功能安全成為汽車行業(yè)關(guān)注焦點
近年來汽車行業(yè)在追求自動化、互聯(lián)化、電氣化和服務(wù)化方面取得了快速進(jìn)步,而支撐這些領(lǐng)域各種創(chuàng)新的重中之重,則是對功能安全的關(guān)注。在最高等級的安全性變得越來越重要的同時,安全標(biāo)準(zhǔn)也越來越嚴(yán)格、具體和新穎。對于此類“安全關(guān)鍵型(Functional Safety)”汽車應(yīng)用,MPS推出了MPSafeTM 汽車級解決方案系列產(chǎn)品,為未來的汽車保駕護(hù)航。MPS開發(fā)的智能解決方案,可以提供 ASIL-D 監(jiān)控器以防止意外情況,并能提供自動駕駛計算行業(yè)至關(guān)重要的安全檢測以及整套高效、快捷的解決方案。
MPSafe? 應(yīng)運而生
圖1:MPSafe?為未來汽車保駕護(hù)航
ISO26262認(rèn)證的產(chǎn)品開發(fā)流程
在汽車自動駕駛應(yīng)用中,駕駛員或乘客與電氣電子設(shè)備之間的相互作用正在顯著增加,其中自動駕駛汽車的安全關(guān)鍵決策變得尤其重要,它對駕駛員或乘客的安全可能造成的潛在影響不容忽視。隨著這些先進(jìn)安全技術(shù)的操作系統(tǒng)從被動轉(zhuǎn)向更加主動,汽車的安全駕駛儼然成為人們關(guān)注的焦點和必須解決的問題。同時,自動駕駛平臺變得越來越復(fù)雜,出現(xiàn)了越來越多的系統(tǒng)性或隨機硬件故障的風(fēng)險。為了幫助確立最高安全性標(biāo)準(zhǔn),行業(yè)發(fā)布了最新的符合國際標(biāo)準(zhǔn)化組織(ISO) 26262的汽車安全標(biāo)準(zhǔn)。
圖2:行業(yè)發(fā)布最新符合ISO26262 汽車安全標(biāo)準(zhǔn)
MPS利用自主開發(fā)的MPSafeTM 開發(fā)流程(已被權(quán)威認(rèn)證機構(gòu)TUV-SUD認(rèn)證),提出并研發(fā)了一套完整的解決方案,以應(yīng)對自動駕駛平臺中的安全挑戰(zhàn)。該解決方案為自動駕駛平臺提供了符合 ISO26262安規(guī)標(biāo)準(zhǔn)的供電與監(jiān)控系統(tǒng)。
自動駕駛系統(tǒng)供電的安全要求從芯片定義之初,開發(fā)人員對系統(tǒng)乃至整車的系統(tǒng)安全需有深刻的理解。根據(jù)應(yīng)用于自動駕駛平臺的MPSafeTM 開發(fā)流程的要求,在各個芯片設(shè)計正式啟動之前,需要從自動駕駛平臺在車上的功能安全出發(fā),形成該芯片需要滿足的安全要求 (Safety Requirement)。只有站在系統(tǒng)功能安全要求的高度,了解功能安全要求對于芯片規(guī)格的制定產(chǎn)生的影響,才能避免最終產(chǎn)品功能和系統(tǒng)安全要求之間存在的偏差。根據(jù)芯片需要滿足的安全要求,MPSafeTM 開發(fā)流程的基本五個步驟包括:
1)芯片定義:包括芯片功能定義以及芯片安全功能定義。MPS架構(gòu)團(tuán)隊為該芯片打造所需的功能,同時與MPS安全團(tuán)隊緊密合作,了解芯片功能安全對芯片功能的影響。安全團(tuán)隊負(fù)責(zé)制定、審查并通過該芯片的安全計劃,發(fā)布屬于該芯片的應(yīng)用假設(shè),建立芯片開發(fā)安全檔案。
2)芯片設(shè)計:根據(jù)芯片需要滿足的系統(tǒng)安全要求,落實該芯片的規(guī)格和功能要求。安全團(tuán)隊對該芯片進(jìn)行定量安全分析(Quantitative Safety Analysis, FMEDA)以評估風(fēng)險和確保滿足系統(tǒng)安全要求等級。芯片設(shè)計團(tuán)隊需提供相關(guān)性失效分析(Dependent Failure Analysis),進(jìn)行芯片在IC功能以及安全機制的失效分析。通過仿真、封裝失效分析和質(zhì)量分析,推演和驗證不同失效模式機制,分析芯片的安全機制是否符合要求。芯片設(shè)計團(tuán)隊還需與芯片驗證團(tuán)隊建立完整的芯片驗證方案等等。
3)芯片樣品:負(fù)責(zé)為MPSafeTM 提供封裝的廠商應(yīng)嚴(yán)格遵循MPSafeTM流程及要求生產(chǎn)樣品,以滿足汽車安規(guī)等級。整個芯片樣品生產(chǎn)的流程受到安全團(tuán)隊的監(jiān)管,以保證要求與實際生產(chǎn)不存在偏差。
4)芯片測試:芯片測試包括芯片電氣特性測試 (Electrical Characterization)、可靠性測試 (Reliability Test),IC表征測試 (IC Characterization),實驗臺功能和電氣測試 (Road Test Functional and Electrical Verification),以及使用自動測試設(shè)備進(jìn)行的大規(guī)模測試 (ATE Test)等等。一旦這些測試中出現(xiàn)任何失效或問題,團(tuán)隊立刻對失效和問題進(jìn)行分析并提出解決方案,重新生產(chǎn)新的芯片樣本以確保徹底解決問題和規(guī)避風(fēng)險。
5)成品出貨:在以上所有四個步驟都正常進(jìn)行的過程中,MPS安全團(tuán)隊始終與第三方權(quán)威認(rèn)證機構(gòu)緊密合作,以確保MPSafeTM 開發(fā)流程和生產(chǎn)流程所有設(shè)計、測試、生產(chǎn)環(huán)節(jié)均滿足安全要求。所有的環(huán)節(jié)都會通過權(quán)威第三方認(rèn)證,并發(fā)行符合認(rèn)證的安全證書、手冊。完成所有安全應(yīng)用分析以及認(rèn)證之后,該芯片將在嚴(yán)格的MPS標(biāo)準(zhǔn)要求下完成所有出貨前測試并出貨。
廣闊的應(yīng)用場景 — 從QM到ASIL-D
隨著電動汽車市場的不斷擴張,自動駕駛技術(shù)的飛速發(fā)展,現(xiàn)階段,基于MPSafeTM開發(fā)流程研發(fā)的芯片已經(jīng)覆蓋多種自動駕駛應(yīng)用場景。例如自動駕駛平臺的汽車核心計算系統(tǒng),雷達(dá)系統(tǒng),攝像系統(tǒng)等等?;贛PSafeTM開發(fā)流程提出的智能供電與監(jiān)控解決方案和相關(guān)芯片,力求幫助客戶規(guī)避潛在風(fēng)險,并通過高可靠性和安全性,控制風(fēng)險及故障,實現(xiàn)了從QM到汽車最高安全等級ASIL-D級的規(guī)定,為自動駕駛平臺高效安全供電及監(jiān)控保駕護(hù)航。
圖3:汽車安全完整性等級 (ASIL)
根據(jù)應(yīng)用場景的不同,MPS在保證產(chǎn)品功能的基礎(chǔ)上,提供給用戶不同安全等級的靈活選擇。如系統(tǒng)安全風(fēng)險較低,用戶可選擇具備一定FIT (Failure in Time) 分析,符合AEC-Q100標(biāo)準(zhǔn)的芯片。如需保證系統(tǒng)安全等級較高,MPS可提供高達(dá)ASIL-D等級的帶有功能安全的系列芯片。功能安全是實現(xiàn)國際ISO26262定義的汽車安全完整性等級 (ASIL) 的基礎(chǔ),如有需求,用戶可靈活選擇不同產(chǎn)品以配備到當(dāng)前安全等級。與此同時,MPS積極提供涵蓋QM到ASIL等級芯片的相關(guān)安全手冊和技術(shù)支持,來幫助用戶放心選擇,靈活配置。
MPSafe?— 面向系統(tǒng)的安全設(shè)計
直面系統(tǒng)級設(shè)計痛點,聚力解決安全挑戰(zhàn)
隨著人們越來越依賴 ADAS 等自動駕駛技術(shù),安全成為整個系統(tǒng)設(shè)計和開發(fā)過程中面臨的最大挑戰(zhàn)和高度關(guān)注的問題之一。 對于自動駕駛系統(tǒng)中的計算平臺, 為應(yīng)對安全挑戰(zhàn),規(guī)避潛在風(fēng)險,自動駕駛計算平臺應(yīng)始終受到監(jiān)管。穩(wěn)定的供電電壓對于安全正常運行至關(guān)重要。 電壓的任何動態(tài)變化或瞬態(tài)故障都可能導(dǎo)致計算處理器故障。這意味著對于自動駕駛供電系統(tǒng)來說,需要具備提供穩(wěn)定的電壓的能力,同時也應(yīng)具備自身與系統(tǒng)故障監(jiān)測、報告的能力,以保證系統(tǒng)的正常運行。目前,MPSafeTM開發(fā)的系列產(chǎn)品具備的內(nèi)建自測試 (BIST) 、通過冗余的參考電壓和時鐘進(jìn)行自我監(jiān)控等等,力求保證芯片本身的安全狀態(tài)。
1.內(nèi)建自測試 (BIST)
BIST 等集成安全機制,可提供高診斷覆蓋率,以確保每個駕駛周期的可靠性。電壓監(jiān)視器中有兩種形式的 BIST:
1)模擬電路自檢 (ABIST): ABIST 通過向診斷電路注入電流或電壓來執(zhí)行診斷電路故障。該功能驗證診斷電路是否可以在故障和非故障條件之間切換,這表明模擬安全機制運行正常。在此過程中,將檢查所有與安全相關(guān)的比較器和受監(jiān)控的參考電壓。
2)邏輯電路自檢(LBIST):LBIST允許硬件自行測試。LBIST 具有檢測內(nèi)部邏輯電路錯誤的能力。
2.參考電壓監(jiān)測
系統(tǒng)的參考電壓(Reference Voltage)對于芯片的重要性不言而喻,它是芯片中多個電路和模塊正常工作的基礎(chǔ)。在芯片中,多個模塊需要使用參考電壓作為精確電壓控制的基準(zhǔn),例如模擬數(shù)字轉(zhuǎn)換器(ADC)等。若參考電壓不穩(wěn)定,會導(dǎo)致芯片工作不穩(wěn)定、誤差增加及性能降低。因此,參考電壓的好壞對于芯片能否正常運行至關(guān)重要。MPS為保證芯片的參考電壓的精度和穩(wěn)定性,配有參考電壓檢測機制,通過引入冗余參考電壓,對系統(tǒng)參考電壓進(jìn)行監(jiān)督。一旦發(fā)現(xiàn)系統(tǒng)電壓漂移超過預(yù)設(shè)范圍,將拉低并中斷該錯誤。
3.系統(tǒng)時鐘監(jiān)測
系統(tǒng)的時鐘信號是IC中各個電路和模塊的同步信號,以保證各個電路和模塊在正確的時間按照正確的順序執(zhí)行相應(yīng)的操作,例如時鐘信號可以同步計數(shù)器、狀態(tài)機、數(shù)據(jù)采樣及數(shù)據(jù)通信等等。如果時鐘信號出現(xiàn)故障,會導(dǎo)致IC中的電路和模塊無法同步,甚至數(shù)據(jù)丟失、錯誤計數(shù)、狀態(tài)機無法成功跳轉(zhuǎn)、甚至系統(tǒng)崩潰等等問題。因此在IC設(shè)計過程中,時鐘信號的監(jiān)控尤為重要。MPS通過引入一個參考時鐘,與系統(tǒng)時鐘互相監(jiān)測,可以在系統(tǒng)時鐘漂移超過預(yù)設(shè)范圍時,拉低中斷芯片并報告該錯誤。
用于不同安全等級系統(tǒng)的可擴展、模塊化解決方案
MPSafeTM不僅考慮了設(shè)備本身如何處理各種安全案例,安全目標(biāo),還可以通過芯片引腳的兼容性以及配套的安全文件,實現(xiàn)解決方案的可擴展和模塊化功能,以達(dá)到可靠高效快捷的目標(biāo)。解決方案的可擴展性包括滿足不同ASIL安全等級、功能需求和應(yīng)用場景。模塊化包括針對系統(tǒng)不同應(yīng)用模塊設(shè)計要求具有針對性且靈活性功能的產(chǎn)品。可擴展性和模塊化解決方案使得用戶能夠根據(jù)自身的需求,借助不同規(guī)格的芯片,實現(xiàn)多樣化的安全架構(gòu)。
現(xiàn)階段,基于MPSafeTM 開發(fā)流程已發(fā)行了多種涵蓋不同功能的明星產(chǎn)品。通過集成內(nèi)建自測試 (BIST) 以及診斷和寫保護(hù)等復(fù)雜的功能安全特性,這些產(chǎn)品已經(jīng)通過獨立認(rèn)證機構(gòu)的認(rèn)證,支持具有高達(dá) ASIL-D 的最高汽車安全完整性級別的應(yīng)用,符合ISO26262標(biāo)準(zhǔn)。為實現(xiàn)不同安全等級系統(tǒng)的可擴展和模塊化的解決方案,目前一些基于MPSafeTM開發(fā)的適用于自動駕駛平臺智能供電與監(jiān)控的產(chǎn)品有:
1.自動駕駛SoC核心供電:MPQ2967+Intelli-PhaseTM DrMOS
隨著自動駕駛功能的不斷豐富和完善,系統(tǒng)對于主芯片的算力和信息處理能力的要求不斷提高,以滿足更豐富的自動駕駛場景的計算需求。主芯片算力的提高也意味著更高的功耗,系統(tǒng)對于核心供電的要求也更高。
MPQ2967 是一款用于汽車高級駕駛輔助系統(tǒng) (ADAS) 和自動駕駛平臺核心供電的功能安全數(shù)字化雙路多相控制器芯片,它可以與 MPS 的 Intelli-PhaseTM 產(chǎn)品配合使用,以更少的外部組件實現(xiàn)多相調(diào)壓器 (VR) 解決方案。MPQ2967 基于MPS獨特的數(shù)字多相非線性控制,能以最少的輸出電容為負(fù)載階躍提供快速瞬態(tài)響應(yīng)。其集成的多次可編程 (MTP) 存儲器能夠存儲為不同設(shè)計和平臺定制的個性化配置。
MPQ2967支持系統(tǒng)設(shè)計達(dá)到ASIL-D的功能安全等級,其集成了內(nèi)建自測試、時鐘監(jiān)測、寄存器監(jiān)測、存儲器監(jiān)測和糾正、ADC監(jiān)測、狀態(tài)機自檢、I2C通信監(jiān)測和內(nèi)部電壓監(jiān)測等豐富的功能安全保護(hù),保證芯片的可靠高效運行。它還為多相調(diào)壓器提供了輸入電壓、輸出電壓、輸出電流和溫度的實時監(jiān)控和報告功能。用戶可通過數(shù)字化接口靈活設(shè)置和監(jiān)控設(shè)備的配置參數(shù)和故障參數(shù)。
圖4:MPQ2967+Intelli-PhaseTM DrMOS方案框圖
2.電源時序芯片:MPQ79700FS-AEC1
一些高性能 ADAS 上的SoC往往需要電源軌道為內(nèi)部電路供電,如內(nèi)核、內(nèi)存和 I/O等等。這些電源軌道常常需要特定的上下電時序來實現(xiàn)安全的通電和斷電,如上下電順序發(fā)生錯亂,可能會導(dǎo)致意外電壓尖峰、系統(tǒng)無法正常開啟和關(guān)斷甚至燒毀等危險。因此,電源軌道正確有序的上下電對于保證系統(tǒng)的可靠開啟、運行和關(guān)斷有著極為重要的作用。
MPQ79700FS 是一款專為汽車高級駕駛輔助系統(tǒng) (ADAS) 和自動駕駛平臺設(shè)計的 12 通道功能安全電源時序芯片,可為需要多個電源軌道供電的SoC提供必要的上下電時序控制。該設(shè)備的可配置性和靈活性支持跨不同的設(shè)計應(yīng)用。用戶可通過I2C對12個通道進(jìn)行獨立配置每個通道的拉高拉低時序序列。 同時,12個通道中的四個還可以被設(shè)置為GPIO,以滿足用戶的額外需求。MPQ79700FS電源時序芯片包含一個振蕩器,通過驅(qū)動芯片外部晶體震蕩以發(fā)出32.768 kHz的時鐘信號,以及一個具有報警功能的實時時鐘 (RTC)。該芯片還包含可通過 I2C 接口訪問的可配置看門狗,低電平有效的系統(tǒng)復(fù)位以及中斷輸出來保證故障監(jiān)測和報告。
圖5:MPQ79700FS-AEC1 原理框圖
3.電壓監(jiān)控芯片MPQ79500FS-AEC1
MPQ79500FS-AEC1六通道電壓監(jiān)控芯片是一款專為監(jiān)控汽車安全應(yīng)用系統(tǒng)級芯片 (SoC) 的產(chǎn)品。對于SoC來說,超出范圍的電源電壓可能會導(dǎo)致系統(tǒng)運行性能不佳甚至系統(tǒng)故障,因此電壓監(jiān)控芯片在確保受監(jiān)控的電源電壓方面發(fā)揮著關(guān)鍵作用。
MPQ79500FS-AEC1電壓監(jiān)控芯片會在被監(jiān)控電壓超過閾值時檢測過壓 (OV) ,或在電壓降至閾值以下時檢測欠壓 (UV) 。一旦發(fā)生過壓或者欠壓,電壓監(jiān)控芯片會向安全微控制器單元 (Safety MCU) 報告故障,使MCU在故障發(fā)生后能夠及時做出判斷,保證系統(tǒng)的正常運行。MPS79500FS電壓監(jiān)控芯片可以更智能高精度地監(jiān)控六個通道的低頻 (LF) 電壓漂移和高頻 (HF) 電壓噪聲。
1)低頻電壓漂移:由高精度模數(shù)轉(zhuǎn)換器 (ADC) 轉(zhuǎn)換為數(shù)字信號。
2)高頻電壓噪聲:通過高精度比較器,監(jiān)測電壓噪聲或尖峰。
圖 6:發(fā)生 OVHF 和 OVLF 故障事件時的故障檢測
用戶可以通過 I2C 來訪問并配置OV 和 UV 監(jiān)控閾值和受監(jiān)控范圍。圖6顯示了 MPQ79500FS 在發(fā)生 OVHF 和 OVLF 故障事件時的 OVHF、OVLF、UVHF 和 UVLF 監(jiān)控以及故障報告和記錄。
MPQ79500FS具有多個嵌入式通道,為監(jiān)控大量通道的應(yīng)用提供了理想的解決方案。 這增加了用戶使用一個集成電壓監(jiān)控芯片監(jiān)控多軌電壓的靈活性,在保證了被監(jiān)控設(shè)備的安全運行的同時,為用戶節(jié)約了系統(tǒng)空間和降低成本。用戶還可通過同步多個電壓監(jiān)控芯片到同一時序中來監(jiān)控多個電壓監(jiān)控芯片的所有電壓軌。 對于 MPQ79500FS,此序列監(jiān)控同步功能由 /SYNC 引腳啟用,所有電壓軌共享一個同步域。
高效、快捷、成本可控的安全解決方案
高級駕駛輔助系統(tǒng)(ADAS)以其良好的駕駛體驗和安全保障贏得了大量消費者的青睞,除了基本的駕駛需求,消費者對更安全更智能的駕駛有了更高的期待。在新型電動汽車廠商大力推進(jìn)、傳統(tǒng)汽車廠商積極轉(zhuǎn)型的過程中,整個ADAS市場增長迅猛。原有的為高端市場服務(wù)的ADAS技術(shù)的廠商,為更好的迎合市場需求,都在積極尋求向中端甚至低端市場布局。對于汽車廠商而言,只有盡快實現(xiàn)量產(chǎn)跟進(jìn)旺盛的需求才有可能在激烈市場競爭中贏得一席之地。同時,市場需求也大大加速了ADAS技術(shù)的系統(tǒng)迭代。如何利用每一次技術(shù)迭代,高效、快捷、成本可控地跟進(jìn)市場需求,是每一個汽車廠商在這硝煙彌漫的市場競爭中取得成功的重中之重。
針對現(xiàn)如今電動汽車及自動駕駛激烈的飛速發(fā)展和激烈競爭, MPS力求為客戶提供一整套完整的系統(tǒng)供電及監(jiān)控解決方案的同時,從客戶角度出發(fā),與客戶一同高瞻遠(yuǎn)矚,幫助客戶加速開發(fā)進(jìn)程,快速反應(yīng)市場,更好適應(yīng)現(xiàn)階段乃至未來若干代自動駕駛技術(shù)的革新。
圖 7展示了一個位自動駕駛平臺計算中心供電的頂層架構(gòu)。該架構(gòu)為符合 ASIL-D 標(biāo)準(zhǔn)的智能自動駕駛平臺供電與監(jiān)控平臺。 整個架構(gòu)大體分為SoC供電模塊,攝像供電模塊兩部分。MPS提出的解決方案通過采用MPSafeTM開發(fā)流程,在保證功能安全的基礎(chǔ)上,同時能幫助用戶實現(xiàn)高效、快捷和成本可控。
圖8展示了由MPS開發(fā)的具有智能電壓監(jiān)控功能的 MPSafeTM 電源子系統(tǒng)參考設(shè)計板。
圖7:智能電壓供電與監(jiān)控應(yīng)用于自動駕駛平臺的頂層架構(gòu)
圖 8:具有智能電壓監(jiān)控功能的 MPSafeTM 電源子系統(tǒng)參考設(shè)計板
(注:有關(guān)參考設(shè)計的更多信息,請聯(lián)系 MPS)
總結(jié)
隨著自動駕駛技術(shù)的不斷發(fā)展,安全是重中之重,絕不能妥協(xié)。為了自動駕駛的安全和正常運行, MPS提出的智能電源供電系統(tǒng)集成了功能安全、電壓監(jiān)控和安全供電等功能,可以實現(xiàn)高精度、高可靠性和可配置性持續(xù)安全供電與系統(tǒng)監(jiān)測。
參考資料
[1] For more details on MPSafe? Solutions:
MPSafe?解決方案 - 汽車(車規(guī)級) - 產(chǎn)品 (monolithicpower.cn)
[2] A Brief Primer on MPSafeTM, MPS’s Process to Functional Safety Automotive Development. A Brief Primer on MPSafeTM, MPS’s