簡(jiǎn)化汽車(chē)和工業(yè)領(lǐng)域的功能安全認(rèn)證
隨著工業(yè)和汽車(chē)領(lǐng)域自動(dòng)化的出現(xiàn),人們對(duì)功能安全的需求有增無(wú)減。所有的工業(yè)應(yīng)用都有功能安全要求,尤其是在工廠自動(dòng)化和控制系統(tǒng)中。
本文引用地址:http://www.ex-cimer.com/article/202011/419863.htm在汽車(chē)行業(yè),盡管安全氣囊和制動(dòng)系統(tǒng)在多年前就具備了功能安全性,但隨著電氣化水平的提高和自動(dòng)駕駛功能的出現(xiàn),系統(tǒng)需要控制電池管理、傳感器融合和車(chē)輛操作,進(jìn)而增加了對(duì)功能安全設(shè)計(jì)的需求。
無(wú)論是設(shè)計(jì)工廠機(jī)器人系統(tǒng)、家用電器還是未來(lái)的汽車(chē),人們對(duì)設(shè)計(jì)工程師提出了更高的要求,即交付的項(xiàng)目應(yīng)符合應(yīng)用相關(guān)的功能安全標(biāo)準(zhǔn)。
在不要求遵循標(biāo)準(zhǔn)的應(yīng)用中,設(shè)計(jì)更安全的系統(tǒng)是在同類(lèi)競(jìng)爭(zhēng)產(chǎn)品中脫穎而出的關(guān)鍵因素。
功能安全標(biāo)準(zhǔn)
功能安全是系統(tǒng)整體安全性的一部分,是對(duì)某些輸入或故障狀態(tài)做出預(yù)測(cè)性響應(yīng)。功能安全標(biāo)準(zhǔn)認(rèn)為危險(xiǎn)總是存在的,因此,所有系統(tǒng)都有一個(gè)固有故障率。
功能安全標(biāo)準(zhǔn)對(duì)如何開(kāi)發(fā)系統(tǒng)作出了規(guī)定,從而將故障率降低到可容忍水平。包含功能安全的系統(tǒng)設(shè)計(jì)必須能降低由操作不當(dāng)引發(fā)故障的風(fēng)險(xiǎn),還能檢測(cè)故障并充分降低故障造成的影響。
為實(shí)現(xiàn)功能安全合規(guī)性,工程師必須:
● 預(yù)測(cè)并定義危險(xiǎn)狀況。
● 確定能應(yīng)對(duì)危險(xiǎn)狀況的安全功能。
● 評(píng)估安全功能的風(fēng)險(xiǎn)降低等級(jí)。
● 確保安全功能符合設(shè)計(jì)初衷。
功能安全標(biāo)準(zhǔn)是由標(biāo)準(zhǔn)組織以及相關(guān)行業(yè)企業(yè)共同制定的,它通過(guò)定義系統(tǒng)中的安全功能和建立安全等級(jí)評(píng)定規(guī)范,為設(shè)計(jì)人員提供了指導(dǎo)。德州儀器(TI) 加入標(biāo)準(zhǔn)組織,有助于確保其產(chǎn)品開(kāi)發(fā)從始至終都符合功能安全要求。
常見(jiàn)的安全標(biāo)準(zhǔn)包括國(guó)際電工委員會(huì) (IEC) 的61508 標(biāo)準(zhǔn)(針對(duì)工業(yè)應(yīng)用)、國(guó)際標(biāo)準(zhǔn)化組織(ISO) 的 26262 標(biāo)準(zhǔn)(針對(duì)汽車(chē)應(yīng)用)以及 IEC60730 標(biāo)準(zhǔn)(針對(duì)家用電器)。
各類(lèi)安全標(biāo)準(zhǔn)都規(guī)定了風(fēng)險(xiǎn)降低等級(jí)和安全完整性等級(jí) (SIL)。例如,IEC 61508 標(biāo)準(zhǔn)將 SIL 劃分為SIL 1 至 SIL 4 四個(gè)等級(jí),其中 SIL 4 的要求最高。SIL 1 要求安全可用性為 90% 至 99%,平均要求失效率 (PFDavg) 為 0.1 至 0.01,風(fēng)險(xiǎn)降低因子 (RRF) 為 10 至 100。SIL 4 要求安全可用性簡(jiǎn)化汽車(chē)和工業(yè)領(lǐng)域的功能安全認(rèn)證 3 2020 年 9 月>99.99%,PFDavg 為 0.0001 至 0.00001,RRF為 10,000 至 100,000。
ISO 26262 標(biāo)準(zhǔn)的 ASIL 等級(jí)與 SIL 類(lèi)似,即從ASIL A 至 ASIL D,其中 ASIL D 的要求最高。
功能安全流程
在功能安全開(kāi)發(fā)流程中,通常需要先確定各種危險(xiǎn)情況和功能安全目標(biāo)。然后,工程師開(kāi)始檢查系統(tǒng)架構(gòu)、模塊和 IC。之后,將 IC 作為符合功能安全標(biāo)準(zhǔn)系統(tǒng)的主要構(gòu)建塊進(jìn)行開(kāi)發(fā)。
為預(yù)測(cè)系統(tǒng)可能出現(xiàn)的行為,工程師必須量化和預(yù)測(cè)模塊的運(yùn)行情況。為此,工程師必須在開(kāi)發(fā)流程中對(duì)系統(tǒng)進(jìn)行結(jié)構(gòu)化安全定性分析,從而找出各種失效模式、失效原因及其影響。
功能安全標(biāo)準(zhǔn)規(guī)定了工程師需要了解的 IC 相關(guān)信息,便于工程師獨(dú)立進(jìn)行失效模式、影響和診斷分析 (FMEDA)。由于 IC 的復(fù)雜度不同,系統(tǒng)安全分析可能需要有關(guān)設(shè)計(jì)、芯片和封裝的信息。
在此過(guò)程中,請(qǐng)務(wù)必從可靠的供應(yīng)商處選擇合適的器件。無(wú)論是用于功能安全設(shè)計(jì),還是用于實(shí)現(xiàn)差異化競(jìng)爭(zhēng)的較安全系統(tǒng)中,TI 都能讓工程師更輕松地找到并使用合適的產(chǎn)品。
借助功能安全類(lèi)別簡(jiǎn)化器件的選擇
典型的工業(yè)和汽車(chē)應(yīng)用需要復(fù)雜度迥異的大量 IC,如一個(gè)或多個(gè)傳感器和傳動(dòng)器,處理傳感器數(shù)據(jù)的微控制器 (MCU) 或處理器,模擬多路復(fù)用器,運(yùn)算或儀表放大器,可能與或未與處理器集成的模數(shù)轉(zhuǎn)換器 (ADC) 和數(shù)模轉(zhuǎn)換器,直流/直流轉(zhuǎn)換器,低壓降穩(wěn)壓器或電源管理 IC (PMIC),以及 LED 驅(qū)動(dòng)器、電機(jī)驅(qū)動(dòng)器、電磁閥驅(qū)動(dòng)器、場(chǎng)效應(yīng)晶體管(FET) 和絕緣柵雙極晶體管柵極驅(qū)動(dòng)器等驅(qū)動(dòng)器元件,電源開(kāi)關(guān)和負(fù)載開(kāi)關(guān)。另外,應(yīng)用還包括各類(lèi)通信接口,如 RS-485、控制器區(qū)域網(wǎng) (CAN)、以太網(wǎng)、FPD-Link 和外圍組件快速互連 (PCIe) 接口。
表 1 所示是 TI 為功能安全設(shè)計(jì)提供的產(chǎn)品類(lèi)別,這也表明了基于標(biāo)準(zhǔn)的 IC 復(fù)雜度分類(lèi)依據(jù)。這些類(lèi)別包括 TI 功能安全型、TI 功能安全質(zhì)量管理型、TI 功能安全合規(guī)型。
功能安全合規(guī)型產(chǎn)品
這類(lèi)產(chǎn)品通常都是系統(tǒng)中相當(dāng)復(fù)雜的器件,如MCU、處理器或模擬電機(jī)驅(qū)動(dòng)器,可能具有集成的安全功能。
TI 使用經(jīng) Technischer überwachungsverein (TüV)SüD 等機(jī)構(gòu)認(rèn)證的功能安全開(kāi)發(fā)流程,開(kāi)發(fā)了這類(lèi)產(chǎn)品。這類(lèi)認(rèn)證可確保這一類(lèi)別的產(chǎn)品是按照功能安全標(biāo)準(zhǔn)(ISO26262 和 IEC61508)規(guī)定的規(guī)格開(kāi)發(fā)的。
以下列復(fù)雜的功能安全合規(guī)型器件為例:
● 用于高級(jí)駕駛輔助系統(tǒng)、符合汽車(chē)電子委員會(huì) (AEC)-100 標(biāo)準(zhǔn)的 Jacinto? TDAx 片上系統(tǒng),集成了定點(diǎn)和浮點(diǎn) TMS320C66x 數(shù)字信號(hào)處理器 (DSP) 內(nèi)核、Vision AccelerationPac嵌入式視覺(jué)引擎和雙核 ARM? Cortex?-M4 處理器,以及用于低壓差分信令環(huán)視系統(tǒng)、顯示、CAN 和千兆位以太網(wǎng)音頻視頻橋接的多攝像頭接口等外設(shè)。這些器件滿足廣泛的功能安全系統(tǒng)要求,包括具有錯(cuò)誤校正碼 (ECC) 保護(hù)機(jī)制的 M4、具有 ECC 保護(hù)機(jī)制的 32 位雙倍數(shù)據(jù)速率接口、適用于中央處理單元 (CPU)的專(zhuān)用內(nèi)存管理單元、內(nèi)存保護(hù)單元、溫度監(jiān)測(cè)傳感器,以及用于系統(tǒng)監(jiān)控的八通道 ADC。
● TPS6594-Q1多軌電源管理集成電路(PMIC)支持汽車(chē)和工業(yè)市場(chǎng)采用的TI Jacinto TDAx片上系統(tǒng)。PMIC精度高、靈活性強(qiáng),適合要求功能安全的汽車(chē)和工業(yè)應(yīng)用,并會(huì)提供功能安全文檔。TPS6594-Q1為主域和MCU域提供可擴(kuò)展的電源管理解決方案,并支持ASIL-D/SIL-3級(jí)別的功能安全
● Hercules? MCU 集成了足夠多的安全和診斷功能,可讓工程師達(dá)到 SIL 3 的目標(biāo)等級(jí)。也就是說(shuō),此 MCU 可實(shí)現(xiàn)約 99% 的故障覆蓋率。例如,在 MCU 上集成兩個(gè)采用鎖步模式的 Cortex-R CPU,可在每個(gè)周期對(duì)輸出進(jìn)行比較,如出現(xiàn)錯(cuò)誤,則會(huì)產(chǎn)生非屏蔽中斷。在工業(yè)應(yīng)用中,CPU 可在啟動(dòng)時(shí)或時(shí)間片內(nèi)進(jìn)行自檢。
● DRV3245E-Q1 是一款適用于三相電機(jī)驅(qū)動(dòng)應(yīng)用的 FET 柵極驅(qū)動(dòng)器 IC。它的三個(gè)半橋驅(qū)動(dòng)器可分別驅(qū)動(dòng)高側(cè)和低側(cè) N 溝道金屬-氧化物-半導(dǎo)體 FET。根據(jù) ISO 26262 的適用要求,該柵極驅(qū)動(dòng)器為每個(gè)內(nèi)部時(shí)鐘集成了診斷和保護(hù)功能,還提供了常用系統(tǒng)診斷檢查支持,二者皆可通過(guò)串行外設(shè)接口實(shí)現(xiàn)實(shí)例化和故障報(bào)告。借助靈活的功能,DRV3245E-Q1 可無(wú)縫集成到各種安全架構(gòu)中。
● TPS65381A-Q1多軌PMIC采用雙核同步或松散耦合的體系結(jié)構(gòu),為汽車(chē)和工業(yè)市場(chǎng)上的TIHercules TMS570和C2000? MCU系列產(chǎn)品提供支持。配備內(nèi)部FET的異步降壓開(kāi)關(guān)式電源轉(zhuǎn)換器可將輸入電源(電池)電壓轉(zhuǎn)換為6-V前置調(diào)節(jié)器輸出電壓。然后由6-V的前置調(diào)節(jié)器為其他調(diào)節(jié)器供電。它的監(jiān)控和保護(hù)模塊,包括電壓檢測(cè)、模擬內(nèi)建自測(cè)、時(shí)鐘丟失檢測(cè)、接點(diǎn)溫度檢測(cè)、電源電流限制和MCU誤差信號(hào)監(jiān)測(cè)等,都能提高診斷覆蓋率并降低未檢測(cè)到的故障率。
● TI 可提供屬于這一類(lèi)別的多種器件,如 C2000實(shí)時(shí)控制器和具有板載 DSP、MCU 和雷達(dá)加速器的 AWR1843、76GHz 至 81GHz 汽車(chē)?yán)走_(dá)傳感器。所有這些產(chǎn)品都附有專(zhuān)用的功能安全相關(guān)文檔,以支持系統(tǒng)開(kāi)發(fā)流程:
● 功能安全時(shí)基故障 (FIT) 率計(jì)算。
● 失效模式分布 (FMD)。
● FMEDA。
● 失效樹(shù)分析。
● 功能安全手冊(cè),介紹了 IC 安全功能以及如何使用外部元件實(shí)現(xiàn)一定的故障覆蓋率和診斷功能。
● 功能安全產(chǎn)品證書(shū)。
功能安全質(zhì)量管理型產(chǎn)品
第二類(lèi)產(chǎn)品包含內(nèi)置診斷功能的復(fù)雜產(chǎn)品,且專(zhuān)用于有功能安全要求的系統(tǒng)。但是,這一產(chǎn)品類(lèi)別在開(kāi)發(fā)時(shí)沒(méi)有按照適用于功能安全合規(guī)型產(chǎn)品類(lèi)別的認(rèn)證功能安全開(kāi)發(fā)流程,而是使用 TI 的標(biāo)準(zhǔn)質(zhì)量管理開(kāi)發(fā)流程。
此類(lèi)別的產(chǎn)品包括但不限于:
● TCAN4550-Q1是業(yè)界首創(chuàng)的汽車(chē)系統(tǒng)基礎(chǔ)芯片(SBC),含集成式CAN FD控制器和收發(fā)器。這款高度集成的設(shè)備利用現(xiàn)有的SPI端口簡(jiǎn)化CAN FD總線擴(kuò)展,這樣設(shè)計(jì)師就可以在升級(jí)至簡(jiǎn)化汽車(chē)和工業(yè)領(lǐng)域的功能安全認(rèn)證 5 2020 年 9 月更高寬帶CAN FD接口協(xié)議時(shí)維持當(dāng)前基于微控制器的結(jié)構(gòu)體系。
● LP87702-Q1是一款雙降壓和5-V升壓轉(zhuǎn)換器,集成符合ASIL的毫米波雷達(dá)系統(tǒng)要求的診斷功能,其中包括視窗監(jiān)控器和一個(gè)監(jiān)控其輸出電源的獨(dú)立參考電壓、以及兩個(gè)外部電源。對(duì)于功能安全合規(guī)型器件,我們提供了各種文檔,可幫助進(jìn)行功能安全系統(tǒng)設(shè)計(jì)。這些文檔包括功能安全時(shí)基故障率計(jì)算、FMEDA 和功能安全手冊(cè)。非功能安全合規(guī)型器件則不包括無(wú)故障分析或產(chǎn)品認(rèn)證。
功能安全型產(chǎn)品
第三類(lèi)產(chǎn)品包含的 IC 較簡(jiǎn)單,開(kāi)發(fā)時(shí)使用 TI 的標(biāo)準(zhǔn)質(zhì)量管理開(kāi)發(fā)流程,與功能安全質(zhì)量管理型產(chǎn)品類(lèi)別類(lèi)似。
功能安全型產(chǎn)品通常不具備集成的安全功能,所以通常不會(huì)提供內(nèi)置的監(jiān)控和診斷功能,這些功能在TI 其他功能安全產(chǎn)品類(lèi)別的器件中較常見(jiàn)。
由于這類(lèi)產(chǎn)品沒(méi)有集成全面的安全功能,它們不具備其他類(lèi)別器件常見(jiàn)的內(nèi)部監(jiān)控和診斷功能。但它們?nèi)允枪δ馨踩到y(tǒng)中的重要構(gòu)建塊,因此,TI 會(huì)提供功能安全時(shí)基故障率和 FMD 等重要信息,供設(shè)計(jì)人員在安全分析中使用。
此類(lèi)別的產(chǎn)品包括但不限于:
● 小巧的線性熱敏電阻TMP61-Q1因長(zhǎng)期傳感器漂移小于1%且精度優(yōu)于傳統(tǒng)熱敏電阻而頗受青睞。我們的熱敏電阻替代產(chǎn)品TMP235-Q1是一款精密溫度傳感器集成電路,無(wú)需校準(zhǔn)即可達(dá)到±1.5°C。
● TPS3840-Q1 電壓監(jiān)控器或復(fù)位 IC。這款符合 AEC-Q100 標(biāo)準(zhǔn)的器件可提供 1.5V 至10V 的寬電壓范圍,電源電流典型值僅為350nA,最大值為 700nA。
● 符合 AEC-Q100 標(biāo)準(zhǔn)的 TPS7A16A-Q160V、5μA 靜態(tài)電流、100mA 低壓降穩(wěn)壓器,專(zhuān)為需要超低靜態(tài)電流的連續(xù)或斷續(xù)(備用電源)電池供電應(yīng)用而設(shè)計(jì)。此器件非常適合通過(guò)多節(jié)電池解決方案(如高電池節(jié)數(shù)電動(dòng)工具組和汽車(chē)應(yīng)用)生成低電壓電源。TPS7A16A-Q1 不僅能提供一個(gè)良好穩(wěn)壓的電壓軌,還能承受瞬態(tài)電壓并在電壓瞬態(tài)期間保持穩(wěn)壓狀態(tài)。
圖1 添加的功能安全活動(dòng)可能安排在標(biāo)準(zhǔn)質(zhì)量管理開(kāi)發(fā)流程中
TI 開(kāi)發(fā)流程
由于功能安全開(kāi)發(fā)流程較復(fù)雜,除 TüV SüD 認(rèn)證外,您可能需要了解更多有關(guān)公司安全文化和流程的信息。這也是 TI 為管理系統(tǒng)失效和隨機(jī)失效而創(chuàng)建開(kāi)發(fā)流程的原因所在(見(jiàn)表 2)。我們的所有產(chǎn)品都遵循質(zhì)量管理開(kāi)發(fā)流程,從而降低系統(tǒng)失效率。圖 1 所示的標(biāo)準(zhǔn)開(kāi)發(fā)流程具有管理系統(tǒng)失效所需的很多要素。此外,這些產(chǎn)品的文檔和報(bào)告可用于幫助遵循針對(duì)最終應(yīng)用(包括汽車(chē)和工業(yè)系統(tǒng))的各種標(biāo)準(zhǔn)(例如 ISO 26262-4 或IEC 61508-2)。
該流程將開(kāi)發(fā)分為以下幾個(gè)階段:
● 評(píng)估。
● 計(jì)劃。
● 創(chuàng)建。
● 驗(yàn)證。
TI 的功能安全開(kāi)發(fā)流程是根據(jù) ISO 26262 和 IEC61508 制定的。我們向新產(chǎn)品標(biāo)準(zhǔn)開(kāi)發(fā)流程的每個(gè)階段都添加了幾項(xiàng)特定的功能安全活動(dòng),從而劃分出三個(gè)基于標(biāo)準(zhǔn)的 IC 復(fù)雜度類(lèi)別。
如 ISO 26262-2:2018 附件 A 所述,TI 的開(kāi)發(fā)流程有利于真正實(shí)現(xiàn)功能安全。該開(kāi)發(fā)流程可促進(jìn)在所有產(chǎn)品開(kāi)發(fā)團(tuán)隊(duì)之間共享功能安全類(lèi)信息。
TI 團(tuán)隊(duì)根據(jù)適當(dāng)?shù)臉?biāo)準(zhǔn)維護(hù)特定組織的功能安全規(guī)則,而且其各個(gè)流程可確保解決發(fā)現(xiàn)的安全異常情況。TI 根據(jù)通用標(biāo)準(zhǔn)維護(hù)可滿足功能安全要求的質(zhì)量管理系統(tǒng),從而為客戶提供支持。
不斷提供功能安全產(chǎn)品系列
功能安全設(shè)計(jì)側(cè)重在概念階段就對(duì)各類(lèi)危險(xiǎn)、失效和緩解措施作出詳盡的計(jì)劃。這涉及根據(jù)標(biāo)準(zhǔn)分析各類(lèi)系統(tǒng)失效以及所實(shí)施診斷方案的有效性。在此期間,需要反復(fù)研究用于構(gòu)建系統(tǒng)的各個(gè)器件相關(guān)的數(shù)據(jù)。
TI 不僅持續(xù)開(kāi)發(fā)相關(guān)產(chǎn)品,還提供這些產(chǎn)品的所有必要數(shù)據(jù)和文檔用于功能安全應(yīng)用,可幫助滿足上述需求。
評(píng)論