功能安全对于安全驾驶的重要性

2019-06-17

交通事故将成为全球第七大死因

全球每年因为汽车事故导致的死亡率大概是十万分之十七,这是2015年世界卫生组织发表的数据。同时,世界卫生组织表示,如果不持续采取行动,预计到2030年,道路交通事故将成为全球第七大死因。

图片来自于《世界卫生组织道路安全报告》

根据数据显示,造成交通事故的原因中,人为因素是主要原因之一,因此很多人认为,自动驾驶诞生的意义不仅是为了解放双手,更是为了拯救生命。

当自动驾驶或者高级辅助驾驶实现之后,汽车将主要通过电子控制系统来完成行驶。这样做虽然排除了人为因素,但是也加深了对设备安全性的依赖。随着技术的进步,汽车中核心部件逐渐电子化,其核心控制单元往往由芯片实现,所以,导致汽车失效的原因也从以前的机械疲劳逐步向芯片的疲劳失效转变。

对于芯片的疲劳失效,我们可以通过一定的等效实验来验证其长期使用的可靠性。但是,这个验证结果往往是通过一定的理论公式预期出来的使用寿命。同时,该等效关系的可信任程度与实验的方案、实验条件,甚至是实验人员的素质都有非常大的关系。等效试验可以证明一个芯片的可使用时间和失效率能够低于一定值,但并不能降低失效率。

 

芯片需要“报警功能”

到这里,我们就要提到“功能安全”。当安全系统满足以下条件时就认为是功能安全的,即当任一随机故障、系统故障或共因失效都不会导致安全系统的故障,从而引起人员的伤害或死亡、环境的破坏、设备财产的损失,也就是装置或控制系统的安全功能无论在正常情况或者有故障存在的情况下都应该保证正确实施。

为了达到以上目的,加特兰在芯片设计中加入了大量的实时检测机制不断的监控芯片的状态,如果检测机制发现芯片故障,这个检测机制会将芯片进入到安全状态并将错误上报。

根据芯片内部电路的检测能力以及一些配套要求的不同,ISO26262将芯片分为ASIL A、B、C、D 四个等级。四个等级分别对芯片失效的检测率有不同的要求,例如芯片满足了ASIL B等级的要求后,就意味着其能检测出90%的自身故障。

 

如何满足“功能安全”

要满足功能安全,需要从两方面入手,一是建立满足功能安全的标准化流程,二是满足功能安全的产品设计。

建立标准化的流程会保证产品开发过程不发生系统性的失效,确保所有需求都有被设计完成,同时具有可追溯性;保证所有的设计都被验证和测试到,同时验证和测试也有足够的独立性;确保分析到位并且得到了正确的执行等。加特兰投入了大量的时间进行研究和规划,并与TÜV Rheinland的合作,建立起了完整的功能安全开发流程。

芯片设计本身是一个非常复杂的过程,包括了各种电路设计,电路验证,语言仿真,语言转换等内容,根据ISO26262整理的常规设计流程就有一百多个步骤。加特兰对每一项都建立了追踪机制。在常规的设计流程之外,还有大量专门针对功能安全需要增加的分析,包括最终会提供给客户的FMEDA,Safety manual等部分。

加特兰新一代ALPS系列,针对整个芯片的数十万个模拟晶体管,超过1800万个数字晶体管,以及1.5亿个存储晶体管进行了统计分析。根据功能,将其拆分为200多个模块,对所有的模块的1000多种失效模式进行了分析,并且,设计了对应的40多种安全机制,用于及时的监控芯片的工作状态。对于40多种安全机制,加特兰又设计了9种安全机制的安全机制来监控其工作状态。关于产品的功能安全的设计,加特兰也与TÜV Rheinland合作,认证其符合ISO26262的ASIL B的要求。