功能安全介紹
功能安全是什麼
功能安全是一種旨在確保系統以可接受的安全等級運作的方法論。ISO 26262 是一個汽車安全標準,它定義了確保車輛系統安全所需的必要安全指標。通過實施計劃的安全機制,車輛可以發出警告並達到安全狀態,以防止對人類造成危害。
誰需要功能安全
原始設備/品牌製造商
Tier 1:子系統供應商,例如:ADAS
Tier 2:模組供應商,例如:相機
Tier 3:晶片供應商,例如:電源管理 IC
Tier 4:材料供應商,例如:智慧產權(IP)
系統製造商負責分析系統故障可能對人員造成的潛在危害。鑑於系統包含眾多組件,重要的是包括能夠提升功能安全的特定組件。這些功能安全組件被設計成能夠獨立處理潛在故障,降低整個系統需要分析和應對隨機組件故障的需求。
車輛安全完整性等級(Automotive Safety Integrity Level, ASIL)
對於每一個危險事件,應根據嚴重性、暴露度和可控性的分類來確定車輛安全完整性等級(ASIL),透過以下的問題來確定等級(從 QM、A 到 D):
Severity class(嚴重性)
|
Exposure class(暴露度)
|
Controllability class(可控性)
|
| C1 |
C2
|
C3
|
| S1 |
E1
|
QM |
QM
|
QM
|
| E2 |
QM |
QM
|
QM
|
| E3 |
QM |
QM |
A |
| E4 |
QM |
A
|
B
|
| S2 |
E1 |
QM |
QM |
QM |
| E2 |
QM |
QM |
A |
| E3 |
QM |
A |
B |
| E4 |
A |
B |
C
|
| S3 |
E1 |
QM |
QM |
A
|
| E2 |
QM |
A |
B |
| E3 |
A |
B |
C |
| E4 |
B |
C |
D |
1. Severity:
如果發生故障,後果會是什麼?它會影響駕駛員、乘客和/或車外的人嗎?嚴重性包括以下等級:
- S1(輕度到中度的傷害)
- S2(嚴重的傷害,但存活的可能性很大)
- S3(嚴重和致命的傷害)例如:追撞另一輛車。
2. Exposure:
系統有多頻繁會暴露於這特定的環境或情境?暴露度包括以下等級:
- E1(極低的機率)
- E2(低機率)
- E3(中等機率)
- E4(高機率)例如:行駛在高速公路上。
3. Controllability:
如果發生故障,周圍的人或操作車輛的人能夠多容易地避免受傷和/或損害?可控性包括以下等級:
- C1(較易控制)
- C2(通常可控制)
- C3(困難或難以控制)例如:高度自動化,駕駛人不處於控制環節。
ISO 26262 分為五個等級:
- QM (Quality Management):適用於不會導致車輛安全危害的等級。
- ASIL A:這是最不嚴格的安全等級。
- ASIL B:涵蓋從輕微到中等的條件。
- ASIL C:包括中等到嚴重的條件。
- ASIL D:滿足嚴重情境的要求。
立錡科技功能安全產品特色
1. 內建自測:
包括集成安全功能在內的安全機制,提供高診斷覆蓋率,確保每個行駛週期的可靠性。
2. 電壓監測:
參考電壓的不穩定可能導致晶片不穩定、錯誤增加和性能下降。因此,參考電壓的品質對於晶片的正常運作至關重要。晶片採用參考電壓檢測機制,通過引入冗余參考電壓來監測系統的參考電壓。
3. 時鐘監測:
系統的時鐘信號作為 IC 內各電路和模組的同步信號,確保它們在正確的時間和正確的順序執行各自的操作。在 IC 設計中,監測時鐘信號特別重要。晶片使用參考時鐘互相監測系統的時鐘。如果系統時鐘偏離預設限制,它會觸發低信號,中斷晶片並報告錯誤。
4. 獨立故障:
在功能安全的背景下,錯誤通知具有極大的重要性。我們的方法包括建立一個獨立的錯誤輸出中斷系統。可靠的錯誤通知有助於防止事故,確保系統的整體安全和效能。