传统汽车的芯片数量大约在500~600个左右,自动驾驶、新能源车辆的芯片数量大约在1000~1200个,以智能驾驶或者自动驾驶为主的车型,需要的芯片数量高达1500-2000个。每年数百万辆新增的汽车,然后再加上长达十数年的使用寿命,如果其中单个组件或子系统出现故障,都会给消费者和汽车带来严重危害。
当然,并非所有车辆功能都需要具备相同的安全功能(例如视频播放器不需要与制动系统相同),但关键系统依赖于各种既定的可靠性和安全认证。汽车 IC 必须满足的基本标准是 AEC-Q100,该标准确保 IC 能够通过一系列规定的压力测试来应对车辆固有的严酷环境。 这些测试旨在探索设备在极端电气和环境压力下的表现,以验证器件在汽车全部生命周期中都可以正常运行。
简单理解,AEC-Q100所保证的是最基本的器件符合汽车质量要求,不会损坏。但随着汽车行业的快速发展,包括自动化、互联和电气化等技术的引入,器件本身不坏,也不一定保证汽车系统的安全。
为此,ISO 26262认证也变得越来越被重视。相比器件本身质量,ISO 26262侧重功能安全,确保汽车零部件能够在正确时间发挥正确功能。该标准列出了风险分类体系(ASIL),旨在降低电子电气系统故障行为对车辆造成的危害。
AEC认证主要是依靠测试结果,而ISO26262认证方式是流程文档符合要求。目前,越来越多的半导体公司开始注重ISO26262,以配合OEM的新安全要求。
比如MPSafeTM就是 MPS 为汽车产品设计的一种全新、先进的安全开发流程。 该流程已经过独立认证,符合 ISO26262 规定的标准,该标准适用于汽车功能安全产品的设计、开发和生产。
日前,MPS公司功能安全经理 Jing Y. Guo,结合MPSafeTM、ISO 26262等,向国内媒体介绍了汽车安全相关知识。
ISO 26262标准有什么?
Jing强调,要理清ISO26262,需要避免两个误区,首先是功能安全和安全并不是一样,产品质量与安全也不一样。
ASIL的等级是根据三个要素划分,包括Severity(严重度)、Exposure(暴露率)以及 Controllability(可控性)。
严重度就是指驾驶者、乘客或行人受伤害程度,暴露率是指汽车在既定外部环境下发生故障的几率,可控性是表示躲开事故的几率。
如图所示,根据不同的S、E以及C的标准,来达到不同的ASIL等级。
Jing表示,功能安全并不是要保证汽车完全不发生故障,因为故障随机发生,只不过是几率问题,ASIL要做的是确保在发生故障之后,系统可以在发生事故前进入安全状态。这种安全状态需要根据不同场景定义,并不一定是完全将系统关闭。比如ADAS出现问题,系统将会切换到手动驾驶模式,以确保汽车可以开回家。而动力系统出现问题,则需要关闭并快速实现停止。
另外,Jing也表示是人都会犯错,因此ISO制定了一套完整的培训和研发流程对应。
MPS应对之道
在产品的全生命周期内,MPSafeTM可满足功能安全的全部要求,具体而言:
芯片定义
包括芯片功能定义以及芯片安全功能定义。MPS架构团队为该芯片打造所需的功能,同时与MPS安全团队紧密合作,了解芯片功能安全对芯片功能的影响。安全团队负责制定、审查并通过该芯片的安全计划,发布属于该芯片的应用假设,建立芯片开发安全档案。
芯片设计
根据芯片需要满足的系统安全要求,落实该芯片的规格和功能要求。安全团队对该芯片进行定量安全分析(Quantitative Safety Analysis, FMEDA)以评估风险和确保满足系统安全要求等级。芯片设计团队需提供相关性失效分析(Dependent Failure Analysis),进行芯片在IC功能以及安全机制的失效分析。通过仿真、封装失效分析和质量分析,推演和验证不同失效模式机制,分析芯片的安全机制是否符合要求。芯片设计团队还需与芯片验证团队建立完整的芯片验证方案等等。
芯片样品
负责为MPSafeTM提供封装的厂商应严格遵循MPSafeTM流程及要求生产样品,以满足汽车安规等级。整个芯片样品生产的流程受到安全团队的监管,以保证要求与实际生产不存在偏差。
芯片测试
芯片测试包括芯片电气特性测试(Electrical Characterization), 可靠性测试(Reliability Test), IC表征测试(IC Characterization), 实验台功能和电气测试(Road Test Functional and Electrical Verification), 以及使用自动测试设备进行的大规模测试 (ATE Test)等等。一旦这些测试中出现任何失效或问题,团队立刻对失效和问题进行分析并提出解决方案,重新生产新的芯片样本以确保彻底解决问题和规避风险。
成品出货
在以上所有四个步骤都正常进行的过程中,MPS安全团队始终与第三方权威认证机构紧密合作,以确保MPSafeTM 开发流程和生产流程所有设计、测试、生产环节均满足安全要求。所有的环节都会通过权威第三方认证,并发行符合认证的安全证书、手册。完成所有安全应用分析以及认证之后,该芯片将在严格的MPS标准要求下完成所有出货前测试并出货。
简要列举MPSafeTM产品组合
此前MPS主要开发的是模拟电源电路,而为了功能安全需要很多数字控制,MPS几年前开始专注汽车功能安全电源产品,并陆续推出了多款产品,以支持系统达到ASIL-D功能安全等级。
MPS的产品具有如下几点特性:
内建自测试(BIST)
BIST 等集成安全机制,可提供高诊断覆盖率,以确保每个驾驶周期的可靠性。电压监视器中有两种形式的 BIST:
1) 模拟电路自检 (ABIST):ABIST 通过向诊断电路注入电流或电压来执行诊断电路故障。该功能验证诊断电路是否可以在故障和非故障条件之间切换,这表明模拟安全机制运行正常。在此过程中,将检查所有与安全相关的比较器和受监控的参考电压。
2) 逻辑电路自检(LBIST):LBIST允许硬件自行测试。LBIST 具有检测内部逻辑电路错误的能力。
参考电压监测
系统的参考电压(Reference Voltage)对于芯片的重要性不言而喻,它是芯片中多个电路和模块正常工作的基础。在芯片中,多个模块需要使用参考电压作为精确电压控制的基准,例如模拟数字转换器(ADC)等。若参考电压不稳定,会导致芯片工作不稳定、误差增加及性能降低。因此,参考电压的好坏对于芯片能否正常运行至关重要。MPS为保证芯片的参考电压的精度和稳定性,配有参考电压检测机制,通过引入冗余参考电压,对系统参考电压进行监督。一旦发现系统电压漂移超过预设范围,将拉低并中断该错误。
系统时钟监测
系统的时钟信号是IC中各个电路和模块的同步信号,以保证各个电路和模块在正确的时间按照正确的顺序执行相应的操作,例如时钟信号可以同步计数器、状态机、数据采样及数据通信等等。如果时钟信号出现故障,会导致IC中的电路和模块无法同步,甚至数据丢失、错误计数、状态机无法成功跳转、甚至系统崩溃等等问题。因此在IC设计过程中,时钟信号的监控尤为重要。MPS通过引入一个参考时钟,与系统时钟互相监测,可以在系统时钟漂移超过预设范围时,拉低中断芯片并报告该错误。
MPSafeTM 6 通道 ASIL-D 电压监测器
MPQ79500FS 是一款专为汽车安全应用设计的 6 通道电压监测器。每个电压监测器输入都可配置过压 (OV) 和欠压 (UV) 阈值,以同时实现高精度的高频 (HF) 和低频 (LF) 电压监测。
6个输入中的两个为差分远程电压采样输入对。通过选择低功耗模式 (LPM)可以获得超低静态电流(IQ)。MPQ79500FS 可以记录电源序列时间戳和命令,同时具有同步 I/O 功能,用于多器件序列的同步与标记。该器件另外还提供I2C通信接口。
MPSafeTM 12 通道 ASIL-D 电源定序器
MPQ79700FS 是一款 12 通道功能安全电源定序器,专为汽车高级驾驶辅助系统 (ADAS) 和自动驾驶平台而设计,可为整个平台提供必要的控制和电源排序。
该器件提供可配置性与灵活性,能够支持不同应用与片上系统 (SoC) 的跨代设计复用。
MPQ79700FS 包含一个晶体驱动器、一个带报警功能的实时时钟 (RTC)和一个可通过I2C接口访问的可配置监控器(watchdog),同时提供低电平有效的系统复位和中断输出。
MPQ2967 MPSafeTM双路多相控制器
MPQ2967 是一款用于汽车高级驾驶辅助系统 (ADAS) 和自动驾驶平台核心供电的功能安全数字化双路多相控制器芯片,它可以与 MPS 的 Intelli-PhaseTM 产品配合使用,以更少的外部组件实现多相调压器 (VR) 解决方案。MPQ2967 基于MPS独特的数字多相非线性控制,能以最少的输出电容为负载阶跃提供快速瞬态响应。其集成的多次可编程 (MTP) 存储器能够存储为不同设计和平台定制的个性化配置。
MPQ2967支持系统设计达到ASIL-D的功能安全等级,其集成了内建自测试、时钟监测、寄存器监测、存储器监测和纠正、ADC监测、状态机自检、I²C通信监测和内部电压监测等丰富的功能安全保护,保证芯片的可靠高效运行。它还为多相调压器提供了输入电压、输出电压、输出电流和温度的实时监控和报告功能。用户可通过数字化接口灵活设置和监控设备的配置参数和故障参数。
以方案灵活应对ADAS不断更新
Jing强调,MPS之所以开发出种类丰富的电源相关控制及功率级产品,主要是因为目前自动驾驶技术更迭较快,SoC等硬件也随之更新,这时配套的电源管理方案PMIC就要重新更改,而选择MPS的监视器和定序器之后,只需要调整输入输出电压,而无需修改整个的供电子系统,这将简化系统设计。