MPS 功能安全汽车开发流程MPSafe™ 简介

市场应用解决方案 汽车电子完整解决方案
1

概述

MPSafe™是 MPS 专为汽车元器件开发的一套全新、先进的安全开发流程。该流程已通过独立认证,且符合 ISO26262标准。ISO26262是针对汽车功能安全产品的设计、开发和生产而定义的一套标准。

汽车行业在追求自动化、互联化和电气化的交通运输未来道路上快速发展,而驾驶任务也交付给了智能、富感应的计算机系统。为达成这个目标,汽车行业不断进步,安全标准也愈发严苛、具体和新颖。对于驾驶这样安全攸关的汽车应用来说,MPSafe™流程能够控制 MPS 所有相关集成电路的开发,从而确保生产出合适的产品以适应安全标准。

汽车标准:AEC-Q100

汽车公司每年都会销售出数百万辆的汽车,车队中使用的任何一个元件或子系统出现故障,都可能导致危险,产生法律问题,甚至对消费者造成严重伤害。尽管并非所有车辆功能都具有相同的安全功能(例如,视频播放器不需要与制动系统具有同等级别的安全功能),但关键系统仍依赖于各种既定的可靠性与安全认证。

AEC-Q100就是汽车 IC 必须满足的一套基本标准,该标准通过规定的一系列压力测试,确保 IC 能够应对车辆环境中固有的严苛条件。 测试的目的是考察设备在面临极端电气和环境压力时的表现,最终验证设备不仅在车辆售出的那一天能够正常运行,而且在车辆的整个合理寿命期间都能正常运行。通过 AEC-Q100 认证是所有 MPS 汽车产品必经的门槛,而所有MPSafe™产品也以通过这一基本要求为起点。

汽车安全完整性等级 (ASIL)

汽车安全完整性等级 (ASIL) 是 ISO26262 中定义的一组安全等级,它通过严重度、暴露率和可控性三个因素确定了从 A 到 D的等级:

  • 严重度:如果发生故障,后果是什么?它会影响驾驶员、乘客和/或车外人员吗?级别如下:
    • S1(轻伤或中等伤害)
    • S2(重伤但可能存活)
    • S3(重伤和致命伤)
  • 暴露率:系统会暴露于这种特定环境或情况的可能性如何?级别如下:
    • E1(非常低)
    • E2(低)
    • E3(中)
    • E4(高)

例如,汽车在高速公路上行驶的暴露率被认定为 E4,因为这是车辆的常见环境。

  • 可控性:如果发生故障,车辆周围或操作车辆的人员能够避免伤害和/或损坏的难易程度如何? 级别如下:
    • C1(可控)
    • C2(一般可控)
    • C3(几乎不可控)

结合这三个因素,很容易确定出ASIL 等级(见图 1)。

图 1:ASIL 需求

质量管理(QM)属于没有安全要求的等级。

ASIL A 是最易满足的安全等级。例如在交通拥堵中出现意外的启/停故障,其暴露率为 E3(平均运行时间的 1% 至 10%),严重度为 S1(低速下的轻伤至中度伤害),可控性为 C3(难以避免这类意外,因为车距太近)。

ASIL B涵盖了轻度至中度条件,例如当车辆在高速公路上不由自主地加速。 在这种情况下,暴露率为 E4(超过平均运行时间的 10%,因为汽车几乎在每个驾驶周期中都会加速),严重度为 S3(高速路事故),可控性为 C1(驾驶员可以通过制动减速或停车)。

ASIL C 涵盖中度至重度条件,例如方向盘在转弯时失控。在这种情况下,暴露率为E4(因为随时会使用方向盘),严重度为S2(重伤但可能存活),可控性为C3(驾驶员较难控制车辆以避免发生事故 )。

ASIL D是最难满足的要求,是S3(重伤和致命伤)、E4(高暴露可能性)和 C3(基本不可控)的唯一重合点,例如车辆在高速行驶时刹车失灵。在这种情况下,暴露率为 E4(驾驶员几乎在每个驾驶周期中都会使用制动系统),严重度为 S3(重伤且有死亡可能),可控性为 C3(驾驶员很难减速以避免事故)。

MPSafe™能够支持产品应用于全部 ASIL 等级范围内的系统。

MPSafe™流程

MPSafe™从概念阶段开始就汇聚了众多经验丰富的安全专家和 IC 专家,而一个恰当和充分的启动概念无疑有助于安全审核的成功、准时的交付计划以及良好的成本管理。

最初定义元件时,必须先解决一些基本问题。 首先是顶层需求,例如车辆和系统需求。如前所述,安全论证始终从车辆/系统级别开始。因此,有必要定义明确的车辆/系统安全需求,然后再定义适当的 IC 需求。顶层需求明确了,才能确定 IC 级别的需求,即才能决定如何定义您的 IC 以满足顶层需求。换句话说,前两个问题通常用于解决“车辆需要什么?” 接下来才是,“满足这些需求将需要什么?”

IC的设计从一开始就必须满足这些IC需求。为确保不出错,额外的审查将贯穿整个定义和设计阶段,因为即使是一个简单的复制/粘贴错误,都可能导致后面的实施阶段产生问题。

而且,在整个流程中都应考虑这些 IC 需求,因为设计人员最终都要将需求移交给应用工程师 (AE)。而开放的沟通渠道可确保应用工程师避免设计人员可能忽略的错误。IC 设计人员可能知道如何根据详细需求构建元件,但他们无法纵观全局。因此,IC 设计人员可能无法完全理解 ,取决于环境的不同,IC的实现会如何影响整个系统甚或导致设备故障。此外,想要使用该元件的客户可能也不知道其设计的确切需求。因此,所有相关者都应了解每个元件的最终需求,这一点至关重要。

图 2 所示为MPSafe™流程,其中包括五个功能安全管理 (FSM)关口,从 FSM_0到 FSM_4 。

883×634 163 KB

图2: MPSafe™流程

MPSafe™遵循5个阶段的细致流程,如下所详述。

FSM_0: 概念

概念阶段要求最高,因为这是最易出现人为错误的阶段。具体包括以下内容:

  • 定义每个参与者的角色
  • 发布并通过安全计划
  • 发布系统安全概念的设想
  • 对每个安全案例均通过合理组织的流程管理所有文档
  • 采用第三方来确认安全与开发措施
  • 审查整个流程和安全计划,以确认元件已准备好进行设计

FSM_1:设计/实施

设计阶段用于验证所有功能报告,具体内容涵盖在如下的步骤中:

  • 定义满足设想系统安全概念的 IC 安全需求
  • 执行相关故障分析 (DFA) 以减少 IC 功能和安全机制之间的常见故障
  • 执行定量安全分析 (FMEDA) 以确保 IC 设计满足系统分配的安全目标(PMHF、SPFM 和 LFM)
  • 确认所有开发工具均根据ISO26262 标准进行分类且合规
  • 如果项目有任何可重复使用的 IP,则执行影响分析和风险评估
  • 通过仿真来验证定量安全分析中定义的诊断有效性
  • 对单点故障和常见故障进行仿真结果分析、封装故障分析和定性分析,同时验证安全需求
  • 充分定义道路测试用例,以及用于创建产品的工具
  • 第三方确认审核

FSM_2: 取样

取样阶段过程也就是对元件的取样过程。装配制造商可遵循MPSafe™和其他的汽车级需求指导。该信息由功能安全经理确认,有任何偏差都需要立即审核。

FSM_3: 验证与确认

设计验证和确认阶段完成元件测试、验证及其结果的捕获与测量。这些测试涵盖了电气认证和可靠性认证、IC 表征、RT 功能和电气验证,以及 ATE 测试。所有的安全机制及其相关诊断范围都必须在此阶段验证。如果出现任何故障或问题,都将进行影响分析以做出必要的更改,然后再创建一个新样本来解决问题。

FSM_4:投入生产

在根据 MPS 标准执行完所有监测和评估测试,并评估了测试覆盖率之后,产品即可投入生产。功能安全经理和指定的第三方可一同确认所有安全相关审查,以及所有需要的审查或测试。所有安全论证都必须记录在安全案例中,并存档至少 15 年。直到安全用例完成并发布,产品才能投入生产。

年度审核

MPSafe™流程每年都会经过第三方评估者的年度审核,以证明该流程并验证在整个设计/生产过程中没有产生偏差。MPS 放弃采用内部审核以实现对安全的承诺,以前所未有的透明度,确保了元件始终满足安全需求。

降低人为失误

元件设计可能有两种失效途径:随机失效和人为失误。随机失效意即每个电气元件都有可能失效,即使经过严格的测试和认证也是如此。设计人员会通过设计失效保护和额外的安全功能来确保随机失效不会带来安全隐患。人为失误则指在整个设计过程中出现的拼写错误、理解错误或其他错误。而MPSafe™的目的就是创建一个拟定协议,在设计人员设计前瞻性设备时,减少人为失误的可能性。因为人不可避免地会犯错误,所以定义一个充分的开发流程来规避这类错误十分重要。

人为失误涵盖了范围广泛的意外事件,其后果从轻微到严重不等。例如,每项设计都需要仿真以确保设计符合其预期规格,如果元件设计人员同时也执行仿真,那么设计人员在设计过程中不太可能发现任何问题或差池。在这种情况下,应由另一位工程师检查仿真,以在解决方案分享出去之前确保IC 的设计是符合要求的。这种额外的审查提供了独立思考,从而可以发现设计人员在设计过程中可能出现的任何错误。而且,为了在高质量的解决方案基础之上锦上添花,MPS 还采用第三方来确认所有产品都符合相关的安全要求。

当元件被用于超出其测试范围的系统时,则可能出现更深层次的人为失误示例。 例如一个在电压降至 4V 以下即触发欠压保护 (UVP)的元件。将该元件用于一个并非专用的系统中,该系统的欠压保护阈值可能需要降至 2V,而这可能导致元件失效,因为在不触发安全保护的情况下,该元件无法降至 4V 以下。

不明确的安全系统目标也可能导致错误,因为以“最高安全性”为目标只会增加成本、上市时间和复杂性,而生产出的元件也不能满足系统特定的需求。一个项目在特定的阶段可能有不同的审查需求,安全经理可以遵循MPSafe™来确定在流程的任一时刻,项目的确切审查需求。例如,测试样本和数据可能需要多名专家评审员来评审,而原理图则可能只需要一名工程师提供技术评审即可。这样,设计过程中的每个步骤都有其特定的规范,从而最终实现上市时间的最小化。

结论

凭借以安全为导向的思维方式,MPS构建的系统架构不仅安全,而且可定制且可快速推向市场。MPSafe™流程的推出有助于避免人为失误,确保MPS 器件轻松满足安全需求。通过该流程生产出的汽车产品能够满足日益严苛的汽车安全认证,未来还将涵盖更多的产品,包括精密传感器、数字可编程电源变换器、电机驱动器、电压监视器和用于大电流解决方案的定序器、LED 驱动器等。

> 如有相关需求可点击 MPS NOW 在线技术支持, 工程师将为您直接提供项目技术支持服务

> 查看更多技术资源可访问: Resource Center (monolithicpower.cn)