功能安全介绍
功能安全是什么
功能安全是一种旨在确保系统以可接受的安全等级运作的方法论。ISO 26262 是一个汽车安全标准,它定义了确保车辆系统安全所需的必要安全指标。通过实施计划的安全机制,车辆可以发出警告并达到安全状态,以防止对人类造成危害。
谁需要功能安全
原始设备/品牌制造商
Tier 1:子系统供应商,例如:ADAS
Tier 2:模块供应商,例如:摄像头
Tier 3:芯片供应商,例如:电源管理芯片(PMIC)
Tier 4:材料供应商,例如:知识产权(IP)
系统制造商负责分析系统故障可能对人员造成的潜在危害。鉴于系统包含众多组件,重要的是包括能够提升功能安全的特定组件。这些功能安全组件被设计成能够独立处理潜在故障,降低整个系统需要分析和应对随机组件故障的需求。
车辆安全完整性等级(Automotive Safety Integrity Level, ASIL)
对于每一个危险事件,应根据严重性、暴露度和可控性的分类来确定车辆安全完整性等级(ASIL),透过以下的问题来确定等级(从 QM、A 到 D):
Severity class(严重性)
|
Exposure class(暴露度)
|
Controllability class(可控性)
|
| C1 |
C2
|
C3
|
| S1 |
E1
|
QM |
QM
|
QM
|
| E2 |
QM |
QM
|
QM
|
| E3 |
QM |
QM |
A |
| E4 |
QM |
A
|
B
|
| S2 |
E1 |
QM |
QM |
QM |
| E2 |
QM |
QM |
A |
| E3 |
QM |
A |
B |
| E4 |
A |
B |
C
|
| S3 |
E1 |
QM |
QM |
A
|
| E2 |
QM |
A |
B |
| E3 |
A |
B |
C |
| E4 |
B |
C |
D |
1. Severity:
如果发生故障,后果会是什么?它会影响驾驶员、乘客和/或车外的人吗?严重性包括以下等级:
- S1(轻度到中度的伤害)
- S2(严重的伤害,但存活的可能性很大)
- S3(严重和致命的伤害)例如:追撞另一辆车。
2. Exposure:
系统有多频繁会暴露于这特定的环境或情境?暴露度包括以下等级:
- E1(极低的概率)
- E2(低概率)
- E3(中等概率)
- E4(高概率)例如:行驶在高速公路上。
3. Controllability:
如果发生故障,周围的人或操作车辆的人能够多容易地避免受伤和/或损害?可控性包括以下等级:
- C1(较易控制)
- C2(通常可控制)
- C3(困难或难以控制)例如:高度自动化,驾驶员不处于控制环节。
ISO 26262 分为五个等级:
- QM (Quality Management):适用于不会导致车辆安全危害的等级。
- ASIL A:这是最不严格的安全等级。
- ASIL B:涵盖从轻微到中等的条件。
- ASIL C:包括中等到严重的条件。
- ASIL D:满足严重情境的要求。
立錡科技功能安全产品特色
1. 内建自测:
包括集成安全功能在内的安全机制,提供高诊断覆盖率,确保每个行驶周期的可靠性。
2. 电压监测:
基准电压的不稳定可能导致芯片不稳定、错误增加和性能下降。因此,基准电压的质量对于芯片的正常操作至关重要。芯片采用基准电压检测机制,通过引入冗余基准电压来监测系统的基准电压。
3. 时钟监测:
系统的时钟信号作为 IC 内各电路和模块的同步信号,确保它们在正确的时间和正确的顺序执行各自的操作。在 IC 设计中,监测时钟信号特别重要。芯片使用参考时钟相互监测系统的时钟。如果系统时钟偏离预设限制,它会触发低信号,中断芯片并报告错误。
4. 独立故障:
在功能安全的背景下,错误通知具有极大的重要性。我们的方法包括建立一个独立的错误输出中断系统。可靠的错误通知有助于防止事故,确保系统的整体安全和性能。