ISO 26262标准是预先计算出汽车电控方面的故障风险,并把降低该风险的机制作为功能的一部分预先植入系统中,从而实现“功能安全”的标准化开发工艺。该标准的对象涵盖从车辆的构思到系统、ECU(电子控制单元)、嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。
ISO 26262标准在2018年颁布了第2版,不仅将对象范围扩大到巴士、卡车、两轮车辆,还新增了半导体部分,半导体元器件作为支持自动驾驶功能安全的核心产品成为关注的焦点。
在这种背景下,罗姆作为半导体制造商,自2017年开发由液晶驱动电源IC等构成的、支持功能安全的液晶面板芯片组,并在2018年取得ISO 26262开发工艺认证,不断推进支持汽车功能安全的产品开发。
在车载级元器件方面,罗姆打造了车载产品专用生产线,并遵行汽车行业质量管理体系“IATF16949”及电子元器件可靠性标准“AEC-Q100/101/200”等来推进产品开发。目前,罗姆的解决方案主要包括“针对液晶面板的解决方案”及“针对ECU电源电路的解决方案”。
罗姆半导体(上海)有限公司技术中心副总经理李春华认为,对功能安全的考虑应该深入工程师的设计思维。而ISO 26262正是国际标准化组织专门针对汽车电子电气系统制定的功能安全标准,目前已经在汽车行业广泛推行。
功能安全定义为安全是没有不可容忍的风险,安全本身也分为“本质安全”和“功能安全”。其中“本质安全”就是说降低机器设备以及人命的环境因素,彻底排除这个诱因。“功能安全”就是我可以把危险系数降到一个可容忍的范围,通过一个有效的改善方法。
“功能安全”就是通过一些低成本的方式来实现可容忍范围内的安全,但危险还是存在的,就要看设立系统的时候是不是可以把危险系数降到可容忍的范围,这个就是对于安全的一个定义。
实际上,ISO 26262认证可以分成两个方面,第一个是流程,主要是开发流程的标准,开发流程标准是以之前IATF 16949为基础,引入像账票类、可追溯类的管理这些内容。产品主要是以针对于产品性能的标准,产品性能标准大家可能听到的像ASIL各种等级,符合ASIL等级安全机制的这些功能安全的一些功能,包括自我诊断的功能认证。
目前,罗姆在功能安全方面做了一些具体产品,例如针对液晶面板的芯片组,面对客户提出的类似会不会导致黑屏、误显示、死机功能安全这些SafetyGoal,罗姆可以提供由时序控制器、源极驱动器、栅极驱动器、PMIC等组成的芯片组。其原理是通过IC之间互相的协作,把各个芯片错误的状态进行监控包括进行回复,一旦有错误,通过控制器来传达给后端的MCU达到一个对于整体液晶面板Safety Goal的实现。
在车载ECU外围电源方面,罗姆推出了一个简便的方案,在现有的电源构架不变的情况下,加一个电源监控的IC,通过向电源输出的状态进行监控,再通过我芯片对于监控的状态实时的反馈状态给到ECU,来传达供电给的各个部分哪一路出问题了,对于系统端也可以有效的去进行功能安全策略上的对应。它的优势就在于可以沿用现有的电源构架,只要加上罗姆的芯片就可以帮助客户系统端去提升。
随着自动驾驶技术的发展,对于汽车电子安全问题可能有更高的考验。李春华表示,自动驾驶当中像雷达、传感器等等,一旦出错可能会造成无可挽回的结果。以汽车ECU(Electronic ControlUnit)为例,车载应用要实现“功能安全”,不仅需要主功能,还需要“安全机制”,即能够监控主功能是否正常,当发生异常时,能够根据每种功能进行处理,保护人员(包括驾驶员、乘客以及行人)安全的功能。
此外,还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。针对这一问题,罗姆通过在独立的电源监控IC中内置各种监控功能和自我诊断功能,实现了可以轻松为现有电源增加功能安全性,并且已经实现量产的一款电源监控IC,即可以监控多个电源的电源监控IC“BD39040MUF”。