汽车ADAS的功能安全，从电源方案设计入手

随着辅助驾驶和自动驾驶的发展，功能安全变成尤为重要。而对于ADAS系统而言，在电源电路设计上也要遵循和满足功能安全的要求。MPS专门发布了MPSAFE和开发流程，并针对ADAS推出了一系列的功能安全电源解决方案。近日MPS召开了发布会。MPS功能安全经理Jing Y Guo进行了分享。

什么是汽车功能安全？为什么ASIL D成为趋势

汽车功能安全，并不完全等同于传统意义上的产品质量。在几十年前，汽车上的电子元件较少，汽车的控制权完全掌握在驾驶员的手中；而在近年来，智能汽车为驾驶员提供了诸多辅助，包括ABS、定速巡航、车道保持、辅助驾驶等；电子系统承担了一部分原本完全由驾驶员来承担的工作，因此一旦电子系统出现问题，就会危及到行车安全。所以近年来，汽车功能安全成为了ADAS系统设计时的考量关键。

总所周知，汽车功能安全等级划分为ASIL A、B、C、D，那么划分的依据是什么呢？据Jing介绍，汽车功能安全的不同等级划分是从三个不同维度划分而来：Severity（严重度）、Exposure（暴露率） 和Controllability（可控性）。

Severity（严重度）指的就是驾驶员、乘客和车外的行人等受到的伤害的程度，按照这个伤害的不同程度会有一个级别的划分。

Exposure（暴露率）指的是在不同的环境中（例如雨雪、高速公路等），发生故障会造成的不同危害等级。“定义在一个既定的环境里面，这环境出现的几率有多大，这就是Exposure。”

Controllability（可控性）是指出现安全相关故障时，驾驶员可以采取多少措施来防止受伤。

简而言之，ASIL 既指风险又指风险相关要求（针对给定风险的标准最低风险处理）。

综合Severity Exposure Controllability之后，就可以得到一个对应的ASIL点。以 ASIL-D为例，它的单点故障指标要求被安全机制覆盖超过 99%，而多点故障指标要求被安全机制覆盖超过 90%。标准还额外对残余故障的失效率做出规定， ASIL-B和 C要求小于 100FIT，而 ASIL-D更严苛地要求小于 10FIT。

为什么现在更多要求ASIL D呢？Jing分享到，正是因为现在智能车承载了一些驾驶员的控制权，包括未来会有全自动驾驶，这时候我们其实只是一个乘客，那么就对功能安全有了最高的要求，也就是ASIL D。

实现功能安全的关键：不是避免故障，而是在于如何处理故障

功能安全的关键不是说要完全避免故障，因为故障的出现是随机的不可完全避免的，只能尽量降低它出现的几率，但这个出现的几率不可能为零。因此汽车功能安全要做的不是避免故障，而是在故障出现的时候，如何妥善的处理和解决这一故障。

为了处理故障，在功能安全设计中，有一个定义叫做安全状态。一旦出现故障，就会让系统进入到安全状态。不同的系统、不同的安全故障会对应着不同的安全状态，在这些安全状态中车辆的部分功能会有所限制。 而仅仅有这种触发，就将其置入安装状态，并不能够应对所有的功能安全问题。还在增加一个Reaction Time的因素，有的故障出现后，并不会立即导致安全问题，但不处理经过一段时间持续恶化就会导致汽车故障。那么这一段时间就是Reaction Time，根据不同系统不同故障，还要进行Reaction Time的单独定义和设置。有的故障可以逐渐降低，有的则需要直接关闭系统。

另外，安全状况并不是简单的将系统关闭就可以了，对于某些新系统而言，遇到故障就要启动预先准备的备用系统。所以对于安全状态的设置，首先要厘清是一个什么样的系统，是一个Fail Safe System还是Fail Operation System。例如未来全自动驾驶的车辆，必须要有一个可以让驾驶员手动控制的驾驶系统，从而在自动驾驶系统出现问题的时候，可以启动备用系统，由驾驶员手动控制。

故障的原因可以分为两大类：系统性失效（Systematic Failure），是在研发过程中人为的错误，这种Failure的避免，需要加强整改研发流程的严谨性。而随机硬件失效（Random Failures）的避免，一方面就是要选择尽量低故障率、产品良率较高的元器件。

满足ASIL D要求的研发流程和产品功能设计

针对系统性失效，MPS在内部有TUV-SUD认证的研发流程，每年TUV-SUD都会进行检查，并且相关的研发人员也都经过了TUV-SUD的每年2～3次的培训。在研发流程中，还会有另一个人来监控研发人员所做的事情是否符合功能安全研发的流程要求。

而针对随机硬件失效，MPS对于产品的要求是要高于ASIL D的要求的。例如ASIL D要求10FITs，也就是10亿小时会出现一个失效；而MPS的内部产品要求是要低于1FIT。Jing表示，因为整个系统中，不可能只有一个IC。如果每个IC都是10FITs的标准，那么整个系统就很难达到10FITs的目标。因此只有元器件的失效率要远远低于10FITs才可以达到整个系统的ASIL D功能安全等级。

而为了实现功能安全，MPS在产品内部也设计了一系列的自检机制。首先在每一个上电和断电的过程中，IC都会进行一个自检，包括了模拟电路检测（ABIST）和逻辑电路检测（LBIST）。此外，在一个系统中，多个IC可能会共用一个参考电压、时钟源和通信源；所以MPS在IC内部设置了参考电压监测、时钟检测和通信监测，这样既可以实现IC自检，也可以相互进行互检，检查系统中可能出现的电压、时钟和通信问题。另外针对通信，IC内部还会有CRC的检测机制。

灵活性和安全性兼顾——MPSafe ADAS电源解决方案

自动驾驶系统无疑是功能安全等级要求最高的系统之一，而对于ADAS的功能安全的设计，要从电源设计开始。如果没有安全可靠的供电方案，那么ADAS系统的主控也就无法正常工作，整个ADAS的功能安全也就无从谈起。

Jing介绍了三款来自MPS MPSafe系列的电源产品，分别是数字化双路多相控制器MPQ2967、12 通道电源时序器MPQ79700FS和6通道电压监控器MPQ79500FS。通过这三款高功能安全的IC，结合符合QM标准的LDO和DrMos之后，就可以打造一个完整的支持ASIL D的ADAS电源解决方案。

据悉，MPQ2967主要是面向高功能的自动驾驶的SoC，负责对于DrMOS控制来达到更高的输出电流。该产品内部包含了时钟、CRC、电压监测等等一系列系统功能安全相关监测功能。不论是时钟错误，还是通信错误，都可以监测到。

MPQ79700主要用于控制SoC的上下电时序，内部也有像CRC check、I2C check、内存检测等各种监测功能，同样也获得了TUV-SUD认证。

MPQ79500FS则用于监测输出电压和时序。因为对于自动驾驶系统而言，输出电压的时序的正确性也非常重要，MPQ79500FS可以作为一个外部元件来监控这些输出电压，确保时序的正确。据Jing介绍，这个产品不仅能够监测传统意义上的DC的OV和UV，还可以监测AC的相关功能。

将上述的几个产品结合在一起，就构成了MPS的ADAS电源方案，针对雷达、控制模块，主要是采用了ASIL D的产品，而对于要求并不是那么高的摄像头部分，采用了ASIL B的产品。

据Jing介绍，这一套系统的好处在于，给予了客户在后续产品升级的时候，极大的便利。例如客户未来将系统中的SoC升级，那么只需要更新LDO到PMIC就可以了，整个电源方案中其他的IC并不需要进行重新选型和电路设计。

据悉，在成都MPS专门设立了功能安全的部门，来支持中国本土客户的功能安全电源方案设计。Jing表示，MPS内部对于新产品的研发，非常看重功能安全。“Safety真的很重要。我们是永远都是Safety是排在我们的第一位。”