说明
要做一个车规级的产品,这个产品不管是由上游芯片商提供的SOC芯片、Tier1提供的零部件(比如车载毫米波雷达)、还是OEM厂提供的整车。在产品整个的开发过程都需要有认证机构的介入以完成标准的(车规级的)研发流程并拿到车规认证。
最近的工作和交流更加深刻地意识到了这个问题,于是在车载毫米波雷达系列专题规划和文章目录_墨@#≯的博客中新增了车规认证专题,本专题下的博文试图搭建起关于车规认证的知识体系。本博文作为该专题下的第一篇,介绍车规认证的相关概念,探讨功能安全及其认证。现阶段我对这部分的内容了解还很少,本博文也没有多少东西,只是起个头,后面我会逐步丰富。
Blog
20230518 博文第一次写作
目录
一、关于功能安全与车规认证的概述
功能安全是描述产品发挥其功能时的安全性的一个术语。
随着科技水平的提高,以电气、电子、可编程电子产品的大量应用为标志的现代化控制系统越来越多的渗透到了我们生活中的各个领域。工业文明在给人们带来便利的同时也带来很多灾难:由于系统设计不合理、设备元器件故障或失效、软件系统的故障导致的事故、人身伤害、环境污染,越来越频繁地危及着我们的生命安全和赖以生存的环境。于是人们意识到,必须采取措施,用标准和法规来规范领域内安全相关系统的使用,使技术在安全的框架内发展,使人类既能尽可能享受新技术带来的安全和舒适,同时又能掌控危险。
功能安全是在这样的一个背景下提出的,功能安全的标准研究也由此展开。
但是涉及到电子电气的行业有很多,不同行业对安全的要求也有所不同,电子相关产品的制造商迫切需要一个公认的标准(或评价体系)来建立一个与用户对接的平台。于是,2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全相关系统的功能安全》。
国际电工委员会正式发布的IEC61508标准是ISO 26262的前身,(ISO和国际电工委员会是两个机构)ISO26262从2005年11月起正式开始制定,经历了大约6年左右的时间,于2011年11月正式颁布,成为国际标准,该标准于2018年更新,现在我们依据的版本是2018年更新的版本。IEC61508定义了安全完整性等级 (SIL),而ISO 26262则定义了汽车安全完整性等级 (ASIL)。ISO 26262其实特指道路车辆功能安全(针对汽车电子的功能安全标准)。
总之,功能安全及其标准的提出,是为了规范行业发展,确保产品在实践其功能的同时不会对人、环境造成伤害(破坏),但同时也应该看到,这其实也是一种行业门槛。
车规认证,主要就是指产品的功能安全认证,功能安全认证的依据主要就是ISO 26262这个标准。
二、一些车规认证概念的理解
2.1 车规认证的参与方
一个认证活动的实践,主要牵扯到三个参与方:1、标准制定者(输出标准);2、认证机构(输出证书);3、产品厂家(输出产品)。本章先谈谈这三个参与方:
2.1.1 关于ISO
ISO 26262是由ISO制定并颁布的,ISO是International Organization for Standardization,国际标准组织。该组织是一个由国家标准化机构组成的世界范围的联合会,现有140个成员国。其宗旨是:在世界范围内促进标准化工作的发展,以利于国际物资交流和互助,并扩大知识、科学、技术和经济方面的合作。其主要任务是:制定国际标准,协调世界范围内的标准化工作,与其他国际性组织合作研究有关标准化问题。ISO的技术活动是制定并出版国际标准(International Standards)。ISO的工作涉及除电工标准以外的各个技术领域的标准化活动。进入九十年代以后,通信技术领域的标准化工作展现出快速的发展趋势,成为国际标准化活动的重要组成部分。ISO与国际电工委员会(IEC)和国际电信联盟(ITU)加强合作,相互协调,三大组织联合形成了全世界范围标准化工作的核心。(以上内容主要来自百度百科)
谈到了ISO,就连带谈谈其最重要也最普适的三个标准(又称ISO三体系)。三体系认证又叫三标体系认证或三标一体,包含ISO9000质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系,三体系是以国家相关产品质量法、标准法和计量法等法规和产品标准(包含国标、行标和企标)为依据,通过组织构架的建立、岗位的设定、岗位职责的划分、岗位制度和流程的制定,从人员、工作场所、设备设施、经营品项和环境影响等方面进行有效运行和管控,以达到人员安全、质量保证、环境保护、顾客满意和企业受益的一种宏观的管理理念。这些体系是公司招投标(以及进入欧美市场)的基本门槛。可以说是企业必做的认证。
ISO 26262是该组织制定的专门针对道路车辆功能安全的一个标准。
2.1.2 关于认证机构
ISO只是做标准的制定。所有做产品的公司如果要做出合规的产品,就要按照这些标准去开发产品,而怎么证明你的产品符合这些标准呢?此时就有一些第三方(得到制定标准的组织认证,也得到大家认可的)的认证机构来专门做这个事情。TUV就是这种认证机构之一,TUV 是德国的认证机构,TUV这个组织下主要有两家: TUV莱茵、TUV南德,在车规领域的各种认证我们一般找这两家。
世界七大认证机构?:ANQB、BVQI、SGS、TUV、DNV、BSI。如前所述,这些认证机构是输出证书,并对这些证书以及所发证书认证的产品负责。不过这些第三方的机构其实远不止提供认证,他们提供的服务还包括:培训、咨询、人员资质考核与认证等。
车规的认证不是简单的以结果论:商家做出产品,认证机构只参与最终产品的检测和基于检测结果出具证书。认证服务和ISO 26262所涵盖的内容一样,是覆盖整个产品的生命周期的!从产品的概念设计、系统设计、到软硬件设计、生产和操作,乃至报废,认证机构都有且需要参与!
2.1.3 关于产品厂家
车载毫米波雷达整条产业链上的厂家包括很多:有芯片商、材料商、PCB加工商、贴片商、毫米波雷达产品商、乃至软件工具商、下游的主机厂。
厂家负责输出产品,如果想要该产品符合功能安全的要求,并拿到车规认证的证书,那么需要从一开始就有认证机构参与进来。
关于厂家和认证机构如何一起合作以实现产品的功能安全并完成认证,这部分的内容实在是一个系统的、且需要参与过才有发言权的话题,我将这部分内容放到了下一章。
2.2 关于ISO 26262的介绍
ISO 26262的由来背景和发展已经在前文第一章讲明了。这里简单给出该标准的架构,该标准主要包括10个部分:
Part1、定义;Part2、功能安全管理; Part3、概念阶段;
Part4、产品研发:系统级; Part5、产品研发:硬件级;
Part6、产品研发:软件级; Part7、生产和操作; Part8、支持过程;
Part9、基于ASIL和安全的分析; Part10:ISO26262导则;
此外还有Part11是关于将ISO 26262应用于半导体的指南;Part12是将ISO26262应用于摩托车的指南。
可以看到,ISO 26262该标准涵盖了产品全生命周期的安全要求,ISO 26262为汽车安全提供了一个生命周期(管理、开发、生产、经营、服务、报废)理念,并在这些生命周期阶段中提供必要的支持。
关于ISO 26262更具体的,还是需要研读这份标准的原文。我还并没有好好看过,这12个Part对应的文档我都上传了,可以点击后文第七章的链接免费下载。
2.3 关于汽车安全完整性等级(ASIL)
ASIL:Automotive Safety Integration Level,汽车安全完整性等级,是ISO26262中提出来的概念。该等级的定义是为了对失效后带来的风险进行评估和量化。系统的安全风险越大,对应的安全要求级别越高,其具有的ASIL等级也越高。ASIL分QM、A、B、C、D五个等级,ASIL D是最高的汽车安全完整性等级,对功能安全的要求最高。
如何去定义一个产品/系统的ASIL等级?
我们从三个角度对系统进行打分来确定该系统的安全等级,这三个角度是:
- 危险事件所导致伤害或损失的潜在严重性(severity of failure,简称S)
- 人员暴露在系统失效能够造成危害的场景中的概率或者理解为危险事件可能发生的驾驶工况的可能性 (probability of exposure, 简称E)
- 危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力 (controllability, 简称C)
简单来说,S就是在事故发生且无法避免的情况下,该事故可能造成的伤害的程度;E就是发生这些事故的可能性;C就是事故发生后,我们人为可以去避免伤害的可能性和能力。随后,我们将前述三种角度再进行分级:
严重性S | S0 | S1 | S2 | S3 |
分级 | 无伤害 | 轻伤 | 重伤 | 致命 |
可能性E | E1 | E2 | E3 | E4 |
分级 | 非常低 | 低可能 | 中等可能 | 高可能 |
可控性C | C0 | C1 | C2 | C3 |
分级 | 基本可控 | 简单可控 | 一般可控 | 难控制 |
S0至S3 打分为从0到3;C0至C3 打分为从0到3;E1至E4 打分为从1到4。
按照以上的划分进行组合相加得到5个ASIL等级:
1、基本可控和无伤害的组合都不以考虑;
2、其余组合相加等于7分为ASIL A,等于8分为ASIL B,等于9分为ASIL C,等于10分为最高等级ASIL D;ASIL A、B、C、D都是与功能安全相关的。
3、其余的得分安全评定为QM,代表与安全无关的功能
可能性E + 可控性C | 7 | B | C | D | |
6 | A | B | C | ||
5 | QM | A | B | ||
4 | QM | QM | A | ||
3 | QM | QM | QM | ||
2 | QM | QM | QM | ||
1 | QM | QM | QM | ||
C0 | |||||
S0 | S1 | S2 | S3 | ||
严重性S |
确定了ASIL安全等级后可以干什么?
首先我们需要明确我们对该系统的安全目标是什么?该值一般是车规标准中规定的?(该安全目标应该是对应前面ASIL尽量小的值,但是如果要做小是需要有更多的功能安全的措施,这样是会增加工程难度的)。然后我们分析得到了该系统在不做功能安全设计时的ASIL等级是什么,我们功能安全的设计就是要让系统通过设计来使得其ASIL达到我们的安全目标。
从安全目标可以推导出开发阶段的安全需求,安全需求继承安全目标的ASIL等级。在产品的设计中,对于安全需求高的部分,如果我们的功能安全设计没法满足其需求,一种可行的解决方法是ASIL分解:如果一个安全需求分解为两个冗余的安全需求,那么原来的安全需求的ASIL等级可以分解到两个冗余的安全需求上(也即可以降低这两个冗余的安全需求的等级),因为只有当两个安全需求同时不满足时,才导致系统的失效,所以冗余安全需求的ASIL等级可以比原始的安全需求的ASIL等级低。ISO 26262标准的Part 9给出了ASIL分解的原则,ASIL分解可以解决开发中的难点。
三、功能安全的实现
功能安全是一个很庞大、复杂的系统性工程。项目中甚至需要有专门的功能安全经理、软硬件功能安全工程师等来做管理和实施。
这部分的内容于我而言暂时是空白。
四、车载雷达产业链拿到车规认证的厂家举例
ISO 26262作为行业的标准,所有真正想要参与进该产业链的公司要么已经拿到认证了,要么就是在拿该认证的路上。整个的认证周期,(不管是对芯片还是雷达产品),一般需要2年左右的时间,期间所需耗费的金钱应该是以百万计)
芯片商:
加特兰微电子 - 加特兰Alps系列雷达SoC芯片成为国内首个完全符合ISO 26262标准的芯片产品 (calterah.com)
雷达厂家:
承泰科技荣获ISO 26262:2018汽车功能安全流程认证!国际一流水准,引领智感新时代!_深圳承泰科技有限公司 (chengtech.net)
楚航科技获ASIL B功能安全认证,加速升级车规级产品部署_楚航科技 (chuhang.tech)
五、总结
车规认证专题下的博文试图搭建起关于车规认证的知识体系。本博文作为该专题下的第一篇,主要介绍了与车规认证有关的各种概念(比如ISO、认证机构、ISO 26262、ASIL等)、并试图探讨功能安全及其认证(但是现阶段没有参与过,第三章的内容暂作空白),此外举例了车载雷达行业几家核心商家的车规认证情况。本博文目前没有多少东西,只是起个头,后面我会逐步丰富。
六、参考资料
ISO 26262功能安全标准体系解读 - 知乎 (zhihu.com)
一文读懂ISO26262汽车功能安全(PPT培训教材) - 知乎 (zhihu.com)
七、标准相关的资料
ISO 26262的全文内容下载,我也是网上找到,这部分内容也免费分享给大家: