上一期我们给大家科普了功能安全的概念以及它的等级划分,那是不是只要了解这些就能造出汽车功能安全的芯片呢?当然没有那么简单!MPS又是如何满足ISO26262 合规,造出功能安全芯片的呢?今天就来深挖一下MPS功能安全芯片的开发流程。
点击下方标题或图片观看视频
- 低调布局,闷声干大事
MPS在过去几年投入了大量的时间与精力优化开发流程,MPS自主开发的MPSafe™ 开发流程已经取得了TUV-SUD 颁发的ISO26262功能安全标准中最高的ASIL-D等级的开发流程认证。
在芯片定义之初,开发人员对系统乃至整车的系统安全都需要有深刻的理解,根据MPSafeTM 开发流程的要求,在芯片设计正式启动之前,从上层系统的功能安全要求出发,定义芯片级别需要满足的安全要求,逐层分析,将系统层级的功能安全逐层传递到芯片层级。
- MPSafe™ 开发流程
MPSafe™ 开发流程的开发流程分为五个基本步骤,这五个步骤也覆盖了我们ISO26262 标准里面>广为人熟知的V模型。
图1:V模型
1. 定义
芯片定义阶段,MPS的架构团队定义芯片所需功能,与MPS 安全团队紧密合作,了解芯片功能安全对于芯片功能的影响。安全团队负责指定、审查并通过该芯片的安全计划(Safety Plan),发布属于该芯片的应用假设(Assumption of Use), 并且建立该芯片的安全开发档案(Safety Case Folder)2. 设计
芯片设计阶段,根据芯片需要满足的系统安全要求,MPS安全团队会落实该芯片的功能和规格要求。安全团队会对芯片进行失效模式、影响及严重性分析 (FMEDA),以评估风险和确保芯片可以满足系统的安全要求等级。
通过仿真,封装失效和质量分析,不同的失效模式机制可以被推演和验证,MPS 安全团队也会分析芯片的安全机制是否符合要求。
在芯片设计阶段,芯片设计团队和芯片验证团队还会一起建立完整的芯片验证方案。3. 制造
在芯片打样制造阶段,负责为MPSafe™ 芯片提供封装的厂商应该严格遵守MPSafeTM 流程及要求来生产芯片样品,以满足汽车安全规格等级。MPS 安全团队会监管整个样品生产的流程,以保证要求与实际生产不存在偏差。4. 测试
芯片测试阶段,MPS 测试团队会完成包括芯片电气特性测试 (Electrical Characterization)、可靠性测试 (Reliability Test),IC表征测试 (IC Characterization),实验台功能和电气测试 (Road Test Functional and Electrical Verification) 的芯片测试,以及使用自动测试设备进行的大规模测试 (ATE Test)等等。
一旦测试中发现任何失效或者问题,团队会立刻对失效问题进行分析并提出解决方案,重新生成新的芯片样本以确保问题被解决,以及将来有可能发生的风险被有效规避。
从芯片定义到芯片测试,MPS 安全团队都会紧密监督管控以确保MPSafe™ 开发流程和生产流程所有的设计、测试、生产环节都是满足安全要求的。5. 量产:
在完成所有安全应用分析,并且取得MPS安全团队内部或者是权威第三方认证之后,MPSafe™ 芯片将严格在MPSafe™ 标准要求下完成所有的出货前测试并出货。
- MPSafe™ 开发流程优势何在?
我们的优势在于MPS安全团队也会与第三方权威认证机构TUV-SUD 紧密合作,从芯片定义到成品出货所有环节都通过权威第三方的认证,并会发行符合认证的安全证书以及安全手册。在认证后,TUV-SUD也会定期每一年来评估MPS安全团队有没有遵循我们定义的MPSafe™ 开发流程。
- MPS能提供给客户的产品和支持
MPS功能安全产品涵盖范围非常广,覆盖了多种自动驾驶的运用场景,例如自动驾驶平台的汽车核心计算系统,雷达系统,摄像系统等等。
图2:功能安全产品分类根据应用场景的不同,我们的功能安全产品在保证产品功能的基础上,可以提供给客户不同安全等级的灵活选择。基于MPSafe™ 开发流程提出的仅需供电与监控解决方案和相关芯片,实现了从QM 到汽车最高安全等级ASIL-D的规定,为自动驾驶平台高效安全供电与监控保健护航。
图3:MPS功能安全方案Demo板MPS 还会积极提供涵盖MPSafe QM 到ASIL-D等级芯片相关的技术和文件支持,来有效帮助系统放心选择,有效配置,达到系统所需的功能安全等级。
- MPS功能安全芯片 VS 非功能安全芯片
与非功能安全芯片相比,目前MPSafeTM开发流程研发的系列产品则具备了多种安全机制,力求保证芯片本身的安全状态可以在故障处理时间间隔内达到。前面我们提到说MPSafeTM开发流程可以有效地管理与减少系统性故障,那么芯片的安全机制则可有效地减少ISO26262里面定义的随机硬件故障。
其中,
- 内建自测试功能:可以覆盖处理潜在故障,每一个驾驶周期都应该执行一次来保证安全机制的可靠性。它分为模拟电路自检Analog Built-in Test和逻辑电路自检Logic Built-in Test。模拟电路自检是通过向诊断电路注入电流或是电压来执行诊断电路故障,验证的是与安全相关的比较器是否可以在非故障和故障条件之间转换,表明模拟电路的安全机制是正常运行的。逻辑电路自检检查的是内部逻辑电路是否出错。
- 参考电压监测功能:芯片的参考电压(reference voltage)是芯片中多个电路和模块正常工作的基础,比如被模拟数字转化器用来使用作为精确电压控制的基准。如果参考电压不稳定,那芯片工作也会不稳定,误差增加,性能也会降低。MPS 通过引入冗余参考电压进行监督,一旦参考电压漂移超过预设的范围,对应向系统报错的中断就会被拉低。
- 时钟监测功能:芯片的时钟信号是各个电路和模块的同步信号,来保证各个电路和模块在正确的时间按照正确的顺序执行相应的操作,例如始终可以同步计数器、状态机、数据采样以及数据通讯等等。如果时钟信号出现了故障,会导致芯片中的电路和模块无法同步,错误计数、状态机无法跳转成功甚至系统崩溃问题等等。MPS 通过引入一个参考时钟来监控时钟信号。一旦时钟信号漂移超过了预设范围,对应向系统报错的中断就会被拉低报告该错误。
- 除了这三个安全机制外,MPSafeTM开发流程研发的系列产品还具备像是非易失性存储器与寄存器循环冗余校验,也就是NVM CRC和register CRC,还有I2C 通讯的循环冗余校验,也就是I2C CRC 等等。
相信大家已经深入了解了MPS功能安全芯片的优势和功能,欢迎感兴趣的客户前来咨询!
如有相关需求可点击 MPS NOW 在线技术支持 , 工程师将为您直接提供项目技术支持服务
查看更多技术资源可访问:Resource Center
