIL D:最高风险等级,要求最严格,适用于涉及人身安全的核心系统。
立錡科技可提供的产品安全等级选择
立锜通过 ISO 26262 ASIL D 流程认证,能够以最高安全等级的流程为汽车应用提供产品开发和制造服务。根据 ISO 26262 标准,立锜可提供多种汽车安全完整性等级(ASIL)产品选项,满足不同车辆应用和客户的安全需求:
- QM(质量管理):适用于不涉及安全风险的车用电子产品。
- ASIL A:适合低风险、基本安全需求的应用。
- ASIL B:适用于中等风险、需要加强安全机制的系统。
- ASIL C:适用于高风险、需要严格安全设计的关键车用系统。
- ASIL D:最高安全等级,适用于极高风险、需要最严格安全保障的应用。
客户可根据实际需求,选择最合适的安全等级产品,确保车辆系统的安全与可靠性。
| 安全等级 |
适用范围 |
立锜产品支持 |
| QM |
一般车用电子 |
✔ |
| ASIL A |
基本安全需求 |
✔ |
| ASIL B |
中等安全需求 |
✔ |
| ASIL C |
高安全需求 |
✔ |
| ASIL D |
最高安全需求 |
✔ |
立錡科技功能安全产品特色
1. 内置自我诊断机制:
产品内置多项安全机制,能够自动进行自我检测,提供高诊断覆盖率,确保每一次行驶周期的可靠性和安全性。
2. 电压监测与冗余设计:
芯片具备参考电压监测功能,能够实时检测参考电压的稳定性。通过冗余参考电压设计,有效避免因电压异常导致的芯片不稳定、错误增加或性能下降,确保系统稳定运行。
3. 时钟监测与异常警示:
系统时钟是 IC 内部各电路和模块同步运行的关键。芯片内置时钟监测机制,能够实时检测时钟信号是否偏离预设范围,若发现异常,会立即触发警示并中断芯片运行,防止错误扩大。
4. 独立故障通报系统:
为提升功能安全,产品设计有独立的错误输出和中断通报系统。当检测到异常时,能够及时发出错误通知,协助系统及早响应,降低事故风险,确保整体安全和性能。