支持汽车安全的最新汽车功能安全标准“ISO 26262”
扫描二维码
随时随地手机看文章
近年来,在汽车领域,随着自动驾驶技术的持续创新并迅速发展,越来越需要有助于在紧急情况下防患于未然的功能(功能安全)、以及将功能安全标准化的ISO 26262等标准。特别是在技术创新卓著的中国,ISO 26262(功能安全)已被确立为以“GB/T”开头的推荐性国家标准,ISO 26262的第一版中文译本“GB/T 34590”已于2017年10月发布,并且已于2018年5月起开始施行。
在这种背景下,不仅汽车制造商(OEM),越来越多的汽车电子产品制造商(Tier1)也纷纷加速了功能安全支持,从全球范围来看,实现功能安全已经是必经之路。
罗姆自2017年在业界率先开发由液晶驱动电源IC等构成的、支持功能安全的液晶面板芯片组,并在2018年取得ISO26262开发工艺认证等,不断推进支持汽车功能安全的产品开发。
本文将从半导体制造商的角度,在对功能安全和ISO 26262的关注度日益增加,并需要采取行动积极应对的背景下,向您介绍罗姆官方网站上公布的白皮书摘要。另外,白皮书有包括案例等具体的介绍,欢迎登录罗姆官方网站了解详情。
<功能安全的思路>
在介绍“功能安全”时,经常引用的术语是“本质安全”。在此希望通过与“本质安全”的比较来介绍“功能安全”。“本质安全”是一种通过消除危险原因来确保安全的方法。而“功能安全”是通过功能方面的努力将风险降低到可接受水平来确保安全的方法。
例如,以道路和铁路交叉口为例,让我们来思考一下应该采取什么措施来避免汽车和火车之间发生碰撞。
为了消除道路和铁路交叉的危险原因,将道路和铁路分开,建立交桥来避免碰撞的做法就是基于“本质安全”的思路。按照“本质安全”的思路,采用立交桥的做法,可以从物理上消除汽车与火车之间的碰撞。
而“功能安全”的方法则可能是通过设置铁路道口来避免碰撞。在道路与铁路的交叉处设置警报器和栏杆,在铁路上安装传感器,当传感器检测到火车接近时,警报器响起,并降下栏杆。当另外的传感器检测到火车已经通过时,警报器停止,并升起栏木机。虽然道路与铁路在物理上仍然交叉,但可通过设置铁路道口的方法将把汽车和火车相撞的风险降低到可接受的水平。这就是“功能安全”的思路。
在罗姆官方网站上公布的白皮书详细记载了实现功能安全的具体手法,欢迎登录官网了解详情。
<什么是ISO 26262>
“ISO”是指International Organization for Standardization(国际标准化组织),是总部位于瑞士日内瓦的非政府机构,旨在制定并推广国际标准(IS:International Standard)。其中ISO 9001(质量管理体系)和ISO 14001(环境管理体系)是非常有名的标准。
ISO 26262是汽车电气/电子系统相关的“功能安全”国际标准。作为功能安全的母标准,存在着IEC 61508(International Electrotechnical Commission:国际电工委员会),ISO 26262是基于此并根据汽车的电气/电子系统进行修改而成的。
ISO 26262于2011年11月发布第一版,于2018年12月发布修订后的第二版。在第一版中,涉及的对象是3,500kg以下的量产乘用车;在第二版中,对象范围扩大至卡车、公共汽车及两轮机动车。关于半导体方面的指南,是在第二版的Part11新规定的。
虽然ISO 26262旨在实现功能安全,但它并不是法律。因此,不遵守ISO 26262标准并不违法。但是,汽车制造商不会购买不符合标准的产品。汽车制造商通过根据ISO 26262设计电气/电子系统来证明能够确保汽车的安全。而且,设计应确保即使发生了电气/电子系统故障,也不会造成人身(不仅包括驾驶员和乘客,还包括行人等)伤害。
<获得ISO 26262认证的方法>
要取得上述ISO 26262的认证,通常的做法是接受以TÜV Rheinland、TÜV SUD、SGS TÜV、DNV-GL、TÜV Saarland等为代表的第三方认证机构的审查,并取得认证。
罗姆从2015年开始构建ISO 26262的流程,约在2年半后的2018年3月,通过德国第三方认证机构TÜV Rheinland获得了ISO 26262的流程认证。换句话说,罗姆的ISO 26262流程已经被认定为是符合ISO 26262标准的流程。一般通常的做法是根据顾问等外援的建议来构建流程,但罗姆不止于此,还举办了多场研讨会来学些和了解该标准,以调整方向,建立符合标准的流程。
罗姆官方网站上公布的白皮书记载了其他安全标准以及符合ISO26262的手段、获得认证的方法,以及罗姆的ISO 26262体制等,欢迎登录官网查看详情。
<支持功能安全的车载应用和罗姆的半导体产品例>
在最近的车载应用中,半导体是如何为构建功能安全作贡献的,在此介绍一下罗姆的行动和解决方案。
1. 针对液晶面板的解决方案
在使用仪表盘和电子镜的液晶面板应用中,如果时序控制器控制两个驱动器,把来自GPU的图像数据直接显示在液晶面板上的话,一旦发生显示异常,将无法做任何操作,会直接导致事故发生。
针对这种问题,罗姆的车载用时序控制器,能够监测来自GPU的图像数据,当发生数据异常或输入信号异常时,使之显示黑屏,或通知微控制器使之显示错误警告画面等,从而让驾驶员注意到异常,成功地解决了该问题。
而且,罗姆的液晶面板用芯片组,拥有控制各液晶驱动器的时序控制器:BU90AL210 / BU90AL211 / BU90AD410、驱动液晶面板的源极驱动器和栅极驱动器:ML9882 / ML9873 / ML9872、多功能电源IC:BM81810MUV、进行图像视频校正的伽玛校正IC:BD81849MUV,可从整体上确保液晶面板的功能安全。
2.针对ECU电源电路的解决方案
在汽车ECU(Electronic Control Unit)中,通常需要多个电源。该电源发生异常时可能会引发事故。因此,需要能够监控ECU内的多个电源、并在发生异常时根据所异常进行避免事故的处理,电源监控IC就发挥着这个作用。电源监控IC会监控这些电压,并在发生异常时通知MCU,提示其进行处理。
如上所述,车载应用要实现“功能安全”,不仅需要主功能,还需要“安全机制”,即能够监控主功能是否正常,当发生异常时,能够根据每种功能进行处理,保护人员(包括驾驶员、乘客以及行人)安全的功能。此外,还需要能够确认这些“安全机制”是否在正常运行的“自我诊断功能”。
针对这一问题,罗姆通过在独立的电源监控IC中内置各种监控功能和自我诊断功能,实现了可以轻松为现有电源增加功能安全性,并且已经实现量产的一款电源监控IC,即可以监控多个电源的电源监控IC“BD39040MUF”。另外,具有更高检测精度的“BD39042MUF”也正在开发中。
仅需在现有系统中添加电源监控IC,既可以利用很小的空间实现功能安全所要求的电源监控功能。罗姆的电源监控IC,非常有助于简化功能安全系统设计。
在罗姆官方网站上公布的白皮书中,有更加详细的车载应用和半导体产品信息,欢迎登录官网查看详情。