功能安全量产落地的三座大山(五)

周期与成本(二)

导入功能安全的成本到底有多高

上一篇我们讨论了交付周期,其实严格来说,交付周期也是成本的一种——时间成本。只不过在当前的市场环境下,交付周期的问题特别突出,所以有必要单独进行讨论。

降低成本的重要性无需多言,不管是哪个行业、哪家公司,降本增效都是永恒的课题。但是汽车行业又有其特殊性——汽车是一个规模效益的产业,所以对汽车企业来说,销量非常关键。销量越大,均摊的成本就越低。而成本越低,在产品营销上就越有优势,销量就越能继续扩大。这是一个相互促进的过程。所以对于汽车产业而言,降低成本显得更为迫切。

接触过功能安全的人都知道,功能安全的导入会给企业增加不少成本,包括:

硬件成本

  • 高ASIL等级的安全功能常常需要增加冗余,也就是增加硬件组件

  • 核心芯片往往都需要经过功能安全认证,而且往往不止一个芯片

  • 硬件失效率不达标,需要更换可靠性更高/失效率更低的电子元器件

  • 硬件FMEDA及故障注入测试需要投入大量的时间精力,而且常常要反复好几轮……

软件成本

  • 需要开发新的软件(承担安全功能)

  • 软件分区等措施的引入可能对原有软件架构影响很大,需要大改

  • 软件白盒测试的覆盖率指标要求很高,达不到的话需要返工

  • 增加很多安全机制有可能造成软件不稳定,需要大量时间来调试、修改、验证……

工具链成本

  • 需求管理工具;

  • 安全分析工具;

  • 软件开发工具;

  • 软件测试工具……

管理成本

  • 流程体系建立需要投入人力;

  • 项目安全管理需要投入人力;

  • 功能安全审计需要投入人力;

  • 功能安全评估(如有)需要投入人力……

这一系列折算下来,保守估计也得上千万。而且这还主要是设计研发环节的统计,并没有包括产品的全生命周期。导入功能安全会引起成本上升这很正常,但如果增加的太多,很容易让人望而却步。尤其对于很多中小企业来说,可能基本的流程体系都还不健全,现金流压力也比较大。在这种情况下想要实施功能安全,往往需要面临更大的挑战。

这一系列折算下来,保守估计也得上千万。而且这还主要是设计研发环节的统计,并没有包括产品的全生命周期。导入功能安全会引起成本上升这很正常,但如果增加的太多,很容易让人望而却步。尤其对于很多中小企业来说,可能基本的流程体系都还不健全,现金流压力也比较大。在这种情况下想要实施功能安全,往往需要面临更大的挑战。

当然,对于上述这些成本,我们也应该辩证的来看:

  • 硬件BOM成本随着出货量增大而降低,而且现在芯片厂家提供的芯片很多都是经过功能安全认证的,不做功能安全反而没有“物尽其用”

  • 软件在首次开发时会遇到很多困难,但是只要成熟、稳定之后,就可以作为平台软件长期复用,尤其是基础软件模块,非常典型

  • 很多工具软件并不是实施功能安全才要求的,比如需求管理工具、软件测试工具等,只不过之前一直没有,所以在导入功能安全时暴露了当前存在的问题

  • 功能安全流程涉及的管理职责,可以由现有的角色比如项目经理、质量工程师等兼任,大家各自负责一部分,这样每个人增加的工作量就比较容易让人接受

这么看下来的话,导入功能安全的成本其实也没有那么高了,对吧?所以,很多企业实施功能安全的成本特别高昂,很大程度上是因为第一次搞,而且在搞功能安全之前的研发流程、软件工具等基础设施并不完善。基础差、底子薄,却要一下子来个“三级跳”,感觉吃不消其实很正常。

所以笔者认为,企业首先需要真正做到ISO 26262标准里要求的QM,然后在这个基础上再导入功能安全,这是最理想的情况。在这种从QM到ASIL的发展模式下,增加的成本仍然会有,但绝不会像现在这样让人难以接受。

罗马不是一天建成的,基础设施的建设也需要持续投入,在此我们也就不再过多讨论了。作为一名功能安全工程师,我们首先要做的、并且肯定能做的就是在项目实施的过程中,想方设法用最低的成本来实现功能安全的要求。把功能安全做出来没有什么了不起的,我们的目标是要用最低的成本做出来。如果能做到这一点,那就意味着我们的产品相比同行友商而言,已经有了竞争优势。

案例分享

给大家分享一个笔者在实际项目中遇到的案例。要实现ASIL C的电流采样功能,我们可以使用两个Hall传感器来进行冗余比较,但是这样成本太高。然后我们可以使用一个Hall传感器+一个分流器来进行冗余比较,这样能降低成本。接下来我们还可以使用两个分流器来进行冗余比较,进一步降低成本。

然而这样就结束了吗?并不是,实际上我们可以采用一个分流器来实现ASIL C的电流采样功能。安全目标没有变,但我们的设计成本在不断降低。

实施建议

我们的目标是用最低的成本实现功能安全的要求。要做到这一点,我们必须密切关注行业发展动向,因为整个行业都在追求降本,更低成本的方案/设计/芯片在不断的面世。如果有一种物美价廉的新技术,同时又能满足我们的需求,我们为什么不采用呢?另一方面,我们需要对功能安全深入理解,达到灵活运用的水平。这样的话,当新的技术方案摆在你面前的时候,你才能够判断出它是否可以满足功能安全的要求。这一点将在“理论与实践”部分再与大家详细讨论。

To Be Continued

说明:

* 文章仅代表作者个人观点,不代表'仨人谈起'立场

(0)

相关推荐

  • 汽车芯片功能安全,一纸证书背后的“含金量”|电源|功能安全|芯片|iso26262

    随着量产新车中自动驾驶功能的不断增加,功能安全问题已成为整个行业的关注焦点.从定义上来看,功能安全是指避免由系统功能性故障导致的不可接受的风险.其概念与本质安全相对,后者的优势在于可以彻底排除涉及危险 ...

  • 谈谈NHTSA动力电池BMS功能安全要求

    之前小星介绍了动力电池分类以及相关电池安全认证,今天和大家聊聊NHTSA美国高速公路交通安全管理局公布的关于动力电池电子控制器相关的电子可靠性和功能安全的研究. 首先说说NHTSA在美国是一个什么样的 ...

  • 从Tesla/蔚来限充电量看电芯过充的功能安全设计

    尽管Tesla/蔚来汽车近期的起火事件尚没有正式发布调查结果,但双方事后都对充电策略进行了调整,其中蔚来汽车则临时将充电量限制到90%,而香港停车场Model S事前电量充至97%,也有过充的风险. ...

  • 你真的做对ASIL分解了吗?

    本文要点 稍微了解功能安全的朋友绝对都听过ASIL分解.毕竟作为ISO 26262官方推荐的降低功能安全开发要求的手段,必然是要被工程师们好好地加以利用的.但是 ASIL分解虽好,却不是简单的加减运算 ...

  • 《功能安全量产落地的三座大山》番外篇

    导读: 在<功能安全量产落地的三座大山>文章中,笔者曾提出功能安全必须与现有的产品研发相融合,才有落地的可能.因为大多数企业在导入功能安全之前,基本上都已经有自己的产品或者产品原型了.既然 ...

  • 谈谈功能安全量产落地的三座大山

    导读: 如果说实践是检验真理的唯一标准,那么量产是检验功能安全落地的唯一标准.基于此,笔者根据以往的项目经验,总结了现阶段功能安全量产落地的三大主要困难,取名为"三座大山".它们是 ...

  • 功能安全量产落地的三座大山(七)

    理论与实践(二) 实施建议 功能安全的精髓在于灵活运用,而灵活运用的前提在于深刻理解.那么,到底应该如何努力来提升对ISO 26262标准的理解呢?笔者根据自身的学习经历,在这里给大家提几点建议: 1 ...

  • 功能安全量产落地的三座大山(六)

    理论与实践(一) ISO 26262你真的理解了吗 其实严格来说,"理论与实践"应该放到最前面来讲.因为不管是"融合与平衡",还是"周期与成本&quo ...

  • 功能安全量产落地的三座大山(四)

    周期与成本(一) 交付周期的重要性 我们先来看一些汽车企业高管的公开言论: 在未来五年中,沃尔沃汽车公司将每年推出一款纯电动汽车,力争到2025年纯电动汽车占全球销量的50%,其余为混动车型. --沃 ...

  • 功能安全量产落地的三座大山(三)

     融合与平衡(二) 平衡的必要性 在功能安全与现有产品融合的过程中,不可避免的会遇到平衡的问题.所以,笔者将融合与平衡放在一起论述. 什么是平衡问题?很多功能安全工程师在项目实施过程中,自始至终的关注 ...

  • 功能安全量产落地的三座大山(二)

    融合与平衡(一) 融合的必要性 在某些行业比如轨道交通.过程工业等,安全防护设备(如SIS)和常规控制设备(如DCS)常常是分开的.也就是说,它们在物理上是独立的实体.从系统自顶向下分解而来的安全功能 ...

  • 功能安全量产落地的三座大山(一)

    序言 功能安全在汽车行业突然走红可以追溯到2016年.当时,大大小小的造车新势力如雨后春笋般层出不穷,汽车行业在技术革命的浪潮中呈现出一派欣欣向荣景象,也带红了实际上早在2011年就发布的ISO 26 ...

  • 固态电池又成风口?宝马1.3亿美元加速电池量产落地

    去年年末,固态电池"一夜成名",一直到现在还不断有固态电池新产品的消息传出.行业似乎看到了新风口,不管是初创企业新势力还是老牌车企,对固态电池皆是跃跃欲试的状态.但截至目前,全固态 ...