MPS 功能安全汽車開發流程MPSAFETM 簡介

概述

MP 安全TM是 MPS 專為汽車元器件開發的一套全新、先進的安全開發流程。該流程已通過獨立認證，且符合 ISO26262標準。ISO26262是針對汽車功能安全產品的設計、開發和生產而定義的一套標準。

汽車行業在追求自動化、互聯化和電氣化的交通運輸未來道路上快速發展，而駕駛任務也交付給了智能、富感應的計算機系統。為達成這個目標，汽車行業不斷進步，安全標準也愈發嚴苛、具體和新穎。對于駕駛這樣安全攸關的汽車應用來說，MP 安全TM流程能夠控制 MPS 所有相關集成電路的開發，從而確保生產出合適的產品以適應安全標準。

汽車標準：AEC-Q100

汽車公司每年都會銷售出數百萬輛的汽車，車隊中使用的任何一個元件或子系統出現故障，都可能導致危險，產生法律問題，甚至對消費者造成嚴重傷害。盡管并非所有車輛功能都具有相同的安全功能（例如，視頻播放器不需要與制動系統具有同等級別的安全功能），但關鍵系統仍依賴于各種既定的可靠性與安全認證。

AEC-Q100就是汽車 IC 必須滿足的一套基本標準，該標準通過規定的一系列壓力測試，確保 IC 能夠應對車輛環境中固有的嚴苛條件。 測試的目的是考察設備在面臨極端電氣和環境壓力時的表現，最終驗證設備不僅在車輛售出的那一天能夠正常運行，而且在車輛的整個合理壽命期間都能正常運行。通過 AEC-Q100 認證是所有 MPS 汽車產品必經的門檻，而所有MP 安全TM產品也以通過這一基本要求為起點。

汽車安全完整性等級 (ASIL)

汽車安全完整性等級 (ASIL) 是 ISO26262 中定義的一組安全等級，它通過嚴重度、暴露率和可控性三個因素確定了從 A 到 D的等級：

例如，汽車在高速公路上行駛的暴露率被認定為 E4，因為這是車輛的常見環境。

嚴重度：如果發生故障，后果是什么？它會影響駕駛員、乘客和/或車外人員嗎？級別如下：

S1（輕傷或中等傷害）

S2（重傷但可能存活）

S3（重傷和致命傷）

暴露率：系統會暴露于這種特定環境或情況的可能性如何？級別如下：

E1（非常低）

E2（低）

E3（中）

E4（高）

可控性：如果發生故障，車輛周圍或操作車輛的人員能夠避免傷害和/或損壞的難易程度如何？ 級別如下：

C1（可控）

C2（一般可控）

C3（幾乎不可控）

結合這三個因素，很容易確定出ASIL 等級（見圖 1）。

圖 1：ASIL 需求

質量管理(QM)屬于沒有安全要求的等級。

A類A類A類A類A類A類A類A類A類A類A類A類A類是最易滿足的安全等級。例如在交通擁堵中出現意外的啟/停故障，其暴露率為 E3（平均運行時間的 1% 至 10%），嚴重度為 S1（低速下的輕傷至中度傷害），可控性為 C3（難以避免這類意外，因為車距太近）。

B類B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASIL B類ASILB涵蓋了輕度至中度條件，例如當車輛在高速公路上不由自主地加速。 在這種情況下，暴露率為 E4（超過平均運行時間的 10%，因為汽車幾乎在每個駕駛周期中都會加速），嚴重度為 S3（高速路事故），可控性為 C1（駕駛員可以通過制動減速或停車）。

C國聯C涵蓋中度至重度條件，例如方向盤在轉彎時失控。在這種情況下，暴露率為E4（因為隨時會使用方向盤），嚴重度為S2（重傷但可能存活），可控性為C3（駕駛員較難控制車輛以避免發生事故 ）。

D類ASIL D是最難滿足的要求，是S3（重傷和致命傷）、E4（高暴露可能性）和 C3（基本不可控）的唯一重合點，例如車輛在高速行駛時剎車失靈。在這種情況下，暴露率為 E4（駕駛員幾乎在每個駕駛周期中都會使用制動系統），嚴重度為 S3（重傷且有死亡可能），可控性為 C3（駕駛員很難減速以避免事故）。

MP 安全TM能夠支持產品應用于全部 ASIL 等級范圍內的系統。

MP 安全TM流程

MP 安全TM從概念階段開始就匯聚了眾多經驗豐富的安全專家和 IC 專家，而一個恰當和充分的啟動概念無疑有助于安全審核的成功、準時的交付計劃以及良好的成本管理。

最初定義元件時，必須先解決一些基本問題。 首先是頂層需求，例如車輛和系統需求。如前所述，安全論證始終從車輛/系統級別開始。因此，有必要定義明確的車輛/系統安全需求，然后再定義適當的 IC 需求。頂層需求明確了，才能確定 IC 級別的需求，即才能決定如何定義您的 IC 以滿足頂層需求。換句話說，前兩個問題通常用于解決“車輛需要什么？” 接下來才是，“滿足這些需求將需要什么？”

IC的設計從一開始就必須滿足這些IC需求。為確保不出錯，額外的審查將貫穿整個定義和設計階段，因為即使是一個簡單的復制/粘貼錯誤，都可能導致后面的實施階段產生問題。

而且，在整個流程中都應考慮這些 IC 需求，因為設計人員最終都要將需求移交給應用工程師 (AE)。而開放的溝通渠道可確保應用工程師避免設計人員可能忽略的錯誤。IC 設計人員可能知道如何根據詳細需求構建元件，但他們無法縱觀全局。因此，IC 設計人員可能無法完全理解 ，取決于環境的不同，IC的實現會如何影響整個系統甚或導致設備故障。此外，想要使用該元件的客戶可能也不知道其設計的確切需求。因此，所有相關者都應了解每個元件的最終需求，這一點至關重要。

圖 2 所示為MP 安全TM流程，其中包括五個功能安全管理 (FSM)關口，從 FSM_0到 FSM_4 。

圖2: MP 安全TM流程

MP 安全TM遵循5個階段的細致流程，如下所詳述。

FSM_0: 概念

概念階段要求最高，因為這是最易出現人為錯誤的階段。具體包括以下內容：

定義每個參與者的角色

發布并通過安全計劃

發布系統安全概念的設想

對每個安全案例均通過合理組織的流程管理所有文檔

采用第三方來確認安全與開發措施

審查整個流程和安全計劃，以確認元件已準備好進行設計

FSM_1：設計/實施

設計階段用于驗證所有功能報告，具體內容涵蓋在如下的步驟中：

定義滿足設想系統安全概念的 IC 安全需求

執行相關故障分析 (DFA) 以減少 IC 功能和安全機制之間的常見故障

執行定量安全分析 (FMEDA) 以確保 IC 設計滿足系統分配的安全目標（PMHF、SPFM 和 LFM）

確認所有開發工具均根據ISO26262 標準進行分類且合規

如果項目有任何可重復使用的 IP，則執行影響分析和風險評估

通過仿真來驗證定量安全分析中定義的診斷有效性

對單點故障和常見故障進行仿真結果分析、封裝故障分析和定性分析，同時驗證安全需求

充分定義道路測試用例，以及用于創建產品的工具

第三方確認審核

FSM_2: 取樣

取樣階段過程也就是對元件的取樣過程。裝配制造商可遵循MP 安全TM和其他的汽車級需求指導。該信息由功能安全經理確認，有任何偏差都需要立即審核。

FSM_3: 驗證與確認

設計驗證和確認階段完成元件測試、驗證及其結果的捕獲與測量。這些測試涵蓋了電氣認證和可靠性認證、IC 表征、RT 功能和電氣驗證，以及 ATE 測試。所有的安全機制及其相關診斷范圍都必須在此階段驗證。如果出現任何故障或問題，都將進行影響分析以做出必要的更改，然后再創建一個新樣本來解決問題。

FSM_4：投入生產

在根據 MPS 標準執行完所有監測和評估測試，并評估了測試覆蓋率之后，產品即可投入生產。功能安全經理和指定的第三方可一同確認所有安全相關審查，以及所有需要的審查或測試。所有安全論證都必須記錄在安全案例中，并存檔至少 15 年。直到安全用例完成并發布，產品才能投入生產。

年度審核

MP 安全TM流程每年都會經過第三方評估者的年度審核，以證明該流程并驗證在整個設計/生產過程中沒有產生偏差。MPS 放棄采用內部審核以實現對安全的承諾，以前所未有的透明度，確保了元件始終滿足安全需求。

降低人為失誤

元件設計可能有兩種失效途徑：隨機失效和人為失誤。隨機失效意即每個電氣元件都有可能失效，即使經過嚴格的測試和認證也是如此。設計人員會通過設計失效保護和額外的安全功能來確保隨機失效不會帶來安全隱患。人為失誤則指在整個設計過程中出現的拼寫錯誤、理解錯誤或其他錯誤。而MP 安全TM的目的就是創建一個擬定協議，在設計人員設計前瞻性設備時，減少人為失誤的可能性。因為人不可避免地會犯錯誤，所以定義一個充分的開發流程來規避這類錯誤十分重要。

人為失誤涵蓋了范圍廣泛的意外事件，其后果從輕微到嚴重不等。例如，每項設計都需要仿真以確保設計符合其預期規格，如果元件設計人員同時也執行仿真，那么設計人員在設計過程中不太可能發現任何問題或差池。在這種情況下，應由另一位工程師檢查仿真，以在解決方案分享出去之前確保IC 的設計是符合要求的。這種額外的審查提供了獨立思考，從而可以發現設計人員在設計過程中可能出現的任何錯誤。而且，為了在高質量的解決方案基礎之上錦上添花，MPS 還采用第三方來確認所有產品都符合相關的安全要求。

當元件被用于超出其測試范圍的系統時，則可能出現更深層次的人為失誤示例。 例如一個在電壓降至 4V 以下即觸發欠壓保護 (UVP)的元件。將該元件用于一個并非專用的系統中，該系統的欠壓保護閾值可能需要降至 2V，而這可能導致元件失效，因為在不觸發安全保護的情況下，該元件無法降至 4V 以下。

不明確的安全系統目標也可能導致錯誤，因為以“最高安全性”為目標只會增加成本、上市時間和復雜性，而生產出的元件也不能滿足系統特定的需求。一個項目在特定的階段可能有不同的審查需求，安全經理可以遵循MP 安全TM來確定在流程的任一時刻，項目的確切審查需求。例如，測試樣本和數據可能需要多名專家評審員來評審，而原理圖則可能只需要一名工程師提供技術評審即可。這樣，設計過程中的每個步驟都有其特定的規范，從而最終實現上市時間的最小化。

結論

憑借以安全為導向的思維方式，MPS構建的系統架構不僅安全，而且可定制且可快速推向市場。MP 安全TM流程的推出有助于避免人為失誤，確保MPS 器件輕松滿足安全需求。通過該流程生產出的汽車產品能夠滿足日益嚴苛的汽車安全認證，未來還將涵蓋更多的產品，包括精密傳感器、數字可編程電源變換器、電機驅動器、電壓監視器和用于大電流解決方案的定序器、LED 驅動器等。

審核編輯：湯梓紅