在汽车电子质量和安全:冒险超出iso - 26262

伯纳德•墨菲和吉姆·霍根

谣言的项目泰坦”,苹果车,不断流传。真的还是假的,当我们听到苹果视为一个潜在的汽车制造商,它是清楚普遍电子内容已经入侵我们的汽车。

2013年全国汽车经销商协会报告分级电子内容的15%主要决定因素,令人印象深刻的增长接近于零只有几年前,尤其是在non-luxury段。甚至品牌日益与电子分化;今天广告经常导致信息娱乐、智能安全,驾驶员辅助功能。如果我们考虑进化,超越了传统的选择,竞争在混合动力和电动动力传动系统和半自治和自治车辆将进一步加速电子在车里的重要性。

图1:今天在汽车电子系统的示例

在汽车中使用电子并不新鲜,但直到最近在很大程度上是无形的消费者。第一个重要的系统被用来控制引擎功能,满足清洁空气法案要求为1981。

图2:化妆的电子控制单元(ECU)

这个功能是建立在很大程度上已饱经考验且相对简单的微控制器。但这些都是简单的,他们被要求通过五年资格周期,最后出现在生产汽车。为了满足这种艰巨的目标,芯片制造商将创建整个芯片设计在内部,检查和验证它详尽,而且,一旦合格,只考虑适度增量改进设备的后代。通过这样做,可以在已经理解的基础上建立质量和安全保证和有效的前几代的特点。

安全性和iso - 26262
先进的电子内容我们现在看到不适合这种传统方法资格。功能是更复杂的比那些早期的微控制器,我们消费者的便携设备,我们期望每年的新功能。快速发展之间的脱节、复杂性和安全是一个公认的问题,把创建iso - 26262,全行业标准安全性至关重要的电子系统的发展。电子元件供应商计划卖给汽车制造商现在必须文档并不能证明他们是在开发过程符合标准。

iso - 26262提供了一个必要的步骤,以确保汽车安全,但不能直接解决两个基本变化microcontroller-based早些时候从开发的系统。首先,一个大型设计可以不再是由一个团队开发的。主要功能(IP)现在由多个第三方组织。与预期简单的微控制器,现在没有一个团队了解所有的逻辑设计,这使得它更具有挑战性的预测和防范病态行为的完整系统。IP供应商也必须符合标准,但没有证据表明这个分段合规与完全合规。第二,总芯片系统的复杂性早已超出任何通过穷举测试的可能性。在消费设备行业响应测试只对预期的用例,但是这种方法是明显不能胜任安全至上的汽车电子在危及生命的情况下行为可能就潜伏在意想不到的角落。

质量
质量也很重要,对于消费者和汽车行业。我们有更高的质量和耐用性的预期从一辆汽车花费数万美元比我们从电话花费最多几百美元。用我们经常面临的问题在便携式设备通过一个典型的10美元召回成本,即使他们只选择问题回忆最严重的问题,汽车公司倒闭或必须处理永远不满意的客户。这个问题是放大当你比较我们期望车辆持续多久对我们每两年升级手机的能力。

图3:年龄和汽车所有权的趋势

这不是一个学术问题。今天买一辆车,你会立即发现信息娱乐系统不受5年/ 50000公里保修覆盖其余的车。为相同的功能在你的手机,你得到同样的保修,两年,你必须支付溢价延长保修。即使你没有支付额外的费用,你都不会满意的经销商,如果信息娱乐你卖车之前停止工作。很有可能你会再次决定不买这个品牌的车,品牌忠诚度的认真考虑。

这种品质的挑战是反映在客户满意度调查。的区域生成最抱怨信息娱乐和所有相关的电子产品扩展到蓝牙配对,语音命令,备份系统。这可能是初期的一些问题,但一个可能的结论是,质量可接受的在电话不上升到预期的车。值得记住的是,这个问题是发生在系统在iso - 26262。

图4:新车买家的满意度调查结果

许多新进入汽车电子拥有强大的消费电子产品和电脑行业的背景,但新的更严格的质量和安全的汽车市场的预期。iso - 26262部分可以解决这种差距,但是自己是不够的,需要加强汽车满足公众的期望。

我们去哪里呢?
上升到这些新的预期将超过一层薄薄的过程覆盖现有的半导体芯片设计方法。半导体生产商将不得不认真的质量智能手机游戏可能是可接受的,我们期望的汽车。我们需要考虑硬件设计相同的方式我们思考制造——压低功能失败率,或低于十亿分之几(磅),在一辆汽车的有效生命周期。

这将需要前后的心态改变关于安全和质量。芯片设计曾被视为“谁在乎我们如何到达那里只要我们竞争和合理有效的”。在许多领域工程实践告诉我们,这并不是为十亿分之工作质量,它将在制造业。每一步都必须是格力,不断改善。

半导体芯片设计组件(IP)选择应该不是基于IP供应商认证,而且芯片制造商的要求。一般的IP供应商认证市场,但是芯片制造商必须保证为一个特定的应用程序。可能需要加强管制,尤其是验证特定的配置和使用预测病理之间的交互的IP和其他芯片。

开发过程必须在多个点监控质量检验关。它是公认的现实生产,质量需要连续测量和控制。不能设法ppb仅仅虽然最后盖茨开发水平。不幸的是,这种哲学,偶尔在最好的情况下,在当今的半导体设计团队。

芯片组装和验证应尽可能争取correct-by-construction和完整的验证,在覆盖通过动态测试克服前面提到的限制。然而今天,人类设计组装可能会加速与小再确认标准进行自定义脚本。这不是一个可靠的方法当有标准和工具来自动化这些任务。静态验证应该发挥更大的作用在全芯片的测试,因为它本质上是更加完整和补充传统的验证技术。

最后,硬件开发必须给予更多的考虑如何支持验证任务将在硬件上运行的软件,在软件开发和应用程序的生命周期在一辆汽车。断言是不够的行为也被测试,考虑到硬件和软件之间的一些病理行为可能没有被发现在测试。应提供防御检测界外行为即使在长期使用。

图5:自主车辆的不久的将来

做这些改变并非易事,也许他们不会适合每个半导体供应商的业务目标。但是他们是必不可少的汽车电子成为主导我们的驾驶体验的一部分,一个健康的和不断增长的市场电子产品供应商。半导体公司已经证明,他们可以加强这些制造业的质量水平。现在他们需要对优化开发过程做出同样的承诺。

吉姆·霍根是Vista的管理合伙人投资和风险投资家专业半导体行业。他是这篇文章的作者之一。