自動駕駛汽車高度重視安全性,隨著汽車走向全自駕未來,車內網路身為傳輸資料的關鍵角色,對於乙太網路IC的性能需求發生變化,需要從晶片層級將功能安全列入考量,並採取適當措施來預防、預測和應對各種故障場景。
全自動駕駛汽車將對未來的許多領域產生深遠影響,尤其是在汽車安全方面。目前,安全目標基於端對端的「概念」來實現,駕駛員是最後的保障。一旦電腦接管了控制權,系統在出現故障時能否正常運行就取決於通訊線路是否暢通。因此,汽車安全需要綜合考量功能安全和可靠性。
隨著汽車網路的發展,乙太網路IC的作用也發生變化。目前的汽車網路對這些連接IC的安全要求並不高,但IC供應商已經注意到市場對具備一定安全功能和ASIL級別產品的需求逐漸增加。因此,除了考量市場數據和功能清單外,還需要綜合評估安全功能的價值。
本文將從系統層面介紹網路IC的功能安全,舉例說明網路如何支援故障預防,並展望未來的走向。最後,本文將闡述遵循ISO 26262標準的實施方法。
汽車面臨轉型 車載網路功能安全為重
目前,汽車產業正面臨三大趨勢,即自動駕駛、電氣化和服務型暨使用者定義的人機介面(HMI)。這些趨勢推動了汽車向區域性(Zonal)電子電氣架構的轉變。在這種轉變的基礎上,未來的汽車還將具備全自動駕駛或半自動駕駛的能力,這對車載網路的功能安全提出了更高的要求。
ISO 26262[1]規定了一種開發流程,旨在將電子電氣系統故障造成的危險控制在可接受的水準。為了量化系統故障對汽車安全的危害程度,ISO 26262提出了一個評價指標,稱為汽車安全完整性等級(Automotive Safety Integrity Level, ASIL)。ASIL分為A、B、C和D四個等級,反映了故障可能導致的後果有多嚴重、發生的可能性有多大,以及能否被駕駛員或其他系統控制。系統及其構成元件皆須根據所屬的ASIL等級,實現相應水準的安全保障。在汽車功能安全開發領域,獨立安全單元(Safety Element out of Context, SEooC)是非常重要的概念,可以幫助開發者設計出符合安全要求的標準IC。本文將重點闡述SEooC概念。
獨立安全單元(SEooC)
ISO 26262中描述的是一種自上而下的方法,要求從系統級到子部件級都滿足相應的安全要求。此外,該標準還定義了「獨立安全單元(SEooC)」開發流程。IC通常作為SEooC開發,因為IC的開發往往早於實際系統,並且通常不是針對特定車型而設計。IC開發過程中,需要對未來的使用場景進行假設。這些假設也決定了SEooC的ASIL安全級別。
SEooC在安全相關系統中的應用,要求系統整合商根據實際場景的安全需求,驗證SEooC開發時所做的假設,即該功能的開發背景(圖1)。只有當所有假設皆成立時,SEooC的ASIL等級才有效。舉例來說,SEooC開發可能假定了一些外部安全措施,在內部故障模式下起到保護作用。這些措施在實際系統中必須得到落實。因此,如果不清楚具體的使用場景,IC的ASIL等級便失去意義。
參考資料
[1] 《ISO 26262:2018道路車輛-功能安全》(ISO 26262:2018 Road Vehicles – Functional Safety),第2版。
乙太網路IC迎接自駕時代 SEooC/故障預測確保安全運行(1)
乙太網路IC迎接自駕時代 SEooC/故障預測確保安全運行(2)