“车规级”与“功能安全”(ISO26262)的区别——摘自《5万字长文说清“车规级”》
交流群 | 进“传感器群/滑板底盘群”请加微信号:xsh041388
交流群 | 进“域控制器群/操作系统群”请加微信号:ckc1087
备注信息:传感器/滑板底盘/域控制器+真实姓名、公司、岗位
本文摘自九章文章:《5万字长文说清楚到底什么是“车规级”》
“AEC-Q”认证与ISO26262功能安全认证的关系
我发现很多人搞不清楚“AEC-Q”认证与ISO26262功能安全认证之间的关系,经常把两者搞混淆,或者放到一起讲,其实这是不对的。AEC和ISO26262根本就是两码事,井水不犯河水,侧重点完全不一样。
“AEC-Q”认证我们已经讲得非常详细了,认证的对象必须是实物,且仅针对电子元器件(不包括零部件),如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试。而ISO26262标准认证范围就很宽了,对象可以是实物,比如元器件,也可以是零部件;或是虚拟的非实体,比如认证一个公司流程(包括研发及生产),认证一个软件等。我大概画了个图,小伙伴们先看下,有个概念。
1、 ISO 26262基本概念
我们先来讲一下ISO 26262功能安全标准的一些基本概念,然后再详细来讲其他的点,方便小伙伴们有个基本认知。按照惯例,我们直接回到标准原文:
针对标准的适用范围,我们提炼一下重点:
适用于道路车辆,挖掘机啥的非道路车辆就不能算;
由电子、电气(E/E)和软件组件组成的系统相关。简单来说就是没电的肯定就不能算,比如你的车玻璃,虽然和安全相关,开着车玻璃突然炸裂了可能就会发生安全事故,但那也不算在功能安全标准范围内,而是算在《中国乘用车强制性国家标准》的被动安全里面的。
与安全相关的系统。非安全相关的,比如娱乐系统就不算,开车过程中音乐播放功能失效,没法听歌了,这就不能包含在功能安全范围内。
然后我们再看下“安全”的定义,安全是相对于危害而言的,这一点估计有些小伙伴们还没搞明白:
和安全相关是指,因E/E系统的故障行为而引起的可能的危害(hazards); 危害(hazard)的定义是:由相关项的功能异常表现而导致的伤害(harm)的潜在来源; 伤害(harm)的定义是:对人身健康的物理损害(injury)或破坏(damage);
标准术语比较拗口,我简单总结一下,用人话来讲就是:功能安全只管人会受伤的事情,只要人没事就不管了。当然这里不仅仅是受伤了,标准还包含了damage,大家自行理解,我就不翻译了。
最后总结一下,功能安全是用来干啥的。顾名思义,首先是要有一个具体的功能,抛开功能谈安全,那就是耍流氓。基于一个具体的功能,比如车辆行驶过程中转向失效导致方向盘无法转动,这就很具体,因为转向失效还包含了方向盘在没有操作的情况下自己转动的情况,这就要分开来讲了。再然后就是安全,比如你的车停在那里车门自动解锁打开了,然后东西被偷了,这也是安全,但就不算在功能安全里面,因为人没有受伤,人没事就不算。如果是行驶过程中门突然自己打开,人掉下去了,这就是功能安全了,大家要区分清楚。
接下来我们再来讲一下目前功能安全认证的两种类型。
2、 功能安全流程认证及产品认证
目前业内有两种功能安全认证,都可以拿到证书。一种是流程认证,一种是产品认证。流程认证就是指开发过程,产品认证就是指具体产品,可以是实体,比如芯片、电子零部件,也可以是开发工具;也可以是虚拟的非实体,比如软件操作系统OS。
我们以SGS官网信息为例,大体可以看出来目前大家基本都在做这两类认证,并且以流程认证居多,具体原因我们随后再讲。
我们先讲流程认证。按笔者经验,对于没有相应经验的公司,认证机构一般都是建议先做流程认证,通过流程认证后,团队和能力基本上也就培养起来了,下一步就可以来做产品认证了(如果需要的话)。
因为流程认证难度较低,即使现有人员缺乏功能安全相关知识及流程经验,经过认证机构培训及辅导,短则半年,多则一年,一般都能通过,取得功能安全流程认证证书。流程认证一般也是基于一个具体的真实项目来开展的(一般是基于一个简单的产品,太复杂的难度太大,纯属找刺激,不推荐),而不是凭空只做流程文档。当然了,也可以这么做,就是只务虚,但一般不会这么做(认证机构也不推荐)。前面讲了,流程认证一般是产品认证的第一步,没有哪个公司只是为了图个虚名,拿个流程认证证书出去忽悠客户(也不排除这种情况),最终还是为了具体产品过认证。我们来看一下证书长啥样:
从上面证书里我们可以看出来,流程认证的意思就是说,根据ISO26262标准,对于安全相关的项目,你的功能安全管理能力最高可以达到ASIL D级。那有的小伙伴们可能就要问了,C级可以不?当然可以了,不过认证机构会推荐你直接做D。因为对于流程认证来讲,C和D难度没啥差别,那为何不直接上D呢?
再来说产品认证,这个就比较复杂,要求就很高了。所以即使一个公司要做产品认证,一般都会是先做流程认证,通过后再去做产品认证就会容易一些。当然了,做产品认证的难度和流程认证就不是一个量级的,需要的人员数量要多很多。同时,因为产品认证相对于偏务虚的流程认证来讲,那可全是务实的事情,从具体产品设计,器件FIT值计算,FMEDA,FTA等,到软件代码模型检查,测试覆盖度等,那可都是实打实的工作要做的,具体认证周期我们下面再讲。我们再来看下产品认证证书长啥样。
从上面证书里我们可以看出来,产品认证证书是务实的,是基于具体的产品的某个功能的。我们前面也讲过,功能安全一定是基于具体功能的。上面的证书认证产品是一个电机控制器,具体功能是所控制的电机扭矩的大小和方向,就是说你要多大扭矩就多大,你要哪个方向就是哪个,这其实是两个功能,认证起来要比一个功能复杂。也就是说,要认证的功能越多,设计就越复杂,认证难度就越大,周期就越长,费用就越高。
3、 认证周期、费用及有效期
流程认证比较简单,我们就不多讲了。产品认证很复杂,工作量很大,这个和几个方面的因素有关:
企业现有的技术水平; 产品本身的复杂度,比如大模块就肯定要比小模块难度大; 需要认证的ASIL等级,等级越高,设计越复杂,难度越大; 产品设计方案,比如你直接用更高ASIL等级的器件,难度就要低一些,当然BOM成本就要高一些; 需要认证的功能,越多就越难,周期就越长; 企业的人力投入,这个比较容易理解。
我们再来看下SGS给的参考,这个和笔者了解到的实际情况是差不多的。
产品认证很难,尤其是零部件级别的产品认证,ASIL C的还好,D就非常难了,需要企业投入的资源很多,周期很长,费用很高。
按照笔者经验,一般来说,采用功能安全流程开发的产品,项目研发的投入是原有的2-3倍(同样的开发内容)。企业原本的开发流程越规范,采用功能安全流程开发的投入也就越小,越不规范,投入就越高。这个很容易理解,ISO26262本质上也是个V-model,这个和汽车行业原本的零部件开发流程是一致的。对于规范的企业来讲,在开发安全相关的产品时,比如硬件方面,DFMEA,FMEDA,FTA等工作本身就是要做的,是贯穿在开发流程里面的,这部分能力本就是不缺的。又比如软件方面,配置管理工具、代码静态分析及测试工具等如果本来就在用,认证就会简单得多,所以不能一概而论。
简单来讲就是,越是大企业,越是正规企业,认证越容易过,甚至可以流程认证和产品认证一起做(没有流程认证是不可以做产品认证的,就像你必须先拿驾照才能去开车一个道理)。比如华为有一款产品,在2020年2月取得管理体系认证之后,当年11月就又取得了产品认证证书,就问你服不服。
关于具体的认证费用,笔者可以举一个简单的例子,大家感受一下,有个概念。比如流程认证,一般在一百万以内,含咨询费用和认证费用,有折扣的话,估计能谈到60万左右。因为目前国内除TUV及SGS等大家熟知的认证机构外,能做的机构也比较多了。
产品认证我们以大家熟知的VCU为例,这个产品硬件比较成熟,也比较简单,抛开研发费用不谈,单纯因认证产生的费用在300万左右,具体还是要看产品设计及OEM,不能一概而论,影响因素我们上面分析过了,在此不再赘述。
另外要提醒小伙伴们的是,功能安全证书是有有效期的,不管是流程的还是产品的。我们以下面的流程证书来举例,可以看到有效期是三年,到期后可能需要现场审核,续证审核也是有费用的,一般都是几万元。
上面已经具体分析了流程认证及产品认证,下面我们来详细讲解一下产品认证范围。
4、 功能安全产品认证范围
关于功能安全可以认证的产品范围,实际上既可以是实体,比如电子元器件、电子零部件或开发工具,也可以是虚拟的非实体,比如软件操作系统OS,我们分开来讲。
4.1、 产品级功能安全认证
这是最常见的,不管是OEM还是Tier 1,一般说产品的功能安全认证,就是指某个电子零部件的认证,而相应的功能,就是这个电子零部件所能实现的功能之一。这个我们在上面拿具体产品举过例子,在此不在赘述。
另外,产品的功能安全等级要求一定是要来自于OEM的。OEM作为整车功能安全等级定义的主导者,负责对整车所有功能安全相关的功能进行功能安全等级划分,再和Tier 1们协商,分配到具体的零部件功能,让相应的Tier 1来实现。比如转向柱锁功能,如果全部让转向柱锁供应商负责实现ASIL D,难度比较大,成本也较高。OEM就可以从整车设计角度来进行功能安全等级分解,降级,让其他零部件承担相应的功能安全等级,共同实现ASIL D的功能安全目标,从而降低单个零部件设计难度及成本。
4.2、 其他产品的功能安全认证
除此之外,某些开发工具(比如代码测试工具Helix QAC),或者单纯的软件产品(如QNX操作系统)也可以单独进行产品认证,道理是一样的。我们来看一下他们的介绍及描述:
Helix QAC是权威的C/C++代码合规性静态分析工具,可以用于车载ECU的嵌入式软件开发中,研发团队可以使用Helix QAC快速地满足功能安全项目合规性的需要。
QNX操作系统就不用讲了,大家都很熟悉了,纯软件产品。证书里写的也是最高到D(safety goals up to ASIL D),这个和我们前面讲的器件一样,软件在这里也是作为一个器件来进行认证的,最终的功能安全级别取决于具体的设计应用。
上面我们把产品功能安全认证适用的范围都讲完了,器件级别的认证没有深入讲,这个对我们理解“AEC-Q”认证与功能安全认证的区别有很大帮助,下面我们详细分析一下。
4.3、 器件类认证
对于电子元器件的功能安全认证,一般都是复杂芯片类产品(至少笔者没见过被动器件和分立半导体器件,这些器件因复杂度较低,不需要通过认证的途径来解决功能安全设计问题)。比如MCU,一般作为一个系统设计的核心,或PMIC,作为系统的电源,功能安全设计就很重要。我们以英飞凌为例,他家的功能安全芯片主要是MCU、PMIC、Gate driver及电机控制芯片,和Ti的差不多。
对于器件级别,因芯片供应商并不了解器件的具体应用及功能,所以器件的ASIL级别是基于硬件、系统应用来讲的。芯片供应商并没有办法给出具体能达到的ASIL级别,而是给你一个芯片能达到的最高级别,最终产品的具体某个功能的ASIL级别就取决于Tier 1的设计了。
器件级的功能安全认证下面我们会详细分析。
4.4、 器件级功能安全
空谈误国,按照惯例,我们还是拿实际应用来举例,大家看完至少对功能安全器件有个基本概念。我们以Ti对器件功能安全的分类来举例,这是目前笔者见到的分类最清晰,且解释最详细的。
我们先把上面这个表格分解为三部分:
开发流程:分为质量管理流程(即企业现有流程)和功能安全流程(依据ISO 26262开展的管理流程,需要认证),这个做过功能安全的小伙伴们应该有体会,前者就是常规的流程,后者则要麻烦许多,耗时和工作量都不是一个数量级的; 文档:Fit值,FMD,FMEDA,FTA,功能安全手册; 证书:产品功能安全证书
Ti把功能安全相关的器件分为了三类:
1. Functional Safety-Capable:Ti可以提供功能安全设计所需的FIT值计算和FMD(失效模式分布)信息,帮助Tier 1产品设计人员做安全分析。流程方面,器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
2. Functional Safety Quality-Managed:Ti提供一系列文档来帮助Tier 1设计人员进行功能安全设计,降低产品认证的工作量及认证难度,提供的文档包括器件的功能安全FIT值计算,FMEDA及功能安全手册等。器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
3. Functional Safety-Compliant:有证书,采用了功能安全开发流程,文档多了FTA(故障树分析),有功能安全证书。
我们解释一下:
第一类产品:不属于功能安全器件产品类别。此类器件通常没有集成安全相关功能,但是开发功能安全系统时又离不开此类器件的参与。Ti 提供的FIT和FMD将有助于进行安全分析。其实这已经很好了,因为很多器件,比如被动器件和分立半导体器件(因为Ti不怎么做这类器件,就没涉及),设计时又离不开,用的又多(比起芯片数量要多得多,不是一个数量级的),供应商一般也不提供FIT和FMD,你需要自己找数据。
第二类产品:属于功能安全器件产品类别。此类器件通常已集成了复杂的内部监控及诊断功能,同时TI又提供了相当多的支持文档,用于功能安全产品设计时,可以大幅降低产品认证的工作量及认证难度。
第三类产品:功能安全合规产品。此类器件通常是集成了安全特性的复杂器件,如MCU、处理器、电机驱动芯片、电源管理芯片等。此类产品是在Ti通用质量管理流程的基础上,采用Ti的功能安全流程开发的。可以提供FTA(故障树分析),有功能安全认证证书。采用此类器件可大幅降低功能安全产品的设计难度及认证难度,或者说,是设计功能安全产品的唯一高效途径。
单讲大道理还是太宽泛,大家可能还没有具体概念,按老规矩,我们还是上两个实际的产品手册,大家看了会有个实际的感受:
从上面的两个产品手册的描述我们可以看出来:
器件首先是AEC-Q认证的,这是车载应用的基础; 合规产品会注明:“Functional Safety-Compliant”,同时注明器件的系统级、硬件级ASIL等级、文档可支持的ASIL等级等信息; 功能安全类别产品会注明:“Functional safety quality-managed”,同时注明器件的文档可支持的系统设计的ASIL等级;
好了,看到这里小伙伴们对功能安全认证应该已经有了一些基础的了解,接下最后我们从不同维度来总结一下“AEC-Q”认证与功能安全认证的区别。
5、 “AEC-Q”认证与功能安全认证
我按照几个维度进行分类,简单汇总了一个表格:
下面详细讲一下:
1. 认证对象:
·AEC标准认证的对象仅针对电子元器件,如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试。
·ISO26262标准认证的对象包括流程(对公司)及产品(实体或非实体);
2. 认证方式:
·AEC标准认证方式就是测试,测试通过后可在产品手册上注明符合标准即可;
·ISO26262标准认证方式最终是体现在流程文档上(无论是流程认证,还是产品认证),而非产品测试;
3. 认证目的:
·AEC标准认证的最初目的是为了器件资格通用化,现在基本上算是器件车载应用的一个基本要求;
·ISO26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的;
4. 侧重点
·AEC标准的侧重点是器件的可靠性及长期供货的一致性(主要体现在变更流程要求);
·ISO26262标准的侧重点是设计及开发流程的合规性(主要通过工具及文档)
5. 交付物
·AEC标准认证测试后,交付物就是测试报告(不是证书)
·ISO26262认证后,交付物就是流程文档及认证证书
6. 是否强制
·AEC标准和电子零部件测试标准一样,都是非强制的,但是如果要做车载应用,那么通过这个测试是一个基本要求;
·ISO26262同样也是非强制标准,是否需要过认证取决于客户要求,或是为了降低客户使用难度,同时树立行业门槛;
7. 认证机构
·AEC标准讲得很清楚,没有专门的认证机构,元器件供应商自己根据标准进行测试即可;
·ISO26262是由专门的合规认证机构的,认证必须由机构进行;
8. 认证报告
·AEC-Q是没有认证报告的,只有测试报告;
·ISO26262认证通过后,将由合规认证机构颁发认证证书;
9. 证书有效期
·AEC-Q测试报告基本是没有有效期这个概念的,但是只要产品发生变化,就需要重新进行认证测试;
·ISO26262证书是有有效期的,这个前面讲过,一般是3-5年,到期后需要重新审核,且需要一定的审核费用。
本文摘自九章文章:《5万字长文说清楚到底什么是“车规级”》,点击“阅读原文”即可查看文章原文链接。
推荐阅读:
◆九章 - 2021年度文章大合集
◆当候选人说“看好自动驾驶产业的前景”时,我会心存警惕——九章智驾创业一周年回顾(上)
◆数据收集得不够多、算法迭代得不够快,就“没人喜欢我”————九章智驾创业一周年回顾(下)
◆“放弃自研域控制器”,缘何成为一些L4级自动驾驶公司的共同选择?
◆2万字长文说清自动驾驶功能架构的演进
◆Code First!博世拉开汽车基础软件开源大幕