MPS功能安全汽車開發(fā)流程MPSAFETM簡介

MPS 功能安全汽車開發(fā)流程MPSAFETM 簡介

概述

MP 安全TM是 MPS 專為汽車元器件開發(fā)的一套全新、先進(jìn)的安全開發(fā)流程。該流程已通過獨(dú)立認(rèn)證，且符合 ISO26262標(biāo)準(zhǔn)。ISO26262是針對汽車功能安全產(chǎn)品的設(shè)計(jì)、開發(fā)和生產(chǎn)而定義的一套標(biāo)準(zhǔn)。

汽車行業(yè)在追求自動(dòng)化、互聯(lián)化和電氣化的交通運(yùn)輸未來道路上快速發(fā)展，而駕駛?cè)蝿?wù)也交付給了智能、富感應(yīng)的計(jì)算機(jī)系統(tǒng)。為達(dá)成這個(gè)目標(biāo)，汽車行業(yè)不斷進(jìn)步，安全標(biāo)準(zhǔn)也愈發(fā)嚴(yán)苛、具體和新穎。對于駕駛這樣安全攸關(guān)的汽車應(yīng)用來說，MP 安全TM流程能夠控制 MPS 所有相關(guān)集成電路的開發(fā)，從而確保生產(chǎn)出合適的產(chǎn)品以適應(yīng)安全標(biāo)準(zhǔn)。

汽車標(biāo)準(zhǔn)：AEC-Q100

汽車公司每年都會(huì)銷售出數(shù)百萬輛的汽車，車隊(duì)中使用的任何一個(gè)元件或子系統(tǒng)出現(xiàn)故障，都可能導(dǎo)致危險(xiǎn)，產(chǎn)生法律問題，甚至對消費(fèi)者造成嚴(yán)重傷害。盡管并非所有車輛功能都具有相同的安全功能（例如，視頻播放器不需要與制動(dòng)系統(tǒng)具有同等級別的安全功能），但關(guān)鍵系統(tǒng)仍依賴于各種既定的可靠性與安全認(rèn)證。

AEC-Q100就是汽車 IC 必須滿足的一套基本標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)通過規(guī)定的一系列壓力測試，確保 IC 能夠應(yīng)對車輛環(huán)境中固有的嚴(yán)苛條件。 測試的目的是考察設(shè)備在面臨極端電氣和環(huán)境壓力時(shí)的表現(xiàn)，最終驗(yàn)證設(shè)備不僅在車輛售出的那一天能夠正常運(yùn)行，而且在車輛的整個(gè)合理壽命期間都能正常運(yùn)行。通過 AEC-Q100 認(rèn)證是所有 MPS 汽車產(chǎn)品必經(jīng)的門檻，而所有MP 安全TM產(chǎn)品也以通過這一基本要求為起點(diǎn)。

汽車安全完整性等級 (ASIL)

汽車安全完整性等級 (ASIL) 是 ISO26262 中定義的一組安全等級，它通過嚴(yán)重度、暴露率和可控性三個(gè)因素確定了從 A 到 D的等級：

例如，汽車在高速公路上行駛的暴露率被認(rèn)定為 E4，因?yàn)檫@是車輛的常見環(huán)境。

嚴(yán)重度：如果發(fā)生故障，后果是什么？它會(huì)影響駕駛員、乘客和/或車外人員嗎？級別如下：

S1（輕傷或中等傷害）

S2（重傷但可能存活）

S3（重傷和致命傷）

暴露率：系統(tǒng)會(huì)暴露于這種特定環(huán)境或情況的可能性如何？級別如下：

E1（非常低）

E2（低）

E3（中）

E4（高）

可控性：如果發(fā)生故障，車輛周圍或操作車輛的人員能夠避免傷害和/或損壞的難易程度如何？ 級別如下：

C1（可控）

C2（一般可控）

C3（幾乎不可控）

結(jié)合這三個(gè)因素，很容易確定出ASIL 等級（見圖 1）。

圖 1：ASIL 需求

質(zhì)量管理(QM)屬于沒有安全要求的等級。

A類A類A類A類A類A類A類A類A類A類A類A類A類是最易滿足的安全等級。例如在交通擁堵中出現(xiàn)意外的啟/停故障，其暴露率為 E3（平均運(yùn)行時(shí)間的 1% 至 10%），嚴(yán)重度為 S1（低速下的輕傷至中度傷害），可控性為 C3（難以避免這類意外，因?yàn)檐嚲嗵?/p>

B類B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASILB涵蓋了輕度至中度條件，例如當(dāng)車輛在高速公路上不由自主地加速。 在這種情況下，暴露率為 E4（超過平均運(yùn)行時(shí)間的 10%，因?yàn)槠噹缀踉诿總€(gè)駕駛周期中都會(huì)加速），嚴(yán)重度為 S3（高速路事故），可控性為 C1（駕駛員可以通過制動(dòng)減速或停車）。

C國聯(lián)C涵蓋中度至重度條件，例如方向盤在轉(zhuǎn)彎時(shí)失控。在這種情況下，暴露率為E4（因?yàn)殡S時(shí)會(huì)使用方向盤），嚴(yán)重度為S2（重傷但可能存活），可控性為C3（駕駛員較難控制車輛以避免發(fā)生事故 ）。

D類ASIL D是最難滿足的要求，是S3（重傷和致命傷）、E4（高暴露可能性）和 C3（基本不可控）的唯一重合點(diǎn)，例如車輛在高速行駛時(shí)剎車失靈。在這種情況下，暴露率為 E4（駕駛員幾乎在每個(gè)駕駛周期中都會(huì)使用制動(dòng)系統(tǒng)），嚴(yán)重度為 S3（重傷且有死亡可能），可控性為 C3（駕駛員很難減速以避免事故）。

MP 安全TM能夠支持產(chǎn)品應(yīng)用于全部 ASIL 等級范圍內(nèi)的系統(tǒng)。

MP 安全TM流程

MP 安全TM從概念階段開始就匯聚了眾多經(jīng)驗(yàn)豐富的安全專家和 IC 專家，而一個(gè)恰當(dāng)和充分的啟動(dòng)概念無疑有助于安全審核的成功、準(zhǔn)時(shí)的交付計(jì)劃以及良好的成本管理。

最初定義元件時(shí)，必須先解決一些基本問題。 首先是頂層需求，例如車輛和系統(tǒng)需求。如前所述，安全論證始終從車輛/系統(tǒng)級別開始。因此，有必要定義明確的車輛/系統(tǒng)安全需求，然后再定義適當(dāng)?shù)?IC 需求。頂層需求明確了，才能確定 IC 級別的需求，即才能決定如何定義您的 IC 以滿足頂層需求。換句話說，前兩個(gè)問題通常用于解決“車輛需要什么？” 接下來才是，“滿足這些需求將需要什么？”

IC的設(shè)計(jì)從一開始就必須滿足這些IC需求。為確保不出錯(cuò)，額外的審查將貫穿整個(gè)定義和設(shè)計(jì)階段，因?yàn)榧词故且粋€(gè)簡單的復(fù)制/粘貼錯(cuò)誤，都可能導(dǎo)致后面的實(shí)施階段產(chǎn)生問題。

而且，在整個(gè)流程中都應(yīng)考慮這些 IC 需求，因?yàn)樵O(shè)計(jì)人員最終都要將需求移交給應(yīng)用工程師 (AE)。而開放的溝通渠道可確保應(yīng)用工程師避免設(shè)計(jì)人員可能忽略的錯(cuò)誤。IC 設(shè)計(jì)人員可能知道如何根據(jù)詳細(xì)需求構(gòu)建元件，但他們無法縱觀全局。因此，IC 設(shè)計(jì)人員可能無法完全理解 ，取決于環(huán)境的不同，IC的實(shí)現(xiàn)會(huì)如何影響整個(gè)系統(tǒng)甚或?qū)е略O(shè)備故障。此外，想要使用該元件的客戶可能也不知道其設(shè)計(jì)的確切需求。因此，所有相關(guān)者都應(yīng)了解每個(gè)元件的最終需求，這一點(diǎn)至關(guān)重要。

圖 2 所示為MP 安全TM流程，其中包括五個(gè)功能安全管理 (FSM)關(guān)口，從 FSM_0到 FSM_4 。

圖2: MP 安全TM流程

MP 安全TM遵循5個(gè)階段的細(xì)致流程，如下所詳述。

FSM_0: 概念

概念階段要求最高，因?yàn)檫@是最易出現(xiàn)人為錯(cuò)誤的階段。具體包括以下內(nèi)容：

定義每個(gè)參與者的角色

發(fā)布并通過安全計(jì)劃

發(fā)布系統(tǒng)安全概念的設(shè)想

對每個(gè)安全案例均通過合理組織的流程管理所有文檔

采用第三方來確認(rèn)安全與開發(fā)措施

審查整個(gè)流程和安全計(jì)劃，以確認(rèn)元件已準(zhǔn)備好進(jìn)行設(shè)計(jì)

FSM_1：設(shè)計(jì)/實(shí)施

設(shè)計(jì)階段用于驗(yàn)證所有功能報(bào)告，具體內(nèi)容涵蓋在如下的步驟中：

定義滿足設(shè)想系統(tǒng)安全概念的 IC 安全需求

執(zhí)行相關(guān)故障分析 (DFA) 以減少 IC 功能和安全機(jī)制之間的常見故障

執(zhí)行定量安全分析 (FMEDA) 以確保 IC 設(shè)計(jì)滿足系統(tǒng)分配的安全目標(biāo)（PMHF、SPFM 和 LFM）

確認(rèn)所有開發(fā)工具均根據(jù)ISO26262 標(biāo)準(zhǔn)進(jìn)行分類且合規(guī)

如果項(xiàng)目有任何可重復(fù)使用的 IP，則執(zhí)行影響分析和風(fēng)險(xiǎn)評估

通過仿真來驗(yàn)證定量安全分析中定義的診斷有效性

對單點(diǎn)故障和常見故障進(jìn)行仿真結(jié)果分析、封裝故障分析和定性分析，同時(shí)驗(yàn)證安全需求

充分定義道路測試用例，以及用于創(chuàng)建產(chǎn)品的工具

第三方確認(rèn)審核

FSM_2: 取樣

取樣階段過程也就是對元件的取樣過程。裝配制造商可遵循MP 安全TM和其他的汽車級需求指導(dǎo)。該信息由功能安全經(jīng)理確認(rèn)，有任何偏差都需要立即審核。

FSM_3: 驗(yàn)證與確認(rèn)

設(shè)計(jì)驗(yàn)證和確認(rèn)階段完成元件測試、驗(yàn)證及其結(jié)果的捕獲與測量。這些測試涵蓋了電氣認(rèn)證和可靠性認(rèn)證、IC 表征、RT 功能和電氣驗(yàn)證，以及 ATE 測試。所有的安全機(jī)制及其相關(guān)診斷范圍都必須在此階段驗(yàn)證。如果出現(xiàn)任何故障或問題，都將進(jìn)行影響分析以做出必要的更改，然后再創(chuàng)建一個(gè)新樣本來解決問題。

FSM_4：投入生產(chǎn)

在根據(jù) MPS 標(biāo)準(zhǔn)執(zhí)行完所有監(jiān)測和評估測試，并評估了測試覆蓋率之后，產(chǎn)品即可投入生產(chǎn)。功能安全經(jīng)理和指定的第三方可一同確認(rèn)所有安全相關(guān)審查，以及所有需要的審查或測試。所有安全論證都必須記錄在安全案例中，并存檔至少 15 年。直到安全用例完成并發(fā)布，產(chǎn)品才能投入生產(chǎn)。

年度審核

MP 安全TM流程每年都會(huì)經(jīng)過第三方評估者的年度審核，以證明該流程并驗(yàn)證在整個(gè)設(shè)計(jì)/生產(chǎn)過程中沒有產(chǎn)生偏差。MPS 放棄采用內(nèi)部審核以實(shí)現(xiàn)對安全的承諾，以前所未有的透明度，確保了元件始終滿足安全需求。

降低人為失誤

元件設(shè)計(jì)可能有兩種失效途徑：隨機(jī)失效和人為失誤。隨機(jī)失效意即每個(gè)電氣元件都有可能失效，即使經(jīng)過嚴(yán)格的測試和認(rèn)證也是如此。設(shè)計(jì)人員會(huì)通過設(shè)計(jì)失效保護(hù)和額外的安全功能來確保隨機(jī)失效不會(huì)帶來安全隱患。人為失誤則指在整個(gè)設(shè)計(jì)過程中出現(xiàn)的拼寫錯(cuò)誤、理解錯(cuò)誤或其他錯(cuò)誤。而MP 安全TM的目的就是創(chuàng)建一個(gè)擬定協(xié)議，在設(shè)計(jì)人員設(shè)計(jì)前瞻性設(shè)備時(shí)，減少人為失誤的可能性。因?yàn)槿瞬豢杀苊獾貢?huì)犯錯(cuò)誤，所以定義一個(gè)充分的開發(fā)流程來規(guī)避這類錯(cuò)誤十分重要。

人為失誤涵蓋了范圍廣泛的意外事件，其后果從輕微到嚴(yán)重不等。例如，每項(xiàng)設(shè)計(jì)都需要仿真以確保設(shè)計(jì)符合其預(yù)期規(guī)格，如果元件設(shè)計(jì)人員同時(shí)也執(zhí)行仿真，那么設(shè)計(jì)人員在設(shè)計(jì)過程中不太可能發(fā)現(xiàn)任何問題或差池。在這種情況下，應(yīng)由另一位工程師檢查仿真，以在解決方案分享出去之前確保IC 的設(shè)計(jì)是符合要求的。這種額外的審查提供了獨(dú)立思考，從而可以發(fā)現(xiàn)設(shè)計(jì)人員在設(shè)計(jì)過程中可能出現(xiàn)的任何錯(cuò)誤。而且，為了在高質(zhì)量的解決方案基礎(chǔ)之上錦上添花，MPS 還采用第三方來確認(rèn)所有產(chǎn)品都符合相關(guān)的安全要求。

當(dāng)元件被用于超出其測試范圍的系統(tǒng)時(shí)，則可能出現(xiàn)更深層次的人為失誤示例。 例如一個(gè)在電壓降至 4V 以下即觸發(fā)欠壓保護(hù) (UVP)的元件。將該元件用于一個(gè)并非專用的系統(tǒng)中，該系統(tǒng)的欠壓保護(hù)閾值可能需要降至 2V，而這可能導(dǎo)致元件失效，因?yàn)樵诓挥|發(fā)安全保護(hù)的情況下，該元件無法降至 4V 以下。

不明確的安全系統(tǒng)目標(biāo)也可能導(dǎo)致錯(cuò)誤，因?yàn)橐浴白罡甙踩浴睘槟繕?biāo)只會(huì)增加成本、上市時(shí)間和復(fù)雜性，而生產(chǎn)出的元件也不能滿足系統(tǒng)特定的需求。一個(gè)項(xiàng)目在特定的階段可能有不同的審查需求，安全經(jīng)理可以遵循MP 安全TM來確定在流程的任一時(shí)刻，項(xiàng)目的確切審查需求。例如，測試樣本和數(shù)據(jù)可能需要多名專家評審員來評審，而原理圖則可能只需要一名工程師提供技術(shù)評審即可。這樣，設(shè)計(jì)過程中的每個(gè)步驟都有其特定的規(guī)范，從而最終實(shí)現(xiàn)上市時(shí)間的最小化。

結(jié)論

憑借以安全為導(dǎo)向的思維方式，MPS構(gòu)建的系統(tǒng)架構(gòu)不僅安全，而且可定制且可快速推向市場。MP 安全TM流程的推出有助于避免人為失誤，確保MPS 器件輕松滿足安全需求。通過該流程生產(chǎn)出的汽車產(chǎn)品能夠滿足日益嚴(yán)苛的汽車安全認(rèn)證，未來還將涵蓋更多的產(chǎn)品，包括精密傳感器、數(shù)字可編程電源變換器、電機(jī)驅(qū)動(dòng)器、電壓監(jiān)視器和用于大電流解決方案的定序器、LED 驅(qū)動(dòng)器等。

審核編輯：湯梓紅