隨著輔助駕駛和自動駕駛的發(fā)展，功能安全變成尤為重要。而對于ADAS系統(tǒng)而言，在電源電路設(shè)計上也要遵循和滿足功能安全的要求。MPS專門發(fā)布了MPSAFE和開發(fā)流程，并針對ADAS推出了一系列的功能安全電源解決方案。近日MPS召開了發(fā)布會。MPS功能安全經(jīng)理Jing Y Guo進行了分享。

什么是汽車功能安全？為什么ASIL D成為趨勢

汽車功能安全，并不完全等同于傳統(tǒng)意義上的產(chǎn)品質(zhì)量。在幾十年前，汽車上的電子元件較少，汽車的控制權(quán)完全掌握在駕駛員的手中；而在近年來，智能汽車為駕駛員提供了諸多輔助，包括ABS、定速巡航、車道保持、輔助駕駛等；電子系統(tǒng)承擔(dān)了一部分原本完全由駕駛員來承擔(dān)的工作，因此一旦電子系統(tǒng)出現(xiàn)問題，就會危及到行車安全。所以近年來，汽車功能安全成為了ADAS系統(tǒng)設(shè)計時的考量關(guān)鍵。

總所周知，汽車功能安全等級劃分為ASIL A、B、C、D，那么劃分的依據(jù)是什么呢？據(jù)Jing介紹，汽車功能安全的不同等級劃分是從三個不同維度劃分而來：Severity（嚴重度）、Exposure（暴露率） 和Controllability（可控性）。

Severity（嚴重度）指的就是駕駛員、乘客和車外的行人等受到的傷害的程度，按照這個傷害的不同程度會有一個級別的劃分。

Exposure（暴露率）指的是在不同的環(huán)境中（例如雨雪、高速公路等），發(fā)生故障會造成的不同危害等級。“定義在一個既定的環(huán)境里面，這環(huán)境出現(xiàn)的幾率有多大，這就是Exposure?！?

Controllability（可控性）是指出現(xiàn)安全相關(guān)故障時，駕駛員可以采取多少措施來防止受傷。

簡而言之，ASIL 既指風(fēng)險又指風(fēng)險相關(guān)要求（針對給定風(fēng)險的標準最低風(fēng)險處理）。

綜合Severity Exposure Controllability之后，就可以得到一個對應(yīng)的ASIL點。以 ASIL-D為例，它的單點故障指標要求被安全機制覆蓋超過 99%，而多點故障指標要求被安全機制覆蓋超過 90%。標準還額外對殘余故障的失效率做出規(guī)定， ASIL-B和 C要求小于 100FIT，而 ASIL-D更嚴苛地要求小于 10FIT。

為什么現(xiàn)在更多要求ASIL D呢？Jing分享到，正是因為現(xiàn)在智能車承載了一些駕駛員的控制權(quán)，包括未來會有全自動駕駛，這時候我們其實只是一個乘客，那么就對功能安全有了最高的要求，也就是ASIL D。

實現(xiàn)功能安全的關(guān)鍵：不是避免故障，而是在于如何處理故障

功能安全的關(guān)鍵不是說要完全避免故障，因為故障的出現(xiàn)是隨機的不可完全避免的，只能盡量降低它出現(xiàn)的幾率，但這個出現(xiàn)的幾率不可能為零。因此汽車功能安全要做的不是避免故障，而是在故障出現(xiàn)的時候，如何妥善的處理和解決這一故障。

為了處理故障，在功能安全設(shè)計中，有一個定義叫做安全狀態(tài)。一旦出現(xiàn)故障，就會讓系統(tǒng)進入到安全狀態(tài)。不同的系統(tǒng)、不同的安全故障會對應(yīng)著不同的安全狀態(tài)，在這些安全狀態(tài)中車輛的部分功能會有所限制。 而僅僅有這種觸發(fā)，就將其置入安裝狀態(tài)，并不能夠應(yīng)對所有的功能安全問題。還在增加一個Reaction Time的因素，有的故障出現(xiàn)后，并不會立即導(dǎo)致安全問題，但不處理經(jīng)過一段時間持續(xù)惡化就會導(dǎo)致汽車故障。那么這一段時間就是Reaction Time，根據(jù)不同系統(tǒng)不同故障，還要進行Reaction Time的單獨定義和設(shè)置。有的故障可以逐漸降低，有的則需要直接關(guān)閉系統(tǒng)。

另外，安全狀況并不是簡單的將系統(tǒng)關(guān)閉就可以了，對于某些新系統(tǒng)而言，遇到故障就要啟動預(yù)先準備的備用系統(tǒng)。所以對于安全狀態(tài)的設(shè)置，首先要厘清是一個什么樣的系統(tǒng)，是一個Fail Safe System還是Fail Operation System。例如未來全自動駕駛的車輛，必須要有一個可以讓駕駛員手動控制的駕駛系統(tǒng)，從而在自動駕駛系統(tǒng)出現(xiàn)問題的時候，可以啟動備用系統(tǒng)，由駕駛員手動控制。

故障的原因可以分為兩大類：系統(tǒng)性失效（Systematic Failure），是在研發(fā)過程中人為的錯誤，這種Failure的避免，需要加強整改研發(fā)流程的嚴謹性。而隨機硬件失效（Random Failures）的避免，一方面就是要選擇盡量低故障率、產(chǎn)品良率較高的元器件。

滿足ASIL D要求的研發(fā)流程和產(chǎn)品功能設(shè)計

針對系統(tǒng)性失效，MPS在內(nèi)部有TUV-SUD認證的研發(fā)流程，每年TUV-SUD都會進行檢查，并且相關(guān)的研發(fā)人員也都經(jīng)過了TUV-SUD的每年2～3次的培訓(xùn)。在研發(fā)流程中，還會有另一個人來監(jiān)控研發(fā)人員所做的事情是否符合功能安全研發(fā)的流程要求。

而針對隨機硬件失效，MPS對于產(chǎn)品的要求是要高于ASIL D的要求的。例如ASIL D要求10FITs，也就是10億小時會出現(xiàn)一個失效；而MPS的內(nèi)部產(chǎn)品要求是要低于1FIT。Jing表示，因為整個系統(tǒng)中，不可能只有一個IC。如果每個IC都是10FITs的標準，那么整個系統(tǒng)就很難達到10FITs的目標。因此只有元器件的失效率要遠遠低于10FITs才可以達到整個系統(tǒng)的ASIL D功能安全等級。

而為了實現(xiàn)功能安全，MPS在產(chǎn)品內(nèi)部也設(shè)計了一系列的自檢機制。首先在每一個上電和斷電的過程中，IC都會進行一個自檢，包括了模擬電路檢測（ABIST）和邏輯電路檢測（LBIST）。此外，在一個系統(tǒng)中，多個IC可能會共用一個參考電壓、時鐘源和通信源；所以MPS在IC內(nèi)部設(shè)置了參考電壓監(jiān)測、時鐘檢測和通信監(jiān)測，這樣既可以實現(xiàn)IC自檢，也可以相互進行互檢，檢查系統(tǒng)中可能出現(xiàn)的電壓、時鐘和通信問題。另外針對通信，IC內(nèi)部還會有CRC的檢測機制。

靈活性和安全性兼顧——MPSafe ADAS電源解決方案

自動駕駛系統(tǒng)無疑是功能安全等級要求最高的系統(tǒng)之一，而對于ADAS的功能安全的設(shè)計，要從電源設(shè)計開始。如果沒有安全可靠的供電方案，那么ADAS系統(tǒng)的主控也就無法正常工作，整個ADAS的功能安全也就無從談起。

Jing介紹了三款來自MPS MPSafe系列的電源產(chǎn)品，分別是數(shù)字化雙路多相控制器MPQ2967、12 通道電源時序器MPQ79700FS和6通道電壓監(jiān)控器MPQ79500FS。通過這三款高功能安全的IC，結(jié)合符合QM標準的LDO和DrMos之后，就可以打造一個完整的支持ASIL D的ADAS電源解決方案。

據(jù)悉，MPQ2967主要是面向高功能的自動駕駛的SoC，負責(zé)對于DrMOS控制來達到更高的輸出電流。該產(chǎn)品內(nèi)部包含了時鐘、CRC、電壓監(jiān)測等等一系列系統(tǒng)功能安全相關(guān)監(jiān)測功能。不論是時鐘錯誤，還是通信錯誤，都可以監(jiān)測到。

MPQ79700主要用于控制SoC的上下電時序，內(nèi)部也有像CRC check、I2C check、內(nèi)存檢測等各種監(jiān)測功能，同樣也獲得了TUV-SUD認證。

MPQ79500FS則用于監(jiān)測輸出電壓和時序。因為對于自動駕駛系統(tǒng)而言，輸出電壓的時序的正確性也非常重要，MPQ79500FS可以作為一個外部元件來監(jiān)控這些輸出電壓，確保時序的正確。據(jù)Jing介紹，這個產(chǎn)品不僅能夠監(jiān)測傳統(tǒng)意義上的DC的OV和UV，還可以監(jiān)測AC的相關(guān)功能。

將上述的幾個產(chǎn)品結(jié)合在一起，就構(gòu)成了MPS的ADAS電源方案，針對雷達、控制模塊，主要是采用了ASIL D的產(chǎn)品，而對于要求并不是那么高的攝像頭部分，采用了ASIL B的產(chǎn)品。

據(jù)Jing介紹，這一套系統(tǒng)的好處在于，給予了客戶在后續(xù)產(chǎn)品升級的時候，極大的便利。例如客戶未來將系統(tǒng)中的SoC升級，那么只需要更新LDO到PMIC就可以了，整個電源方案中其他的IC并不需要進行重新選型和電路設(shè)計。

據(jù)悉，在成都MPS專門設(shè)立了功能安全的部門，來支持中國本土客戶的功能安全電源方案設(shè)計。Jing表示，MPS內(nèi)部對于新產(chǎn)品的研發(fā)，非?？粗毓δ馨踩??！癝afety真的很重要。我們是永遠都是Safety是排在我們的第一位。”