โซลูชันเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262 สำหรับยานยนต์
โซลูชันเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262 สำหรับยานยนต์
โซลูชันเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262 สำหรับยานยนต์ เป็นความสำเร็จทางวิศวกรรมที่สำคัญในอิเล็กทรอนิกส์ยานยนต์สมัยใหม่ โดยมั่นใจว่าอินเทอร์เฟซเซนเซอร์ทุกตัว วงจรปรับสภาพสัญญาณ และขั้นตอนการแปลงข้อมูลเป็นไปตามข้อกำหนดด้านความปลอดภัยในการทำงานที่เข้มงวดซึ่งอุตสาหกรรมยานยนต์ในปัจจุบันต้องการ เมื่อรถยนต์ไฟฟ้า (EV) ระบบช่วยเหลือผู้ขับขี่ขั้นสูง (ADAS) และเทคโนโลยีการขับขี่อัตโนมัติยังคงพัฒนาต่อไป ความต้องการสำหรับ โซลูชันเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262 สำหรับยานยนต์ ก็ยิ่งมีความสำคัญมากกว่าที่เคย
สารบัญ
- ความเข้าใจเกี่ยวกับ ISO 26262 และความปลอดภัยในการทำงานในอิเล็กทรอนิกส์ยานยนต์
- โครงสร้างของเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262
- ส่วนประกอบหลักในเชนอนาล็อกสัญญาณยานยนต์
- หลักการออกแบบสำหรับการปรับสภาพสัญญาณที่เป็นไปตาม ASIL
- กลยุทธ์การวินิจฉัยและการตรวจสอบ
- กรณีศึกษาการใช้งานจริง
- ความท้าทายและแนวทางแก้ไขในการออกแบบเชนสัญญาณยานยนต์
- กระบวนการรับรองและข้อกำหนดด้านเอกสาร
- แนวโน้มในอนาคตของเชนอนาล็อกสัญญาณยานยนต์
- คำถามที่พบบ่อย
1. ความเข้าใจเกี่ยวกับ ISO 26262 และความปลอดภัยในการทำงานในอิเล็กทรอนิกส์ยานยนต์
ISO 26262 คืออะไร?
ISO 26262 เป็นมาตรฐานสากลสำหรับความปลอดภัยในการทำงานของระบบไฟฟ้าและอิเล็กทรอนิกส์ในรถยนต์บนท้องถนน ซึ่งพัฒนามาจากมาตรฐาน IEC 61508 ที่กว้างขึ้นสำหรับความปลอดภัยในอุตสาหกรรม ตีพิมพ์ครั้งแรกในปี 2011 และได้รับการอัปเดตอย่างมีนัยสำคัญในปี 2018 ISO 26262 ให้กรอบการทำงานที่ครอบคลุมสำหรับการจัดการความปลอดภัยในการทำงานตลอดอายุการใช้งานของผลิตภัณฑ์ยานยนต์ทั้งหมด—ตั้งแต่การออกแบบและพัฒนาไปจนถึงการผลิต การใช้งาน และการเลิกใช้
มาตรฐานนี้กำหนด ระดับความสมบูรณ์ด้านความปลอดภัยยานยนต์ (ASIL) ตั้งแต่ ASIL A (ต่ำสุด) ถึง ASIL D (สูงสุด) โดยอิงตามปัจจัยสามประการ:
- ความรุนแรง (S): ความเสียหายที่อาจเกิดขึ้นต่อผู้โดยสารและผู้ใช้ถนน
- การเปิดรับ (E): ความน่าจะเป็นที่เหตุการณ์อันตรายจะเกิดขึ้น
- ความสามารถในการควบคุม (C): ความสามารถของผู้ขับขี่หรือผู้เข้าร่วมจราจรคนอื่นในการหลีกเลี่ยงความเสียหาย
ทำไม ISO 26262 จึงสำคัญสำหรับเชนสัญญาณอนาล็อก
เชนสัญญาณอนาล็อกสร้างระบบประสาทสัมผัสของยานพาหนะสมัยใหม่ การวัดที่สำคัญทุกอย่าง—ตั้งแต่ตำแหน่งคันเหยียบเบรกและมุมเลี้ยวไปจนถึงแรงดันแบตเตอรี่และกระแสมอเตอร์—ไหลผ่านวงจรปรับสภาพสัญญาณอนาล็อกก่อนที่จะเข้าสู่โดเมนดิจิตอล ความล้มเหลวในขั้นตอนใดขั้นตอนหนึ่งของเชนนี้อาจนำไปสู่ผลที่หายนะ
สถานการณ์ที่ 1: ระบบจัดการแบตเตอรี่ (BMS) สำหรับรถยนต์ไฟฟ้า ในแพ็คแบตเตอรี่แรงดันสูงของ EV การตรวจสอบแรงดันเซลล์ต้องใช้การวัดอนาล็อกที่แม่นยำด้วยความละเอียดระดับไมโครโวลต์ ข้อบกพร่องที่ไม่ได้รับการตรวจพบในเชนสัญญาณอาจนำไปสู่การชาร์จเกิน การระเบิดความร้อน หรือแม้แต่ไฟไหม้แบตเตอรี่ BMS ต้องบรรลุการปฏิบัติตาม ASIL C หรือ ASIL D ซึ่งหมายความว่าอินเทอร์เฟซอนาล็อกต้องมีเส้นทางการวัดสำรอง การวินิจฉัยอย่างต่อเนื่อง และกลไกความปลอดภัย
สถานการณ์ที่ 2: พวงมาลัยพลังไฟฟ้า (EPS) เซนเซอร์แรงบิดในระบบ EPS วัดอินพุตของผู้ขับขี่และแรงตอบกลับจากถนน สัญญาณที่เสียหายอาจทำให้เกิดการช่วยเหลือการเลี้ยวหรือแรงต้านทานที่ไม่คาดคิด ซึ่งอาจนำไปสู่การสูญเสียการควบคุมยานพาหนะ ระบบ EPS มักต้องการการปฏิบัติตาม ASIL D ซึ่งต้องการระดับการครอบคลุมการวินิจฉัยสูงสุดในเชนสัญญาณอนาล็อก
2. โครงสร้างของเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262
ภาพรวมสถาปัตยกรรมเชนสัญญาณ
เซนเซอร์ → การป้องกัน → การขยายสัญญาณ → การกรอง → ADC → การประมวลผลดิจิตอล
↓ ↓ ↓ ↓ ↓ ↓
สัญญาณ การป้องกัน การปรับสภาพ การลด การแปลง การตรวจสอบ
ดิบ ชั่วคราว สัญญาณ สัญญาณรบกวน เป็นดิจิตอล ความปลอดภัยขั้นตอนการออกแบบ
ขั้นตอนที่ 1: อินเทอร์เฟซเซนเซอร์และการป้องกัน
สภาพแวดล้อมยานยนต์มีสภาพที่รุนแรงรวมถึง:
- การรบกวนทางแม่เหล็กไฟฟ้า (EMI) จากระบบจุดระเบิด มอเตอร์ และแหล่งจ่ายไฟสวิตชิ่ง
- การปล่อยประจุไฟฟ้าคงที่ (ESD) สูงสุด 25kV ระหว่างการประกอบและบำรุงรักษายานพาหนะ
- ปรากฏการณ์ชั่วคราวจากการดัมพ์โหลด สูงสุด 100V เป็นเวลาหลายร้อยมิลลิวินาที
- การเชื่อมต่อขั้วตรงกันข้าม ระหว่างการติดตั้งแบตเตอรี่
ขั้นตอนที่ 2: การปรับสภาพและขยายสัญญาณ
เซนเซอร์ยานยนต์หลายตัวสร้างสัญญาณเอาต์พุตขนาดเล็ก:
- สะพานเกจวัดความเครียด: 1-20mV เต็มสเกล
- thermocouple: 40μV/°C
- ตัวต้านทานตรวจจับกระแส: 10-100mV ที่กระแส额定
เกณฑ์การเลือกส่วนประกอบสำหรับการปฏิบัติตาม ASIL:
| พารามิเตอร์ | ข้อกำหนด ASIL A/B | ข้อกำหนด ASIL C/D |
|---|---|---|
| แรงดันออฟเซ็ตอินพุต | <500μV | <100μV |
| การเลื่อนออฟเซ็ต | <5μV/°C | <1μV/°C |
| ข้อผิดพลาดของการขยาย | <0.5% | <0.1% |
| CMRR | >80dB | >100dB |
| PSRR | >80dB | >100dB |
ขั้นตอนที่ 3: การกรองป้องกันการบิดเบือนและการกรองสัญญาณรบกวน
ก่อนการแปลงอนาล็อกเป็นดิจิตอล สัญญาณต้องได้รับการกรองเพื่อป้องกันการบิดเบือนและลดสัญญาณรบกวนแบบแบนด์วิดธ์กว้าง
ขั้นตอนที่ 4: การแปลงอนาล็อกเป็นดิจิตอล
| พารามิเตอร์ | ระบบ ASIL B ทั่วไป | ระบบ ASIL D ทั่วไป |
|---|---|---|
| ความละเอียด | 12-14 บิต | 16-24 บิต |
| อัตราการสุ่มตัวอย่าง | 1-10kSPS | 10-100kSPS |
| ความแม่นยำของแหล่งอ้างอิง | ±0.5% | ±0.1% |
3. ส่วนประกอบหลักในเชนอนาล็อกสัญญาณยานยนต์
แอมพลิฟายเออร์การดำเนินการที่มีความสามารถ ASIL
Texas Instruments SafeTI™ Amplifiers
- คู่มือความปลอดภัยที่ครอบคลุมพร้อมการวิเคราะห์ FMEDA
- ความเข้ากันได้แบบพินต่อพินระหว่างระดับอุณหภูมิ
- คุณสมบัติตรงตาม AEC-Q100 สำหรับความน่าเชื่อถือของยานยนต์
ผลิตภัณฑ์หลัก:
- OPAx189: แอมพลิฟายเออร์ zero-drift แบบมีเสียงต่ำด้วยแบนด์วิดธ์ 14MHz
- INAx333: แอมพลิฟายเออร์เครื่องมือวัดที่แม่นยำสำหรับอินเทอร์เฟซเซนเซอร์
- PGAx112: แอมพลิฟายเออร์ขยายที่ปรับโปรแกรมได้พร้อมการควบคุม SPI และการตอบสนองการวินิจฉัย
Analog Devices Functional Safety Program
- คู่มือความปลอดภัยโดยละเอียดพร้อมการวิเคราะห์โหมดความล้มเหลว
- การคำนวณอัตรา FIT (ความล้มเหลวต่อเวลา)
- การวิเคราะห์ FMEA ขาพิน (การวิเคราะห์โหมดและผลกระทบของความล้มเหลว)
Infineon PRO-SIL™ Products
- ความสามารถในการทดสอบตนเองแบบบูรณาการ (BIST)
- การตรวจจับความล้มเหลวและรายงานขาพิน
- เอกสารการปฏิบัติตาม ASIL ที่ได้รับการรับรองจาก TÜV
ตัวแปลงข้อมูลระดับยานยนต์
Renesas RA Family ด้วยคุณสมบัติด้านความปลอดภัย
- การกระตุ้นและการวัดเซนเซอร์แบบบูรณาการ
- การชดเชยอุณหภูมิแบบบูรณาการ
- ฟังก์ชันการวินิจฉัยบนฮาร์ดแวร์
Microchip Functional Safety ADCs
- dsPIC33 DSCs ด้วย ADC อิสระคู่สำหรับความซ้ำซ้อน
- คู่มือความปลอดภัยที่ครอบคลุมและรายงาน FMEDA
NXP Safety-Related ADC Solutions
- คุณสมบัติการปรับเทียบและการทดสอบตนเอง
- การตรวจสอบผลลัพธ์และตรรกะการเปรียบเทียบ
4. หลักการออกแบบสำหรับการปรับสภาพสัญญาณที่เป็นไปตาม ASIL
แนวทางปฏิบัติที่ดีที่สุดในการออกแบบฮาร์ดแวร์
การพิจารณาเลย์เอาต์ PCB
- ความสมบูรณ์ของสัญญาณ: เส้นทางสัญญาณอนาล็อกให้ห่างจากแหล่งจ่ายไฟสวิตชิ่งและเส้นทางนาฬิกาดิจิตอลความเร็วสูง
- การแยกและการแยก: รักษาระยะห่างและระยะครีปที่เหมาะสมสำหรับแรงดันไฟฟ้าที่ทำงาน
- การจัดการความร้อน: พิจารณาการทำความร้อนด้วยตนเองของส่วนประกอบที่แม่นยำ
- ความสามารถในการทดสอบ: รวมจุดทดสอบสำหรับสัญญาณที่สำคัญ
การลดกำลังของส่วนประกอบ
ปฏิบัติตามปัจจัยการลดกำลังที่เหมาะสมเพื่อให้แน่ใจถึงความน่าเชื่อถือในระยะยาว:
- แรงดันไฟฟ้า: ใช้ส่วนประกอบที่มีค่าประเมิน 1.5x ของแรงดันสูงสุดที่คาดหวัง
- กระแส: ใช้ตัวต้านทานและตัวเหนี่ยวนำที่ 70% หรือน้อยกว่าของกระแส额定
- อุณหภูมิ: ตรวจสอบให้แน่ใจว่าอุณหภูมิข้อต่อต่ำกว่าค่าสูงสุด 20-30°C
- กำลัง: ไม่ใช้กำลังมากกว่า 50% ของกำลัง额定 ในการดำเนินการต่อเนื่อง
กลไกความปลอดภัยของซอฟต์แวร์
// ตัวอย่าง: การตรวจสอบผลลัพธ์ ADC พร้อมการตรวจสอบความเป็นไปได้
bool validate_adc_result(uint16_t raw_value, uint16_t expected_range_min, uint16_t expected_range_max) {
// ตรวจสอบความล้มเหลวแบบติด
if (raw_value == 0x0000 || raw_value == 0xFFFF) {
report_fault(FAULT_ADC_STUCK_AT);
return false;
}
// ตรวจสอบค่าที่อยู่นอกช่วง
if (raw_value < expected_range_min || raw_value > expected_range_max) {
report_fault(FAULT_ADC_OUT_OF_RANGE);
return false;
}
// ตรวจสอบอัตราการเปลี่ยนแปลงที่ไม่คาดคิด
uint16_t delta = abs(raw_value - previous_value);
if (delta > MAX_PLAUSIBLE_DELTA) {
report_fault(FAULT_ADC_RATE_OF_CHANGE);
return false;
}
return true;
}การวิเคราะห์โหมดความล้มเหลว (FMEDA)
| ส่วนประกอบ | โหมดความล้มเหลว | อัตราความล้มเหลว (FIT) | กลไกความปลอดภัย | การครอบคลุมการวินิจฉัย | FIT ที่เหลือ |
|---|---|---|---|---|---|
| แอมพลิฟายเออร์ | เอาต์พุตติดสูง | 50 | การตรวจสอบแรงดันเอาต์พุต | 99% | 0.5 |
| แอมพลิฟายเออร์ | เอาต์พุตติดต่ำ | 50 | การตรวจสอบแรงดันเอาต์พุต | 99% | 0.5 |
| แอมพลิฟายเออร์ | การเลื่อนของการขยาย | 20 | การเปรียบเทียบช่องอ้างอิง | 90% | 2.0 |
| ADC | ข้อผิดพลาดในการแปลง | 30 | การตรวจสอบการแปลงซ้ำ | 95% | 1.5 |
| แหล่งอ้างอิง | การเลื่อนของแรงดัน | 40 | การเปรียบเทียบแหล่งอ้างอิงอิสระ | 95% | 2.0 |
5. กลยุทธ์การวินิจฉัยและการตรวจสอบ
เทคนิคการทดสอบตนเองแบบบูรณาการ (BIST)
การทดสอบตนเองเมื่อเปิดเครื่อง (POST)
ทุกครั้งที่ยานพาหนะเปิดเครื่อง เชนสัญญาณอนาล็อกควรดำเนินการทดสอบตนเองที่ครอบคลุม:
- การทดสอบแรงดันอ้างอิง: เชื่อมต่อ ADC กับแรงดันอ้างอิงที่รู้จักและยืนยันผลลัพธ์การแปลงอยู่ในช่วงที่ยอมรับได้
- การทดสอบช่องอินพุต: ใช้แรงดันทดสอบผ่านสวิตช์อนาล็อกเพื่อยืนยันความสมบูรณ์ของเส้นทางสัญญาณ
- การทดสอบลูปแบ็คแอมพลิฟายเออร์: สร้างเส้นทางลูปแบ็คเพื่อยืนยันเชนสัญญาณทั้งหมด
- การทดสอบหน่วยความจำ: ยืนยันข้อมูลการปรับเทียบและรีจิสเตอร์การกำหนดค่าโดยใช้ CRC หรือการตรวจสอบผลรวม
สถาปัตยกรรมความซ้ำซ้อน
ความซ้ำซ้อนช่องคู่
เซนเซอร์ A → แอมพลิฟายเออร์ A → ADC A → ตัวประมวลผล A
เซนเซอร์ B → แอมพลิฟายเออร์ B → ADC B → ตัวประมวลผล B
↓
ตรรกะการเปรียบเทียบและการลงคะแนนเชนสัญญาณอิสระสองช่องประมวลผลอินพุตเซนเซอร์เดียวกัน ผลลัพธ์ถูกเปรียบเทียบและความแตกต่างใดๆ จะกระตุ้นการตอบสนองต่อความล้มเหลว
ความซ้ำซ้อนโมดูลสามเท่า (TMR)
สามช่องอิสระด้วยตรรกะการลงคะแนนให้:
- การปกปิดความล้มเหลวของช่องเดียวโดยอัตโนมัติ
- การดำเนินงานต่อเนื่องโดยไม่มีการลดประสิทธิภาพ
- การครอบคลุมการวินิจฉัย >99.9%
6. กรณีศึกษาการใช้งานจริง
กรณีศึกษาที่ 1: ระบบจัดการแบตเตอรี่สำหรับรถยนต์ไฟฟ้า
ข้อกำหนดของแอปพลิเคชัน:
- ตรวจสอบเซลล์ลิเธียมไอออน 96 เซลล์ที่เชื่อมต่อแบบอนุกรม
- ความแม่นยำในการวัดแรงดัน: ±5mV
- การวัดอุณหภูมิที่ 32 ตำแหน่ง
- ต้องการการปฏิบัติตาม ASIL C
สถาปัตยกรรมเชนสัญญาณ:
ขั้วเซลล์ → ตัวแบ่งแรงดัน → แอมพลิฟายเออร์แยก → ADC → การสื่อสารแยก
↓ ↓ ↓ ↓ ↓
แรงดันสูง การลด การแยกกัลวานิก 16-bit SPI ผ่าน
(สูงสุด 400V) (อัตราส่วน 100:1) (เสริม) SAR ADC อุปสรรคการแยกกลไกความปลอดภัยที่ใช้:
- การวัดแรงดันสำรอง: แรงดันเซลล์แต่ละเซลล์ถูกวัดโดย ADC อิสระสองตัวบนวงจรรวมแยกกัน
- การตรวจสอบความเป็นไปได้: แรงดันเซลล์ถูกเปรียบเทียบกับแรงดันแพ็ค (ผลรวมของเซลล์ทั้งหมด)
- การตรวจสอบอุณหภูมิข้าม: เซนเซอร์อุณหภูมิที่อยู่ติดกันควรอ่านค่าที่คล้ายกัน
- ความสมบูรณ์ของการสื่อสาร: การป้องกัน CRC บนข้อมูลที่ส่งผ่านอุปสรรคการแยกทั้งหมด
ผลลัพธ์:
- บรรลุการปฏิบัติตาม ASIL C ด้วยการครอบคลุมความล้มเหลวจุดเดียว >99%
- การครอบคลุมการวินิจฉัยสำหรับความล้มเหลวที่ซ่อนอยู่ >90%
- ระบบผ่านการประเมินความปลอดภัยในการทำงานของ TÜV
กรณีศึกษาที่ 2: เซนเซอร์แรงบิดพวงมาลัยพลังไฟฟ้า
ข้อกำหนดของแอปพลิเคชัน:
- วัดแรงบิดการเลี้ยวจาก -10Nm ถึง +10Nm
- ความละเอียด: 0.01Nm
- แบนด์วิดธ์: 2kHz
- ต้องการการปฏิบัติตาม ASIL D
การออกแบบเชนสัญญาณ:
Resolver A → RDC A → ตัวประมวลผล A → ตรรกะการลงคะแนน → ตัวควบคุมมอเตอร์
Resolver B → RDC B → ตัวประมวลผล B → ↑
Resolver C → RDC C → ตัวประมวลผล C → ↓Resolver อิสระสามตัววัดการบิดของแกนบิดเดียวกัน RDC (ตัวแปลง Resolver-to-Digital) ให้ข้อมูลตำแหน่งแบบสัมบูรณ์ด้วยคุณสมบัติการวินิจฉัยแบบบูรณาการ
คุณสมบัติความปลอดภัยหลัก:
- เทคโนโลยีหลากหลาย: Resolver สามตัวแยกกันด้วยขดลวดอิสระลดความเสี่ยงจากความล้มเหลวที่มีสาเหตุร่วมกัน
- การวินิจฉัย RDC: แต่ละ RDC ตรวจสอบแอมพลิจูดสัญญาณ ความสัมพันธ์เฟส และประสิทธิภาพของลูปติดตาม
- การลงคะแนนของตัวประมวลผล: ตัวประมวลผลอิสระสามตัวดำเนินการอัลกอริทึมเดียวกันและลงคะแนนค่าแรงบิด
- การป้องกันตั้งแต่ต้นจนจบ: ค่าแรงบิดที่สำคัญต่อความปลอดภัยรวมถึง CRC และตัวนับลำดับจากเซนเซอร์ไปยังตัวควบคุมมอเตอร์
กรณีศึกษาที่ 3: เซนเซอร์ตำแหน่งคันเหยียบเบรก Brake-By-Wire
ข้อกำหนดของแอปพลิเคชัน:
- การวัดตำแหน่งคันเหยียบสำรองคู่
- ความละเอียดตำแหน่ง: 0.1mm
- เวลาตอบสนอง: <5ms จากการเคลื่อนไหวของคันเหยียบไปยังคำสั่งตัวกระตุ้น
- การปฏิบัติตาม ASIL D
แนวทางการวินิจฉัยที่เป็นนวัตกรรม:
- การเข้ารหัสเอาต์พุตผกผัน: เซนเซอร์ A ใช้ 0-5V เพิ่มขึ้นตามการกดคันเหยียบ ในขณะที่เซนเซอร์ B ใช้ 5-0V ลดลง
- การตรวจสอบผลรวม: ผลรวมของแรงดันเซนเซอร์ A และเซนเซอร์ B ควรเท่ากับประมาณ 5V เสมอ
- การตรวจสอบข้าม: แต่ละ MCU ตรวจสอบเซนเซอร์ทั้งสองและเปรียบเทียบผลลัพธ์
- ว็อทช์ด็อกฮาร์ดแวร์: วงจรว็อทช์ด็อกอิสระตรวจสอบ MCU ทั้งสอง
7. ความท้าทายและแนวทางแก้ไขในการออกแบบเชนสัญญาณยานยนต์
ความท้าทายที่ 1: ความเข้ากันได้ทางแม่เหล็กไฟฟ้า (EMC)
แนวทางแก้ไข:
- การป้องกันและการกรอง: ห่อหุ้มวงจรอนาล็อกที่ละเอียดอ่อนในตู้ป้องกันพร้อมตัวกรองผ่านสำหรับสาย I/O ทั้งหมด
- การส่งสัญญาณแบบดิฟเฟอเรนเชียล: ใช้สัญญาณอนาล็อกแบบดิฟเฟอเรนเชียลด้วยการปฏิเสธโหมดร่วมที่ดี
- การปรับแต่งเลย์เอาต์: วางส่วนประกอบอนาล็อกที่ละเอียดอ่อนให้ห่างจากตัวควบคุมสวิตชิ่งและเส้นทางดิจิตอลความเร็วสูง
- การเลือกส่วนประกอบ: เลือกแอมพลิฟายเออร์และ ADC ด้วยข้อกำหนด PSRR และ CMRR สูง
ความท้าทายที่ 2: อุณหภูมิสุดขั้ว
แนวทางแก้ไข:
- แอมพลิฟายเออร์ Zero-Drift: ใช้แอมพลิฟายเออร์แบบเสถียรด้วย chopper หรือ auto-zero เพื่อกำจัดการเลื่อนออฟเซ็ต
- การชดเชยอุณหภูมิ: ใช้การชดเชยแบบซอฟต์แวร์โดยใช้เซนเซอร์อุณหภูมิและข้อมูลการปรับเทียบ
- การออกแบบความร้อน: ใช้ via ความร้อน ฮีตซิงก์ และการวางส่วนประกอบอย่างระมัดระวังเพื่อจัดการอุณหภูมิข้อต่อ
- การเลือกวัสดุ: ใช้ตัวเก็บประจุเซรามิก C0G/NP0 สำหรับแอปพลิเคชันการจับเวลาและการกรองที่สำคัญ
ความท้าทายที่ 3: ความน่าเชื่อถือในระยะยาว
แนวทางแก้ไข:
- การลดกำลัง: ใช้ส่วนประกอบทั้งหมดต่ำกว่าค่าสูงสุดมาก
- การเคลือบ Conformal: ใช้การเคลือบป้องกันกับ PCA เพื่อป้องกันการซึมของความชื้นและการกัดกร่อน
- การสำรองการออกแบบ: รวมการสำรองประสิทธิภาพในการออกแบบ
- การวินิจฉัยเชิงทำนาย: ตรวจสอบพารามิเตอร์สำคัญตามเวลาเพื่อตรวจพบแนวโน้มการเสื่อมสภาพ
ความท้าทายที่ 4: การเพิ่มประสิทธิภาพต้นทุน
แนวทางแก้ไข:
- โซลูชันแบบบูรณาการ: ใช้ ASSP (ผลิตภัณฑ์มาตรฐานเฉพาะทาง) ที่รวมฟังก์ชั่นหลายอย่างด้วยการวินิจฉัยแบบบูรณาการ
- สถาปัตยกรรมที่สามารถขยายได้: ออกแบบเชนสัญญาณแบบโมดูลาร์ที่สามารถกำหนดค่าสำหรับระดับ ASIL ที่แตกต่างกัน
- การวินิจฉัยซอฟต์แวร์: ใช้ฟังก์ชันการวินิจฉัยในซอฟต์แวร์เมื่อเป็นไปได้แทนการเพิ่มฮาร์ดแวร์
- การนำการออกแบบกลับมาใช้ใหม่: พัฒนาบล็อกอาคารเชนสัญญาณมาตรฐานที่สามารถนำกลับมาใช้ใหม่ได้ในหลายแอปพลิเคชัน
8. กระบวนการรับรองและข้อกำหนดด้านเอกสาร
ข้อกำหนดด้านเอกสาร
แผนความปลอดภัย
- ขอบเขตของกิจกรรมด้านความปลอดภัย
- บทบาทและความรับผิดชอบของสมาชิกในทีม
- กำหนดการสำหรับกิจกรรมการพัฒนาที่เกี่ยวข้องกับความปลอดภัย
- อินเทอร์เฟซกับโครงการที่เกี่ยวข้องกับความปลอดภัยอื่นๆ
แนวคิดความปลอดภัยทางเทคนิค
- สถาปัตยกรรมระบบและกลไกความปลอดภัย
- การจัดสรรข้อกำหนดด้านความปลอดภัยให้กับฮาร์ดแวร์และซอฟต์แวร์
- กลยุทธ์การตรวจจับและตอบสนองต่อความล้มเหลว
- การอ้างสิทธิ์ในการครอบคลุมการวินิจฉัย
การวิเคราะห์ความปลอดภัยของฮาร์ดแวร์
- FMEDA: การวิเคราะห์เชิงปริมาณของอัตราความล้มเหลวและการครอบคลุมการวินิจฉัย
- FTA (การวิเคราะห์ต้นไม้ความล้มเหลว): การวิเคราะห์จากบนลงล่างว่าความล้มเหลวสามารถนำไปสู่เหตุการณ์อันตรายได้อย่างไร
- FMEA (การวิเคราะห์โหมดและผลกระทบของความล้มเหลว): การวิเคราะห์จากล่างขึ้นบนของโหมดความล้มเหลวของส่วนประกอบ
การประเมินบุคคลที่สาม
TÜV Rheinland
- การตรวจสอบเอกสารเพื่อความสมบูรณ์และความถูกต้อง
- การตรวจสอบการออกแบบเพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัย
- การเป็นพยานในการทดสอบสำหรับกิจกรรมการตรวจสอบความปลอดภัย
- การตรวจสอบการรับรองและการออกใบรับรอง
SGS-TÜV Saar
- การประเมินล่วงหน้าเพื่อระบุช่องโหว่ก่อนการประเมินอย่างเป็นทางการ
- การประเมินอย่างเป็นทางการพร้อมการตรวจสอบในสถานที่
- การตรวจสอบการเฝ้าระวังเพื่อการปฏิบัติตามอย่างต่อเนื่อง
9. แนวโน้มในอนาคตของเชนอนาล็อกสัญญาณยานยนต์
แนวโน้มที่ 1: การบูรณาการและการย่อขนาด
โซลูชัน System-in-Package (SiP) ไดหลายตัว (แอมพลิฟายเออร์ ADC แหล่งอ้างอิง MCU) ในหนึ่งแพ็คเกจลดขนาดและปรับปรุงความน่าเชื่อถือ
การรวมเซนเซอร์ รวมเซนเซอร์หลายประเภท (อุณหภูมิ ความดัน ความเร่ง) ในหนึ่งแพ็คเกจด้วยการปรับสภาพสัญญาณแบบบูรณาการ
แนวโน้มที่ 2: ความละเอียดและความเร็วที่สูงขึ้น
ADC 24-bit สำหรับแอปพลิเคชันที่แม่นยำ การจัดการแบตเตอรี่และระบบกำหนดตำแหน่งที่แม่นยำได้รับประโยชน์จาก ADC ที่มีความละเอียดสูงขึ้น
ตัวแปลงการสุ่มตัวอย่างความเร็วสูง ADC ที่สุ่มตัวอย่างที่ 1MSPS หรือสูงกว่าช่วยให้ลูปควบคุมเร็วขึ้นและตรวจพบความล้มเหลวได้เร็วขึ้น
แนวโน้มที่ 3: เซนเซอร์อัจฉริยะด้วยการประมวลผลที่ขอบ
ตัวประมวลผลฝังตัวในโมดูลเซนเซอร์
- การประมวลผลล่วงหน้าและการแยกคุณสมบัติ
- การดำเนินการวินิจฉัยในพื้นที่
- การสื่อสารข้อมูลที่ประมวลผลแล้วแทนที่ตัวอย่างดิบ
การวินิจฉัยที่เสริมด้วย AI
- ตรวจจับรูปแบบการเสื่อมสภาพที่ละเอียดอ่อนก่อนความล้มเหลวที่รุนแรง
- ปรับการปรับเทียบตามสภาวะการทำงาน
- ปรับแต่งการบริโภคพลังงานตามสถานะยานพาหนะ
แนวโน้มที่ 4: การมาตรฐานและสถาปัตยกรรมเปิด
SEooC (องค์ประกอบความปลอดภัยนอกบริบท) พัฒนาส่วนประกอบเชนสัญญาณเป็น SEooC ช่วยให้สามารถนำกลับมาใช้ใหม่ได้ในหลายแอปพลิเคชันโดยไม่ต้องรับรองใหม่
การรวม AUTOSAR สถาปัตยกรรมซอฟต์แวร์มาตรฐานช่วยให้สามารถผสานรวมแบบ plug-and-play ของส่วนประกอบเชนสัญญาณได้
แนวโน้มที่ 5: การพิจารณาด้านความปลอดภัยทางไซเบอร์
การบูตอย่างปลอดภัยและการตรวจสอบสิทธิ์ ตรวจสอบว่าเฟิร์มแวร์เชนสัญญาณและข้อมูลการปรับเทียบไม่สามารถถูกแก้ไขได้
การตรวจจับการบุกรุก ตรวจสอบค่าการอ่านเซนเซอร์ที่ผิดปกติซึ่งอาจบ่งชี้ถึงการโจมตีทางไซเบอร์
10. คำถามที่พบบ่อย
ความแตกต่างระหว่าง ASIL A และ ASIL D ในการออกแบบเชนสัญญาณอนาล็อกคืออะไร?
ASIL A แสดงถึงระดับความสมบูรณ์ด้านความปลอดภัยยานยนต์ต่ำสุด ต้องการมาตรการความปลอดภัยขั้นพื้นฐานและการครอบคลุมการวินิจฉัยที่ค่อนข้างต่ำ (โดยทั่วไป 60-70%) ASIL D แสดงถึงระดับสูงสุด ต้องการความซ้ำซ้อนอย่างครอบคลุม การวินิจฉัยที่กว้างขวาง และการครอบคลุมความล้มเหลวจุดเดียว >99%
ฉันสามารถใช้ส่วนประกอบระดับเชิงพาณิชย์ในเชนสัญญาณยานยนต์ได้หรือไม่?
ส่วนประกอบระดับเชิงพาณิชย์โดยทั่วไปไม่เหมาะสมสำหรับแอปพลิเคชันยานยนต์เนื่องจาก:
- การจัดอันดับอุณหภูมิไม่เพียงพอ (โดยทั่วไป 0°C ถึง +70°C เทียบกับยานยนต์ -40°C ถึง +125°C)
- ขาดคุณสมบัติตรงตาม AEC-Q100 สำหรับความน่าเชื่อถือ
- ขาดเอกสารความปลอดภัยในการทำงาน (FMEDA คู่มือความปลอดภัย)
ฉันจะคำนวณการครอบคลุมการวินิจฉัยสำหรับเชนสัญญาณของฉันได้อย่างไร?
การครอบคลุมการวินิจฉัยคำนวณเป็นอัตราส่วนของความล้มเหลวที่เป็นอันตรายที่ตรวจพบต่อความล้มเหลวที่เป็นอันตรายทั้งหมด แสดงเป็นเปอร์เซ็นต์:
การครอบคลุมการวินิจฉัย = (ความล้มเหลวที่เป็นอันตรายที่ตรวจพบ / ความล้มเหลวที่เป็นอันตรายทั้งหมด) × 100%ต้นทุนการพัฒนาโดยทั่วไปเพิ่มขึ้นเท่าใดสำหรับ ASIL D เทียบกับ ASIL B?
การบรรลุการปฏิบัติตาม ASIL D โดยทั่วไปเพิ่มต้นทุนการพัฒนา 3-5 เท่าเมื่อเทียบกับ ASIL B เนื่องจาก:
- ส่วนประกอบฮาร์ดแวร์สำรอง (ต้นทุนส่วนประกอบ 2-3 เท่า)
- ความพยายามทางวิศวกรรมเพิ่มเติมสำหรับการวิเคราะห์ความปลอดภัยและเอกสาร
- ต้นทุนการรับรองบุคคลที่สาม
- ข้อกำหนดการตรวจสอบและการทดสอบที่ขยายออกไป
ฉันจะจัดการกับความล้มเหลวของเซนเซอร์ในระบบที่เป็นไปตาม ASIL ได้อย่างไร?
สำหรับแอปพลิเคชัน ASIL A/B:
- ตรวจจับค่าเซนเซอร์ที่อยู่นอกช่วงหรือไม่สมจริง
- ตั้งค่ารหัสความล้มเหลวและเปิดไฟเตือน
- ใช้ค่าเริ่มต้นหรือโหมด limp-home
สำหรับแอปพลิเคชัน ASIL C/D:
- ใช้เซนเซอร์สำรองด้วยตรรกะการลงคะแนน
- ใช้การรวมเซนเซอร์เพื่อตรวจสอบข้ามการวัดที่เกี่ยวข้อง
- เปลี่ยนเป็นสถานะปลอดภัยหากความซ้ำซ้อนสูญหาย
ซอฟต์แวร์มีบทบาทอย่างไรในความปลอดภัยของเชนสัญญาณอนาล็อก?
ซอฟต์แวร์เป็นสิ่งจำเป็นสำหรับการบรรลุระดับ ASIL สูงในเชนสัญญาณอนาล็อก:
การดำเนินการวินิจฉัย: ซอฟต์แวร์ใช้กิจวัตร BIST การตรวจสอบความเป็นไปได้ และอัลกอริทึมการตรวจจับความล้มเหลว
การตอบสนองต่อความล้มเหลว: ซอฟต์แวร์กำหนดการตอบสนองที่เหมาะสมต่อความล้มเหลวที่ตรวจพบ
การปรับเทียบและการชดเชย: ซอฟต์แวร์ใช้การชดเชยอุณหภูมิ การทำให้เป็นเชิงเส้น และการปรับเทียบ
การสื่อสาร: ซอฟต์แวร์จัดการการสื่อสารที่สำคัญต่อความปลอดภัยระหว่างส่วนประกอบเชนสัญญาณและตัวควบคุมระบบ
ฉันควรทำการทดสอบตนเองบนเชนสัญญาณอนาล็อกของฉันบ่อยแค่ไหน?
การทดสอบตนเองเมื่อเปิดเครื่อง (POST): ดำเนินการทดสอบที่ครอบคลุมทุกครั้งที่เริ่มต้นยานพาหนะ
การตรวจสอบอย่างต่อเนื่อง: เรียกใช้การวินิจฉัยที่ไม่รุกล้ำ (การตรวจสอบอ้างอิง การตรวจสอบความเป็นไปได้) อย่างต่อเนื่องระหว่างการดำเนินงาน
BIST เป็นระยะ: ดำเนินการทดสอบที่ครอบคลุมมากขึ้นในช่วงเวลาที่ว่างหรือในช่วงเวลาที่กำหนด
ฉันสามารถอัปเกรดการออกแบบเชนสัญญาณที่มีอยู่ให้เป็นไปตาม ASIL ที่สูงขึ้นได้หรือไม่?
ASIL A เป็น ASIL B: มักสามารถบรรลุได้ผ่านการวินิจฉัยซอฟต์แวร์ที่ได้รับการปรับปรุงและการทดสอบเพิ่มเติมโดยไม่ต้องเปลี่ยนแปลงฮาร์ดแวร์
ASIL B เป็น ASIL C: อาจต้องการความซ้ำซ้อนของฮาร์ดแวร์เพิ่มเติมหรือการวินิจฉัยที่ซับซ้อนมากขึ้น
ASIL C เป็น ASIL D: โดยทั่วไปต้องการการออกแบบใหม่ที่สำคัญด้วยความซ้ำซ้อนคู่หรือสาม
บทสรุป
การออกแบบ โซลูชันเชนอนาล็อกสัญญาณที่เป็นไปตามมาตรฐาน ISO 26262 สำหรับยานยนต์ ต้องการความเข้าใจอย่างครอบคลุมเกี่ยวกับหลักการความปลอดภัยในการทำงาน การเลือกส่วนประกอบอย่างระมัดระวัง และวิธีการออกแบบที่เข้มงวด ตั้งแต่การวิเคราะห์อันตรายในเบื้องต้นไปจนถึงการจัดทำเอกสาร FMEDA และการรับรองจากบุคคลที่สาม ทุกขั้นตอนต้องให้ความสำคัญกับความปลอดภัยในขณะที่ตอบสนองความต้องการด้านประสิทธิภาพของระบบยานยนต์สมัยใหม่
การลงทุนในการออกแบบเชนสัญญาณที่เป็นไปตาม ASIL ให้ผลตอบแทนผ่านการปรับปรุงความปลอดภัยของยานพาหนะ การลดความเสี่ยงด้านความรับผิด และความได้เปรียบในการแข่งขันในอุตสาหกรรมที่ให้ความสำคัญกับความปลอดภัยในการทำงานมากขึ้นเรื่อยๆ
แท็กและคำหลัก
ISO26262, ความปลอดภัยในการทำงานของยานยนต์, เชนสัญญาณอนาล็อก, การปฏิบัติตามASIL, การปรับสภาพสัญญาณ, อิเล็กทรอนิกส์ยานยนต์, ADAS, ระบบจัดการแบตเตอรี่, ความปลอดภัยในการทำงาน, ความสมบูรณ์ของสัญญาณ, เซนเซอร์ยานยนต์, ระบบที่สำคัญต่อความปลอดภัย, การออกแบบEMC, ความทนทานต่อความล้มเหลว, ADCยานยนต์, ระดับความสมบูรณ์ด้านความปลอดภัย, เซนเซอร์แรงบิด, เบรกบายวาย, รถยนต์ไฟฟ้า, การออกแบบเชนสัญญาณ
