功能安全對于汽車(chē)供應鏈的挑戰

摘要：本文介紹了ISO 26262的功能安全標準規定的與安全相關(guān)的汽車(chē)系統開(kāi)發(fā)準則，以及這一準則對道路中行駛的車(chē)輛與安全相關(guān)的電子系統開(kāi)發(fā)過(guò)程和設計中提出的要求，并就Allegro公司用于關(guān)鍵安全應用的角度傳感器IC做了相應的介紹。

　　在過(guò)去幾十年里，隨著(zhù)眾多高科技企業(yè)和OEM廠(chǎng)商爭相投入開(kāi)發(fā)完全自動(dòng)駕駛汽車(chē)的競賽，汽車(chē)中電子產(chǎn)品的含量穩步增長(cháng)，并且這種趨勢沒(méi)有減慢的信號。雖然自動(dòng)駕駛的范圍不同，從無(wú)控制至全面控制，目前可用的絕大多數汽車(chē)都包含具有某種程度的自動(dòng)駕駛系統，比如電子穩定性控制(ESC)或車(chē)道居中(lane centering)。這些電子系統旨在協(xié)助駕駛者，并可為駕駛者做出越來(lái)越多的決定，甚至還將駕駛者從決策的過(guò)程中完全去除。這些系統通常增強了駕駛者和乘客的安全性。但是，如果它們出現故障或者具有設計缺陷，則可能引發(fā)事故。因此，這些功能為整個(gè)汽車(chē)供應鏈帶來(lái)了全新的開(kāi)發(fā)挑戰。

ISO 26262的功能安全標準規定了安全相關(guān)的汽車(chē)系統開(kāi)發(fā)準則

　　在2011年，國際標準化組織(ISO)發(fā)布了稱(chēng)作ISO 26262的功能安全標準，其中規定了行業(yè)最佳的與安全相關(guān)的汽車(chē)系統開(kāi)發(fā)準則。雖然標準的采納是自愿的，但世界各地大多數OEM廠(chǎng)商要求其供應商符合這一標準。延遲采納這項標準的供應商有可能會(huì )在未來(lái)?yè)p失一些商業(yè)機會(huì )。

　　ISO 26262標準涵蓋了道路中行駛的車(chē)輛與安全相關(guān)的電子系統開(kāi)發(fā)過(guò)程和設計兩方面的要求，這些要求是基于系統本身的危險性和風(fēng)險評估。標準范圍限于出現故障的電氣或電子系統。因此，符合要求的系統必需能夠識別其故障并減緩其影響，從而確保乘客的安全。鑒于這個(gè)原因，目前的安全體系很大程度上依賴(lài)于診斷和冗余，以便能夠檢測到出現故障的系統組件，并將系統過(guò)渡到安全狀態(tài)。通常，這種要求需要IC元器件供應商把更多的內容集成到現有解決方案中，包括能夠運行診斷和對其所處狀態(tài)的通信能力。

　　現在以一個(gè)傳感器IC系統為例來(lái)簡(jiǎn)單說(shuō)明。由于該系統是一項與安全相關(guān)的功能，這個(gè)系統必須能夠診斷傳感器輸出是否在正確的狀態(tài)。根據系統的要求和風(fēng)險，可以采用多種方式來(lái)完成這項任務(wù)。例如，可以把復雜的診斷電路和通信協(xié)議組合至傳感器IC本身。作為替代方式，也可以在系統層面增加一個(gè)冗余傳感器，無(wú)需在每個(gè)單一IC中提升其功能性或者通信診斷能力。冗余傳感器輸出以及彼此的比較可用作一種診斷標準。在安全工作條件下，兩個(gè)傳感器的輸出應當始終在預定義的誤差范圍內。診斷和冗余這兩種大不相同的方法都可滿(mǎn)足系統要求，但是，在成本和選用完成任務(wù)的合適硬件(傳感器組件)方面，卻有著(zhù)截然不同的影響。面向汽車(chē)市場(chǎng)的元器件供應商正在試圖了解這些安全相關(guān)系統不斷演進(jìn)的要求以及折衷權衡，并且跟上發(fā)展的步伐，為客戶(hù)提供易于集成的解決方案。

　　自從ISO 26262標準推出之后，以前被認為是“安全”的概念也在演進(jìn)變化。例如，在較早的架構中，助力轉向系統等的損失被認為是一個(gè)安全的事件。將系統功能的缺失定義為“安全”對于系統架構具有直接影響，該架構要求識別任何被認為是不安全的故障，并且減緩它們的影響。但是，帶來(lái)助力轉向系統損失的故障并不需要緩減，因而這就需要僅僅識別某些故障，而其它故障則無(wú)需識別，因而限制了安全性需要增加的功能，包括IC元器件的片上診斷功能。

　　隨著(zhù)業(yè)界認識到助力轉向系統的缺失有可能帶來(lái)體型較小成年人、無(wú)經(jīng)驗的駕駛者或者年長(cháng)者的事故，之前被認為是安全的看法也發(fā)生了變化。汽車(chē)制造商現在要求，在安全相關(guān)系統失效時(shí)，它們還應該在某種程度上繼續工作。這種“故障工作”或“故障容忍”要求對其所需的架構有著(zhù)直接影響，系統必需包括各種水平的冗余，這取決于故障過(guò)后的性能是否會(huì )從標稱(chēng)性能減退?！肮收先萑獭毕到y代表著(zhù)下一代安全相關(guān)系統。

　　工作系統故障的最直接結果是使用架構中的冗余系統功能，如果初始系統中出現故障，可以過(guò)渡到備份系統。為了滿(mǎn)足這種需求，IC元器件供應商開(kāi)始提供單一封裝的雙芯片和三芯片產(chǎn)品來(lái)支持冗余需求，但不會(huì )占據過(guò)多的物理空間。多芯片解決方案是一些IC供應商開(kāi)發(fā)新技術(shù)來(lái)滿(mǎn)足安全相關(guān)系統特定需求的一個(gè)示例。

　　雖然系統集成商和元器件供應商之間都在定制地進(jìn)行研發(fā)工作，許多系統集成商也在使用根據特定系統而開(kāi)發(fā)的商用(CTOS)元器件。元器件供應商對于這些不斷演進(jìn)的系統需求了解得越多，就能夠更好地通過(guò)定義靈活產(chǎn)品線(xiàn)來(lái)滿(mǎn)足系統需求，并使這些產(chǎn)品線(xiàn)具有合適的功能，可輕松實(shí)現系統集成，并為系統增值。使一款產(chǎn)品具有合適的靈活性很具有挑戰性。太多的靈活性意味著(zhù)可能具有用不到的功能，并會(huì )增大成本;不充足的靈活性則意味著(zhù)一些所需的功能必須通過(guò)附加的元器件來(lái)實(shí)現，這也需要成本。一般情況下，功能性安全已經(jīng)消除了元器件和系統之間定義的界限，所有系統組件必須共同工作，以滿(mǎn)足整體系統需求。了解如何最好地在系統組件之間分配所需的功能是一種藝術(shù)，供應商正在努力了解和適應。一種發(fā)展趨勢是以更小的占位面積實(shí)現更多的功能，這種發(fā)展趨勢正在引領(lǐng)一些IC供應商在單一組件中集成兩種完全不同的功能，從而為客戶(hù)提供更為全面的解決方案。

　　展望未來(lái)，ISO 26262標準第二版的應用范圍將會(huì )擴展到卡車(chē)、公共汽車(chē)和摩托車(chē)等，而且，這些市場(chǎng)的供應商將不得不考慮功能性安全領(lǐng)域的問(wèn)題。隨著(zhù)業(yè)界接近實(shí)現自動(dòng)駕駛的汽車(chē)，與安全性相關(guān)的供應商需要開(kāi)發(fā)至少能夠像人一樣駕駛的汽車(chē)系統。這些系統必需依賴(lài)解讀周?chē)h(huán)境的無(wú)數感測元件，它們的開(kāi)發(fā)不僅要關(guān)注出現故障的電子裝置，還需要設計擁有足夠高的敏銳度，以便在所有駕駛情況下都可滿(mǎn)足安全需求。ISO組織中成立了新的委員會(huì )以專(zhuān)門(mén)處理這個(gè)議題(預期功能安全性或SOTIF)，這些對于系統和元器件所需的精確度都會(huì )有影響。

Allegro用于關(guān)鍵安全應用的角度傳感器IC

　　Allegro MicroSystems作為霍爾傳感器IC市場(chǎng)的領(lǐng)導廠(chǎng)商，通過(guò)參與ISO 26262技術(shù)委員會(huì )，正在積極回應這些不斷演進(jìn)標準的挑戰，并且將密切關(guān)注ISO 26262第二版引入的變化。Allegro認為，安全性增加了準確通信以及與客戶(hù)密切合作的安全性，以了解和適應其不斷變化的需求。Allegro與戰略客戶(hù)的合作推動(dòng)了各種汽車(chē)系統中有關(guān)未來(lái)安全需求的信息分享，通過(guò)這種協(xié)作開(kāi)發(fā)合適的元器件，以滿(mǎn)足安全相關(guān)系統不斷變化的需求。

　　角度傳感器IC經(jīng)專(zhuān)門(mén)設計可用于關(guān)鍵的安全應用。除了在這些器件中設計的先進(jìn)診斷功能之外，還有許多附加功能使得這些部件在市場(chǎng)中脫穎而出。

　　Allegro角度傳感器IC采用了垂直霍爾圓形陣列(CVH)技術(shù)，能夠提供與被檢測磁信號相位相關(guān)的單信道輸出，并且不受磁信號幅度變化的影響。這些角度傳感器IC具有下列優(yōu)勢：

　　1)磁鐵和 IC之間距離的變化(由于機械變化導致)對于角度精度具有極小的影響。如Allegro的A1335等第二代IC還包括片上磁場(chǎng)調節功能，進(jìn)一步減小了磁場(chǎng)強度變化的影響。

　　2)可以使用強磁場(chǎng)(高達 1500 G)降低較小的散亂磁場(chǎng)的影響，這些散亂磁場(chǎng)可能來(lái)源于附近的電機、螺線(xiàn)管或高電流導線(xiàn)。

　　3)采用的垂直霍爾圓形陣列技術(shù)能夠實(shí)現低遲滯(低至 10 μs)和高刷新率(快至2 μs)，是高速電機位置檢測的理想方案。

　　通過(guò)把垂直霍爾的圓形陣列與片上EEPROM以及在數字域中計算和輸出角度的后端數字信號處理技術(shù)集成在一起，能夠最大限度地降低系統對于ECU的需求(比如無(wú)需高精度ADC資源)，并且所有敏感的模擬信號都是通過(guò)片上處理，而不需要經(jīng)PCB或布線(xiàn)傳輸，因而能夠降低噪聲的影響。

　　Allegro的第二代IC器件A1335還支持多種數字輸出協(xié)議，能夠滿(mǎn)足不同系統設計人員的需求。對于需要極高數據速率的馬達控制等應用，這些器件支持具有高達10 MHz時(shí)鐘速率的高速串行外設接口(Serial Peripheral Interface, SPI)協(xié)議。對于較低速度應用，這些器件還支持單線(xiàn)PWM 和SENT接口，可以最大限度地降低線(xiàn)束成本和重量。

　　Allegro能夠提供用于軸端(end-of-shaft)和軸側(side-shaft)磁場(chǎng)配置的角度傳感器IC。對于軸側磁場(chǎng)配置的支持能力可以極大地簡(jiǎn)化系統的機械設計，這是由于軸端并不總是容易實(shí)現的。軸側應用對于大多數角度傳感器也是一種挑戰，原因在于切向磁場(chǎng)幅度與徑向磁場(chǎng)幅度的不匹配。Allegro的A1335器件同時(shí)支持片上諧波線(xiàn)性化和分段線(xiàn)性化，可以校準由于失配造成的誤差，實(shí)現高精度(小于 1°)，具體取決于在線(xiàn)性化方案采用的諧波或分段數目。

　　除了能夠提供邏輯內置自檢(Logic Built-In Self-Test, L-BIST)等先進(jìn)診斷功能外，Allegro的角度傳感器IC通常都可提供單晶片和雙晶片配置。雙晶片配置提供的冗余可幫助設計人員滿(mǎn)足嚴苛的功能安全要求，而無(wú)需犧牲系統可用性，原因在于使用不同技術(shù)的傳感器可能造成潛在的失配角度測量數據。這些器件使用小外形(1 mm厚)表面安裝TSSOP封裝，能夠簡(jiǎn)化裝配并提高可靠性。

　　與汽車(chē)安全相關(guān)的系統要求將會(huì )繼續演進(jìn)和擴展，這些系統的供應商必需主動(dòng)了解新的發(fā)展趨勢，并且備有企業(yè)基礎架構，以便使其產(chǎn)品線(xiàn)能夠順利地適應這些演進(jìn)和擴展。他們還必須積極進(jìn)行新技術(shù)或新產(chǎn)品的創(chuàng )新，以期更好地服務(wù)于汽車(chē)安全市場(chǎng)。這將是一項戰略性活動(dòng)，對于所有層面供應商的市場(chǎng)份額都有著(zhù)廣泛的影響。請系好安全帶，這將是一個(gè)瘋狂的旅程。

本文來(lái)源于中國科技期刊《電子產(chǎn)品世界》2016年第9期第27頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。