ISO26262

本文將依據ISO 26262針對嵌入式安全系統開發提出的相關建議，介紹高壓(HV)電池電動車的功能安全概念，其中將涵蓋ISO 26262的方法，並考量依此安全概念完成的不同工作產品： ．ISO第3部分—項目定義、風險評估、安全目標定義。 ．ISO第3部分—高壓牽引變頻器功能安全概念。 ．ISO第4部分—高壓牽引變頻器技術安全架構。 ．ISO第4部分—系統故障檢測及響應。 汽車硬體設計需定義安全項目 汽車電子元件日漸增多為汽車產業的共識。汽車開始變得更加精密複雜，並納入各種感測、思考及執行功能以輔助駕駛使用，電子元件的形式已經改變。特別是油電混合車及電動車將大幅成長，而自駕功能也是一樣。 朝向全電池電動車的目標發展需經過多步驟程序，其中包含由基本的電氣化系統轉變為功能更豐富的系統，並包括移轉所有高功率負載。業界在前述轉變過程中的關鍵挑戰之一，就是確保系統承受峰值狀態的強健程度。 市場迅速成長，許多國家以政策獎勵促進成長。而各界擔憂長期永續發展問題，因此強烈要求對排放、材料及製程訂定更嚴格的法規。不過目前電動車的商業模式無法讓OEM長期獲利的問題需待解決，因為基本電動車的平均預估成本仍是一大問題。OEM將尋求各種方式消弭成本落差，如在內部自行處理更多設計工作，或是跳過第一層供應商，直接與IC供應商接洽。這裡所面對的困難，在於以全新方式結合ECU及成套功能，以整合嵌入式電子架構。 因此業界合作夥伴密切合作，加速找出方法因應以上限制。其中一種方式為開發參考設計，結合系統知識及安全專業。這代表參考設計從一開始就要納入關鍵安全系統要素。若要開發硬體參考設計的安全概念，必須能定義安全目標、概念及功能，讓預定項目能夠識別適當的系統實作，進而納入系統設計中。 ISO 26262 V週期程序流程 ISO 26262針對車輛安全系統產品的各個開發階段提供建議及準則，協助達成適當程度的功能安全成熟度。ISO在第2、第8及第9部分說明程序及方法，此外也說明V週期專案開發過程中，有關特定工作產品的技術層面，以及需要執行的各項審查(圖1)。透過第一層供應商或系統供應商，V週期由上而下，從OEM到IC供應商考量功能安全開發事宜。視公司在電動車開發中所負的責任而定，開發階段期間可能適用第3、第4、第5、第6及第7部分的內容，或選擇量身打造。 圖1　ISO 26262 V週期程序流程 如果以系統供應商開發變頻器模組作為電動車SEooC為例，就可適用第3部分的用途假設、第4部分的系統、第5部分的硬體、第6部分的軟體，以及第7部分的主要生產。而第10及第11部分為ISO 26262的應用準則。 V週期需參考設計安全概念 如簡介所述，IC供應商預期及開發系統ECU的方式，與傳統第一層相同。如此可加速開發時間，提供標準交付項目，並有利於整條生態鏈。其中的目標並不一定是提供解決方案，達到第一層所能提供的相同成熟度，而是為第一層加速開發工作產品。不過，為了適當定義安全概念，使其盡可能接近客戶安全概念，應針對ISO各部分內容進行開發作業。除了專門用於第一層量產的第7部分以外，IC供應商的重點就是因應V週期的各部分需求(圖2)。 圖2　ISO 26262 V週期程序流程 第3部分引導協助建立安全概念，定義目標系統中的項目，其中也包括初步功能安全架構，以及功能安全概念不應違背的可能危害及安全目標。本部分內容可協助客戶輕易瞭解業者提出的參考設計內容是否與其應用相符。 第4部分為技術說明及定義，以所需系統產品的系統架構需求為依據。本部分也定義及分析所有系統故障，以便定義診斷達到適當的安全層級。 第5部分及第6部分是軟硬體架構開發的V週期以及相關原型。本文涵蓋所有安全驗證及認證要點，並協助確認安全概念。 高壓變頻器開發安全目標/架構剖析 ISO 26262說明需要定義的項目，以便系統概念開發著手進行。 項目定義 這將釐清預定項目及系統的範圍與邊界，以及初步項目架構(圖3)及分配的功能假設。 圖3　電動車的高壓變頻器 在電動車的高壓變頻器範例中，功能假設可概述如下：變頻器是電動車的主要牽引系統，依據車輛控制單元(VCU)提出的扭矩需求，負責控制電源(HVDC電池)及電動馬達機械軸之間的能量轉換。VCU解讀駕駛指令，作為電動馬達的加速或減速要求。變頻器將此扭矩要求轉譯為進入牽引馬達的相位電流。在較先進的電池電動車中，通常是以沒有離合器的簡易變速箱連接馬達軸及車輪。 這是本文的第一項假設，其中關鍵是要具體明確，因為如果車輛設置離合器，安全概念及安全狀態就會不同。就現有的情況而言，萬一發生危害，駕駛或電動系統光是斷開電動馬達與車輪之間的連接，將不可能停止車輛牽引。 HARA及安全目標 HARA及安全目標的定義，一般是在OEM層級進行的大型分析，並提供給第一層供應商，作為對預定開發系統的需求。此項程序於ISO 26262第3部分定義，目標是分析定義項目故障時對人類的影響。其中提出所有可能駕駛及非駕駛情境有關的所有可能EE系統故障，同時考量各種操作及環境條件(圖4)。 圖4　EE系統情境 ISO 26262 ASIL表格(圖5)使用一組風險參數定義ASIL等級，涵蓋品質管理(QM)至最嚴重的ASIL D。這樣就能依據此項排名，針對危害指定相關的ASIL等級。一旦識別危害及安全目標，就能針對各項危害定義安全狀態及故障容錯時間間隔。安全目標是最高層級的功能安全需求，並由此衍生所有其他的安全需求。 圖5　ASIL表格 第二層供應商，很難由OEM取得這些安全目標及危害資訊。不過必須能夠對自身開發的任何系統，提出所考量使用案例的明確證據，包括合理分析的HARA，以便為客戶釐清安全目標。筆者考量合理的情境選擇，主要將重點放在最糟的情況。電動車高壓變頻器的危害及安全目標清單範例如圖6所示。 圖6　電動車高壓變頻器的危害及安全目標範例 功能安全概念 有了以上的假設、項目定義，以及危害和安全目標，就可定義第一批高階系統功能。之後將定義首要功能需求(FR)及相關的高階功能安全需求(FSR)用於功能安全架構(圖7)。 圖7　功能安全架構 高壓變頻器的功能安全架構，則可概述為圖8所示的主要功能及安全功能。 圖8　功能及安全功能 ASIL等級和FTTI與安全目標衍生及直接承襲的安全需求有關。之後ASIL等級會傳播給ISO第4部分所述的較低層級需求與技術系統安全架構。 因此在此功能層級中，項目定義、危害及安全目標假設，以及功能安全架構及需求，都是IC供應商客戶的第一批首要交付項目。這些首要交付項目應協助他們瞭解個案研究及開發的參考設計是否與其想要開發的應用相符。如果並未完全相符，就需分析其中落差並建立行動計畫，以合併客戶及供應商的安全概念。 技術安全概念滿足實作需求 技術安全概念是指依據安全及非安全需求完成的系統架構設計，其中提供系統架構適當性的理由，以滿足第3部分實作的項目定義、安全目標及功能安全需求的安全需求及設計限制。 技術安全概念之後將分隔，並代表達成預定項目及系統功能所需的全部軟硬體子要素功能。必須指定所有安全機制及故障偵測反應，以避免在技術功能故障時違反安全目標(圖9)。 圖9　技術安全概念 ISO 26262建議對系統設計架構執行安全分析，例如FTA或安全FMEA，以定義這些安全措施。這有助於詳盡識別所有可能以單點故障或潛在故障形式違反安全目標的系統故障。之後會以故障偵測功能處理各項故障，以減輕故障及降低其嚴重性。 使用此項安全分析可建立安全機制清單，衍生成為新的安全需求，然後分配至所有安全相關的系統架構區塊，並於安全分析時加以識別。所有安全機制定義，是以偵測故障的運作、技術及時間條件為依據(圖10)。安全機制技術定義可提供證據及適當反應，足以在FTTI之前達成安全狀態，而且不會違反項目的安全目標。 圖10　故障反應定義 安全機制可能是硬體或軟體。故障及安全機制清單有助於定義軟硬體架構，以及執行ISO第5及第6部分的FMEDA。 各項故障偵測的反應已被定義。擬定此反應流程的目的是讓系統回到安全狀態。在使用電動車高壓變頻器的情況下，安全狀態的定義相當複雜，原因是有大量能量流入電動馬達。在部分情況下，這可能會造成不穩定狀態而無法確保系統要求的安全狀態。 因此，依據定義安全機制彙總的系統故障清單，應由故障相關的適當安全狀態適當完成。本項系統故障偵測及反應矩陣為恩智浦在系統安全啟用範圍內提供的部分交付項目。 於ISO 26262第4部分開發的不同工作產品，包括技術安全架構及需求、安全分析及系統故障矩陣，可有效協助客戶評估業者提出的參考設計，提供安全完整性證據，證明能夠達成預期的功能安全完整性。這些工作產品就是TSC滿足項目頂級安全需求的論據及理由；此外，還向客戶提供可重複使用及微調的資料，以便將參考設計個人化，配合客戶本身的應用開發工作。 安全狀態定義 安全狀態定義以及在安全狀態中要求過渡的所有故障事件，也是技術安全概念的重要一環。安全狀態機器、安全狀態定義及圖式和過渡需求，均於此技術安全概念中定義。 就變頻器模組而言，其中存在多項複雜的安全狀態。故障時的安全狀態目標，就是停止車輛推進，因此要向電動馬達提供0扭矩。最直接的解決方案，就是斷開所有變頻器的IGBT，讓電流不會再送往電動馬達。不過視駕駛狀況而定，這可能對馬達產生高度的煞車力—直接作用於車輪，尤其是在高速情況下，對駕駛而言可能相當危險。 斷開所有IGBT，並不一定是讓車輛回到安全狀態的解決方案。就以上範例而言，安全狀態可能是讓馬達的三個相位短路，因此需要斷開或關閉所有三個高側或低側IGBT。圖11概述高壓變頻器系統的三種主要安全狀態。也存在其他選項，如降低電力或由PWM確保0扭矩控制。 圖11　主動短路三個馬達相位 圖11.1　主動短路三個馬達相位 圖11.2　三相位開路 圖11.3　三相位開路 安全架構客製化符規格要求 在此部分的ISO 26262中，大部分軟硬體工作產品均以類似方式量身打造，符合軟硬體需求規格。本階段僅開發軟硬體架構、示意圖及配置。如前所述，目標並不是比照第一層提供通過認證的變頻器模組，而是建立參考設計供客戶使用，作為包含安全概念的Asample原型。這樣客戶就能在開發及原型階段增加三至六個月的時間。 硬體安全架構 為了產生Asample原型，其中假設之前識別的程序流程及工作產品，具備足夠的成熟及詳細程度，能夠建構適當的Asample硬體安全架構，並向客戶提供證據，證明已考量及滿足其關切的安全問題。 接著將依據以上假設及定義，由系統安全概念衍生硬體安全架構。其中將選擇及附加所有IC元件，以滿足有關診斷以及對安全狀態反應的安全需求。在此恩智浦提出的參考設計，是以該公司IC建構完整架構。為打造安全系統，需將建立硬體架構原型，以便透過注入系統故障的方式驗證安全概念。而在技術安全概念中定義的系統故障及安全機制將接受測試；原型則支援業者在軟體系統啟用套件中，所提供的軟體應用開發及安全機制程式庫。 硬體FMEDA搭配IC系統故障模式 安全分析是ISO 26262的重要環節。FMEDA等安全分析會在不同的系統層級執行，是業者與客戶分享的重要交付項目。由於FMEDA在IC層級的目的是執行詳盡完善的IC故障分析，因此通常過於詳細，並不適合在系統層級使用。 為了簡化詳細FMEDA的結果，需要在系統故障模式中由IC故障模型重組故障。例如閘道驅動器的所有內部邏輯故障，可利用相關的λsafe、λMPF及λRF重組為一個故障模式(FM)內部邏輯。之後這些數據就可在系統層級導入更高層級的FMEDA。 這項概念雖然簡單，但系統安全分析所需的精細度，將成為複雜度的來源。有些故障可輕易重組，但有些故障仍然必須維持低度的詳細程度。例如在電源管理IC中，負責系統點火的輸入僅由系統安全機制保護，而不是IC安全機制。在這種情況下，重要的是確保獨立研究此項針腳及故障，不要與其他區塊重組，以避免單點故障。 軟體安全架構 圖10中開發的故障反應表，是ISO 26262第4部分的一部分，強調系統需要執行的定期檢查及反應清單，其中大部分檢查程式都是在軟體執行。為了簡化使用此項安全概念，恩智浦已開發一項軟體程式庫交付項目，可實作這類檢查程式及程式庫(圖12)。 圖12　硬體安全概念 此程式庫是由多個模組組成(圖13)。 圖13　簡化的安全變頻器程式庫架構 ．檢查程式是應用程式診斷功能，會定期呼叫使用，如馬達強度檢查、扭矩監控檢查程式和電流感測器檢查程式。 ．安全管理程式負責計數故障，於超過臨界值時呼叫反應管理程式，此外也負責在初始階段期間注入故障，以驗證各項檢查程式是否正常運作。 ．安全管理程式偵測到故障後，反應定序器負責讓系統轉移至安全狀態。 ．其他必要的模組，如核心間通訊負責管理非安全核心(QM)間執行馬達控制時的資訊分享，安全核心(ASIL D)則執行安全檢查，此外，記憶體管理則負責保證核心間隔離。 本文所述的參考設計遵循ISO 26262開發程序提供技術工作產品，對客戶而言相當寶貴。這項參考設計不僅協助加速開發時間，也提供一定程度的技術安全架構，說明分配至各個故障類型的故障及安全機制。本項提案硬體架構安全完整性層級的成果證據，是本套件的部分內容。因此客戶能夠依據需求判斷、重複使用及修改內容，達成自身的概念假設。 (本文作者皆為恩智浦半導體資深研發工程師)

電子產品驗證服務商宜特與全球檢測認證業者德凱(DEKRA)已簽署合作備忘錄(MOU)，雙方將共同提升車電功能安全(Functional Safety)的驗證、輔導與認證能量。 根據MOU內容，雙方將在車用安全領域上，針對ISO 26262《道路車輛功能安全》國際標準業務上展開全面性的合作。未來欲通過ISO 26262稽核門檻，成為合格汽車電子供應鏈一員的上中下游廠商，皆可透過宜特與德凱整合服務團隊申請車電功能安全的前期輔導、可靠度驗證、乃至後續客戶送樣認可之設計驗證與稽核認證申請，提供車電功能安全一條龍式的解決方案。 汽車產業是一個不允許任何系統失效發生的產業，否則將影響使用者的人身安全。一旦發生失效，車輛廠商輕則全面召回車輛檢修，重則面臨官司賠償與商譽受損，因此ISO 26262《道路車輛功能安全》國際標準應運而生。 取得ISO 26262認證前提之一為通過可靠度測試，特別是汽車進入電子化，車用電子系統甚為複雜，涵蓋了電子、電機、軟體等各種元件及子系統，任何一個環節錯誤，將造成整體系統造成衝擊，進而衍生系統性或隨機性風險，造成功能安全失效。嚴格而論，有意進入汽車電子供應鏈的廠商，在導入ISO 26262功能安全後，屬於元件類之產品必須先通過各項汽車電子AEC-Q可靠度驗證；至於車電模組乃至於系統產品須通過ISO16750及安規及安全再用性等設計驗證。 德凱全球功能安全資深副總裁Gerhard Rieger表示，宜特在亞洲可靠度驗證領域佔有絕對優勢基礎，不僅可提供產品進行各項汽車電子環境試驗，此外，也可全面性的從流程、產品生產、開發工具、通用安全元件(SEooC)等ISO 26262規範提供顧問諮詢與輔導。此次與宜特展開全面合作，將為汽車電子功能安全展開新篇章。 宜特資深業務副總經理鄭俊彥則認為，德凱是全球汽車電子檢測認證首屈一指的領導廠商，是經過德國Dakks授權的第三方機構，具有ISO 26262發證資格，與DEKRA德凱合作布局，意味著宜特可提供有意進入汽車電子供應鏈的廠商，從產品面的AEC-Q/ISO16750可靠度測試、品質管理流程面的IATF16949/VDA6.3輔導能量，乃至ISO 26262汽車電子功能安全及後續發證，提供完整解決方案。 德凱是汽車認證領域龍頭，宜特則是電子驗證的領導者，此次雙方在ISO 26262汽車電子功能安全性市場的十字路口相會，雙強跨界合作，預期將發揮1+1大於2的綜效力量，將為雙方的企業營運，開啟嶄新的一頁。

在因應汽車設計零缺點的目標下，聯嘉光電已於近日通過德國萊因(TÜV)ISO 26262功能安全品質管理系統 ASIL B級認證，代表已提升其產品技術和品質安全到車用等級，更能符合國際車業的要求。 聯嘉光電總經理黃昉鈺表示，聯嘉光電通過ISO 26262認證後，將可提升產品功能品質及安全性，滿足或超過全球領先車廠及車燈廠對汽車功能安全更嚴苛的要求。 ISO 26262 汽車功能安全品質管理認證，不僅是生產過程的品質管控，更包含產品前端設計階段的可追溯性。不少人將ISO 26262與IATF 16949二者混為一談，其實ISO 26262是更廣的安全概念，架構在IATF 16949的基礎上，且涵蓋產品的失效分析考量。在準備認證的過程並無速成的版本可參考，須依據各個企業量身打造，需跨部門緊密合作，從開發、設計、製程建立、文件準備與驗證到通過評估，每個階段對企業來說都是很高的挑戰。 由於車聯網、自駕車、智慧道路運輸系統概念興起，越來越多的汽車電子零組件帶有感應或智慧化特色，而隨著產品功能發展越複雜精密，就更需考量到萬一產品安全失效時可能帶來的危險。台灣廠商長期依照國外買主設計要求為主，較少自主規畫經驗，因此ISO 26262對廠商最大的考驗在於自主研發思考能力，是否能層層拆解各種風險可能性，並採取必要的安全設計以符合標準，而且對外建立了品質的門檻，對內也能藉此做好產業升級準備。

Maxim宣布推出速度快、尺寸小的光探測及測距(LiDAR)IC，幫助實現更高速的汽車自動駕駛。與最接近的競爭方案相比，MAX40026高速比較器和MAX40660/MAX40661寬頻互阻放大器可提供2倍以上頻寬，在相同尺寸的單個LiDAR模組內增加32路附加通道，單模組達到128個通道 (競爭產品為96路)，進而使高速公路上的自動駕駛行駛速度提高10mph(15km/h)。 Maxim Integrated汽車核心產品事業部業務總監Veronique Rozan表示，為了給裝配完成的汽車增加下一代LiDAR測距功能，汽車工程師需要更高精度、更低功耗和更小尺寸的解決方案。該公司全面提升的LiDAR方案可支援更先進的駕駛員資訊識別技術以及更快的汽車安全性，用於下一代汽車導航系統開發。 隨著汽車自動駕駛行駛速度從35mph 提升到65mph甚至更高，LiDAR因其能夠提供精準的物體測距而在汽車感測器的融合中發揮著越來越重要的作用。與最接近的競爭產品相比，MAX40660/MAX40661互阻放大器(TIA)可提供2倍以上頻寬，在相同尺寸LiDAR模組中支援的通道數增加33%，為光接收器提供更高解析度的影像，以實現更高的自動駕駛行駛速度。與最接近的競爭方案相比，MAX40026高速比較器與MAX40660/1 TIA的總體系統尺寸減小5mm2，允許開發人員在空間受限的汽車平台中引入更多通道。上述IC符合AEC-Q100認證，滿足汽車行業嚴苛的安全要求，增強型靜電放電(ESD)保護、失效模式影響與診斷分析(FMEDA)可有效支撐系統級的ISO 26262認證。

其中如半導體商英飛凌(Infineon)便提供晶片組，適合未來數代EPS使用，包括所有主要的半導體元件，例如電源供應器、微控制器、半橋驅動器、MOSFET、CAN收發器及感測器。以上所有元件都已上市，使用者可由單一供應商的微調晶片組因應所有需求，有助於縮短開發時間及降低成本。 電子動力轉向使用電控馬達輔助轉向。感測器偵測由驅動器觸發的轉向扭矩，然後將資訊轉送至電子控制單元(ECU)，計算所需的轉向輔助，並控制伺服馬達。 為什麼要供應完整的EPS晶片組？目標是提供電子動力轉向系統所有必要的半導體元件，並進行微調使其達到高可用度，實現容錯操作或失效安全操作。結果協調運作的元件，將提供可靠的互用性及整合相容性。其中有一項重點就是保證功能安全，因此所有相關元件不僅要符合最高的汽車品質標準，也必須依據ISO 26262進行設計。 EPS展示器重安全/效能/整合 英飛凌已開發的示範板中包含晶片組元件及機械展示器，可控制6相電動馬達。圖1顯示展示器配置，圖2為示範板及所有晶片組元件。其中包括電源供應晶片(OPTIREG PMIC、TLF35584)、3相半橋驅動器(TLE9183QK)、32位元微控制器(TC23x搭配200MHz及2MB快閃記憶體)、扭矩感測器(TLE4998C8D)、馬達位置感測器(TLE5309D)及角度感測器(TLE5014D)、MOSFET(採用SS08封裝)，以及CAN FD收發器(TLE9251VLE、TLE9252VLC)。 圖1　電子動力轉向應用展示器 圖2　體積小的示範板搭配EPS晶片組 展示器的所有使用的元件都妥善搭配，並設計提供高度的功能安全、能源效率及整合密度。例如EPS系統預先指定使用安全電源供應器，並提供對應的監控及保護功能作為ASIL D功能，此外也獲得橋式驅動器支援。所有系統使用的感測器均依據ISO 26262設計，提供高測量精度。AURIX系列強大的微控制器可選擇用於效能、快閃記憶體容量、計時器架構及周邊設備。 此外，MCU具有獲得ISO 26262支援的整合式安全/維安概念、硬體備援及硬體安全性(HSM模組)。最後，MOSFET提供非常低的導通電阻(40V時RDS(ON)為0.9m)，以及良好的切換效能，採用小巧堅固的封裝(SS08或sTOLL)。 該展示器架構為6相系統，具備兩個獨立隔離的3相子系統，提供所需備援(圖3)。因此雙感測器、電源供應晶片、微控制器、半橋驅動器及MOSFET半橋，可由兩個獨立電池供電運作，實現容錯操作系統。兩個子系統互相獨立運作，每個系統提供一半扭矩至整個EPS系統。如果發生故障導致一個子系統失效，另一個子系統會按照比例接手EPS功能。 圖3　以EPS晶片組為基礎的備援展示器架構方塊圖 感測器備援系統提高車輛功能安全 為了確保車輛具備高度的功能安全，需要具有備援的系統分割，以及高效可靠的感測器。這是唯一確保高可用度的方式，藉此讓系統在元件故障時仍舊維持完整功能。因此電子動力轉向系統的感測器，不僅要非常精準，也必須確保功能安全。這裡使用的感測器可於ISO 26262系統中應用。像是英飛凌便因應感測器備援需求，將兩個感測器整合在雙感測器封裝中(圖4)。 圖4　TLE4998C3D、TLE5014D及TLE5309D等雙晶粒感測器，有助於簡單高效的備援實作 而線性霍爾感測器TLE4998C8D可確保精準偵測轉向時的扭矩，較精確地掃描線性或角度位置，並以數位方式補償溫度和機械應力，確保在整個溫度範圍及使用壽命期間，都享有良好的穩定度。通訊協定可讓控制單元傳輸測量資料，TLE4998C8D以SPC(短PWM代碼)通訊協定整合兩個可獨立編程的線性霍爾感測器IC。為了彈性使用，使用者有多種介面可供選擇(SENT、SPC、PWM僅為單晶片)。 TLE5014D角度感測器也是雙晶片版本，有助於在系統設計中輕鬆實作所需備援；感測器可在完整的溫度分布及使用壽命期間，精準地運作，是動力轉向應用的理想選擇之一。感測器會預先設定，並針對溫度預先校正，協助使用者輕鬆實作。使用者也可在此選擇不同介面 (SENT、SPC、SPI及PWM)。 雙感測器晶片TLE5309D在單一封裝結合AMR及GMR感測器，並具備診斷功能。雙GMR/AMR角度感測器可在關鍵安全馬達應用中，用於類比角度位置偵測。TLE5309D結合精確的AMR感測器，以及GMR感測器寬廣的360度量測範圍。感測器具備低傳播延遲(小於9微秒)，能夠因應電動馬達及電子動力轉向系統中有關速度及精度的要求。此外，感測器也能在70微秒內快速啟動，總耗電量也相當低。 半橋驅動器電源供應器及電壓監控 安全相關系統也需要監控電壓供應，以確保系統元件功能。電源供應及監控裝置TLF35584(圖5)可在遵循ISO 26262至ASIL D的情況下支援ECU設計。TLF35584相關的主要監控功能包括：產生供應電壓的欠電壓/過電壓監控、微控制器的外部看門狗(Watchdog)監控，以及AURIX MCU安全管理單元的外部監控。透過「安全狀態」輸出，讓系統享有不受微控制器影響的關斷路徑，就可整合監控前述監控功能的狀態；電壓監控則由自我測試(BIST)支援。 圖5　針對AURIX微控制器及感測器最佳化的TLF35584QK/QV安全電源供應器，是EPS應用的選擇之一 TLF35584透過獨立控制器輸出向控制器提供電壓，並提供監控電壓用於微控制器(3.3V或5.0V，可選擇)、類比數位轉換器(ADC)、待機控制器、多個收發器及感測器。感測器可使用兩個獨立的追蹤器輸出，是設定安全相關感測器系統的必備項目。電壓調節是以包含DC/DC預穩壓器及線性後穩壓器的架構為基礎。為了支援冷啟動相關系統，TLF35584提供選用的升壓轉換器以便穩定輸入電壓，並可擴大功能範圍達到3V電池電壓。 TLE9183QK 3相半橋驅動器IC也是依據ISO 26262開發，具有各式各樣的保護及監控功能，包括「緊急操作模式」(Limp Home)功能。功率循環可由0調整至100%，沒有限制。其他功能包括三電流感測器放大器、低靜態電流運作模式，以及相位電壓回饋功能搭配SPI可編程閾值。 安全微控制器具高度擴充與即時能力 AURIX系列的32元多核心微控制器，是依據傳動系統及汽車安全應用需求量身打造。該系列產品具備高度擴充能力(單、雙或三核心、80至300MHz、0.5至8MB快閃記憶體等等)，並以多種封裝選項供應。AURIX 系列具備高度即時能力，整合安全/維安功能，是各種汽車應用的平台選擇之一。其中包括引擎控制單元、變速箱控制、電動車與油電混合車控制，以及懸吊系統、煞車系統、電子動力轉向系統、安全氣囊與駕駛輔助系統。 該架構開發程序遵循ISO 26262規範，其設計方式能以非常高效的方式實作ASIL D安全需求。微控制器結合多核心架構，以及專業的安全技術，例如安全內部通訊匯流排，以及分散式記憶體保護系統；特殊保護機制可整合不同應用領域的軟體，讓多項應用程式及作業系統在AURIX平台順利執行，即使ASIL等級不同也沒問題。此外也整合硬體安全模組(HSM)，提供高度保護避免遭到操控。 市場追求可用度及可靠度高線控轉向 英飛凌自2019年年中開始供應完整的EPS晶片組將，此外之後也規畫提升效能、整合密度(更多功能，縮小封裝尺寸)及進一步加強EMC耐受度，搭配新型微控制器(新一代AURIX微控制器)、電源供應IC、半橋驅動器及感測器，用於未來的EPS晶片組產品。 至於未來的自動化階段方面(第三級以上)，電子轉向需求將增加。一般預期市場未來出現的轉向系統，不會採用目前在方向盤與轉向裝置之間使用的機械耦合。這種線控轉向(Steer-by-wire)概念需要更高的可用度及可靠度，該公司EPS晶片組以此為方向，企圖實現具未來性的轉向系統設計。 (本文作者Goran Keser為英飛凌科技汽車系統工程部門嵌入式軟體及演算法資深經理；Christoph Unterreiner為英飛凌科技汽車微控制器合作關係管理資深經理)

和當初的登月計畫一樣，邁向安全自駕車的路上也潛伏著許多障礙。最近多項自駕車事件引發大眾矚目，引發持負面看法的人士聲稱自駕車本身以及所處的週遭環境太過複雜，另外，其同時也還存在著太多的變數，而軟體也仍然存在著非常多的問題。對於曾參與ISO 26262車輛功能安全標準相容測試的人士而言，抱持這樣懷疑的態度是可以理解的，其立論的基礎為五家自駕車公司於2017年在矽谷進行測試，實際行駛里程除以測試過程中出現解除自駕(Disengagements)事件的次數(圖1)。2019年的數據則尚未公布。 圖1　加州五大自駕車製造商總行駛哩程除以解除自動駕駛次數的數據(2017年12月~2018年11月)。在此期間共有28家廠商在加州境內進行公開測試，自駕模式共行駛2,036,296英哩，期間共出現143,720次解除自動駕駛。 然而，自駕目標已勢在必行：完全自主駕駛的車輛即將誕生，而安全則是最優先的要素。加州汽車監理局(DMV)2018年非官方報告顯示，自駕車每英哩解除自動駕駛的次數持續降低，顯示系統的能力逐漸提升。然而這樣的趨勢還必須加快速度。 將分工協作與新思維放在第一位使得許多車廠直接和晶片廠商合作，感測器製造商開始和AI演算法開發者探討感測器融合；軟體開發商也終於和硬體供應商聯手推動軟硬體整合。舊有的合作關係逐漸改變中，而各方也積極持續發展新的合作關係，藉以優化最終設計成品的效能、功能、可靠度、成本以及安全性。 整個產業體系正尋找正確的模式，藉以建構與測試完全自駕車，進而支援包括無人駕駛計程車以及長途貨車等新興應用。在這樣的發展過程中，隨著感測器不斷改良，帶動先進駕駛輔助系統(ADAS)的進步，也促成了業界迅速推進至更高層級的自動駕駛。 這些感測器技術包括攝影機、光學偵測與測距(光達)、無線電波偵測與測距(雷達)、微機電系統(MEMS)、慣性量測單元(IMU)、超音波以及全球衛星定位系統，它們為AI系統提供了關鍵的輸入訊息，協助驅動著真正具感知能力的自駕車(圖2)。 圖2　各種不同的感測模組用來感知環境以及為ADAS提供車輛導航功能。它們通常獨立運作，為駕駛員提供警訊，協助作出應對的操駕動作 感知能力讓自駕車安全有保障 車輛的智慧程度通常以自駕車的自主能力等級(Levels Of Autonomy)來表達。其中第一級(L1)與第二級(L2)大致上屬於警示系統，到了第三級(L3)以上就具備避免意外的能力。到了第五級，自駕車就沒有配備方向盤，完全自主行駛。 在最初幾個系統世代，車輛開始配備L2功能，感測器系統已能獨立運作。這些警示系統的誤警率(False Alarm Rate)偏高，由於太煩人以致常被關掉。為打造具備完全感知能力的自駕車，車上配備感測器的數量顯著增加。此外，效能以及反應時間也大幅改善(圖3、圖4) 圖3　具完全感知能力的自駕車能感知當前與過去的歷史狀態、週遭環境的性質，以及車輛本身的狀態(位置、速度、軌跡以及機械狀況)這些都是自駕車維持安全不可或缺的要素。 圖4　自動駕駛等級以及感測器有不同的要求。 隨著車上裝載越來越多感測器，它們能進行更良好的監視，以及察覺當前的機械狀況，像是胎壓、重量變化(例如感知有一位或六位乘客上車或下車)，以及其他磨耗因素影響到煞車與操駕功能。隨著加入更多外部感測模組，車輛融入更完整的感知能力，能掌握車輛本身健康狀況以及週遭環境。 感測器模組的諸多進步讓車輛不僅能辨識環境的當前狀態，還能察知歷史紀錄。這方面要歸功於ENSCO公司航太科學與工程部門首席技術師Joseph Motola博士的研發成果。這項感測能力從感知如坑洞位置等這類簡單的路況，一直涵蓋到感知事故種類，以及在某些地區過去發生紀錄等複雜功能。 這些感知觀念在發展之際，包括感測等級(Level of Sensing)、處理、記憶體容量，以及連網等障礙使它們看似難以實現，但如今局勢已大為改觀。如今不僅系統能存取歷史資料，還能參照車輛各感測器擷取的即時資料，讓預防性以及事故規避動作的準確度能持續提高。 舉例來說，IMU能偵測忽然的顛簸或偏向，這些狀況都反映道路存在坑洞或障礙物。在以往即使收到這樣的資訊也沒有用，但如今即時連結讓這類資料能立即傳送到中央資料庫，用以警告其他車輛及早避開坑洞或障礙物。另外包括攝影機、雷達、光達，以及其他感測器的資料，也能進行相同的處置。 這類資料經過編譯、分析、融合後，讓車輛能針對所處環境做前瞻性的認知。如此一來，車輛就扮演學習機器的角色，進而做出比人類更好、更安全的決定。 感測融合發揮互補作用 車載尖端感知技術方面已累積長足的進展，業界的重點聚焦於從各種感測器收集資料，然後運用感測器融合策略盡可能發揮最大的互補作用，弭平在各種狀況下各自的弱點(圖5)。 圖5　每種感測模組都有其長處與弱點，但運用適當的感測器融合策略，即可融合各家長處並補強各自的弱點。  然而，若其要發展成真正能解決業界面臨問題的可行方案，則還有很長的一段路要走。舉例來說，攝影機能計算到橫向速度(亦即物體沿著和車輛行進路線垂直方向前進的速度)。另外，即使是最好的機器學習演算法，也需要約300毫秒的時間才能偵測橫向移動，並將誤報率維持在夠低的水準。若有一個行人在車輛前方以時速60英哩的速度前進，數毫秒的時間可能就是皮肉傷或致命重傷的差別，因此，反應時間至關重要。 300毫秒延遲是因為需要對連續視訊畫格進行Delta向量運算，而要做到可靠的偵測程序，至少需要10格以上的連續畫格，因此必須處理完一或兩個連續畫格，車輛才有時間去做反應，雷達目前已能做到這點。 同樣的，雷達在速度與物體偵測方面存在許多優勢，像是方位角(Azimuth)以及高度，還有能繞著看物體，但仍然需要提供更多時間讓車輛做出反應。面對時速400公里以上的目標，新發展的方案必須至少達到77GHz~79GHz的運行頻率。如此高的速度似乎太過，但卻是支援複雜分向車道公路的必備條件，在這類道路上車輛會以超過時速200公里的相對速度朝反方向行駛。 光達是介於攝影機與雷達兩者之間的感測器，這樣的屬性使它能運用在完全感知自駕車上並扮演關鍵元件(圖6)，但眼前，光達也仍有許多挑戰有待克服。 圖6　完全感知車輛運用先進雷達、光達以及攝影機，搭配慣性量測單元以及超音波技術，造就了360度的觀測能力。 光達持續演化成為小巧廉價的固態元件，能裝設在車身四周，支援360度全面向覆蓋；再輔以雷達這個攝影機系統，加入更高的角解析度(Angular Resolution)以及感知物體距離的深度判斷(Depth Perception)，因此也就能提供更精準的環境3D地圖。 然而，採用近紅外線(IR) (波長850~940奈米)作為光源有可能對視網膜造成傷害，因此光束輸出能量嚴格限制在905奈米波長下每脈衝上限為200奈焦(nJ)。然而若改用1,500奈米波長的短波IR，光線會被整個眼睛表面吸收，主管當局可採較寬鬆的規範，每脈衝上限設為8毫焦(mJ)。由於是905奈米光達能階的4萬倍，使得1,500奈米脈衝光達系統能提供4倍的傳輸距離。此外，1,500奈米系統對於像是陰霾、灰塵，以及懸浮微粒等環境狀況具有更高的耐受力。 1,500奈米波長光達面臨的挑戰是系統成本，主要來自光檢測器(Photodetector)技術(現今採用銦鎵砷材質元件)。發展高品質解決方案，高靈敏度、低暗電流，以及低電容。是打造1500奈米波長光達的關鍵要素。此外，隨著光達系統發展至第二與第三代，必須進行各種應用優化電路整合，才能壓低尺寸、功耗，以及整體系統成本。 除了超音波、攝影機、雷達，以及光達之外，還有其他感測模組也扮演關鍵角色，促成業界發展完全感知自主運輸載具。GPS讓車輛能在任何時刻掌握自己所在位置。不過，有一些地方無法收到GPS訊號，像是隧道以及高層建築物之間。在這些情境中，慣性量測單元就扮演了關鍵的角色。 經常被忽視的慣性量測單元，其所依賴的是不受環境條件影響維持恆定的重力，因此在推測導航(Dead Reckoning)方面相當有用。在暫時收不到GPS訊號時，推測導航採用包括車速計與慣性量測單元的資料來偵測行進的距離和方向，然後將推算出的資料疊到高解析地圖上。如此，即可讓感知力自駕車保持在正確的行進路線上，直到恢復正常GPS收訊為止。 高品質資料節省時間/提升安全 和這些感測模組一樣重要的是，若感測器本身並不可靠，而輸出的訊號並不是精準地擷取，並以高精準感測器資料的狀態饋送到上游端，那麼這些關鍵感測器的輸入資料就不可靠，輸入垃圾，輸出的也只會是垃圾。 要因應上述課題，即使最先進的類比訊號鏈也必須持續改進才能進行偵測、擷取、數位化，轉換成感測器訊號的輸出內容，因此其精準度與精密度不能隨著時間與溫度出現漂移。憑藉正確的元件以及設計的最佳策略，包括隨著溫度、相位雜訊、干擾以及其他造成不穩定現象產生的偏差漂移，其產生的難題都能大幅消弭。總而言之，高精準度/高品質資料至關重要，其攸關著機器學習以及AI處理器是否能正確訓練，以及做出正確的運行決策。然而這些程序必須在短短幾秒的時間內迅速完成。 在資料品質得到確保後，即可著手優化各種感測器融合方法以及AI演算法，以獲得正確的結果。不論AI演算法訓練到多好的程度，一旦模型完成編譯並部署到網路邊界的裝置之後，這些演算法就完全得依賴可靠、高精準的感測器資料才足以發揮效率。感測器模組、感測器融合、訊號處理以及人工智慧之間的互動，已對智慧/感知/自駕車的發展產生深遠的影響，並提高我們對於確保駕駛、乘客、以及行人安全的信心。然而倘若欠缺可靠、精準、高精密度的感測器資訊，上述目標就難以實現，而這些要素也都是安全自駕車的基礎。 和所有先進科技一樣，投入越多，就會發掘更複雜的使用情境以及衍生的問題，其複雜性將持續讓現有技術顯得力不從心，因此，必須期盼新一代感測器以及感測器融合演算法能克服這些難題。 和最初的登月計畫一樣，自駕車的整個計畫將對社會產生著長遠的顛覆性影響。從駕駛輔助到取代駕駛，不僅大幅改善了運輸的安全，生產力也會出現巨大的躍進。而這樣的未來，則有賴於感測器奠立的基礎，在此基礎之上各界才能發展所有其他元件。 (本文作者為ADI自主傳輸及安全副總裁)

由於車上有越來越多電子系統，使得整車廠更加關注電子產品的安全，其中重要的安全考量之一即是功能安全。系統一旦失效就可能為乘客的生命財產安全帶來損害。因此從整車廠、零部件廠商及半導體廠均開始陸續要求供應鍊需符合功能安全標準，並應從管理系統、開發流程、產品安全技術端開始導入。   德國萊因工業服務部專案經理張庭維表示，一般產品只要品質做好即可，但導入ISO26262後，企業就能明白不同場景應用帶來的風險有哪些，這是從品質觀點轉變為安全觀點的思維。舉例來說，電動車的動力源電池如果狀況不佳，那像是一顆行走間的不定時炸彈，若能依循功能安全標準在開發過程中評估電池在高溫、低溫場景的反應，進行驗證及測試，或是在電池管理系統內具備停止充放電或相關保護，以避免駕駛人行駛發生事故，都是屬於功能安全的範圍。   為協助業者深入了解ISO26262所能帶來的效益及如何管理應用，德國萊因與IBM、Parasoft、鈦思科技聯手於新竹舉辦相關實務研討會，詳細說明汽車電子產品開發過程中生命週期架構及各階段的要求。