功能安全成為汽車行業(yè)關注焦點
近年來汽車行業(yè)在追求自動化、互聯(lián)化、電氣化和服務化方面取得了快速進步,而支撐這些領域各種創(chuàng)新的重中之重,則是對功能安全的關注。在最高等級的安全性變得越來越重要的同時,安全標準也越來越嚴格、具體和新穎。對于此類“安全關鍵型(Functional Safety)”汽車應用,MPS推出了MPSafeTM 汽車級解決方案系列產(chǎn)品,為未來的汽車保駕護航。MPS開發(fā)的智能解決方案,可以提供 ASIL-D 監(jiān)控器以防止意外情況,并能提供自動駕駛計算行業(yè)至關重要的安全檢測以及整套高效、快捷的解決方案。
ISO26262認證的產(chǎn)品開發(fā)流程
在汽車自動駕駛應用中,駕駛員或乘客與電氣電子設備之間的相互作用正在顯著增加,其中自動駕駛汽車的安全關鍵決策變得尤其重要,它對駕駛員或乘客的安全可能造成的潛在影響不容忽視。隨著這些先進安全技術的操作系統(tǒng)從被動轉向更加主動,汽車的安全駕駛儼然成為人們關注的焦點和必須解決的問題。同時,自動駕駛平臺變得越來越復雜,出現(xiàn)了越來越多的系統(tǒng)性或隨機硬件故障的風險。為了幫助確立最高安全性標準,行業(yè)發(fā)布了最新的符合國際標準化組織(ISO) 26262的汽車安全標準。
《MPSafeTM汽車功能安全》
圖1:行業(yè)發(fā)布最新符合ISO26262 汽車安全標準
MPS利用自主開發(fā)的MPSafeTM 開發(fā)流程(已被權威認證機構TUV-SUD認證),提出并研發(fā)了一套完整的解決方案,以應對自動駕駛平臺中的安全挑戰(zhàn)。該解決方案為自動駕駛平臺提供了符合 ISO26262安規(guī)標準的供電與監(jiān)控系統(tǒng)。
自動駕駛系統(tǒng)供電的安全要求從芯片定義之初,開發(fā)人員對系統(tǒng)乃至整車的系統(tǒng)安全需有深刻的理解。根據(jù)應用于自動駕駛平臺的MPSafeTM 開發(fā)流程的要求,在各個芯片設計正式啟動之前,需要從自動駕駛平臺在車上的功能安全出發(fā),形成該芯片需要滿足的安全要求 (Safety Requirement)。只有站在系統(tǒng)功能安全要求的高度,了解功能安全要求對于芯片規(guī)格的制定產(chǎn)生的影響,才能避免最終產(chǎn)品功能和系統(tǒng)安全要求之間存在的偏差。根據(jù)芯片需要滿足的安全要求,MPSafeTM 開發(fā)流程的基本五個步驟包括:
1,芯片定義
包括芯片功能定義以及芯片安全功能定義。MPS架構團隊為該芯片打造所需的功能,同時與MPS安全團隊緊密合作,了解芯片功能安全對芯片功能的影響。安全團隊負責制定、審查并通過該芯片的安全計劃,發(fā)布屬于該芯片的應用假設,建立芯片開發(fā)安全檔案。
2,芯片設計
根據(jù)芯片需要滿足的系統(tǒng)安全要求,落實該芯片的規(guī)格和功能要求。安全團隊對該芯片進行定量安全分析(Quantitative Safety Analysis, FMEDA)以評估風險和確保滿足系統(tǒng)安全要求等級。芯片設計團隊需提供相關性失效分析(Dependent Failure Analysis),進行芯片在IC功能以及安全機制的失效分析。通過仿真、封裝失效分析和質(zhì)量分析,推演和驗證不同失效模式機制,分析芯片的安全機制是否符合要求。芯片設計團隊還需與芯片驗證團隊建立完整的芯片驗證方案等等。
3,芯片樣品
負責為MPSafeTM 提供封裝的廠商應嚴格遵循MPSafeTM流程及要求生產(chǎn)樣品,以滿足汽車安規(guī)等級。整個芯片樣品生產(chǎn)的流程受到安全團隊的監(jiān)管,以保證要求與實際生產(chǎn)不存在偏差。
4,芯片測試
芯片測試包括芯片電氣特性測試(Electrical Characterization), 可靠性測試(Reliability Test), IC表征測試(IC Characterization), 實驗臺功能和電氣測試(Road Test Functional and Electrical Verification), 以及使用自動測試設備進行的大規(guī)模測試 (ATE Test)等等。一旦這些測試中出現(xiàn)任何失效或問題,團隊立刻對失效和問題進行分析并提出解決方案,重新生產(chǎn)新的芯片樣本以確保徹底解決問題和規(guī)避風險。
5,成品出貨
在以上所有四個步驟都正常進行的過程中,MPS安全團隊始終與第三方權威認證機構緊密合作,以確保MPSafeTM 開發(fā)流程和生產(chǎn)流程所有設計、測試、生產(chǎn)環(huán)節(jié)均滿足安全要求。所有的環(huán)節(jié)都會通過權威第三方認證,并發(fā)行符合認證的安全證書、手冊。完成所有安全應用分析以及認證之后,該芯片將在嚴格的MPS標準要求下完成所有出貨前測試并出貨。
廣闊的應用場景——從QM到ASIL-D
隨著電動汽車市場的不斷擴張,自動駕駛技術的飛速發(fā)展,現(xiàn)階段,基于MPSafeTM開發(fā)流程研發(fā)的芯片已經(jīng)覆蓋多種自動駕駛應用場景。例如自動駕駛平臺的汽車核心計算系統(tǒng),雷達系統(tǒng),攝像系統(tǒng)等等?;贛PSafeTM開發(fā)流程提出的智能供電與監(jiān)控解決方案和相關芯片,力求幫助客戶規(guī)避潛在風險,并通過高可靠性和安全性,控制風險及故障,實現(xiàn)了從QM到汽車最高安全等級ASIL-D級的規(guī)定,為自動駕駛平臺高效安全供電及監(jiān)控保駕護航。
《單片 DrMOS 功率級應用于汽車 SoC 時的優(yōu)勢》
圖2:汽車安全完整性等級 (ASIL)
根據(jù)應用場景的不同,MPS在保證產(chǎn)品功能的基礎上,提供給用戶不同安全等級的靈活選擇。如系統(tǒng)安全風險較低,用戶可選擇具備一定FIT (Failure in Time) 分析,符合AEC-Q100標準的芯片。如需保證系統(tǒng)安全等級較高,MPS可提供高達ASIL-D等級的帶有功能安全的系列芯片。功能安全是實現(xiàn)國際ISO26262定義的汽車安全完整性等級 (ASIL) 的基礎,如有需求,用戶可靈活選擇不同產(chǎn)品以配備到當前安全等級。與此同時,MPS積極提供涵蓋QM到ASIL等級芯片的相關安全手冊和技術支持,來幫助用戶放心選擇,靈活配置。
MPSafe?— 面向系統(tǒng)的安全設計
直面系統(tǒng)級設計痛點
聚力解決安全挑戰(zhàn)
1,內(nèi)建自測試(BIST)
BIST 等集成安全機制,可提供高診斷覆蓋率,以確保每個駕駛周期的可靠性。電壓監(jiān)視器中有兩種形式的 BIST:
1) 模擬電路自檢 (ABIST):ABIST 通過向診斷電路注入電流或電壓來執(zhí)行診斷電路故障。該功能驗證診斷電路是否可以在故障和非故障條件之間切換,這表明模擬安全機制運行正常。在此過程中,將檢查所有與安全相關的比較器和受監(jiān)控的參考電壓。
2) 邏輯電路自檢(LBIST):LBIST允許硬件自行測試。LBIST 具有檢測內(nèi)部邏輯電路錯誤的能力。
2,參考電壓監(jiān)測
系統(tǒng)的參考電壓(Reference Voltage)對于芯片的重要性不言而喻,它是芯片中多個電路和模塊正常工作的基礎。在芯片中,多個模塊需要使用參考電壓作為精確電壓控制的基準,例如模擬數(shù)字轉換器(ADC)等。若參考電壓不穩(wěn)定,會導致芯片工作不穩(wěn)定、誤差增加及性能降低。因此,參考電壓的好壞對于芯片能否正常運行至關重要。MPS為保證芯片的參考電壓的精度和穩(wěn)定性,配有參考電壓檢測機制,通過引入冗余參考電壓,對系統(tǒng)參考電壓進行監(jiān)督。一旦發(fā)現(xiàn)系統(tǒng)電壓漂移超過預設范圍,將拉低并中斷該錯誤。
3,系統(tǒng)時鐘監(jiān)測
系統(tǒng)的時鐘信號是IC中各個電路和模塊的同步信號,以保證各個電路和模塊在正確的時間按照正確的順序執(zhí)行相應的操作,例如時鐘信號可以同步計數(shù)器、狀態(tài)機、數(shù)據(jù)采樣及數(shù)據(jù)通信等等。如果時鐘信號出現(xiàn)故障,會導致IC中的電路和模塊無法同步,甚至數(shù)據(jù)丟失、錯誤計數(shù)、狀態(tài)機無法成功跳轉、甚至系統(tǒng)崩潰等等問題。因此在IC設計過程中,時鐘信號的監(jiān)控尤為重要。MPS通過引入一個參考時鐘,與系統(tǒng)時鐘互相監(jiān)測,可以在系統(tǒng)時鐘漂移超過預設范圍時,拉低中斷芯片并報告該錯誤。
用于不同安全等級系統(tǒng)的可擴展、模塊化解決方案
MPSafeTM不僅考慮了設備本身如何處理各種安全案例,安全目標,還可以通過芯片引腳的兼容性以及配套的安全文件,實現(xiàn)解決方案的可擴展和模塊化功能,以達到可靠高效快捷的目標。解決方案的可擴展性包括滿足不同ASIL安全等級、功能需求和應用場景。模塊化包括針對系統(tǒng)不同應用模塊設計要求具有針對性且靈活性功能的產(chǎn)品??蓴U展性和模塊化解決方案使得用戶能夠根據(jù)自身的需求,借助不同規(guī)格的芯片,實現(xiàn)多樣化的安全架構。
現(xiàn)階段,基于MPSafeTM 開發(fā)流程已發(fā)行了多種涵蓋不同功能的明星產(chǎn)品。通過集成內(nèi)建自測試 (BIST) 以及診斷和寫保護等復雜的功能安全特性,這些產(chǎn)品已經(jīng)通過獨立認證機構的認證,支持具有高達 ASIL-D 的最高汽車安全完整性級別的應用,符合ISO26262標準。為實現(xiàn)不同安全等級系統(tǒng)的可擴展和模塊化的解決方案,目前一些基于MPSafeTM開發(fā)的適用于自動駕駛平臺智能供電與監(jiān)控的產(chǎn)品有:
1,自動駕駛SoC核心供電:
MPQ2967+Intelli-PhaseTM DrMOS
隨著自動駕駛功能的不斷豐富和完善,系統(tǒng)對于主芯片的算力和信息處理能力的要求不斷提高,以滿足更豐富的自動駕駛場景的計算需求。主芯片算力的提高也意味著更高的功耗,系統(tǒng)對于核心供電的要求也更高。MPQ2967 是一款用于汽車高級駕駛輔助系統(tǒng) (ADAS) 和自動駕駛平臺核心供電的功能安全數(shù)字化雙路多相控制器芯片,它可以與 MPS 的 Intelli-PhaseTM 產(chǎn)品配合使用,以更少的外部組件實現(xiàn)多相調(diào)壓器 (VR) 解決方案。MPQ2967 基于MPS獨特的數(shù)字多相非線性控制,能以最少的輸出電容為負載階躍提供快速瞬態(tài)響應。其集成的多次可編程 (MTP) 存儲器能夠存儲為不同設計和平臺定制的個性化配置。
MPQ2967支持系統(tǒng)設計達到ASIL-D的功能安全等級,其集成了內(nèi)建自測試、時鐘監(jiān)測、寄存器監(jiān)測、存儲器監(jiān)測和糾正、ADC監(jiān)測、狀態(tài)機自檢、I2C通信監(jiān)測和內(nèi)部電壓監(jiān)測等豐富的功能安全保護,保證芯片的可靠高效運行。它還為多相調(diào)壓器提供了輸入電壓、輸出電壓、輸出電流和溫度的實時監(jiān)控和報告功能。用戶可通過數(shù)字化接口靈活設置和監(jiān)控設備的配置參數(shù)和故障參數(shù)。
圖3:MPQ2967+Intelli-PhaseTM DrMOS方案框圖
2,電源時序芯片:
MPQ79700FS-AEC1
一些高性能 ADAS 上的SoC往往需要電源軌道為內(nèi)部電路供電,如內(nèi)核、內(nèi)存和 I/O等等。這些電源軌道常常需要特定的上下電時序來實現(xiàn)安全的通電和斷電,如上下電順序發(fā)生錯亂,可能會導致意外電壓尖峰、系統(tǒng)無法正常開啟和關斷甚至燒毀等危險。因此,電源軌道正確有序的上下電對于保證系統(tǒng)的可靠開啟、運行和關斷有著極為重要的作用。
MPQ79700FS 是一款專為汽車高級駕駛輔助系統(tǒng) (ADAS) 和自動駕駛平臺設計的 12 通道功能安全電源時序芯片,可為需要多個電源軌道供電的SoC提供必要的上下電時序控制。該設備的可配置性和靈活性支持跨不同的設計應用。用戶可通過I2C對12個通道進行獨立配置每個通道的拉高拉低時序序列。同時,12個通道中的四個還可以被設置為GPIO,以滿足用戶的額外需求。MPQ79700FS 電源時序芯片包含一個振蕩器,通過驅動芯片外部晶體震蕩以發(fā)出32.768 kHz的時鐘信號,以及一個具有報警功能的實時時鐘 (RTC)。該芯片還包含可通過 I2C 接口訪問的可配置看門狗,低電平有效的系統(tǒng)復位以及中斷輸出來保證故障監(jiān)測和報告。
圖4:MPQ79700FS-AEC1 原理框圖
3,電壓監(jiān)控芯片:
MPQ79500FS-AEC1
MPQ79500FS-AEC1六通道電壓監(jiān)控芯片是一款專為監(jiān)控汽車安全應用系統(tǒng)級芯片 (SoC) 的產(chǎn)品。對于SoC來說,超出范圍的電源電壓可能會導致系統(tǒng)運行性能不佳甚至系統(tǒng)故障,因此電壓監(jiān)控芯片在確保受監(jiān)控的電源電壓方面發(fā)揮著關鍵作用。
MPQ79500FS-AEC1電壓監(jiān)控芯片會在被監(jiān)控電壓超過閾值時檢測過壓 (OV) ,或在電壓降至閾值以下時檢測欠壓 (UV) 。一旦發(fā)生過壓或者欠壓,電壓監(jiān)控芯片會向安全微控制器單元 (Safety MCU) 報告故障,使MCU在故障發(fā)生后能夠及時做出判斷,保證系統(tǒng)的正常運行。MPQ79500FS-AEC1電壓監(jiān)控芯片可以更智能高精度地監(jiān)控六個通道的低頻 (LF) 電壓漂移和高頻 (HF) 電壓噪聲。
1)低頻電壓漂移:由高精度模數(shù)轉換器 (ADC) 轉換為數(shù)字信號。
2)高頻電壓噪聲:通過高精度比較器,監(jiān)測電壓噪聲或尖峰。
點擊圖片進入小程序,了解MPQ79500FS-AEC1的更多信息
圖5:發(fā)生 OVHF 和 OVLF 故障事件時的故障檢測
用戶可以通過 I2C 來訪問并配置OV 和 UV 監(jiān)控閾值和受監(jiān)控范圍。圖6顯示了 MPQ79500FS-AEC1 在發(fā)生 OVHF 和 OVLF 故障事件時的 OVHF、OVLF、UVHF 和 UVLF 監(jiān)控以及故障報告和記錄。
MPQ79500FS-AEC1具有多個嵌入式通道,為監(jiān)控大量通道的應用提供了理想的解決方案。這增加了用戶使用一個集成電壓監(jiān)控芯片監(jiān)控多軌電壓的靈活性,在保證了被監(jiān)控設備的安全運行的同時,為用戶節(jié)約了系統(tǒng)空間和降低成本。用戶還可通過同步多個電壓監(jiān)控芯片到同一時序中來監(jiān)控多個電壓監(jiān)控芯片的所有電壓軌。對于MPQ79500FS-AEC1,此序列監(jiān)控同步功能由 /SYNC 引腳啟用,所有電壓軌共享一個同步域。
高效、快捷、成本可控的安全解決方案
高級駕駛輔助系統(tǒng)(ADAS)以其良好的駕駛體驗和安全保障贏得了大量消費者的青睞,除了基本的駕駛需求,消費者對更安全更智能的駕駛有了更高的期待。在新型電動汽車廠商大力推進、傳統(tǒng)汽車廠商積極轉型的過程中,整個ADAS市場增長迅猛。原有的為高端市場服務的ADAS技術的廠商,為更好地迎合市場需求,都在積極尋求向中端甚至低端市場布局。對于汽車廠商而言,只有盡快實現(xiàn)量產(chǎn)跟進旺盛的需求才有可能在激烈市場競爭中贏得一席之地。同時,市場需求也大大加速了ADAS技術的系統(tǒng)迭代。如何利用每一次技術迭代,高效、快捷、成本可控地跟進市場需求,是每一個汽車廠商在這硝煙彌漫的市場競爭中取得成功的重中之重。
針對現(xiàn)如今電動汽車及自動駕駛激烈的飛速發(fā)展和激烈競爭, MPS力求為客戶提供一整套完整的系統(tǒng)供電及監(jiān)控解決方案的同時,從客戶角度出發(fā),與客戶一同高瞻遠矚,幫助客戶加速開發(fā)進程,快速反應市場,更好適應現(xiàn)階段乃至未來若干代自動駕駛技術的革新。
圖6展示了一個為自動駕駛平臺計算中心供電的頂層架構。該架構為符合 ASIL-D 標準的智能自動駕駛平臺供電與監(jiān)控平臺。整個架構大體分為SoC供電模塊,攝像供電模塊兩部分。MPS提出的解決方案通過采用MPSafeTM開發(fā)流程,在保證功能安全的基礎上,同時能幫助用戶實現(xiàn)高效、快捷和成本可控。
圖7展示了由MPS開發(fā)的具有智能電壓監(jiān)控功能的 MPSafeTM 電源子系統(tǒng)參考設計板。
圖6:智能電壓供電與監(jiān)控應用于自動駕駛平臺的頂層架構
圖7:具有智能電壓監(jiān)控功能的 MPSafeTM 電源子系統(tǒng)參考設計板
(注:有關參考設計的更多信息,請聯(lián)系 MPS)
隨著自動駕駛技術的不斷發(fā)展,安全是重中之重,絕不能妥協(xié)。為了自動駕駛的安全和正常運行, MPS提出的智能電源供電系統(tǒng)集成了功能安全、電壓監(jiān)控和安全供電等功能,可以實現(xiàn)高精度、高可靠性和可配置性持續(xù)安全供電與系統(tǒng)監(jiān)測。