适用于自動駕駛 (ADAS) 平台的ASIL-Ready 智能供電與監控解決方案

功能安全成為汽車行業關注焦點

近年來汽車行業在追求自動化、互聯化、電氣化和服務化方面取得了快速進步，而支撐這些領域各種創新的重中之重，則是對功能安全的關注。在最高等級的安全性變得越來越重要的同時，安全标準也越來越嚴格、具體和新穎。對于此類“安全關鍵型(Functional Safety)”汽車應用，MPS推出了MPSafeTM 汽車級解決方案系列産品，為未來的汽車保駕護航。MPS開發的智能解決方案，可以提供 ASIL-D 監控器以防止意外情況，并能提供自動駕駛計算行業至關重要的安全檢測以及整套高效、快捷的解決方案。

MPSafe™ 應運而生

圖1：MPSafe™為未來汽車保駕護航

ISO26262認證的産品開發流程

在汽車自動駕駛應用中，駕駛員或乘客與電氣電子裝置之間的互相作用正在顯著增加，其中自動駕駛汽車的安全關鍵決策變得尤其重要，它對駕駛員或乘客的安全可能造成的潛在影響不容忽視。随着這些先進安全技術的作業系統從被動轉向更加主動，汽車的安全駕駛俨然成為人們關注的焦點和必須解決的問題。同時，自動駕駛平台變得越來越複雜，出現了越來越多的系統性或随機硬體故障的風險。為了幫助确立最高安全性标準，行業釋出了最新的符合國際标準化組織（ISO） 26262的汽車安全标準。

圖2：行業釋出最新符合ISO26262 汽車安全标準

MPS利用自主開發的MPSafeTM 開發流程（已被權威認證機構TUV-SUD認證），提出并研發了一套完整的解決方案，以應對自動駕駛平台中的安全挑戰。該解決方案為自動駕駛平台提供了符合 ISO26262安規标準的供電與監控系統。

自動駕駛系統供電的安全要求從晶片定義之初，開發人員對系統乃至整車的系統安全需有深刻的了解。根據應用于自動駕駛平台的MPSafeTM 開發流程的要求，在各個晶片設計正式啟動之前，需要從自動駕駛平台在車上的功能安全出發，形成該晶片需要滿足的安全要求 (Safety Requirement)。隻有站在系統功能安全要求的高度，了解功能安全要求對于晶片規格的制定産生的影響，才能避免最終産品功能和系統安全要求之間存在的偏差。根據晶片需要滿足的安全要求，MPSafeTM 開發流程的基本五個步驟包括：

1. 晶片定義：包括晶片功能定義以及晶片安全功能定義。MPS架構團隊為該晶片打造所需的功能，同時與MPS安全團隊緊密合作，了解晶片功能安全對晶片功能的影響。安全團隊負責制定、審查并通過該晶片的安全計劃，釋出屬于該晶片的應用假設，建立晶片開發安全檔案。
2. 晶片設計：根據晶片需要滿足的系統安全要求，落實該晶片的規格和功能要求。安全團隊對該晶片進行定量安全分析（Quantitative Safety Analysis, FMEDA）以評估風險和確定滿足系統安全要求等級。晶片設計團隊需提供相關性失效分析(Dependent Failure Analysis)，進行晶片在IC功能以及安全機制的失效分析。通過仿真、封裝失效分析和品質分析，推演和驗證不同失效模式機制，分析晶片的安全機制是否符合要求。晶片設計團隊還需與晶片驗證團隊建立完整的晶片驗證方案等等。
3. 晶片樣品：負責為MPSafeTM 提供封裝的廠商應嚴格遵循MPSafeTM流程及要求生産樣品，以滿足汽車安規等級。整個晶片樣品生産的流程受到安全團隊的監管，以保證要求與實際生産不存在偏差。
4. 晶片測試：晶片測試包括晶片電氣特性測試 (Electrical Characterization)、可靠性測試 (Reliability Test)，IC表征測試 (IC Characterization)，實驗台功能和電氣測試 (Road Test Functional and Electrical Verification)，以及使用自動測試裝置進行的大規模測試 (ATE Test)等等。一旦這些測試中出現任何失效或問題，團隊立刻對失效和問題進行分析并提出解決方案，重新生産新的晶片樣本以確定徹底解決問題和規避風險。
5. 成品出貨：在以上所有四個步驟都正常進行的過程中，MPS安全團隊始終與第三方權威認證機構緊密合作，以確定MPSafeTM 開發流程和生産流程所有設計、測試、生産環節均滿足安全要求。所有的環節都會通過權威第三方認證，并發行符合認證的安全證書、手冊。完成所有安全應用分析以及認證之後，該晶片将在嚴格的MPS标準要求下完成所有出貨前測試并出貨。

廣闊的應用場景 — 從QM到ASIL-D

随着電動汽車市場的不斷擴張，自動駕駛技術的飛速發展，現階段，基于MPSafeTM開發流程研發的晶片已經覆寫多種自動駕駛應用場景。例如自動駕駛平台的汽車核心計算系統，雷達系統，攝像系統等等。基于MPSafeTM開發流程提出的智能供電與監控解決方案和相關晶片，力求幫助客戶規避潛在風險，并通過高可靠性和安全性，控制風險及故障，實作了從QM到汽車最高安全等級ASIL-D級的規定，為自動駕駛平台高效安全供電及監控保駕護航。

圖3：汽車安全完整性等級 (ASIL)

根據應用場景的不同，MPS在保證産品功能的基礎上，提供給使用者不同安全等級的靈活選擇。如系統安全風險較低，使用者可選擇具備一定FIT (Failure in Time) 分析，符合AEC-Q100标準的晶片。如需保證系統安全等級較高，MPS可提供高達ASIL-D等級的帶有功能安全的系列晶片。功能安全是實作國際ISO26262定義的汽車安全完整性等級 (ASIL) 的基礎，如有需求，使用者可靈活選擇不同産品以配備到目前安全等級。與此同時，MPS積極提供涵蓋QM到ASIL等級晶片的相關安全手冊和技術支援，來幫助使用者放心選擇，靈活配置。

MPSafe™— 面向系統的安全設計

直面系統級設計痛點，聚力解決安全挑戰

随着人們越來越依賴 ADAS 等自動駕駛技術，安全成為整個系統設計和開發過程中面臨的最大挑戰和高度關注的問題之一。 對于自動駕駛系統中的計算平台， 為應對安全挑戰，規避潛在風險，自動駕駛計算平台應始終受到監管。穩定的供電電壓對于安全正常運作至關重要。 電壓的任何動态變化或瞬态故障都可能導緻計算處理器故障。這意味着對于自動駕駛供電系統來說，需要具備提供穩定的電壓的能力，同時也應具備自身與系統故障監測、報告的能力，以保證系統的正常運作。目前，MPSafeTM開發的系列産品具備的内建自測試 (BIST) 、通過備援的參考電壓和時鐘進行自我監控等等，力求保證晶片本身的安全狀态。

内建自測試 (BIST)

BIST 等內建安全機制，可提供高診斷覆寫率，以確定每個駕駛周期的可靠性。電壓螢幕中有兩種形式的 BIST：

• 模拟電路自檢 (ABIST)： ABIST 通過向診斷電路注入電流或電壓來執行診斷電路故障。該功能驗證診斷電路是否可以在故障和非故障條件之間切換，這表明模拟安全機制運作正常。在此過程中，将檢查所有與安全相關的比較器和受監控的參考電壓。邏輯電路自檢（LBIST）：LBIST允許硬體自行測試。LBIST 具有檢測内部邏輯電路錯誤的能力。

參考電壓監測

系統的參考電壓（Reference Voltage）對于晶片的重要性不言而喻，它是晶片中多個電路和子產品正常工作的基礎。在晶片中，多個子產品需要使用參考電壓作為精确電壓控制的基準，例如模拟數字轉換器（ADC）等。若參考電壓不穩定，會導緻晶片工作不穩定、誤差增加及性能降低。是以，參考電壓的好壞對于晶片能否正常運作至關重要。MPS為保證晶片的參考電壓的精度和穩定性，配有參考電壓檢測機制，通過引入備援參考電壓，對系統參考電壓進行監督。一旦發現系統電壓漂移超過預設範圍，将拉低并中斷該錯誤。

系統時鐘監測

系統的時鐘信号是IC中各個電路和子產品的同步信号，以保證各個電路和子產品在正确的時間按照正确的順序執行相應的操作，例如時鐘信号可以同步計數器、狀态機、資料采樣及資料通信等等。如果時鐘信号出現故障，會導緻IC中的電路和子產品無法同步，甚至資料丢失、錯誤計數、狀态機無法成功跳轉、甚至系統崩潰等等問題。是以在IC設計過程中，時鐘信号的監控尤為重要。MPS通過引入一個參考時鐘，與系統時鐘互相監測，可以在系統時鐘漂移超過預設範圍時，拉低中斷晶片并報告該錯誤。

用于不同安全等級系統的可擴充、子產品化解決方案

MPSafeTM不僅考慮了裝置本身如何處理各種安全案例，安全目标，還可以通過晶片引腳的相容性以及配套的安全檔案，實作解決方案的可擴充和子產品化功能，以達到可靠高效快捷的目标。解決方案的可擴充性包括滿足不同ASIL安全等級、功能需求和應用場景。子產品化包括針對系統不同應用子產品設計要求具有針對性且靈活性功能的産品。可擴充性和子產品化解決方案使得使用者能夠根據自身的需求，借助不同規格的晶片，實作多樣化的安全架構。

現階段，基于MPSafeTM 開發流程已發行了多種涵蓋不同功能的明星産品。通過內建内建自測試 (BIST) 以及診斷和寫保護等複雜的功能安全特性，這些産品已經通過獨立認證機構的認證，支援具有高達 ASIL-D 的最高汽車安全完整性級别的應用，符合ISO26262标準。為實作不同安全等級系統的可擴充和子產品化的解決方案，目前一些基于MPSafeTM開發的适用于自動駕駛平台智能供電與監控的産品有：

自動駕駛SoC核心供電：MPQ2967+Intelli-PhaseTM DrMOS

随着自動駕駛功能的不斷豐富和完善，系統對于主晶片的算力和資訊處理能力的要求不斷提高，以滿足更豐富的自動駕駛場景的計算需求。主晶片算力的提高也意味着更高的功耗，系統對于核心供電的要求也更高。MPQ2967 是一款用于汽車進階駕駛輔助系統 (ADAS) 和自動駕駛平台核心供電的功能安全數字化雙路多相控制器晶片，它可以與 MPS 的 Intelli-PhaseTM 産品配合使用，以更少的外部元件實作多相調壓器 (VR) 解決方案。MPQ2967 基于MPS獨特的數字多相非線性控制，能以最少的輸出電容為負載階躍提供快速瞬态響應。其內建的多次可程式設計 (MTP) 存儲器能夠存儲為不同設計和平台定制的個性化配置。

MPQ2967支援系統設計達到ASIL-D的功能安全等級，其內建了内建自測試、時鐘監測、寄存器監測、存儲器監測和糾正、ADC監測、狀态機自檢、I2C通信監測和内部電壓監測等豐富的功能安全保護，保證晶片的可靠高效運作。它還為多相調壓器提供了輸入電壓、輸出電壓、輸出電流和溫度的實時監控和報告功能。使用者可通過數字化接口靈活設定和監控裝置的配置參數和故障參數。

圖4：MPQ2967+Intelli-PhaseTM DrMOS方案框圖

電源時序晶片：MPQ79700FS-AEC1

一些高性能 ADAS 上的SoC往往需要電源軌道為内部電路供電，如核心、記憶體和 I/O等等。這些電源軌道常常需要特定的上下電時序來實作安全的通電和斷電，如上下電順序發生錯亂，可能會導緻意外電壓尖峰、系統無法正常開啟和關斷甚至燒毀等危險。是以，電源軌道正确有序的上下電對于保證系統的可靠開啟、運作和關斷有着極為重要的作用。

MPQ79700FS 是一款專為汽車進階駕駛輔助系統 (ADAS) 和自動駕駛平台設計的 12 通道功能安全電源時序晶片，可為需要多個電源軌道供電的SoC提供必要的上下電時序控制。該裝置的可配置性和靈活性支援跨不同的設計應用。使用者可通過I2C對12個通道進行獨立配置每個通道的拉高拉低時序序列。 同時，12個通道中的四個還可以被設定為GPIO，以滿足使用者的額外需求。MPQ79700FS電源時序晶片包含一個振蕩器，通過驅動晶片外部晶體震蕩以發出32.768 kHz的時鐘信号，以及一個具有報警功能的實時時鐘 (RTC)。該晶片還包含可通過 I2C 接口通路的可配置看門狗，低電平有效的系統複位以及中斷輸出來保證故障監測和報告。

圖5：MPQ79700FS-AEC1 原理框圖

電壓監控晶片MPQ79500FS-AEC1

MPQ79500FS-AEC1六通道電壓監控晶片是一款專為監控汽車安全應用系統級晶片 (SoC) 的産品。對于SoC來說，超出範圍的電源電壓可能會導緻系統運作性能不佳甚至系統故障，是以電壓監控晶片在確定受監控的電源電壓方面發揮着關鍵作用。

MPQ79500FS-AEC1電壓監控晶片會在被監控電壓超過門檻值時檢測過壓 (OV) ，或在電壓降至門檻值以下時檢測欠壓 (UV) 。一旦發生過壓或者欠壓，電壓監控晶片會向安全微控制器單元 (Safety MCU) 報告故障，使MCU在故障發生後能夠及時做出判斷，保證系統的正常運作。MPS79500FS電壓監控晶片可以更智能高精度地監控六個通道的低頻 (LF) 電壓漂移和高頻 (HF) 電壓噪聲。

• 低頻電壓漂移：由高精度模數轉換器 (ADC) 轉換為數字信号。高頻電壓噪聲：通過高精度比較器，監測電壓噪聲或尖峰。

圖 6：發生 OVHF 和 OVLF 故障事件時的故障檢測

使用者可以通過 I2C 來通路并配置OV 和 UV 監控門檻值和受監控範圍。圖6顯示了 MPQ79500FS 在發生 OVHF 和 OVLF 故障事件時的 OVHF、OVLF、UVHF 和 UVLF 監控以及故障報告和記錄。

MPQ79500FS具有多個嵌入式通道，為監控大量通道的應用提供了理想的解決方案。 這增加了使用者使用一個內建電壓監控晶片監控多軌電壓的靈活性，在保證了被監控裝置的安全運作的同時，為使用者節約了系統空間和降低成本。使用者還可通過同步多個電壓監控晶片到同一時序中來監控多個電壓監控晶片的所有電壓軌。 對于 MPQ79500FS，此序列監控同步功能由 /SYNC 引腳啟用，所有電壓軌共享一個同步域。

高效、快捷、成本可控的安全解決方案

進階駕駛輔助系統（ADAS）以其良好的駕駛體驗和安全保障赢得了大量消費者的青睐，除了基本的駕駛需求，消費者對更安全更智能的駕駛有了更高的期待。在新型電動汽車廠商大力推進、傳統汽車廠商積極轉型的過程中，整個ADAS市場增長迅猛。原有的為高端市場服務的ADAS技術的廠商，為更好的迎合市場需求，都在積極尋求向中端甚至低端市場布局。對于汽車廠商而言，隻有盡快實作量産跟進旺盛的需求才有可能在激烈市場競争中赢得一席之地。同時，市場需求也大大加速了ADAS技術的系統疊代。如何利用每一次技術疊代，高效、快捷、成本可控地跟進市場需求，是每一個汽車廠商在這硝煙彌漫的市場競争中取得成功的重中之重。

針對現如今電動汽車及自動駕駛激烈的飛速發展和激烈競争， MPS力求為客戶提供一整套完整的系統供電及監控解決方案的同時，從客戶角度出發，與客戶一同高瞻遠矚，幫助客戶加速開發程序，快速反應市場，更好适應現階段乃至未來若幹代自動駕駛技術的革新。

圖 7展示了一個位自動駕駛平台計算中心供電的頂層架構。該架構為符合 ASIL-D 标準的智能自動駕駛平台供電與監控平台。 整個架構大體分為SoC供電子產品，攝像供電子產品兩部分。MPS提出的解決方案通過采用MPSafeTM開發流程，在保證功能安全的基礎上，同時能幫助使用者實作高效、快捷和成本可控。

圖8展示了由MPS開發的具有智能電壓監控功能的 MPSafeTM 電源子系統參考設計闆。

圖7：智能電壓供電與監控應用于自動駕駛平台的頂層架構

圖 8：具有智能電壓監控功能的 MPSafeTM 電源子系統參考設計闆 （注：有關參考設計的更多資訊，請聯系 MPS）

總結

随着自動駕駛技術的不斷發展，安全是重中之重，絕不能妥協。為了自動駕駛的安全和正常運作， MPS提出的智能電源供電系統內建了功能安全、電壓監控和安全供電等功能，可以實作高精度、高可靠性和可配置性持續安全供電與系統監測。

參考資料

[1] For more details on MPSafe™ Solutions:

MPSafe™解決方案 - 汽車（車規級） - 産品 (monolithicpower.cn)

[2] A Brief Primer on MPSafeTM, MPS’s Process to Functional Safety Automotive Development. A Brief Primer on MPSafeTM, MPS’s