MPS（Monolithic Power Systems）是一家全球领先的半导体公司，专注于基于芯片的高性能电源解决方案。从刚结束不久的慕尼黑上海电子展来看，MPS的产品和解决方案主要集中在电源相关应用。不过可以看到，这次MPS使出了浑身解数，力推汽车板块的最新的ADAS（包含SoC核心供电DrMOS）、汽车OBC、车灯等前沿方案。最近又推出了MPSafe™开发流程及电源芯片解决方案。
这样的一家公司为什么要做安全开发流程？它和MPSafe™汽车级解决方案系列产品和电源芯片又有什么关系呢？
在日前举办的MPS汽车功能安全产品媒体发布会上，MPS领导汽车和工业功能安全产品全球业务、负责制定汽车和工业功能安全产品规划的功能安全经理Jing Guo分享了公司在汽车功能安全领域的布局、开发流程以及面向系统的安全设计要点。
他指出，MPSafe™是MPS专门为汽车元器件开发的一套全新、先进的产品开发流程，经过了ISO 26262认证。之所以这样做，是为了帮助用户直面系统级设计痛点，应对功能安全挑战，为他们提供用于不同安全等级系统的可扩展、模块化的解决方案。


MPS功能安全经理Jing Guo

何为功能安全？
近年来，汽车行业在追求自动化、互联化、电气化和服务化方面进展迅速，而支撑这些领域各种创新的关键是对功能安全的关注。伴随高等级安全性越来越重要，安全标准也变得越来越严格、具体和层出不穷。
“很多人对功能安全会有一个误区，以为所有跟安全相关的东西都是功能安全，其实不是。”Jing Guo表示，ISO 26262是针对汽车功能安全产品的设计、开发和生产而定义的一套标准。之所以推出这个标准，是因为在汽车自动驾驶应用中，驾乘者与电气电子设备之间的互动逐渐增加，而自动驾驶汽车的安全关键决策变得非常重要，可能对驾乘者的安全造成潜在影响。特别是先进安全技术使系统操作从被动转向主动，汽车的安全驾驶已成为人们关注的焦点和必须解决的问题；此外，随着自动驾驶平台变得越来越复杂，出现了越来越多的系统性或随机硬件故障的风险。应运而生的便是ISO 26262认证的产品开发流程。


最新ISO 26262汽车安全标准关注的风险

ISO 26262功能安全认证是针对汽车电子系统的功能安全性能要求的一项认证，旨在确保汽车电子系统在发生故障时，能够控制风险并减少可能的危害，而由AEC（汽车电子设备委员会）制定的AEC-Q100（汽车集成电路应力测试认证标准）只是汽车IC必须满足的一套基本标准。
汽车安全完整性等级（ASIL）是ISO 26262定义的一组安全等级，它通过严重度、暴露率和可控性三个因素确定了从A到D的等级。相比之下，企业的QM（质量管理）只包括过程导向、可控性和零缺陷等要求，而不涉及安全要求等级。“所谓暴露率定义的是在一个既定的环境中出现安全隐患的几率有多大。”Jing Guo解释道。
具体来看，ASIL A是最易满足的安全等级，例如在交通拥堵中出现意外的启/停故障，其暴露率为E3（平均运行时间的1%至10%），严重度为S1（低速下的轻伤至中度伤害），可控性为C3（因为车距太近，难以避免这类意外）。
ASIL B涵盖轻度至中度条件，例如车辆在高速公路上不由自主地加速。其暴露率为E4（超过平均运行时间的10%），严重度为S3（高速路事故），可控性为C1（驾驶员可以通过制动减速或停车）。
ASIL C涵盖中度至重度条件，例如方向盘在转弯时失控。其暴露率为E4（因为随时会使用方向盘），严重度为S2（重伤但可能存活），可控性为C3（驾驶员较难控制车辆以避免发生事故）。
ASIL D是最难满足的要求，为S3（重伤和致命伤）、E4（高暴露可能性）和C3（基本不可控）的唯一重合点，例如车辆在高速行驶时刹车失灵。其暴露率为E4（驾驶员几乎在每个驾驶周期中都会使用制动系统），严重度为S3（重伤且有死亡可能），可控性为C3（驾驶员很难减速以避免事故）。


汽车安全完整性等级（ASIL）

Jing Guo介绍说，车辆部件失效以及车辆事故包括几个层面：IC失效、ECU失效和车辆事故。只有＜x+y ms才能使汽车处于安全状态。


车辆部件失效及车辆事故

“功能安全并不是说要避免故障，故障是不能避免的，因为它是一个随机的失效，它肯定会发生，只是几率高和低的问题。”他说。“我们要做的就是必须在安全事故发生之前触发安全状态，如果太晚就没有意义了，因为事故已经发生了。”
为了保障安全，就需要引入应该系统安全的概念，它有两方面的内容。
一是失效安全系统，当检测到失效时，触发安全状态。安全状态包含：发动机熄火、空挡、CAN关断、电池断连和放电等，主要应用于引擎控制、挡位控制、BMS。其故障反方式是芯片触发系统定义的安全状态。
二是失效可运行系统，当检测到失效时，在限定的驾驶循环次数内维持系统可运行，需具备冗余功能。安全状态包含：警报、功能降级模式（Limp Home Mode），主要应用于ADAS（L4、L5）、EPS/电力转向系统（steer-by-wire）。故障反应方式是触发系统报警。
那么，如何实现ASIL等级呢？Jing Guo表示，系统性失效应考虑的因素有：训练有素的技术人才、执行良好的研发流程、第三方对研发流程的定期评估和良好的安全文化。随机硬件失效应考虑的因素有：失效率、诊断覆盖率以及硬件评估和验证。

MPSafe™开发流程能力兼备
我们来看看MPS的MPSafe™开发流程是否能够解决上述问题。首先是满足系统性失效应考虑的因素，MPS具备功能安全认证的研发人员，MPSafe团队拥有跨行业专业知识；有第三方认证的ASIL D研发流程，包括TUV-SUD的年度审核，以及年度内外部FuSa培训。
在随机硬件失效处理方面，针对失效率，所有的MPSafe™产品的PMHF（硬件随机失效度量指标）均低于ASIL目标的10%。例如，MPSafe ASIL D产品的PMHF小于1 FIT（失效率），而ASIL D要求为10 FIT。
针对诊断覆盖率，MPS内建BIST（自测试）→ABIST（模拟电路自检）和LBIST（逻辑电路自检）、参考电压监测、时钟监测、存储监测和通信监测。
为了硬件评估和验证，MPS要进行FMEDA（失效模式、影响及其诊断分析）、FTA（故障树分析）、DFA（相关性失效分析），以及TUV-SUD第三方产品的功能安全评估/验证。

ADAS MPSafe™解决方案功能安全通吃
Jing Guo介绍了两个比较典型的产品。一个是自动驾驶SoC（系统级芯片）核心供电解决方案的电源时序芯片MPQ79700FS。它是一款专为ADAS和自动驾驶平台设计的12通道功能安全电源时序芯片，可为需要多个电源轨供电的SoC提供必要的上下电时序控制，其可配置性和灵活性支持跨不同的设计应用。


电源时序芯片MPQ79700FS框图

用户可通过I²C对12个通道进行独立配置时序，每个通道都可以拉高拉低。同时，12个通道中的4个还可以设置为GPIO，以满足用户的额外需求。MPQ79700FS电源时序芯片包含一个振荡器，通过驱动芯片外部晶振发出32.768 kHz时钟信号，另有一个具有报警功能的实时时钟（RTC）。该芯片还包含可通过I²C接口访问的可配置看门狗，通过低电平有效系统复位以及中断输出保证故障监测和报告。
另一个六通道电压监控芯片MPQ79500FS是专为监控汽车安全应用开发的SoC。该器件可在被监控电压超过阈值时检测过压（OV），或电压降至阈值以下时检测欠压（UV）状态。一旦发生过压或欠压，就会向安全微控制器单元（Safety MCU）报告故障，及时做出判断，保证系统的正常运行。它可以高精度监控六个通道的低频（LF）电压漂移和高频（HF）电压噪声。




电压监控芯片MPQ79500FS及其OVHF和OVLF故障检测

最后一个是MPSafe™ ADAS完整电源解决方案，它包括上面介绍的两款产品。Jing Guo表示，针对“安全关键型”汽车应用，MPS基于自主开发的MPSafe™开发流程推出了MPSafe™汽车级解决方案系列产品，以应对自动驾驶平台中的安全挑战，为自动驾驶平台提供了符合ISO 26262安规标准及ASIL D等级要求的供电与监控系统。



他强调，随着自动驾驶功能的不断丰富和完善，系统对主芯片的算力和信息处理能力的要求不断提高，以满足更丰富的自动驾驶场景的计算需求。主芯片算力的提高也意味着更高的功耗，系统对于核心供电的要求也更高。
如今，在电动汽车及自动驾驶的飞速发展和激烈竞争中，用户在加速ADAS技术迭代代时也面临着诸多挑战。如何利用每一次技术迭代，高效、快捷、成本可控地跟进市场需求，是每一家汽车厂商获得成功的重中之重。
MPSafe™汽车级解决方案是从用户角度出发，基于MPSafe™开发流程打造的一整套完整的系统供电及监控解决方案，有助于用户简化SoC升级的过程，在节省成本的同时缩短产品上市时间，更好适应现阶段乃至未来若干代自动驾驶技术的革新。他自信地说：“所有的客户在使用不同自动驾驶芯片供应商的芯片时，都可以选择MPS的电源解决方案。”