请添加微信号进入传感器组/滑板底盘组:xsh041388
请添加微信号进入域控制器组/操作系统组:ckc1087
注:传感器/滑板底盘/域控制器 真实姓名、公司、职位
本文摘自九章:《五万字长文说明到底什么是车规级
我发现很多人都不知道我发现AEC-Q”认证与ISO26262功能安全认证之间的关系经常混淆或放在一起。事实上,这是错误的。AEC和ISO26262是两码事,井水不犯河水,重点完全不同。
“AEC-Q我们已经详细讨论了认证。认证对象必须是实物,仅针对集成芯片、分立半导体、被动设备等电子元件(不包括部件)MEMS器件、MCM设备供应商认证模块等Tier 进行认证测试。而ISO26262标准认证范围很广,对象可以是实物,如部件或部件;或虚拟非实体,如认证公司流程(包括研发和生产)、认证软件等。我大概画了一张图,朋友们先看看,有个概念。
认证标准及差异(来源:左成钢)
先说说吧ISO 26262功能安全标准的一些基本概念,然后详细讨论其他要点,方便朋友有基本的认知。按照惯例,我们直接回到标准原文:
ISO 26262介绍及范围(来源:ISO 26262-1:2011)
针对标准的适用范围,我们提炼重点:
适用于道路车辆,挖掘机等非道路车辆不能计算;
由电子、电气(E/E)它与软件组件组成的系统有关。简单地说,没有电当然不能计算,比如你的汽车玻璃,虽然与安全有关,驾驶玻璃突然破裂可能发生安全事故,但它不在功能安全标准范围内,而是在中国乘用车强制性国家标准的被动安全。
与安全相关的系统。不安全相关的,如娱乐系统,不包括在功能安全范围内。
然后我们来看看安全的定义,安全相对于危害,估计有些朋友还没有明白:
ISO 来源:ISO 26262-1:2011)
与安全有关是指,因为E/E系统故障行为造成的可能危害(hazards);
危害(hazard)定义是:相关项目的异常功能性能造成的损害(harm)潜在来源;
伤害(harm)定义是:对人类健康的物理损害(injury)或破坏(damage);
标准术语比较尴尬,我简单总结一下,用人话说:。当然,这里不仅包括受伤,还包括标准damage,大家自己理解,我就不翻译了。
最后,功能安全是用来做什么的。顾名思义,首先要有具体的功能,。基于一个特定的功能,如车辆行驶过程中的转向故障导致方向盘无法转动,这是非常具体的,因为转向故障还包括方向盘在没有操作的情况下自行转动的情况,需要单独讨论。然后是安全。例如,当你的车停在那里时,门会自动解锁并打开,然后东西会被偷。这也是安全的,但不包括在功能安全中,因为人们没有受伤,人们没有什么可做的。如果开车时门突然打开,人掉下来,这就是功能安全,大家要区分清楚。
接下来,我们来谈谈功能安全认证的两种类型。
目前,该行业有两种功能安全认证,都可以获得证书。。流程认证是指开发过程,产品认证是指具体产品,可以是芯片、电子部件、开发工具等实体;或虚拟非实体,如软件操作系统OS。
我们以SGS官网信息为例,大体可以看出来目前大家基本都在做这两类认证,并且以流程认证居多,具体原因我们随后再讲。
功能安全认证案例(来源:SGS.com)
让我们从过程认证开始。根据作者的经验,对于没有相应经验的公司,认证机构一般建议先进行过程认证。通过过程认证后,基本培养团队和能力,下一步可以进行产品认证(如有必要)。
由于过程认证难度较低,即使现有人员缺乏功能安全知识和过程经验,经过认证机构的培训和指导,一般可以通过半年或一年以上的功能安全过程认证证书。流程认证一般是基于一个特定的真实项目(一般是基于一个简单的产品,太复杂太难,纯粹是找刺激,不推荐),而不是凭空做流程文档。当然,你也可以这样做,也就是说,你只是虚拟的,但你通常不会这样做(认证机构不推荐)。前面讲了,流程认证一般是产品认证的第一步,没有哪个公司只是为了图个虚名,拿个流程认证证书出去忽悠客户(也不排除这种情况),最终还是为了具体产品过认证。让我们来看看证书是什么样子的:
功能安全管理流程认证书(来源:NXP)
从以上证书可以看出,流程认证的意思是,根据ISO26262标准,对于安全相关项目,您的功能安全管理能力最高ASIL D等级。有些朋友可能会问,C可以吗?当然可以,但是认证机构会推荐你直接做。D。因为对于流程认证,C和D难度没什么区别,那为什么不直接去D呢?
先说产品认证,比较复杂,要求很高。因此,即使一家公司想做产品认证,一般也会先做流程认证,通过后再做产品认证会更容易。当然,产品认证的难度和流程认证不是一个量级,需要大量的人员。同时,因为产品认证相对于偏务虚的流程认证来讲,那可全是务实的事情,从具体产品设计,器件FIT值计算,FMEDA,FTA等待,到软件代码模型检查,测试覆盖范围等,这些都是实际的工作要做,具体的认证周期我们将在下面讨论。让我们来看看产品认证书的长度。
功能安全产品认证(来源:网络)
从以上证书可以看出,产品认证证书是务实的,是基于特定产品的一定功能。正如我们前面所说,功能安全必须基于特定的功能。上述证书认证产品为电机控制器,具体功能制电机扭矩的大小和方向,即你想要的扭矩,你想要的方向,这实际上是两个功能,认证比一个功能更复杂。也就是说,认证功能越多,设计越复杂,认证越困难,周期越长,成本越高。
流程认证比较简单,我们就不多讲了。产品认证很复杂,工作量很大,这个和几个方面的因素有关:
企业现有技术水平;
产品本身的复杂性,比如大模块,肯定比小模块难;
需要认证的ASIL等级越高,设计越复杂,难度越大;
例如,您直接使用更高的产品设计方案ASIL等级设备难度较低,当然BOM成本会更高;
需要认证的功能越多,周期越长;
很容易理解企业的人力投入。
再来看看SGS参考,这与作者所了解的实际情况相似。
功能安全认证周期(来源:SGS.com)
产品认证难度大,尤其是零部件级产品认证,ASIL C的还好,D这是非常困难的,入大量资源,周期长,成本高。
根据作者的经验,一般来说,项目研发投资是功能安全过程开发产品的2-3倍(相同的开发内容)。企业原有的开发流程越标准化,对功能安全流程开发的投越小,越不规范,投入越高。这很容易理解,ISO本质上,26262也是V-model,这与汽车行业原有的零部件开发流程是一致的。对于标准化的企业,在开发安全相关产品时,如硬件,DFMEA,FMEDA,FTA工作本身就是要做的,贯穿于开发过程中,这部分能力并不缺乏。另一个例子是软件,如果配置管理工具、代码静态分析和测试工具,认证就会简单得多,所以不能一概而论。
简单来说,企业越大,企业越正规,越容易通过认证,甚至可以一起做流程认证和产品认证(没有流程认证就不能做产品认证,就像你开车前必须拿驾照一样)。比如华为有一款产品,2020年2月获得管理体系认证后,当年11月获得产品认证证书,问你是否接受。
至于具体的认证费用,作者可以举一个简单的例子,让我们感受一下,有一个概念。例如,流程认证一般在100万以内,包括咨询费和认证费用,有折扣的话,估计能谈到60万左右。因为目前国内除TUV及SGS等大家熟知的认证机构外,能做的机构也比较多了。
产品认证我们以大家熟知的VCU为例,这个产品硬件比较成熟,也比较简单,抛开研发费用不谈,单纯因认证产生的费用在300万左右,具体还是要看产品设计及OEM,不能一概而论,影响因素我们上面分析过了,在此不再赘述。
另外要提醒小伙伴们的是,功能安全证书是有有效期的,不管是流程的还是产品的。我们以下面的流程证书来举例,可以看到有效期是三年,到期后可能需要现场审核,续证审核也是有费用的,一般都是几万元。
功能安全管理流程认证证书(来源:NXP)
上面已经具体分析了流程认证及产品认证,下面我们来详细讲解一下产品认证范围。
关于功能安全可以认证的产品范围,实际上既可以是实体,比如电子元器件、电子零部件或开发工具,也可以是虚拟的非实体,比如软件操作系统OS,我们分开来讲。
这是最常见的,不管是OEM还是Tier 1,一般说产品的功能安全认证,就是指某个电子零部件的认证,而相应的功能,就是这个电子零部件所能实现的功能之一。这个我们在上面拿具体产品举过例子,在此不在赘述。
另外,产品的功能安全等级要求一定是要来自于OEM的。OEM作为整车功能安全等级定义的主导者,负责对整车所有功能安全相关的功能进行功能安全等级划分,再和Tier 1们协商,分配到具体的零部件功能,让相应的Tier 1来实现。比如转向柱锁功能,如果全部让转向柱锁供应商负责实现ASIL D,难度比较大,成本也较高。OEM就可以从整车设计角度来进行功能安全等级分解,降级,让其他零部件承担相应的功能安全等级,共同实现ASIL D的功能安全目标,从而降低单个零部件设计难度及成本。
除此之外,某些开发工具(比如代码测试工具Helix QAC),或者单纯的软件产品(如QNX操作系统)也可以单独进行产品认证,道理是一样的。我们来看一下他们的介绍及描述:
Helix QAC是权威的C/C++代码合规性静态分析工具,可以用于车载ECU的嵌入式软件开发中,研发团队可以使用Helix QAC快速地满足功能安全项目合规性的需要。
Helix QAC符合ASIL D级认证(来源:perforce.com)
QNX操作系统就不用讲了,大家都很熟悉了,纯软件产品。证书里写的也是最高到D(safety goals up to ASIL D),这个和我们前面讲的器件一样,软件在这里也是作为一个器件来进行认证的,最终的功能安全级别取决于具体的设计应用。
QNX符合ASIL D级认证(来源:QNX.com)
上面我们把产品功能安全认证适用的范围都讲完了,器件级别的认证没有深入讲,这个对我们理解“AEC-Q”认证与功能安全认证的区别有很大帮助,下面我们详细分析一下。
对于电子元器件的功能安全认证,一般都是复杂芯片类产品(至少笔者没见过被动器件和分立半导体器件,这些器件因复杂度较低,不需要通过认证的途径来解决功能安全设计问题)。比如MCU,一般作为一个系统设计的核心,或PMIC,作为系统的电源,功能安全设计就很重要。我们以英飞凌为例,他家的功能安全芯片主要是MCU、PMIC、Gate driver及电机控制芯片,和Ti的差不多。
英飞凌符合功能安全认证的产品类别(来源:英飞凌)
对于器件级别,因芯片供应商并不了解器件的具体应用及功能,所以器件的ASIL级别是基于硬件、系统应用来讲的。芯片供应商并没有办法给出具体能达到的ASIL级别,而是给你一个芯片能达到的最高级别,最终产品的具体某个功能的ASIL级别就取决于Tier 1的设计了。
器件级的功能安全认证下面我们会详细分析。
空谈误国,按照惯例,我们还是拿实际应用来举例,大家看完至少对功能安全器件有个基本概念。我们以Ti对器件功能安全的分类来举例,这是目前笔者见到的分类最清晰,且解释最详细的。
功能安全产品分类(来源:ti.com)
我们先把上面这个表格分解为三部分:
开发流程:分为质量管理流程(即企业现有流程)和功能安全流程(依据ISO 26262开展的管理流程,需要认证),这个做过功能安全的小伙伴们应该有体会,前者就是常规的流程,后者则要麻烦许多,耗时和工作量都不是一个数量级的;
文档:Fit值,FMD,FMEDA,FTA,功能安全手册;
证书:产品功能安全证书
Ti把功能安全相关的器件分为了三类:
1. Functional Safety-Capable:Ti可以提供功能安全设计所需的FIT值计算和FMD(失效模式分布)信息,帮助Tier 1产品设计人员做安全分析。流程方面,器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
2. Functional Safety Quality-Managed:Ti提供一系列文档来帮助Tier 1设计人员进行功能安全设计,降低产品认证的工作量及认证难度,提供的文档包括器件的功能安全FIT值计算,FMEDA及功能安全手册等。器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
3. Functional Safety-Compliant:有证书,采用了功能安全开发流程,文档多了FTA(故障树分析),有功能安全证书。
我们解释一下:
。此类器件通常没有集成安全相关功能,但是开发功能安全系统时又离不开此类器件的参与。Ti 提供的FIT和FMD将有助于进行安全分析。其实这已经很好了,因为很多器件,比如被动器件和分立半导体器件(因为Ti不怎么做这类器件,就没涉及),设计时又离不开,用的又多(比起芯片数量要多得多,不是一个数量级的),供应商一般也不提供FIT和FMD,你需要自己找数据。
此类器件通常已集成了复杂的内部监控及诊断功能,同时TI又提供了相当多的支持文档,用于功能安全产品设计时,可以大幅降低产品认证的工作量及认证难度。
此类器件通常是集成了安全特性的复杂器件,如MCU、处理器、电机驱动芯片、电源管理芯片等。此类产品是在Ti通用质量管理流程的基础上,采用Ti的功能安全流程开发的。可以提供FTA(故障树分析),有功能安全认证证书。采用此类器件可大幅降低功能安全产品的设计难度及认证难度,或者说,是设计功能安全产品的唯一高效途径。
功能安全合规产品(来源:ti.com)
单讲大道理还是太宽泛,大家可能还没有具体概念,按老规矩,我们还是上两个实际的产品手册,大家看了会有个实际的感受:
功能安全合规产品(来源:ti.com)
从上面的两个产品手册的描述我们可以看出来:
器件首先是AEC-Q认证的,这是车载应用的基础;
合规产品会注明:“Functional Safety-Compliant”,同时注明器件的系统级、硬件级ASIL等级、文档可支持的ASIL等级等信息;
功能安全类别产品会注明:“Functional safety quality-managed”,同时注明器件的文档可支持的系统设计的ASIL等级;
好了,看到这里小伙伴们对功能安全认证应该已经有了一些基础的了解,接下最后我们从不同维度来总结一下“AEC-Q”认证与功能安全认证的区别。
我按照几个维度进行分类,简单汇总了一个表格:
仅针对电子元器件 |
流程或产品 |
|
测试 |
流程文档 |
|
资格通用化 |
功能安全 |
|
器件可靠性及一致性 |
流程合规性 |
|
测试报告 |
流程文档及证书 |
|
否 |
否 |
|
无,自测或三方试验室 |
有,三方认证机构如TUV,SGS |
|
无,仅有测试报告 |
有,由认证机构颁发 |
|
无 |
有,到期后需再次审核 |
两种认证的区别(来源:左成钢)
下面详细讲一下:
·AEC标准认证的对象仅针对电子元器件,如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试。
·ISO26262标准认证的对象包括流程(对公司)及产品(实体或非实体);
·AEC标准认证方式就是测试,测试通过后可在产品手册上注明符合标准即可;
·ISO26262标准认证方式最终是体现在流程文档上(无论是流程认证,还是产品认证),而非产品测试;
·AEC标准认证的最初目的是为了器件资格通用化,现在基本上算是器件车载应用的一个基本要求;
·ISO26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的;
·AEC标准的侧重点是器件的可靠性及长期供货的一致性(主要体现在变更流程要求);
·ISO26262标准的侧重点是设计及开发流程的合规性(主要通过工具及文档)
·AEC标准认证测试后,交付物就是测试报告(不是证书)
·ISO26262认证后,交付物就是流程文档及认证证书
·AEC标准和电子零部件测试标准一样,都是非强制的,但是如果要做车载应用,那么通过这个测试是一个基本要求;
·ISO26262同样也是非强制标准,是否需要过认证取决于客户要求,或是为了降低客户使用难度,同时树立行业门槛;
·AEC标准讲得很清楚,没有专门的认证机构,元器件供应商自己根据标准进行测试即可;
·ISO26262是由专门的合规认证机构的,认证必须由机构进行;
·AEC-Q是没有认证报告的,只有测试报告;
·ISO26262认证通过后,将由合规认证机构颁发认证证书;
·AEC-Q测试报告基本是没有有效期这个概念的,但是只要产品发生变化,就需要重新进行认证测试;
·ISO26262证书是有有效期的,这个前面讲过,一般是3-5年,到期后需要重新审核,且需要一定的审核费用。
本文摘自九章文章:《5万字长文说清楚到底什么是“车规级”》,点击“阅读原文”即可查看文章原文链接。
如果您有兴趣给《九章智驾》投稿(“知识积累整理”类型文章),请扫描右方二维码,添加工作人员微信。
注:加微信时务必备注您的真实姓名、公司
以及现岗位等信息,谢谢!
A:信息密度高于绝大多数券商的绝大多数报告,不低于《九章智驾》的平均水平;
B:信息要高度稀缺,需要80%以上的信息是在其他媒体上看不到的,如果基于公开信息,需有特别牛逼的独家观点才行。多谢理解与支持。
◆九章 - 2021年度文章大合集
◆当候选人说“看好自动驾驶产业的前景”时,我会心存警惕——九章智驾创业一周年回顾(上)
◆数据收集得不够多、算法迭代得不够快,就“没人喜欢我”————九章智驾创业一周年回顾(下)
◆“放弃自研域控制器”,缘何成为一些L4级自动驾驶公司的共同选择?
◆2万字长文说清自动驾驶功能架构的演进
◆Code First!博世拉开汽车基础软件开源大幕