中电网移动|移动中电网|高清图滚动区

MPSafe 为电动汽车、自动驾驶功能安全保驾护航

在交通领域电动汽车的发展成为推动碳排放、碳达峰的一项重要措施,不仅如此,其在追求自动化、互联化、电气化、服务化方面取得了重要突破,据相关报道,“2022年,全球电动车销量为1000万辆,预计今年销量将增长35%,达到1400万辆”。在这种爆发性增长的态势下,复杂的电子电气系统中,功能安全已然成为该领域的重中之重,同时功能安全也是辅助驾驶和自动驾驶系统中不可缺少的组成部分。

何为功能安全?

功能安全国际标准ISO26262将功能安全定义为:避免因电子电气系统故障而导致不合理的风险。即随机硬件失效和系统性失效不会导致安全系统的错误功能,而导致人员的伤害死亡。通俗来讲,复杂的电子电气系统,为驾驶员提供了各种的辅助,比如像ABS、定速巡航等功能,以往驾驶员的责任在电动汽车中则由电子系统来完成,因此任何的电子系统都有可能会带来安全问题。

ISO26262国际标准按严重性(Severity)、暴露度(Exposure)和可控性(Controllability)评估危害事件的风险级别将功能安全分为ASIL ABCD四个等级。

如上图,Severity在车辆遇到事故后,根据车内外的人员受伤程度而定义严重性;Exposure是指车辆行驶在不同的环境下而造成的不同级别的故障;而Controllability则是指在既定的情况发生故障,作为驾驶员也好,乘客也好,能对这个故障有多少的可控性。综上所述ASIL ABCD 的级别便可从对应的交叉点上获取。由此可见,当三个因素均为最高时则达到功能安全的最高级别-ASIL D。

安全如何保障?

需要提醒的是功能安全并非是要避免故障,故障是不能避免的,我们要做的是在发现这故障的时候如何处理?这里要提到“安全状态”的定义,即在故障发生之前,系统转到安全状态上,驾驶员则可以对汽车做出控制。OEM在定义一个危险等级的时候同时也将反应时间考量进来。确保在事故之前有一定的时间去触发安全状态。

想要使得这些故障隐患尽可能地消灭在萌芽之中,就必须从产品的开发设计验证阶段开始。此文将为您介绍专注于高性能模拟集成电路和混合信号集成电路的设计、研发、制造和销售的领导厂商MPS在针对功能安全方面提出了MPSafeTM 的概念和开发流程,并且出了一系列MPSafeTM 汽车级解决方案系列产品。在前不久的新闻发布会上,MPS高级功能安全经理Jing Guo为大家分享的该方面信息。

MPSafe 助力汽车功能安全

MPS深耕汽车领域多年,特别是针对现今的电动车以及未来的全自动驾驶,推出了先进的解决方案。在受关注度较高的功能安全方面,MPS不仅推出了全新的针对功能安全方面的产品,就公司自身来说也严格按照ISO26262 标准执行。

我们所说的功能安全其实并不只是功能上要有冗余,同时还要考量系统性失效和随机硬件失效所带来的安全隐患。所谓的系统性失效是在研发的过程中人为的错误。对此,MPS有严格定义的流程,并且通过 TUV-SUD认证。定期邀请TUV-SUD讲师为工作人员进行培训,同时展开内外部多形式的培训。另外在产品研发上,会有专职人员来监控工程师是否有按照研发流程进行。TUV也会不定期巡视监督。

针对于随机硬件失效,MPS相当严谨,甚至低于国际ISO26262的要求。Jing透露,ISO26262要求ASIL D等级的故障率为10FITs,而MPS则要求自己产品低于1 FIT。

在自动驾驶中稳定的供电电压对于安全正常运行至关重要 电压的任何动态变化或瞬态故障都可能导致计算处理器故障。这意味着对于自动驾驶供电系统来说,需要具备提供稳定的电压的能力,同时也应具备自身与系统故障监测、报告的能力,以保证系统的正常运行。目前,MPSafeTM开发的系列产品具备的内建自测试 (BIST) 包括模拟电路自检 (ABIST)与逻辑电路自检(LBIST)、MPS为保证芯片的参考电压的精度和稳定性,配有参考电压检测机制,通过引入冗余参考电压,对系统参考电压进行监督。一旦发现系统电压漂移超过预设范围,将拉低并中断该错误、通过引入一个参考时钟,与系统时钟互相监测,可以在系统时钟漂移超过预设范围时,拉低中断芯片并报告该错误。

MPSafeTM 开发流程的基本五个步骤

在开发流程上MPS可谓是严格把控层层监督,让我们从以下五个流程上进一步加深对MPSafe的了解。

订单操作时间线

芯片定义:无论是芯片功能定义还是芯片安全功能定义。MPS架构团队与MPS安全团队紧密合作,了解芯片功能安全对芯片功能的影响。MPS架构团队为芯片打造所需的功能,安全团队负责制定、审查并通过该芯片的安全计划,发布属于该芯片的应用假设,建立芯片开发安全档案。

芯片设计:根据芯片需要满足的系统安全要求,落实该芯片的规格和功能要求。安全团队对该芯片进行定量安全分析以评估风险和确保满足系统安全要求等级。芯片设计团队需提供相关性失效分析,进行芯片在IC功能以及安全机制的失效分析。通过仿真、封装失效分析和质量分析,推演和验证不同失效模式机制,分析芯片的安全机制是否符合要求。芯片设计团队还需与芯片验证团队建立完整的芯片验证方案等等。

芯片样品:负责为MPSafeTM 提供封装的厂商应严格遵循MPSafeTM流程及要求生产样品,以满足汽车安规等级。整个芯片样品生产的流程受到安全团队的监管,以保证要求与实际生产不存在偏差。

芯片测试:芯片测试包括芯片电气特性测试、可靠性测试,IC表征测试,实验台功能和电气测试 ,以及使用自动测试设备进行的大规模测试等等。一旦这些测试中出现任何失效或问题,团队立刻对失效和问题进行分析并提出解决方案,重新生产新的芯片样本以确保彻底解决问题和规避风险。

成品出货:在以上所有四个步骤都正常进行的过程中,MPS安全团队始终与第三方权威认证机构紧密合作,以确保MPSafeTM 开发流程和生产流程所有设计、测试、生产环节均满足安全要求。所有的环节都会通过权威第三方认证,并发行符合认证的安全证书、手册。完成所有安全应用分析以及认证之后,该芯片将在严格的MPS标准要求下完成所有出货前测试并出货。

以上信息来自官方新闻稿。

发布会当日Jing 还向记者分享了三款MPSafeTM  的新产品以及适用于ADAS的先进方案

MPSafeTM数字化双路多相控制器-MPQ2967,实现更高的输出电流

MPQ2967 是一款用于汽车高级驾驶辅助系统 (ADAS) 和自动驾驶平台核心供电的功能安全数字化双路多相控制器芯片,它可以与 MPS 的 Intelli-PhaseTM 产品配合使用,以更少的外部组件实现多相调压器 (VR) 解决方案。MPQ2967支持系统设计达到ASIL-D的功能安全等级,其集成了内建自测试、时钟监测、寄存器监测、存储器监测和纠正、ADC监测、状态机自检、I2C通信监测和内部电压监测等丰富的功能安全保护,保证芯片的可靠高效运行。它还为多相调压器提供了输入电压、输出电压、输出电流和温度的实时监控和报告功能。用户可通过数字化接口灵活设置和监控设备的配置参数和故障参数。


MPQ2967+Intelli-PhaseTM DrMOS方案框图

MPSafeTM电源时序芯片-MPQ79700FS-AEC1

该芯片针对自动驾驶的SoC而研发,主要控制上下电时序,为12 通道功能安全电源时序芯片,当出现错误时报错。MPQ79700FS电源时序芯片包含一个振荡器,通过驱动芯片外部晶体震荡以发出32.768 kHz的时钟信号,以及一个具有报警功能的实时时钟 (RTC)。该芯片还包含可通过 I2C 接口访问的可配置看门狗,低电平有效的系统复位以及中断输出来保证故障监测和报告。


MPQ79700FS-AEC1 原理框图

值得一提的是该芯片为MPS第一款时序器芯片

MPSafeTM6通道电压监控芯片-MPQ79500FS-AEC1

该芯片是一款专为监控汽车安全应用系统级芯片,不仅可以监控输出电压,同时还可以监控时序。对于SoC来说,超出范围的电源电压可能会导致系统运行性能不佳甚至系统故障,因此电压监控芯片在确保受监控的电源电压方面发挥着关键作用。该芯片在监测到发生过压或者欠压现象,会向安全微控制器单元报告故障,使MCU在故障发生后能够及时做出判断。MPQ79500FS可以监测六个通道的低频电压漂移和高频电压噪声。

Diagram

Description automatically generated
发生 OVHF 和 OVLF 故障事件时的故障检测

用户可以通过 I2C 来访问并配置OV 和 UV 监控阈值和受监控范围。上图显示了 MPQ79500FS 在发生 OVHF 和 OVLF 故障事件时的 OVHF、OVLF、UVHF 和 UVLF 监控以及故障报告和记录。

MPSafeTM ADAS解决方案

MPS还分享了一款 ADAS解决方案,以上三个产品都有被采用到该方案中,在自动驾驶快速发展的今天,SoC的更新迭代也变的频繁,无论更换哪一个SoC影响的只是它的输入输出电压,采用该方案,用于安全功能的电压监视器、时序器,是不需要被更换的,这样一来只需更新LDO、PMIC就可以了,这些产品不一定必须是符合ASIL D等级,这样大大降低了系统成本。

下图展示了自动驾驶平台计算中心供电的顶层架构。该架构为符合 ASIL-D 标准的智能自动驾驶平台供电与监控平台。整个架构大体分为SoC供电模块,摄像供电模块两部分。MPS提出的解决方案通过采用MPSafeTM开发流程,在保证功能安全的基础上,同时能帮助用户实现高效、快捷和成本可控。

在汽车电动化、自动化高速发展的今天,汽车上的电子电气系统也变得日趋复杂,功能安全系统也越来越受到重视。各大车企都希望寻找到一整套好的功能安全解决方案。MPS在汽车领域深耕多年,无论在管控环节还是在技术储备上都严谨执行标准要求。面对现今电动汽车和自动驾驶所面临挑战,提出的智能电源供电系统集成了功能安全、电压监控和安全供电等功能,可以实现高精度、高可靠性和可配置性持续安全供电与系统监测,为自动驾驶保驾护航。

猜你喜欢
中电网移动|移动中电网|频道导航区