汽車ADAS的功能安全，從電源方案設(shè)計(jì)入手

隨著輔助駕駛和自動(dòng)駕駛的發(fā)展，功能安全變成尤為重要。而對(duì)于ADAS系統(tǒng)而言，在電源電路設(shè)計(jì)上也要遵循和滿足功能安全的要求。MPS專門發(fā)布了MPSAFE和開發(fā)流程，并針對(duì)ADAS推出了一系列的功能安全電源解決方案。近日MPS召開了發(fā)布會(huì)。MPS功能安全經(jīng)理Jing Y Guo進(jìn)行了分享。

什么是汽車功能安全？為什么ASIL D成為趨勢(shì)

汽車功能安全，并不完全等同于傳統(tǒng)意義上的產(chǎn)品質(zhì)量。在幾十年前，汽車上的電子元件較少，汽車的控制權(quán)完全掌握在駕駛員的手中；而在近年來(lái)，智能汽車為駕駛員提供了諸多輔助，包括ABS、定速巡航、車道保持、輔助駕駛等；電子系統(tǒng)承擔(dān)了一部分原本完全由駕駛員來(lái)承擔(dān)的工作，因此一旦電子系統(tǒng)出現(xiàn)問題，就會(huì)危及到行車安全。所以近年來(lái)，汽車功能安全成為了ADAS系統(tǒng)設(shè)計(jì)時(shí)的考量關(guān)鍵。

總所周知，汽車功能安全等級(jí)劃分為ASIL A、B、C、D，那么劃分的依據(jù)是什么呢？據(jù)Jing介紹，汽車功能安全的不同等級(jí)劃分是從三個(gè)不同維度劃分而來(lái)：Severity（嚴(yán)重度）、Exposure（暴露率） 和Controllability（可控性）。

Severity（嚴(yán)重度）指的就是駕駛員、乘客和車外的行人等受到的傷害的程度，按照這個(gè)傷害的不同程度會(huì)有一個(gè)級(jí)別的劃分。

Exposure（暴露率）指的是在不同的環(huán)境中（例如雨雪、高速公路等），發(fā)生故障會(huì)造成的不同危害等級(jí)。“定義在一個(gè)既定的環(huán)境里面，這環(huán)境出現(xiàn)的幾率有多大，這就是Exposure?！?

Controllability（可控性）是指出現(xiàn)安全相關(guān)故障時(shí)，駕駛員可以采取多少措施來(lái)防止受傷。

簡(jiǎn)而言之，ASIL 既指風(fēng)險(xiǎn)又指風(fēng)險(xiǎn)相關(guān)要求（針對(duì)給定風(fēng)險(xiǎn)的標(biāo)準(zhǔn)最低風(fēng)險(xiǎn)處理）。

綜合Severity Exposure Controllability之后，就可以得到一個(gè)對(duì)應(yīng)的ASIL點(diǎn)。以 ASIL-D為例，它的單點(diǎn)故障指標(biāo)要求被安全機(jī)制覆蓋超過 99%，而多點(diǎn)故障指標(biāo)要求被安全機(jī)制覆蓋超過 90%。標(biāo)準(zhǔn)還額外對(duì)殘余故障的失效率做出規(guī)定， ASIL-B和 C要求小于 100FIT，而 ASIL-D更嚴(yán)苛地要求小于 10FIT。

為什么現(xiàn)在更多要求ASIL D呢？Jing分享到，正是因?yàn)楝F(xiàn)在智能車承載了一些駕駛員的控制權(quán)，包括未來(lái)會(huì)有全自動(dòng)駕駛，這時(shí)候我們其實(shí)只是一個(gè)乘客，那么就對(duì)功能安全有了最高的要求，也就是ASIL D。

實(shí)現(xiàn)功能安全的關(guān)鍵：不是避免故障，而是在于如何處理故障

功能安全的關(guān)鍵不是說要完全避免故障，因?yàn)楣收系某霈F(xiàn)是隨機(jī)的不可完全避免的，只能盡量降低它出現(xiàn)的幾率，但這個(gè)出現(xiàn)的幾率不可能為零。因此汽車功能安全要做的不是避免故障，而是在故障出現(xiàn)的時(shí)候，如何妥善的處理和解決這一故障。

為了處理故障，在功能安全設(shè)計(jì)中，有一個(gè)定義叫做安全狀態(tài)。一旦出現(xiàn)故障，就會(huì)讓系統(tǒng)進(jìn)入到安全狀態(tài)。不同的系統(tǒng)、不同的安全故障會(huì)對(duì)應(yīng)著不同的安全狀態(tài)，在這些安全狀態(tài)中車輛的部分功能會(huì)有所限制。 而僅僅有這種觸發(fā)，就將其置入安裝狀態(tài)，并不能夠應(yīng)對(duì)所有的功能安全問題。還在增加一個(gè)Reaction Time的因素，有的故障出現(xiàn)后，并不會(huì)立即導(dǎo)致安全問題，但不處理經(jīng)過一段時(shí)間持續(xù)惡化就會(huì)導(dǎo)致汽車故障。那么這一段時(shí)間就是Reaction Time，根據(jù)不同系統(tǒng)不同故障，還要進(jìn)行Reaction Time的單獨(dú)定義和設(shè)置。有的故障可以逐漸降低，有的則需要直接關(guān)閉系統(tǒng)。

另外，安全狀況并不是簡(jiǎn)單的將系統(tǒng)關(guān)閉就可以了，對(duì)于某些新系統(tǒng)而言，遇到故障就要啟動(dòng)預(yù)先準(zhǔn)備的備用系統(tǒng)。所以對(duì)于安全狀態(tài)的設(shè)置，首先要厘清是一個(gè)什么樣的系統(tǒng)，是一個(gè)Fail Safe System還是Fail Operation System。例如未來(lái)全自動(dòng)駕駛的車輛，必須要有一個(gè)可以讓駕駛員手動(dòng)控制的駕駛系統(tǒng)，從而在自動(dòng)駕駛系統(tǒng)出現(xiàn)問題的時(shí)候，可以啟動(dòng)備用系統(tǒng)，由駕駛員手動(dòng)控制。

故障的原因可以分為兩大類：系統(tǒng)性失效（Systematic Failure），是在研發(fā)過程中人為的錯(cuò)誤，這種Failure的避免，需要加強(qiáng)整改研發(fā)流程的嚴(yán)謹(jǐn)性。而隨機(jī)硬件失效（Random Failures）的避免，一方面就是要選擇盡量低故障率、產(chǎn)品良率較高的元器件。

滿足ASIL D要求的研發(fā)流程和產(chǎn)品功能設(shè)計(jì)

針對(duì)系統(tǒng)性失效，MPS在內(nèi)部有TUV-SUD認(rèn)證的研發(fā)流程，每年TUV-SUD都會(huì)進(jìn)行檢查，并且相關(guān)的研發(fā)人員也都經(jīng)過了TUV-SUD的每年2～3次的培訓(xùn)。在研發(fā)流程中，還會(huì)有另一個(gè)人來(lái)監(jiān)控研發(fā)人員所做的事情是否符合功能安全研發(fā)的流程要求。

而針對(duì)隨機(jī)硬件失效，MPS對(duì)于產(chǎn)品的要求是要高于ASIL D的要求的。例如ASIL D要求10FITs，也就是10億小時(shí)會(huì)出現(xiàn)一個(gè)失效；而MPS的內(nèi)部產(chǎn)品要求是要低于1FIT。Jing表示，因?yàn)檎麄€(gè)系統(tǒng)中，不可能只有一個(gè)IC。如果每個(gè)IC都是10FITs的標(biāo)準(zhǔn)，那么整個(gè)系統(tǒng)就很難達(dá)到10FITs的目標(biāo)。因此只有元器件的失效率要遠(yuǎn)遠(yuǎn)低于10FITs才可以達(dá)到整個(gè)系統(tǒng)的ASIL D功能安全等級(jí)。

而為了實(shí)現(xiàn)功能安全，MPS在產(chǎn)品內(nèi)部也設(shè)計(jì)了一系列的自檢機(jī)制。首先在每一個(gè)上電和斷電的過程中，IC都會(huì)進(jìn)行一個(gè)自檢，包括了模擬電路檢測(cè)（ABIST）和邏輯電路檢測(cè)（LBIST）。此外，在一個(gè)系統(tǒng)中，多個(gè)IC可能會(huì)共用一個(gè)參考電壓、時(shí)鐘源和通信源；所以MPS在IC內(nèi)部設(shè)置了參考電壓監(jiān)測(cè)、時(shí)鐘檢測(cè)和通信監(jiān)測(cè)，這樣既可以實(shí)現(xiàn)IC自檢，也可以相互進(jìn)行互檢，檢查系統(tǒng)中可能出現(xiàn)的電壓、時(shí)鐘和通信問題。另外針對(duì)通信，IC內(nèi)部還會(huì)有CRC的檢測(cè)機(jī)制。

靈活性和安全性兼顧——MPSafe ADAS電源解決方案

自動(dòng)駕駛系統(tǒng)無(wú)疑是功能安全等級(jí)要求最高的系統(tǒng)之一，而對(duì)于ADAS的功能安全的設(shè)計(jì)，要從電源設(shè)計(jì)開始。如果沒有安全可靠的供電方案，那么ADAS系統(tǒng)的主控也就無(wú)法正常工作，整個(gè)ADAS的功能安全也就無(wú)從談起。

Jing介紹了三款來(lái)自MPS MPSafe系列的電源產(chǎn)品，分別是數(shù)字化雙路多相控制器MPQ2967、12 通道電源時(shí)序器MPQ79700FS和6通道電壓監(jiān)控器MPQ79500FS。通過這三款高功能安全的IC，結(jié)合符合QM標(biāo)準(zhǔn)的LDO和DrMos之后，就可以打造一個(gè)完整的支持ASIL D的ADAS電源解決方案。

據(jù)悉，MPQ2967主要是面向高功能的自動(dòng)駕駛的SoC，負(fù)責(zé)對(duì)于DrMOS控制來(lái)達(dá)到更高的輸出電流。該產(chǎn)品內(nèi)部包含了時(shí)鐘、CRC、電壓監(jiān)測(cè)等等一系列系統(tǒng)功能安全相關(guān)監(jiān)測(cè)功能。不論是時(shí)鐘錯(cuò)誤，還是通信錯(cuò)誤，都可以監(jiān)測(cè)到。

MPQ79700主要用于控制SoC的上下電時(shí)序，內(nèi)部也有像CRC check、I2C check、內(nèi)存檢測(cè)等各種監(jiān)測(cè)功能，同樣也獲得了TUV-SUD認(rèn)證。

MPQ79500FS則用于監(jiān)測(cè)輸出電壓和時(shí)序。因?yàn)閷?duì)于自動(dòng)駕駛系統(tǒng)而言，輸出電壓的時(shí)序的正確性也非常重要，MPQ79500FS可以作為一個(gè)外部元件來(lái)監(jiān)控這些輸出電壓，確保時(shí)序的正確。據(jù)Jing介紹，這個(gè)產(chǎn)品不僅能夠監(jiān)測(cè)傳統(tǒng)意義上的DC的OV和UV，還可以監(jiān)測(cè)AC的相關(guān)功能。

將上述的幾個(gè)產(chǎn)品結(jié)合在一起，就構(gòu)成了MPS的ADAS電源方案，針對(duì)雷達(dá)、控制模塊，主要是采用了ASIL D的產(chǎn)品，而對(duì)于要求并不是那么高的攝像頭部分，采用了ASIL B的產(chǎn)品。

據(jù)Jing介紹，這一套系統(tǒng)的好處在于，給予了客戶在后續(xù)產(chǎn)品升級(jí)的時(shí)候，極大的便利。例如客戶未來(lái)將系統(tǒng)中的SoC升級(jí)，那么只需要更新LDO到PMIC就可以了，整個(gè)電源方案中其他的IC并不需要進(jìn)行重新選型和電路設(shè)計(jì)。

據(jù)悉，在成都MPS專門設(shè)立了功能安全的部門，來(lái)支持中國(guó)本土客戶的功能安全電源方案設(shè)計(jì)。Jing表示，MPS內(nèi)部對(duì)于新產(chǎn)品的研發(fā)，非?？粗毓δ馨踩！癝afety真的很重要。我們是永遠(yuǎn)都是Safety是排在我們的第一位?！?