遵循ISO 26262規範　車用MCU可靠度/安全性達標

以往透過機械或是液壓來達成的相關車輛控制功能，正逐漸被電子控制系統所取代，而諸如先進駕駛輔助系統(Advanced Driver Assistant System, ADAS)，危險警示系統(如車道偏移警示系統及行人偵測警示系統等)，以及危害自動閃避系統(如防追撞系統及前方危障防撞系統)等，也讓車用電子具有無限的應用發展性。

一旦汽車電子的應用從原來的娛樂影音跨入到安全相關的應用時，功能安全(Functional Safety)的議題也將隨之受到重視。除原有的車用電子企業外，原只生產消費性電子產品的企業也正積極發展車用電子相關的產品，然而安全相關的車用電子應用一直是台灣IC產業還未能跨過的一道門檻。

平心而論，台灣半導體產業具有世界級的IC設計製造能量，只要能夠開始積極培養具有可靠度與安全性設計觀念的人才，並在企業內建立安全設計的文化，是具備發展車用微控制器(MCU)、汽車對汽車(V2V)和汽車對基礎設施(V2I)等通訊網路，以及整車控制系統的潛力。

領台廠入車用電子領域　工研院資通所打頭陣

但對於才剛開始接觸高安全性車用電子應用的台灣IC廠商來說，會不知從何開始切入。因此為了幫助台灣IC廠商能順利跨入車規晶片的範疇，工研院資通所正積極進行先期的相關研發，開發車用控制晶片技術至車規等級，並以具安全性設計之馬達控制應用為平台，打造車規高可靠度晶片技術。

有別於以先切入後裝市場為思維，資通所團隊直接以提升車用晶片可靠度及功能安全為努力方向，設計應用於電動車上大量的電子控制晶片，在高溫、高雜訊的環境的條件下，提供安全、高效能的電子裝置，並利用軟、硬體整合技術，最佳化整部車的用電效率，以提供大量生產及長期穩定的優勢，藉此打入車電前裝市場。

圖1　工研院自主研發馬達控制應用平台

圖1為工研院自主研發的馬達控制應用平台，其中的微控制器晶片就是由上述團隊負責研發。第一代的微控制器晶片僅單純具備馬達控制的能力，還未加入任何安全設計的考量；此後，該團隊投入逾兩年的時間，專注於如何在此微控制器晶片上加入可靠度設計，並在部門建立高可靠度晶片設計的流程與文化，在2015年1月，由德國SGS-TUV直接認可其設計流程符合ISO 26262 Product Development Process並授予認證證書(圖2)。

圖2　ISO-26262 Product Development Process證書

ISO 26262(Road Vehicles-Functional Safety)係建立於IEC 61508標準的基礎上，以道路車輛電子及電氣系統應用產業的角度，具體規範車用電子安全系統開發到使用的安全生命週期之技術與管理要求。

該標準提供一個車輛安全生命週期，從設計、生產、運轉、維修到退役，並根據電子/電氣系統的發展類別(新開發、衍生、修改、再使用)在各生命週期階段內支持必要的活動；同時提供汽車的具體風險基礎評估，以確定風險等級--車輛安全完整性等級(ASIL)(圖3)；利用ASIL規範具體項目的必要安全設計要求，以達到可接受的安全等級；此外，還提供所需的確認措施，以確保足夠和可以接受的安全程度能夠被達成。

圖3　ASIL車輛安全完整性等級規範

由圖4所示的ISO 26262安全生命週期流程可知，功能安全受到工程作業過程(包括需求規格、設計、執行、規劃、確認、整合和驗證等)、生產、維修工作、管理流程、人力資源及人員責任等影響。

圖4　ISO 26262安全生命週期流程

由於安全問題是由共同功能導向、品質導向發展活動和工作產品相互交織而成，所以此標準涵蓋與安全有關的各項開發活動。

進軍車用MCU市場　台廠須導入ISO 26262標準

事實上，ISO 26262車用安全標準無疑是台灣欲發展車用微控制器必須要拿到的入場券，而此標準也提供台灣相關產業可依循的方針。根據工研院資通所團隊的經驗，欲導入ISO 26262安全規範，首先必須先清楚了解欲開發產品的定位。

台灣IC產業的基礎雄厚，最有可能朝微控制器晶片發展，在車用電子產業中屬於第二級供應商(Tier 2)。

然而，在ISO 26262的規範中，微控制器晶片的安全性需求(Safety Requirement)是由第一級供應商(Tier 1)根據其應用的風險評估來制定並提供給晶片開發商，後者再依照安全性需求來研發微控制器晶片。

然而目前台灣車用電子產業中缺乏第一級供應商，微控制器晶片開發商若不想依靠國外第一級供應商提供安全性需求的相關規格，ISO 26262還提供另外一條可行的開發流程，稱之為SEooC(Safety Element out of Context)，其流程圖如圖5所示。

圖5　SEooC針對微控制器晶片硬體的SEooC開發流程

在缺乏第一級供應商的情況下，ISO 26262規範允許第二級供應商自行假設其應用，並扮演第一級供應商的角色，包括產品定義、透過執行風險評估(Hazard Analysis and Risk Assessment, HARA)來決定其應用的ASIL；制定系統層級的安全目標(Safety Goal)；以及功能安全需求(Functional Safety Requirement, FSR)和功能安全技術實現需求(Technical Safety Requirement, TSR)等。

根據TSR就可以再進一步制定出硬體安全需求(Hardware Safety Requirement, HSR)，工程師可依據HSR來開發微控制器晶片，但要特別注意制定的所有安全目標及安全需求都須經過第三方單位的認證。

確保MCU符合Tier 1要求　FMEDA安全分析不容忽視

為了實現具有高可靠度/安全性的微控制器晶片，勢必要在晶片設計中加入安全機制(Safety Mechanism)來避免晶片失效時對系統造成危害，然而該加入什麼樣的安全機制？如何才能讓安全機制發揮最大的效用？不能僅憑研發工程師的主觀認定，必須透過一套有系統的分析方法來制定安全機制的設計方針。

故安全性分析(Safety Analysis)也是ISO 26262規範中非常重要的一項要求，而當微控制器晶片的ASIL要求在等級B以上時，也必須透過安全性分析來驗證是否能夠達成預期的ASIL要求。

圖6為常見的車用電子產品的V-model開發流程，由此可知安全分析主要從晶片研發初期時就必須進行，才能為安全機制的設計提供最好的依據。在ISO 26262規範中建議的安全分析方法主要有FMEA(Failure Mode and Effect Analysis)、FTA(Fault Tree Analysis)及FMEDA(Failure Mode Effect and Diagnostic Analysis)三種。

圖6　將安全性分析導入至V-model示意圖

三種分析方法都有其不同的目的，FMEA主要是用於列出MCU內元件有哪些可能的失效模式，以及這些失效模式對MCU的影響；FTA則是列出導致MCU失效的原因主要是由於哪個/些元件出錯所導致；而FMEDA主要是用來分析不同的安全機制對於各種不同的元件失效模式的有效性。

對MCU硬體設計的開發商來說，FMEDA尤其重要，因為在ISO 26262規範中，FMEDA是用來評判MCU硬體能否達到ASIL要求的主要依據之一。圖7是工研院資通所提出的高可靠度/安全性微控制器晶片的內部架構，根據FMEDA的結果，此微控制器晶片的安全性等級可達到ASIL D。

圖7　工研院資通高可靠度/安全性微控制器晶片內部架構

整體來說，為了要達成高可靠度/安全性微控制器的設計，在整個產品的設計週期中都必須將可靠度/安全性的議題納入其中。這無疑會使本來的設計週期所需花費的時間變長，也會增加額外的人力與軟硬體投資，然而因為車用微控制器晶片與人身生命安全有重大關聯，這些投資都是不可避免的。

若將來台灣的IC設計產業想擴大車用電子產品的市場，勢必要將以往只考慮成本與出貨時間的觀念加以調整。工研院資通所團隊已先為台灣車用IC產業累積相關經驗，目前正積極希望可以把這些經驗分享給業界，並提供相關協助，期望透過法人與業界的密切合作，使國內消費性電子產業也能成功跨足到車用電子產業的範疇。

(本文作者任職於工研院資通所車用電子設計應用部)