功能安全介紹
功能安全是什麼
功能安全是一套確保系統在可接受之安全等級下運作的方法論。ISO 26262 是一個汽車安全標準,它定義了車輛系統安全所需的指標。透過實施安全機制,車輛能在發生異常時發出警告並進入安全狀態,避免人員受傷。
誰需要功能安全
功能安全不僅是車廠的責任,還包括各級供應商。
OEM/OBM:原始設備/品牌製造商
Tier 1:子系統供應商,例如:ADAS
Tier 2:模組供應商,例如:相機
Tier 3:晶片供應商,例如:電源管理 IC
Tier 4:材料供應商,例如:智慧產權(IP)
系統製造商負責分析系統故障可能對人員造成的潛在危害。鑑於系統包含眾多組件,重要的是包括能夠提升功能安全的特定組件。這些功能安全組件被設計成能夠獨立處理潛在故障,降低整個系統需要分析和應對隨機組件故障的需求。
車輛安全完整性等級(Automotive Safety Integrity Level, ASIL)
對於每一個危險事件,應根據嚴重性、暴露度和可控性的分類來確定車輛安全完整性等級(ASIL),透過以下的問題來確定等級(從 QM、A 到 D):
Severity class(嚴重性)
|
Exposure class(暴露度)
|
Controllability class(可控性)
|
| C1 |
C2
|
C3
|
| S1 |
E1
|
QM |
QM
|
QM
|
| E2 |
QM |
QM
|
QM
|
| E3 |
QM |
QM |
A |
| E4 |
QM |
A
|
B
|
| S2 |
E1 |
QM |
QM |
QM |
| E2 |
QM |
QM |
A |
| E3 |
QM |
A |
B |
| E4 |
A |
B |
C
|
| S3 |
E1 |
QM |
QM |
A
|
| E2 |
QM |
A |
B |
| E3 |
A |
B |
C |
| E4 |
B |
C |
D |
1. Severity
如果發生故障,後果會是什麼?它會影響駕駛員、乘客和/或車外的人嗎?嚴重性包括以下等級:
- S1:輕度到中度的傷害
- S2:嚴重的傷害,但存活的可能性很大
- S3:嚴重和致命的傷害
2. Exposure
系統有多頻繁會暴露於這特定的環境或情境?暴露度包括以下等級:
- E1:極少發生(如一年一次)
- E2:偶爾發生
- E3:經常發生
- E4:非常頻繁(每天都會遇到)
3. Controllability
如果發生故障,周圍的人或操作車輛的人能夠多容易地避免受傷和/或損害?可控性包括以下等級:
- C1:容易控制(駕駛人能輕鬆處理)
- C2:困難但可控制(需要技巧或經驗)
- C3:難以控制或無法控制(一般人幾乎無法處理)
4. ISO 26262 分為五個等級
- QM (Quality Management):適用於不會導致車輛安全危害的等級。
- ASIL A:這是最不嚴格的安全等級。
- ASIL B:涵蓋從輕微到中等的條件。
- ASIL C:包括中等到嚴重的條件。
- ASIL D:最高風險等級,要求最嚴格,適用於關乎人身安全的核心系統。
立錡科技可提供的產品安全等級選擇
立錡通過了 ISO 26262 ASIL D 的流程認證,可以用安全等级最高的流程為車輛應用提供產品開發和製造服務,可依據 ISO 26262 標準,提供多種汽車安全完整性等級(ASIL)產品選項,滿足不同車輛應用與客戶的安全需求:
- QM(Quality Management):適用於不涉及安全危害的車用電子產品。
- ASIL A:適合低風險、基本安全需求的應用。
- ASIL B:適用於中等風險、需加強安全機制的系統。
- ASIL C:適用於高風險、需嚴格安全設計的車用關鍵系統。
- ASIL D:最高安全等級,適用於極高風險、需最嚴格安全保障的應用。
客戶可依據實際需求,選擇最合適的安全等級產品,確保車輛系統的安全與可靠性。
| 安全等級 |
適用範圍 |
立錡產品支援 |
| QM |
一般車用電子 |
✔ |
| ASIL A |
基本安全需求 |
✔ |
| ASIL B |
中等安全需求 |
✔ |
| ASIL C |
高安全需求 |
✔ |
| ASIL D |
最高安全需求 |
✔ |
立錡科技功能安全產品特色
1. 內建自我診斷機制:
產品內建多項安全機制,能自動進行自我檢測,提供高診斷覆蓋率,確保每一次行駛週期的可靠性與安全性。
2. 電壓監測與冗餘設計:
晶片具備參考電壓監測功能,能即時偵測參考電壓的穩定性。透過冗餘參考電壓設計,有效避免因電壓異常導致的晶片不穩定、錯誤增加或性能下降,確保系統穩定運作。
3. 時鐘監測與異常警示:
系統時鐘是 IC 內各電路與模組同步運作的關鍵。晶片內建時鐘監測機制,能即時偵測時鐘訊號是否偏離預設範圍,若發現異常,會立即觸發警示並中斷晶片運作,防止錯誤擴大。
4. 獨立故障通報系統:
為提升功能安全,產品設計有獨立的錯誤輸出與中斷通報系統。當偵測到異常時,能即時發出錯誤通知,協助系統及早反應,降低事故風險,確保整體安全與效能。