汽车如何确保安全,为什么需要测试和监控?
■
测试失败的响应
测试时间还必须考虑测试失败时可能需要的各种响应。如果测试通过,那么操作将一如既往地继续。但如果测试失败,那么安全计划必须考虑到响应。不管触发因素是什么,响应意味着让汽车进入到安全状态。确切地说,这种状态将是安全计划的一部分。
如果检测到故障,则允许车辆进入安全状态的时间预算。Ruiz说:“说明书上说,如果有故障,要有一定的时间来检测,有一定的时间来记录,然后再做点什么。”ISO 26262将检查一个故障和另一个故障之间的时间称为容错时间间隔(FTTI)。FTTI包括三个间隔,用于检测故障,如果检测到故障,则对故障作出反应,然后在执行下一个测试之前进入安全状态。
FTTI的三个间隔
在检测到测试失败时FTTI启动,包括在返回检测下一个故障之前将系统置于安全状态所需的所有响应。在这个级别上,假设这样的测试失败不是灾难性的,但要允许一些功能来补救这种情况。
这与“检查引擎”灯亮起时的情况类似。“仪表盘上出现一个警告灯,说明刹车ECU坏了,”Rathert解释道。“这是一个好消息,警告灯没有失效,但车里还是有一个不好的部件,还是要去一趟服务中心。”
Knoth换了一种说法。“你发现‘二号核’不好,现在需要运行系统软件,‘不要再使用二号核,只能使用一号核、三号核和四号核。'系统注册后进入新的安全状态。也许它不再允许你使用完整的ADAS功能,也许它只会使用车道偏离避让之类的功能。”
没有人要求对整个车辆进行FTTI测试。Chua说:“根据器件应用的不同,不同的模块可能会有不同的FTTI。”芯片内部必须有一个中心控制点来管理所有与安全和测试相关的事件。它被称为“安全岛”或“安全管理器”,即物理布局的隔离区域。
连接到汽车IC的安全岛
安全岛是一个处理器子系统,负责管理车辆中的各种安全机制。早期建立的测试时间表是必须遵循的测试和安全架构的一部分。但该计划的执行——安排测试和处理结果——是由安全管理器实时完成的。Harrison说:“安全管理器可以发现危险信号,然后迅速将器件置于安全状态。”它可以在芯片级或子系统级运行。
■
锂电池细节改进一刻未停
虽然系统内测试是安全计划的一个新组成部分,但它实际上是在设计和制造的早期已开始流程的最后一个后盾。
EDA工具必须关注功能安全。测试和安全电路通常不符合优化工具的预期,因此这些工具必须在安全计划的指导下做出让步。拥有EDA工具和IP预认证——特别是类似测试IP的测试设计(DFT)——可以简化这些工具和IP的用户的认证过程。Harrison说:“如果我们已经获得了ISO认证,那么这些技术的采用将非常有帮助。”
制造检查以及从操作反馈到制造的长循环反馈,是随着时间推移提高安全性的另一个重要方法。制造和封装操作的质量越高,系统内测试失败的可能性就越小。如果物理特性与加速老化相关,甚至也可以减轻老化。所有东西都会老化,但老化较快的芯片可以从供应链中淘汰。
Rathert说:“测试行业正试图提高良率,让作为最后一道防线进行测试东西更少。测试人员正在关注如何改进他们的测试游戏。当我们剥开洋葱皮并研究这个问题时,首要的是阻止缺陷的发生。第二个是逃逸,其中一部分是测试覆盖率,另一部分是我们所说的潜在缺陷。”
潜在缺陷直到稍后才显露出来,可能是在暴露于某些环境条件之后。根据定义,不会在制造测试中发现它们。
“我们有两种方法来处理这个问题,”Rather说。“一个是工艺控制,我们停止制造缺陷的芯片。第二个是筛选——寻找那些看起来不正常的晶圆或单个芯片,不让它们进入供应链。然后,用晶圆级探针进行单次和最终测试。我们正试图将所有这些机会尽可能地放在上游,以阻止那些坏的片芯流出,这样之后的内置自检就永远是干净的。”
CyberOptics负责研发的副总裁Tim Skunes对此表示赞同。他说:“对于汽车等安全关键型应用,零缺陷至关重要,因此实施有效的SMT/电子组装、晶圆级和先进封装的检验和计量过程来控制工艺和良率非常重要。”
■
从规划到认证
如何实现测试取决于开发工作早期的架构阶段实施策略。在早期阶段让安全团队参与有助于确保测试计划满足安全计划的需要。
还有许多利益相关者需要参与,包括芯片开发、系统开发和软件团队。这种协调是必要的,不仅是为了确保所有考虑因素和情景都已考虑在内,而且是为了确保不同团队执行的测试之间没有重叠或冗余。给定一组测试,谁执行哪些测试可以由所有相关人员在早期决定。
Knoth指出:“无论是制造测试还是现场测试,都需要一种更加多学科、‘大帐篷’的方法来决定测试内容和测试方式。”
■
结论
认证与大多数安全关键系统一样,要在安全专家的监督下制定一个计划,然后证明最后达到了既定目标。在审查了所有测试、监控和其他安全机制的处理方式之后,并没有官方机构对车辆进行批准。最后,还是由主机厂进行认证。人们的期望是,主机厂有动力和能力拥有一辆安全的汽车,这样它的声誉就不会受损,召回也就没有必要了,这就是“基于市场的安全”。
总而言之,系统内测试结合了其他功能安全性和安全性考虑,已成为这些轮子上系统的新要求。与任何设计一样,随着汽车制造商竞相为客户提供最佳和最安全的体验,这些考虑因素之间也会存在权衡。
系统内测试整体方法的好处在于:市场上最成功的团队利用来自不同利益相关者的所有投入,提出优雅的解决方案,使他们能够拥有更低的开销和更高质量的测试,而不是各自呆在自己的筒仓(silos)里,把问题抛诸脑后,然后说:“好吧,让测试人员来解决这个问题。”
图片新闻
最新活动更多
-
1月10日立预约直播>> 【线上直播】新能源汽车热管理行业应用新进展
-
精彩回顾立即查看>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
精彩回顾立即查看>> 【线下论坛】华邦电子与莱迪思联合技术论坛
-
精彩回顾立即查看>> 【线下论坛】华邦电子与恩智浦联合技术论坛
-
精彩回顾立即查看>> 蔡司新能源汽车三电质量解决方案
-
精彩回顾立即查看>> 蔡司新能源汽车三电质量解决方案
推荐专题
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论