汽车供应链的功能安全性挑战
撰稿人:Lisa Clark,功能安全经理,Allegro MicroSystems, LLC
以及 Scott Milne,产品线经理 - 线性和角度传感器集成电路,Allegro MicroSystems, LLC
过去几十年以来,汽车中的电子器件一直稳定增加,并且从未出现放慢发展速度的迹象,许多高科技公司和 OEM 仍争相开发全自动驾驶汽车。从无控制到全控制,虽然自动化程度不同,目前市面上大多数汽车都配有一定自动化的系统,例如电子稳定控制 (ESC) 系统或车道对准系统。这些电子系统的目的是协助驾驶员,可以代替驾驶员完成越来越多的决策,而且尝尝无需驾驶员决策。整体而言,这些系统提升了驾驶者和乘客安全性,但如果出现故障或有设计缺陷,可能导致危险后果。
因此,这些系统对整个汽车供应链带来了新的开发挑战。2011年,国际标准组织 (ISO) 发布了名为 ISO 26262 的功能安全性标准,针对安全相关的汽车系统开发列出了行业最佳实践。虽然是否采纳标准全凭自愿,但全球大多数的 OEM 都要求他们的供应商遵守该标准。推迟采纳本标准的供应商可能会损失未来的商机。
ISO 26262 标准包括相关要求,涉及公路汽车安全相关电子系统的开发流程和设计。这些要求的基础是对系统本身进行隐患和风险评估。标准的范围限于有故障的电气或电子系统。因此,合规系统必须能够识别其故障,减轻故障影响,保护乘客安全。出于这个原因,如今的安全架构严重依赖诊断和冗余能力来检测出现故障的系统元件,并将系统转换到安全状态。整体而言,这项要求需要集成电路元件供应商将更多内容集成到现有的解决方案中,并要求元件能够运行诊断、进行状态通信。
以使用传感器集成电路作为简单开关的系统为例。系统必须能诊断传感器输出是否处于正确状态,因为这是一项安全相关的功能。根据要求和系统的风险,这一点可以通过多种方式完成。例如,可以在传感器集成电路上添加复杂的诊断电路和通信协议,也可以添加系统级冗余传感器——无需增强功能性,也无需单个集成电路具有通信能力。冗余传感器输出的对比可作为一种诊断协议,因为在安全工作条件下,两个传感器的输出应始终处于预定的错误限值之内。这两种方法大相径庭,虽然均可满足系统要求,但在硬件(传感器元件)的成本和可得性方面有着差异极大的影响。汽车市场的元件供应商正在努力理解和跟上不断变化的要求,并对这些安全系统做出取舍,并提供方便客户集成的解决方案。
自从 ISO 26262 标准推出以来,“安全”这个概念也发生了变化。例如,在早期结构中,如果某个系统不可用,如动力转向系统,很多人都会认为无碍安全,只是令人讨厌。将系统的不可用状态分类为“安全”,对系统架构产生了直接影响。架构可能要识别被视为不安全的任何故障并将其消除,而导致动力转向系统不可用的故障却不需要消除。因此,仅有部分故障需要识别,而另一些故障不需要识别,因而限制了针对安全的其他功能,包括集成电路元件的芯片诊断功能。
自从汽车行业认识到动力转向系统突然不可用可能导致年龄较小的成年人、新手驾驶者或老年人出现事故,对于何谓安全的看法也发生了转变。现在,汽车制造商要求,在安全相关的系统出现故障时,仍然需要在一定程度上保持运转。“故障后保持运行”或“容错”要求对支持这种功能的架构产生了直接影响。根据是否可以从正常性能降级至故障后性能,系统必须含有多个水平的冗余。“容错”系统代表下一代安全相关系统,这个话题将在 ISO 26262 标准的第二版中探讨。
故障后保持运行的系统出现最直接结果是,在允许转换至备用系统的架构中使用冗余系统功能,以便在主系统出现故障时转换。相应地,集成电路元件供应商开始在单个封装中提供双晶片或三晶片,在不占用更多物理空间的情况下满足冗余需求。提供多晶片解决方案是部分集成电路供应商开发新技术、满足安全相关系统的特定需求的例子之一。
虽然系统供应商和元件提供商之间会进行定制开发,但大多数系统集成商仍使用针对特定系统环境开发的商用成品 (COTS) 元件。元件提供商对这些不断变化的系统要求了解越深,就越能确定灵活的产品线,提供正确的特性、方便集成、让整个系统增值。要找到适当的产品灵活性水平,可能非常困难。灵活度过高就意味着可能有很多未使用、但却带来成本的特性;而灵活性不足就意味着必要的功能必须集成到其他元件中,而这也会产生成本。整体而言,功能安全性移除了元件和系统之间的既定界限;所有系统元件必须协同工作,才能满足整体系统要求。要了解如何在系统元件中最好地分配所需功能,如同一门艺术,而供应商正在竭尽所能去理解和适应这些要求。在减少占用空间的前提下提升功能,这一趋势正在引导部分集成电路供应商将两种完全不同的功能集成到单一元件中,从而向客户提供更综合全面的解决方案。
在将来,ISO 26262 第二版的范围将扩展到包括卡车、公共汽车和摩托车,而这些市场的供应商也将进入功能安全性的领域。随着行业追求实现无人驾驶汽车,安全相关系统的供应商必须开发可如人类一样驾驶的系统。这些系统将依赖各种感测组件来解读周围环境。开发这些系统时,决不能仅仅专注于故障电子产品,还必须让系统拥有足够的敏锐度,以便在所有驾驶情况下做出安全响应。ISO 内部已经成立了新的委员会来应对这个问题(理想功能的安全性,简称 SOTIF),这将对系统及其元件的准确性要求产生影响。
作为霍尔效应传感器集成电路的市场领导者,Allegro MicroSystems 紧跟 ISO 26262 技术委员会的动向,密切关注将在第二版中出现的变更,并据此应对这些不断变化的挑战。Allegro 了解安全性提高了清晰通信的重要性,并一直与客户密切合作,了解和适应他们不断变化的需求。Allegro 与战略客户建立了合作伙伴关系,促进有关各种汽车系统未来安全需求的信息共享。正是通过这样的协作,我们才得以开发出适当类型的元件,紧跟安全相关系统不断变化的要求。
角度传感器集成电路是 Allegro MicroSystems 产品组合中专门针对安全应用设计的产品系列之一。除了高级诊断功能之外,还有其他特性让这些零件在市场脱颖而出。
Allegro 角度传感器集成电路使用名为圆形垂直霍尔 (CVH) 的技术,其提供单一的通道输出,与检测到的磁场信号的相位相对应,不会受到各种磁场信号变化的影响。
这种技术具有以下几个优点:
- 磁铁和集成电路之间的距离变化(作为机械变化的结果)对角度准确性几乎毫无影响。Allegro 的 A1335 等二代集成电路也包括芯片磁场扩展功能,进一步降低了因磁场强度出现任何变化而带来的影响。
- 可使用大型磁场(最大 1500 G),尽量减轻附近的电动机、电磁阀或大电流轨迹造成的小型杂散磁场带来的影响。
- CVH 技术支持低延迟(可低至 10 μs)和高刷新率(最快 2 μs),非常适合高速电动机位置检测。
CVH 环与芯片 EEPROM 及后端数字信号处理集成,计算并输出数字化角度,尽量降低系统对 ECU 的要求(即不需要高准确率 ADC 来源),提高抗噪音干扰能力,这是因为芯片在内部处理所有敏感模拟信号,而不是将信号传输到 PCB 或线束上。
A1335 等第二代集成电路还支持多数字输出协议,可满足各种系统设计者的需求。对于电机控制器等需要极高数据率的应用,这些设备支持高达 10 MHz 时钟频率的高速串行外围接口 (SPI) 协议。对于低速应用,这些设备还支持单线 PWM 和 SENT 接口,有助于尽量降低线束成本和重量。
Allegro 提供针对轴端和轴侧磁场配置的角度传感器集成电路。支持轴侧磁场配置的能力可大幅简化系统的机械设计,因为轴端并不总是可直接操作。对于大多数角度传感器而言,由于切线磁场和径向磁场的大小会大相径庭,轴侧应用极具挑战。
Allegro 的 A1335 包括芯片谐波线性化和分段线性化,可校准由于这种差异而导致的错误,根据线性化方案中使用的谐波或分段数量,可支持高准确度(小于 1°)。
除了提供逻辑内置自检 (L-BIST) 等高级诊断功能之外,Allegro 的角度传感器集成电路一般提供单晶片和双晶片模两种配置。双晶片配置提供的冗余有助于设计者满足严苛的功能安全性要求,而无需因为使用不同技术的传感器得出可能不同的角度测量结果而损失系统可用性。这些设备封装于高度极低(1 mm 厚)的表面安装 TSSOP 封装中,方便组装,可提升可靠性。
汽车自动系统的要求将不断变化、不断扩展。汽车自动系统供应商必须积极关注新趋势,并且建立适当的企业基础设施,以便按照市场情况灵活、流畅地适应新趋势。积极投资新技术或产品创新,更好地服务汽车安全市场,可能是所有层级的供应商应该采取的战略活动。系上安全带吧,供应商们,未来将是一场狂飙。
最初发表于中国《电子产品世界》,2016 年 10 月。经许可后方能转载。