「客戶要 ASIL D!」那天,我們老闆臉都綠了
那天下午,產線突然停了。不是機台掛掉,是客戶派了個老外來 Audit,直接把我們正在跑的車用晶片給 Hold 住。我還記得當時,老外指著報告上一個紅通通的 ASIL D,臉色很難看。我們老闆在旁邊,臉都綠了,因為那批貨本來只規劃到 ASIL B。結果這一 Hold,連帶後面幾批訂單全卡住,賠錢事小,面子掛不住才是大條。
這就是功能安全,特別是 ASIL 等級,在車用半導體有多重要。你以為只是多寫點文件?錯!那是從設計、製造到測試,整個流程都要改,而且是動輒影響交期跟成本的超級大魔王。
ASIL 到底在「安全」什麼?
說穿了,ASIL(Automotive Safety Integrity Level)就是一套判斷車用電子產品「安全性有多重要」的標準。它不是在看你的晶片壞了會不會燒掉,而是在評估「如果晶片功能失效,會不會造成人員受傷,甚至死亡?」
舉個例,你車上的電動窗控制晶片壞了,頂多窗戶卡住,你不會有立即危險。這可能就是 ASIL A 或 B。但如果你的自駕車煞車系統晶片掛了,那可是會出人命的!這種就肯定是 ASIL D,最高等級。所以重點是,ASIL 等級越高,代表發生危險的機率越低,對應的開發流程、驗證要求也就越嚴格。
ASIL 等級,其實是這樣決定的
ASIL 的決定其實沒那麼複雜,它主要看三個維度:
- 嚴重度 (Severity, S): 功能失效後,對人員造成傷害的嚴重程度。
* S2:中等傷害 (Moderate Injuries),例如骨折。
* S3:嚴重/致命傷害 (Severe/Life-threatening Injuries),例如截肢或死亡。
- 暴露度 (Exposure, E): 功能失效的機率有多高?
* E2:低 (Low),例如偶爾發生,機率 1% 到 10%。
* E3:中等 (Medium),例如經常發生,機率 10% 到 50%。
* E4:高 (High),例如幾乎都會發生,機率大於 50%。
- 可控度 (Controllability, C): 駕駛員或其他道路使用者,在功能失效後,能否及時控制或避免危險?
* C2:一般控制 (Normally controllable),例如駕駛需要一定的技巧和反應時間。
* C3:難以控制 (Difficult to control),例如駕駛幾乎無法反應,例如煞車突然失靈。
你把這三個維度拉出來,對應一個 ISO 26262 的表格,就能得出 ASIL 等級。例如,S3 (嚴重傷害) + E4 (高暴露度) + C3 (難以控制),那基本就是 ASIL D 了。反過來,S1 + E1 + C1,可能就是 QM (Quality Management),表示不涉及功能安全。
最常見的坑:把客戶需求當聖旨,沒問清楚就開工
我聽過最誇張的案例,就是客戶一開始說「要 ASIL B!」結果我們廠就傻傻地照 ASIL B 的流程跑,文件、測試全部到位。等到快交貨了,客戶突然丟一句:「喔,我們最後發現這個功能會跟另一個 ASIL D 的模組串聯,所以它也得是 ASIL D。」
你說氣不氣人?這根本就是浪費時間跟金錢。ASIL B 跟 ASIL D 的驗證要求差了不只一截,從設計階段的 FMEA/FTA,到後面的 DPMO 計算,還有測試覆蓋率的要求,根本就是天差地遠。說穿了,客戶有時候也搞不清楚,或者他們的需求會變。所以重點是,一定要在專案初期,跟客戶把這個 ASIL 等級的判斷依據、以及所有相關功能失效的情境,通通定義清楚,白紙黑字寫下來。不然到時候你會被搞到想罵髒話。
今天能做的一件事
回去看看你手上的車用專案,ASIL 等級是怎麼決定的,有沒有跟客戶確認過?