簡化汽車和工業(yè)領(lǐng)域的功能安全認(rèn)證
發(fā)布時(shí)間:2020-11-03 來源:TI 責(zé)任編輯:lina
【導(dǎo)讀】合理的功能安全設(shè)計(jì)離不開嚴(yán)謹(jǐn)?shù)膽B(tài)度和大量的文檔參考,也需要投入一定的時(shí)間。無論您從事工廠車間還是公路方面的設(shè)計(jì),此白皮書中 TI 的集成電路 (IC) 設(shè)計(jì)方法都會(huì)為您提供所需的資源,從而簡化功能安全設(shè)計(jì)。隨著工業(yè)和汽車領(lǐng)域自動(dòng)化的出現(xiàn),人們對(duì)功能安全的需求有增無減。
合理的功能安全設(shè)計(jì)離不開嚴(yán)謹(jǐn)?shù)膽B(tài)度和大量的文檔參考,也需要投入一定的時(shí)間。無論您從事工廠車間還是公路方面的設(shè)計(jì),此白皮書中 TI 的集成電路 (IC) 設(shè)計(jì)方法都會(huì)為您提供所需的資源,從而簡化功能安全設(shè)計(jì)。隨著工業(yè)和汽車領(lǐng)域自動(dòng)化的出現(xiàn),人們對(duì)功能安全的需求有增無減。所有的工業(yè)應(yīng)用都有功能安全要求,尤其是在工廠自動(dòng)化和控制系統(tǒng)中。
在汽車行業(yè),盡管安全氣囊和制動(dòng)系統(tǒng)在多年前就具備了功能安全性,但隨著電氣化水平的提高和自動(dòng)駕駛功能的出現(xiàn),系統(tǒng)需要控制電池管理、傳感器融合和車輛操作,進(jìn)而增加了對(duì)功能安全設(shè)計(jì)的需求。無論是設(shè)計(jì)工廠機(jī)器人系統(tǒng)、家用電器還是未來的汽車,人們對(duì)設(shè)計(jì)工程師提出了更高的要求,即交付的項(xiàng)目應(yīng)符合應(yīng)用相關(guān)的功能安全標(biāo)準(zhǔn)。在不要求遵循標(biāo)準(zhǔn)的應(yīng)用中,設(shè)計(jì)更安全的系統(tǒng)是在同類競爭產(chǎn)品中脫穎而出的關(guān)鍵因素。
功能安全標(biāo)準(zhǔn)
功能安全是系統(tǒng)整體安全性的一部分,是對(duì)某些輸入或故障狀態(tài)做出預(yù)測性響應(yīng)。功能安全標(biāo)準(zhǔn)認(rèn)為危險(xiǎn)總是存在的,因此,所有系統(tǒng)都有一個(gè)固有故障率。功能安全標(biāo)準(zhǔn)對(duì)如何開發(fā)系統(tǒng)作出了規(guī)定,從而將故障率降低到可容忍水平。包含功能安全的系統(tǒng)設(shè)計(jì)必須能降低由操作不當(dāng)引發(fā)故障的風(fēng)險(xiǎn),還能檢測故障并充分降低故障造成的影響。為實(shí)現(xiàn)功能安全合規(guī)性,工程師必須:
• 預(yù)測并定義危險(xiǎn)狀況。
• 確定能應(yīng)對(duì)危險(xiǎn)狀況的安全功能。
• 評(píng)估安全功能的風(fēng)險(xiǎn)降低等級(jí)。
• 確保安全功能符合設(shè)計(jì)初衷。
功能安全標(biāo)準(zhǔn)是由標(biāo)準(zhǔn)組織以及相關(guān)行業(yè)企業(yè)共同制定的,它通過定義系統(tǒng)中的安全功能和建立安全等級(jí)評(píng)定規(guī)范,為設(shè)計(jì)人員提供了指導(dǎo)。德州儀器(TI) 加入標(biāo)準(zhǔn)組織,有助于確保其產(chǎn)品開發(fā)從始至終都符合功能安全要求。常見的安全標(biāo)準(zhǔn)包括國際電工委員會(huì) (IEC) 的61508 標(biāo)準(zhǔn)(針對(duì)工業(yè)應(yīng)用)、國際標(biāo)準(zhǔn)化組織(ISO) 的 26262 標(biāo)準(zhǔn)(針對(duì)汽車應(yīng)用)以及 IEC60730 標(biāo)準(zhǔn)(針對(duì)家用電器)。各類安全標(biāo)準(zhǔn)都規(guī)定了風(fēng)險(xiǎn)降低等級(jí)和安全完整性等級(jí) (SIL)。例如,IEC 61508 標(biāo)準(zhǔn)將 SIL 劃分為SIL 1 至 SIL 4 四個(gè)等級(jí),其中 SIL 4 的要求最高。SIL 1 要求安全可用性為 90% 至 99%,平均要求失效率 (PFDavg) 為 0.1 至 0.01,風(fēng)險(xiǎn)降低因子 (RRF) 為 10 至 100。SIL 4 要求安全可用性>99.99%,PFDavg 為 0.0001 至 0.00001,RRF為 10,000 至 100,000。
ISO 26262 標(biāo)準(zhǔn)的 ASIL 等級(jí)與 SIL 類似,即從ASIL A 至 ASIL D,其中 ASIL D 的要求最高。功能安全流程在功能安全開發(fā)流程中,通常需要先確定各種危險(xiǎn)情況和功能安全目標(biāo)。然后,工程師開始檢查系統(tǒng)架構(gòu)、模塊和 IC。之后,將 IC 作為符合功能安全標(biāo)準(zhǔn)系統(tǒng)的主要構(gòu)建塊進(jìn)行開發(fā)。為預(yù)測系統(tǒng)可能出現(xiàn)的行為,工程師必須量化和預(yù)測模塊的運(yùn)行情況。為此,工程師必須在開發(fā)流程中對(duì)系統(tǒng)進(jìn)行結(jié)構(gòu)化安全定性分析,從而找出各種失效模式、失效原因及其影響。功能安全標(biāo)準(zhǔn)規(guī)定了工程師需要了解的 IC 相關(guān)信息,便于工程師獨(dú)立進(jìn)行失效模式、影響和診斷分析 (FMEDA)。由于 IC 的復(fù)雜度不同,系統(tǒng)安全分析可能需要有關(guān)設(shè)計(jì)、芯片和封裝的信息。
在此過程中,請務(wù)必從可靠的供應(yīng)商處選擇合適的器件。無論是用于功能安全設(shè)計(jì),還是用于實(shí)現(xiàn)差異化競爭的較安全系統(tǒng)中,TI 都能讓工程師更輕松地找到并使用合適的產(chǎn)品。
借助功能安全類別簡化器件的選擇
典型的工業(yè)和汽車應(yīng)用需要復(fù)雜度迥異的大量 IC,如一個(gè)或多個(gè)傳感器和傳動(dòng)器,處理傳感器數(shù)據(jù)的微控制器 (MCU) 或處理器,模擬多路復(fù)用器,運(yùn)算或儀表放大器,可能與或未與處理器集成的模數(shù)轉(zhuǎn)換器 (ADC) 和數(shù)模轉(zhuǎn)換器,直流/直流轉(zhuǎn)換器,低壓降穩(wěn)壓器或電源管理 IC (PMIC),以及 LED 驅(qū)動(dòng)器、電機(jī)驅(qū)動(dòng)器、電磁閥驅(qū)動(dòng)器、場效應(yīng)晶體管(FET) 和絕緣柵雙極晶體管柵極驅(qū)動(dòng)器等驅(qū)動(dòng)器元件,電源開關(guān)和負(fù)載開關(guān)。另外,應(yīng)用還包括各類通信接口,如 RS-485、控制器區(qū)域網(wǎng) (CAN)、以太網(wǎng)、FPD-Link 和外圍組件快速互連 (PCIe) 接口。表 1 所示是 TI 為功能安全設(shè)計(jì)提供的產(chǎn)品類別,這也表明了基于標(biāo)準(zhǔn)的 IC 復(fù)雜度分類依據(jù)。這些類別包括 TI 功能安全型、TI 功能安全質(zhì)量管理型、TI 功能安全合規(guī)型。
功能安全合規(guī)型產(chǎn)品
這類產(chǎn)品通常都是系統(tǒng)中相當(dāng)復(fù)雜的器件,如MCU、處理器或模擬電機(jī)驅(qū)動(dòng)器,可能具有集成的安全功能。TI 使用經(jīng) Technischer Überwachungsverein (TÜV)SÜD 等機(jī)構(gòu)認(rèn)證的功能安全開發(fā)流程,開發(fā)了這類產(chǎn)品。這類認(rèn)證可確保這一類別的產(chǎn)品是按照功能安全標(biāo)準(zhǔn)(ISO26262 和 IEC61508)規(guī)定的規(guī)格開發(fā)的。
以下列復(fù)雜的功能安全合規(guī)型器件為例:
• 用于高級(jí)駕駛輔助系統(tǒng)、符合汽車電子委員會(huì) (AEC)-100 標(biāo)準(zhǔn)的 Jacinto™ TDAx 片上系統(tǒng),集成了定點(diǎn)和浮點(diǎn) TMS320C66x 數(shù)字信號(hào)處理器 (DSP) 內(nèi)核、Vision AccelerationPac嵌入式視覺引擎和雙核 ARM® Cortex®-M4 處理器,以及用于低壓差分信令環(huán)視系統(tǒng)、顯示、CAN 和千兆位以太網(wǎng)音頻視頻橋接的多攝像頭接口等外設(shè)。這些器件滿足廣泛的功能安全系統(tǒng)要求,包括具有錯(cuò)誤校正碼 (ECC) 保護(hù)機(jī)制的 M4、具有 ECC 保護(hù)機(jī)制的 32 位雙倍數(shù)據(jù)速率接口、適用于中央處理單元 (CPU)的專用內(nèi)存管理單元、內(nèi)存保護(hù)單元、溫度監(jiān)測傳感器,以及用于系統(tǒng)監(jiān)控的八通道 ADC。
• TPS6594-Q1多軌電源管理集成電路(PMIC)支持汽車和工業(yè)市場采用的TI Jacinto TDAx片上系統(tǒng)。PMIC精度高、靈活性強(qiáng),適合要求功能安全的汽車和工業(yè)應(yīng)用,并會(huì)提供功能安全文檔。TPS6594-Q1為主域和MCU域提供可擴(kuò)展的電源管理解決方案,并支持ASIL-D/SIL-3級(jí)別的功能安全
Hercules™ MCU 集成了足夠多的安全和診斷功能,可讓工程師達(dá)到 SIL 3 的目標(biāo)等級(jí)。也就是說,此 MCU 可實(shí)現(xiàn)約 99% 的故障覆蓋率。例如,在 MCU 上集成兩個(gè)采用鎖步模式的 Cortex-R CPU,可在每個(gè)周期對(duì)輸出進(jìn)行比較,如出現(xiàn)錯(cuò)誤,則會(huì)產(chǎn)生非屏蔽中斷。在工業(yè)應(yīng)用中,CPU 可在啟動(dòng)時(shí)或時(shí)間片內(nèi)進(jìn)行自檢。
• DRV3245E-Q1 是一款適用于三相電機(jī)驅(qū)動(dòng)應(yīng)用的 FET 柵極驅(qū)動(dòng)器 IC。它的三個(gè)半橋驅(qū)動(dòng)器可分別驅(qū)動(dòng)高側(cè)和低側(cè) N 溝道金屬-氧化物-半導(dǎo)體 FET。根據(jù) ISO 26262 的適用要求,該柵極驅(qū)動(dòng)器為每個(gè)內(nèi)部時(shí)鐘集成了診斷和保護(hù)功能,還提供了常用系統(tǒng)診斷檢查支持,二者皆可通過串行外設(shè)接口實(shí)現(xiàn)實(shí)例化和故障報(bào)告。借助靈活的功能,DRV3245E-Q1 可無縫集成到各種安全架構(gòu)中。
• TPS65381A-Q1多軌PMIC采用雙核同步或松散耦合的體系結(jié)構(gòu),為汽車和工業(yè)市場上的TIHercules TMS570和C2000™ MCU系列產(chǎn)品提供支持。配備內(nèi)部FET的異步降壓開關(guān)式電源轉(zhuǎn)換器可將輸入電源(電池)電壓轉(zhuǎn)換為6-V前置調(diào)節(jié)器輸出電壓。然后由6-V的前置調(diào)節(jié)器為其他調(diào)節(jié)器供電。它的監(jiān)控和保護(hù)模塊,包括電壓檢測、模擬內(nèi)建自測、時(shí)鐘丟失檢測、接點(diǎn)溫度檢測、電源電流限制和MCU誤差信號(hào)監(jiān)測等,都能提高診斷覆蓋率并降低未檢測到的故障率。
• TI 可提供屬于這一類別的多種器件,如 C2000實(shí)時(shí)控制器和具有板載 DSP、MCU 和雷達(dá)加速器的 AWR1843、76GHz 至 81GHz 汽車?yán)走_(dá)傳感器。所有這些產(chǎn)品都附有專用的功能安全相關(guān)文檔,以支持系統(tǒng)開發(fā)流程:
功能安全質(zhì)量管理型產(chǎn)品第二類產(chǎn)品包含內(nèi)置診斷功能的復(fù)雜產(chǎn)品,且專用于有功能安全要求的系統(tǒng)。但是,這一產(chǎn)品類別在開發(fā)時(shí)沒有按照適用于功能安全合規(guī)型產(chǎn)品類別的認(rèn)證功能安全開發(fā)流程,而是使用 TI 的標(biāo)準(zhǔn)質(zhì)量管理開發(fā)流程。此類別的產(chǎn)品包括但不限于:
TCAN4550-Q1是業(yè)界首創(chuàng)的汽車系統(tǒng)基礎(chǔ)芯片(SBC),含集成式CAN FD控制器和收發(fā)器。這款高度集成的設(shè)備利用現(xiàn)有的SPI端口簡化CAN FD總線擴(kuò)展,這樣設(shè)計(jì)師就可以在升級(jí)至更高寬帶CAN FD接口協(xié)議時(shí)維持當(dāng)前基于微控制器的結(jié)構(gòu)體系。LP87702-Q1是一款雙降壓和5-V升壓轉(zhuǎn)換器,集成符合ASIL的毫米波雷達(dá)系統(tǒng)要求的診斷功能,其中包括視窗監(jiān)控器和一個(gè)監(jiān)控其輸出電源的獨(dú)立參考電壓、以及兩個(gè)外部電源。
對(duì)于功能安全合規(guī)型器件,我們提供了各種文檔,可幫助進(jìn)行功能安全系統(tǒng)設(shè)計(jì)。這些文檔包括功能安全時(shí)基故障率計(jì)算、FMEDA 和功能安全手冊。非功能安全合規(guī)型器件則不包括無故障分析或產(chǎn)品認(rèn)證。功能安全型產(chǎn)品第三類產(chǎn)品包含的 IC 較簡單,開發(fā)時(shí)使用 TI 的標(biāo)準(zhǔn)質(zhì)量管理開發(fā)流程,與功能安全質(zhì)量管理型產(chǎn)品類別類似。功能安全型產(chǎn)品通常不具備集成的安全功能,所以通常不會(huì)提供內(nèi)置的監(jiān)控和診斷功能,這些功能在TI 其他功能安全產(chǎn)品類別的器件中較常見。由于這類產(chǎn)品沒有集成全面的安全功能,它們不具備其他類別器件常見的內(nèi)部監(jiān)控和診斷功能。
但它們?nèi)允枪δ馨踩到y(tǒng)中的重要構(gòu)建塊,因此,TI 會(huì)提供功能安全時(shí)基故障率和 FMD 等重要信息,供設(shè)計(jì)人員在安全分析中使用。此類別的產(chǎn)品包括但不限于:
• 小巧的線性熱敏電阻TMP61-Q1因長期傳感器漂移小于1%且精度優(yōu)于傳統(tǒng)熱敏電阻而頗受青睞。我們的熱敏電阻替代產(chǎn)品TMP235-Q1是一款精密溫度傳感器集成電路,無需校準(zhǔn)即可達(dá)到±1.5°C。
• TPS3840-Q1 電壓監(jiān)控器或復(fù)位 IC。這款符合 AEC-Q100 標(biāo)準(zhǔn)的器件可提供 1.5V 至10V 的寬電壓范圍,電源電流典型值僅為350nA,最大值為 700nA。
• 符合 AEC-Q100 標(biāo)準(zhǔn)的 TPS7A16A-Q160V、5μA 靜態(tài)電流、100mA 低壓降穩(wěn)壓器,專為需要超低靜態(tài)電流的連續(xù)或斷續(xù)(備用電源)電池供電應(yīng)用而設(shè)計(jì)。此器件非常適合通過多節(jié)電池解決方案(如高電池節(jié)數(shù)電動(dòng)工具組和汽車應(yīng)用)生成低電壓電源。TPS7A16A-Q1 不僅能提供一個(gè)良好穩(wěn)壓的電壓軌,還能承受瞬態(tài)電壓并在電壓瞬態(tài)期間保持穩(wěn)壓狀態(tài)。
TI 開發(fā)流程
由于功能安全開發(fā)流程較復(fù)雜,除 TÜV SÜD 認(rèn)證外,您可能需要了解更多有關(guān)公司安全文化和流程的信息。這也是 TI 為管理系統(tǒng)失效和隨機(jī)失效而創(chuàng)建開發(fā)流程的原因所在(見表 2)。我們的所有產(chǎn)品都遵循質(zhì)量管理開發(fā)流程,從而降低系統(tǒng)失效率。圖 1 所示的標(biāo)準(zhǔn)開發(fā)流程具有管理系統(tǒng)失效所需的很多要素。此外,這些產(chǎn)品的文檔和報(bào)告可用于幫助遵循針對(duì)最終應(yīng)用(包括汽車和工業(yè)系統(tǒng))的各種標(biāo)準(zhǔn)(例如 ISO 26262-4 或IEC 61508-2)。該流程將開發(fā)分為以下幾個(gè)階段:
• 評(píng)估。
• 計(jì)劃。
• 創(chuàng)建。
• 驗(yàn)證。
TI 的功能安全開發(fā)流程是根據(jù) ISO 26262 和 IEC61508 制定的。我們向新產(chǎn)品標(biāo)準(zhǔn)開發(fā)流程的每個(gè)階段都添加了幾項(xiàng)特定的功能安全活動(dòng),從而劃分出三個(gè)基于標(biāo)準(zhǔn)的 IC 復(fù)雜度類別。
如 ISO 26262-2:2018 附件 A 所述,TI 的開發(fā)流程有利于真正實(shí)現(xiàn)功能安全。該開發(fā)流程可促進(jìn)在所有產(chǎn)品開發(fā)團(tuán)隊(duì)之間共享功能安全類信息。TI 團(tuán)隊(duì)根據(jù)適當(dāng)?shù)臉?biāo)準(zhǔn)維護(hù)特定組織的功能安全規(guī)則,而且其各個(gè)流程可確保解決發(fā)現(xiàn)的安全異常情況。TI 根據(jù)通用標(biāo)準(zhǔn)維護(hù)可滿足功能安全要求的質(zhì)量管理系統(tǒng),從而為客戶提供支持。
不斷提供功能安全產(chǎn)品系列
功能安全設(shè)計(jì)側(cè)重在概念階段就對(duì)各類危險(xiǎn)、失效和緩解措施作出詳盡的計(jì)劃。這涉及根據(jù)標(biāo)準(zhǔn)分析各類系統(tǒng)失效以及所實(shí)施診斷方案的有效性。在此期間,需要反復(fù)研究用于構(gòu)建系統(tǒng)的各個(gè)器件相關(guān)的數(shù)據(jù)。
(來源:TI工業(yè)系統(tǒng)工廠自動(dòng)化與控制總經(jīng)理Miro Adzan; TI汽車系統(tǒng)車身電子與照明總經(jīng)理Arun)
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問題,請電話或者郵箱聯(lián)系小編進(jìn)行侵刪。
特別推薦
- 協(xié)同創(chuàng)新,助汽車行業(yè)邁向電氣化、自動(dòng)化和互聯(lián)化的未來
- 功率器件熱設(shè)計(jì)基礎(chǔ)(八)——利用瞬態(tài)熱阻計(jì)算二極管浪涌電流
- 用于模擬傳感器的回路供電(兩線)發(fā)射器
- 應(yīng)用于體外除顫器中的電容器
- 將“微型FPGA”集成到8位MCU,是種什么樣的體驗(yàn)?
- 能源、清潔科技和可持續(xù)發(fā)展的未來
- 博瑞集信推出高增益、內(nèi)匹配、單電源供電 | S、C波段驅(qū)動(dòng)放大器系列
技術(shù)文章更多>>
- 使用手持頻譜儀搭配高級(jí)軟件:精準(zhǔn)捕獲隱匿射頻信號(hào)
- 為什么超大規(guī)模數(shù)據(jù)中心要選用SiC MOSFET?
- 機(jī)電繼電器的特性及其在信號(hào)切換中的選型和應(yīng)用
- 雙向電源設(shè)計(jì)的優(yōu)點(diǎn)
- 利用兩個(gè)元件實(shí)現(xiàn) L 型網(wǎng)絡(luò)阻抗匹配
技術(shù)白皮書下載更多>>
- 車規(guī)與基于V2X的車輛協(xié)同主動(dòng)避撞技術(shù)展望
- 數(shù)字隔離助力新能源汽車安全隔離的新挑戰(zhàn)
- 汽車模塊拋負(fù)載的解決方案
- 車用連接器的安全創(chuàng)新應(yīng)用
- Melexis Actuators Business Unit
- Position / Current Sensors - Triaxis Hall
熱門搜索
分頻器
風(fēng)力渦輪機(jī)
風(fēng)能
風(fēng)扇
風(fēng)速風(fēng)向儀
風(fēng)揚(yáng)高科
輔助駕駛系統(tǒng)
輔助設(shè)備
負(fù)荷開關(guān)
復(fù)用器
伽利略定位
干電池
干簧繼電器
感應(yīng)開關(guān)
高頻電感
高通
高通濾波器
隔離變壓器
隔離開關(guān)
個(gè)人保健
工業(yè)電子
工業(yè)控制
工業(yè)連接器
工字型電感
功率表
功率電感
功率電阻
功率放大器
功率管
功率繼電器