4、 功能安全产品认证范围
关于功能安全可以认证的产品范围,实际上既可以是实体,比如电子元器件、电子零部件或开发工具,也可以是虚拟的非实体,比如软件操作系统OS,我们分开来讲。
4.1、 产品级功能安全认证
这是最常见的,不管是OEM还是Tier 1,一般说产品的功能安全认证,就是指某个电子零部件的认证,而相应的功能,就是这个电子零部件所能实现的功能之一。这个我们在上面拿具体产品举过例子,在此不在赘述。
另外,产品的功能安全等级要求一定是要来自于OEM的。OEM作为整车功能安全等级定义的主导者,负责对整车所有功能安全相关的功能进行功能安全等级划分,再和Tier 1们协商,分配到具体的零部件功能,让相应的Tier 1来实现。比如转向柱锁功能,如果全部让转向柱锁供应商负责实现ASIL D,难度比较大,成本也较高。OEM就可以从整车设计角度来进行功能安全等级分解,降级,让其他零部件承担相应的功能安全等级,共同实现ASIL D的功能安全目标,从而降低单个零部件设计难度及成本。
4.2、 其他产品的功能安全认证
除此之外,某些开发工具(比如代码测试工具Helix QAC),或者单纯的软件产品(如QNX操作系统)也可以单独进行产品认证,道理是一样的。我们来看一下他们的介绍及描述:
Helix QAC是权威的C/C++代码合规性静态分析工具,可以用于车载ECU的嵌入式软件开发中,研发团队可以使用Helix QAC快速地满足功能安全项目合规性的需要。
QNX操作系统就不用讲了,大家都很熟悉了,纯软件产品。证书里写的也是最高到D(safety goals up to ASIL D),这个和我们前面讲的器件一样,软件在这里也是作为一个器件来进行认证的,最终的功能安全级别取决于具体的设计应用。
上面我们把产品功能安全认证适用的范围都讲完了,器件级别的认证没有深入讲,这个对我们理解“AEC-Q”认证与功能安全认证的区别有很大帮助,下面我们详细分析一下。
4.3、 器件类认证
对于电子元器件的功能安全认证,一般都是复杂芯片类产品(至少笔者没见过被动器件和分立半导体器件,这些器件因复杂度较低,不需要通过认证的途径来解决功能安全设计问题)。比如MCU,一般作为一个系统设计的核心,或PMIC,作为系统的电源,功能安全设计就很重要。我们以英飞凌为例,他家的功能安全芯片主要是MCU、PMIC、Gate driver及电机控制芯片,和Ti的差不多。
对于器件级别,因芯片供应商并不了解器件的具体应用及功能,所以器件的ASIL级别是基于硬件、系统应用来讲的。芯片供应商并没有办法给出具体能达到的ASIL级别,而是给你一个芯片能达到的最高级别,最终产品的具体某个功能的ASIL级别就取决于Tier 1的设计了。
器件级的功能安全认证下面我们会详细分析。
4.4、 器件级功能安全
空谈误国,按照惯例,我们还是拿实际应用来举例,大家看完至少对功能安全器件有个基本概念。我们以Ti对器件功能安全的分类来举例,这是目前笔者见到的分类最清晰,且解释最详细的。
我们先把上面这个表格分解为三部分:
Ti把功能安全相关的器件分为了三类:
1. Functional Safety-Capable:Ti可以提供功能安全设计所需的FIT值计算和FMD(失效模式分布)信息,帮助Tier 1产品设计人员做安全分析。流程方面,器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
2. Functional Safety Quality-Managed:Ti提供一系列文档来帮助Tier 1设计人员进行功能安全设计,降低产品认证的工作量及认证难度,提供的文档包括器件的功能安全FIT值计算,FMEDA及功能安全手册等。器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
3. Functional Safety-Compliant:有证书,采用了功能安全开发流程,文档多了FTA(故障树分析),有功能安全证书。
我们解释一下:
第一类产品:不属于功能安全器件产品类别。此类器件通常没有集成安全相关功能,但是开发功能安全系统时又离不开此类器件的参与。Ti 提供的FIT和FMD将有助于进行安全分析。其实这已经很好了,因为很多器件,比如被动器件和分立半导体器件(因为Ti不怎么做这类器件,就没涉及),设计时又离不开,用的又多(比起芯片数量要多得多,不是一个数量级的),供应商一般也不提供FIT和FMD,你需要自己找数据。
第二类产品:属于功能安全器件产品类别。此类器件通常已集成了复杂的内部监控及诊断功能,同时TI又提供了相当多的支持文档,用于功能安全产品设计时,可以大幅降低产品认证的工作量及认证难度。
第三类产品:功能安全合规产品。此类器件通常是集成了安全特性的复杂器件,如MCU、处理器、电机驱动芯片、电源管理芯片等。此类产品是在Ti通用质量管理流程的基础上,采用Ti的功能安全流程开发的。可以提供FTA(故障树分析),有功能安全认证证书。采用此类器件可大幅降低功能安全产品的设计难度及认证难度,或者说,是设计功能安全产品的唯一高效途径。
单讲大道理还是太宽泛,大家可能还没有具体概念,按老规矩,我们还是上两个实际的产品手册,大家看了会有个实际的感受:
从上面的两个产品手册的描述我们可以看出来:
好了,看到这里小伙伴们对功能安全认证应该已经有了一些基础的了解,接下最后我们从不同维度来总结一下“AEC-Q”认证与功能安全认证的区别。
5、 “AEC-Q”认证与功能安全认证
我按照几个维度进行分类,简单汇总了一个表格:
|
项目 |
AEC标准 |
ISO26262标准 |
|
认证对象 |
仅针对电子元器件 |
流程或产品 |
|
认证方式 |
测试 |
流程文档 |
|
认证目的 |
资格通用化 |
功能安全 |
|
侧重点 |
器件可靠性及一致性 |
流程合规性 |
|
交付物 |
测试 告 |
流程文档及证书 |
|
是否强制 |
否 |
否 |
|
认证机构 |
无,自测或三方试验室 |
有,三方认证机构如TUV,SGS |
|
认证 告 |
无,仅有测试 告 |
有,由认证机构颁发 |
|
证书有效期 |
无 |
下面详细讲一下:
1. 认证对象:
·AEC标准认证的对象仅针对电子元器件,如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试。
·ISO26262标准认证的对象包括流程(对公司)及产品(实体或非实体);
2. 认证方式:
·AEC标准认证方式就是测试,测试通过后可在产品手册上注明符合标准即可;
·ISO26262标准认证方式最终是体现在流程文档上(无论是流程认证,还是产品认证),而非产品测试;
3. 认证目的:
·AEC标准认证的最初目的是为了器件资格通用化,现在基本上算是器件车载应用的一个基本要求;
·ISO26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的;
4. 侧重点
·AEC标准的侧重点是器件的可靠性及长期供货的一致性(主要体现在变更流程要求);
·ISO26262标准的侧重点是设计及开发流程的合规性(主要通过工具及文档)
5. 交付物
·AEC标准认证测试后,交付物就是测试 告(不是证书)
·ISO26262认证后,交付物就是流程文档及认证证书
6. 是否强制
·AEC标准和电子零部件测试标准一样,都是非强制的,但是如果要做车载应用,那么通过这个测试是一个基本要求;
·ISO26262同样也是非强制标准,是否需要过认证取决于客户要求,或是为了降低客户使用难度,同时树立行业门槛;
7. 认证机构
·AEC标准讲得很清楚,没有专门的认证机构,元器件供应商自己根据标准进行测试即可;
·ISO26262是由专门的合规认证机构的,认证必须由机构进行;
8. 认证 告
·AEC-Q是没有认证 告的,只有测试 告;
·ISO26262认证通过后,将由合规认证机构颁发认证证书;
9. 证书有效期
·AEC-Q测试 告基本是没有有效期这个概念的,但是只要产品发生变化,就需要重新进行认证测试;
更多智能车资讯,可关注零束SOA开发者论坛 https://bbs.z-one.tech/
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!