满足QM到ASIL-D汽车功能安全,MPS发布多款电源芯片产品
2023-08-24
10:15:35
来源: 半导体行业观察
点击
近两年,汽车行业最引人关注的发展莫过于新能源汽车领域的高速增长,这一趋势在全球范围内均显著。新能源汽车在自动化、互联化、电气化和服务化等方面都取得了显著进步,而这背后最关键的支撑力量,是对功能安全的持续关注。
MPS公司深耕汽车领域多年,也高度重视汽车功能安全。为此,MPS专门推出了MPSafe产品,来助力汽车功能安全。
汽车功能安全不是那么简单
近年来,随着汽车逐渐引入各种驾驶辅助系统,如ABS和定速巡航系统等,驾驶员的责任逐渐被转移到了汽车的电子系统上,因此功能安全的重要性也随之提高。
那么什么是功能安全?据MPS 的专家功能安全经理 Jing的介绍,它的概念经常被误解。很多人认为任何与安全相关的事物都是功能安全,但实际上,并不是所有的安全问题都与功能安全有关。另外,功能安全并不等同于质量,尽管两者都关乎安全,但功能安全更偏向于在紧急情况下确保汽车的行驶安全。
当提到功能安全时,ASIL (Automotive Safety Integrity Level) 是一个不可或缺的评估标准,它由Severity(严重度)、Exposure(暴露率)和Controllability(可控性)三个因素决定。
接下来的问题是如何保证功能安全呢?Jing介绍到,这里也有一个误区,功能安全意味着要避免故障。但实际上,我们无法避免所有的故障,因为许多故障只是随机的。我们的重点不应该是避免故障,而是应该强调当故障发生时如何处理。
在功能安全的领域里,MPS定义了所谓的“安全状态”。这意味着,如果出现故障,我们的系统或车辆应该进入这种安全状态。具体进入哪种安全状态取决于哪种类型的故障。例如,如果动力系统出现故障,我们可能需要将车辆从自动挡切换到空挡,并随后停止动力输出,以便驾驶员能够控制车辆并使其停止。不同的系统可能有其独特的安全状态。
当我们检测到故障并触发安全状态时,是否就万事大吉了呢?答案是否定的。除了上述措施,我们还要考虑反应时间。当OEM定义一个风险时,他们不仅要定义ASIL评级,还要定义故障发生后多久会变成真正的车辆事故。因此,我们的目标应该是在事故发生之前触发安全状态。如果反应过慢,那么这一切都将毫无意义,因为事故已经发生。
Jing补充道,许多人错误地认为安全状态只是关闭系统或集成电路。但实际情况要复杂得多。我们要明确是什么类型的系统。有些系统是“Fail Safe”的,意味着在出现故障时可以安全地关闭。但还有些系统,例如全自动驾驶系统,是“Fail Operation”的。在这种系统中,驾驶员无法干预,因此这种系统的安全状态必须能够继续运行,即使主要系统出现故障。这需要有冗余的系统设计,确保即使一个系统失效,另一个也能接管,保障安全。因此,当我们考虑功能安全时,必须考虑是哪种类型的系统,并确定是触发预定义的安全状态还是需要冗余系统来接管。
更深入地,它还涉及对两大故障类型的理解和处理:Systematic Failure(系统性故障)和Random Failures(随机故障)。
系统性故障发生在开发过程中,往往是由于人为错误而引起的。毕竟,每个人都有可能犯错。关键在于如何最大限度地避免这类错误。有效的策略包括专业培训、严格的开发流程和定期的评估。因此,当我们听到某公司声称拥有ASIL D的开发流程时,其背后的含义是该公司已经建立了一套方法论来处理和避免系统性故障。
与此相对的是随机故障,这类故障不是由开发过程中的错误引起的,而是由元器件的突然失效或损坏导致的。这涉及到两个主要问题:元器件失效的概率有多大?以及我们的安全机制可以覆盖多少这样的失效?换句话说,我们是否能够检测并应对所有可能的元器件失效,还是只能处理其中的一部分?与此相关的另一个重要话题是安全机制的覆盖率,即我们的安全策略在多大程度上能够确保系统在出现故障时仍然可以安全运行。
MPS的功能安全策略
MPS利用自主开发的MPSafe开发流程(已被权威认证机构TUV-SUD认证),提出并研发了一套完整的解决方案,以应对自动驾驶平台中的安全挑战。该解决方案为自动驾驶平台提供了符合 ISO26262安规标准的供电与监控系统。
据Jing的介绍,MPS针对系统性故障,已经建立了TUV-SUD认证的明确流程。我们不仅有定期的内部培训,还邀请TUV-SUD的专家来指导,为期4至5天的培训,确保员工通过考试并获得相应证书。每年至少进行两到三次此类培训。我们的研发流程也受到严格的监管。特别设置的团队会确保研发活动遵循公司的规定流程。TUV每年都会评估我们的开发流程,确保其真实性和有效性。
对于随机故障,MPS对失效率有非常严格的要求。虽然ISO 26262对ASIL D的要求是10 FITs,但我们对产品的标准更高,要求低于1 FIT。原因是,虽然整车故障并不总是因为IC故障,但IC是汽车系统的一个重要部分,其失效率不能接近整体要求。为了确保功能安全,我们的产品在上电或下电时必须进行自检。此外,我们还会检查模拟电路和逻辑电路。
此外,共享资源问题也得到了MPS的关注。在其产品设计中,考虑到多个功能可能共享相同的资源,如参考电压、电源、时钟等。MPS已经解决了这些共享资源可能带来的问题,包括双时钟检测、内存检测机制、CRC通信检测等,以确保更高的故障覆盖率。
评估也是关键。目前,MPS主要使用FMEDA和FTA两种方法,一个是从底部到顶部的方法,另一个是从顶部到底部的方法。这两种方法相结合,能够更全面地评估潜在的故障点。
除了内部的流程和检测,MPS还与第三方合作,进行独立评估,确保MPS的产品和流程达到最高的标准。第三方评估可以更客观地找出MPS可能忽略的问题。Jing指出。
发布多款MPsafe产品
MPS公司引入了一系列创新的电源控制产品,专为高性能的系统控制器设计。而且基于MPSafe开发流程提出的智能供电与监控解决方案和相关芯片,实现了从QM到汽车最高安全等级ASIL-D级的规定。
MPQ2967 是一款用于汽车高级驾驶辅助系统 (ADAS) 和自动驾驶平台核心供电的功能安全数字化双路多相控制器芯片,它可以与 MPS 的 Intelli-PhaseTM 产品配合使用,以更少的外部组件实现多相调压器 (VR) 解决方案。MPQ2967 基于MPS独特的数字多相非线性控制,能以最少的输出电容为负载阶跃提供快速瞬态响应。其集成的多次可编程 (MTP) 存储器能够存储为不同设计和平台定制的个性化配置。
MPQ2967+Intelli-PhaseTM DrMOS方案框图
MPQ2967支持系统设计达到ASIL-D的功能安全等级,其集成了内建自测试、时钟监测、寄存器监测、存储器监测和纠正、ADC监测、状态机自检、I2C通信监测和内部电压监测等丰富的功能安全保护,保证芯片的可靠高效运行。它还为多相调压器提供了输入电压、输出电压、输出电流和温度的实时监控和报告功能。用户可通过数字化接口灵活设置和监控设备的配置参数和故障参数。
MPQ79700FS 是一款专为汽车高级驾驶辅助系统 (ADAS) 和自动驾驶平台设计的 12 通道功能安全电源时序芯片,可为需要多个电源轨道供电的SoC提供必要的上下电时序控制。该设备的可配置性和灵活性支持跨不同的设计应用。用户可通过I2C对12个通道进行独立配置每个通道的拉高拉低时序序列。 同时,12个通道中的四个还可以被设置为GPIO,以满足用户的额外需求。MPQ79700FS电源时序芯片包含一个振荡器,通过驱动芯片外部晶体震荡以发出32.768 kHz的时钟信号,以及一个具有报警功能的实时时钟 (RTC)。该芯片还包含可通过 I2C 接口访问的可配置看门狗,低电平有效的系统复位以及中断输出来保证故障监测和报告。
MPQ79700FS-AEC1 原理框图
MPQ79500FS-AEC1六通道电压监控芯片是一款专为监控汽车安全应用系统级芯片 (SoC) 的产品。该芯片会在被监控电压超过阈值时检测过压 (OV) ,或在电压降至阈值以下时检测欠压 (UV) 。一旦发生过压或者欠压,电压监控芯片会向安全微控制器单元 (Safety MCU) 报告故障,使MCU在故障发生后能够及时做出判断,保证系统的正常运行。MPS79500FS电压监控芯片可以更智能高精度地监控六个通道的低频 (LF) 电压漂移和高频 (HF) 电压噪声。
不单单是芯片产品和提供一整套完整的系统供电及监控解决方案,MPS还在帮助客户加速开发进程。
下图是一个位自动驾驶平台计算中心供电的顶层架构。该架构为符合 ASIL-D 标准的智能自动驾驶平台供电与监控平台。整个架构大体分为SoC供电模块,摄像供电模块两部分。MPS提出的解决方案通过采用MPSafe开发流程,在保证功能安全的基础上,同时能帮助用户实现高效、快捷和成本可控。与此同时,MPS还提供了具有智能电压监控功能的 MPSafe电源子系统参考设计板。
具有智能电压监控功能的 MPSafeTM 电源子系统参考设计板
结语
随着汽车技术的进步,确保功能安全和提供稳定的电源解决方案变得更加重要。MPS通过深谙对汽车功能安全的理解,将其智能电源供电系统集成了功能安全、电压监控和安全供电等功能,更好的助力智能汽车的发展。
责任编辑:sophie
相关文章
- 半导体行业观察
- 摩尔芯闻