欢迎光临散文网 会员登陆 & 注册

MPS 功能安全汽车开发流程MPSAFE简介

2022-09-08 10:26 作者:MPS芯源系统  | 我要投稿

概述

MPSafeTM是 MPS 专为汽车元器件开发的一套全新、先进的安全开发流程。该流程已通过独立认证,且符合 ISO26262标准。ISO26262是针对汽车功能安全产品的设计、开发和生产而定义的一套标准。

汽车行业在追求自动化、互联化和电气化的交通运输未来道路上快速发展,而驾驶任务也交付给了智能、富感应的计算机系统。为达成这个目标,汽车行业不断进步,安全标准也愈发严苛、具体和新颖。对于驾驶这样安全攸关的汽车应用来说,MPSafeTM流程能够控制 MPS 所有相关集成电路的开发,从而确保生产出合适的产品以适应安全标准。

汽车标准:AEC-Q100

汽车公司每年都会销售出数百万辆的汽车,车队中使用的任何一个元件或子系统出现故障,都可能导致危险,产生法律问题,甚至对消费者造成严重伤害。尽管并非所有车辆功能都具有相同的安全功能(例如,视频播放器不需要与制动系统具有同等级别的安全功能),但关键系统仍依赖于各种既定的可靠性与安全认证。

AEC-Q100就是汽车 IC 必须满足的一套基本标准,该标准通过规定的一系列压力测试,确保 IC 能够应对车辆环境中固有的严苛条件。 测试的目的是考察设备在面临极端电气和环境压力时的表现,最终验证设备不仅在车辆售出的那一天能够正常运行,而且在车辆的整个合理寿命期间都能正常运行。通过 AEC-Q100 认证是所有 MPS 汽车产品必经的门槛,而所有MPSafeTM产品也以通过这一基本要求为起点。

汽车安全完整性等级 (ASIL)

汽车安全完整性等级 (ASIL) 是 ISO26262 中定义的一组安全等级,它通过严重度、暴露率和可控性三个因素确定了从 A 到 D的等级:

  • 严重度:如果发生故障,后果是什么?它会影响驾驶员、乘客和/或车外人员吗?级别如下:

    • S1(轻伤或中等伤害)

    • S2(重伤但可能存活)

    • S3(重伤和致命伤)

  • 暴露率:系统会暴露于这种特定环境或情况的可能性如何?级别如下:

    • E1(非常低)

    • E2(低)

    • E3(中)

    • E4(高)  例如,汽车在高速公路上行驶的暴露率被认定为 E4,因为这是车辆的常见环境。

  • 可控性:如果发生故障,车辆周围或操作车辆的人员能够避免伤害和/或损坏的难易程度如何? 级别如下:

    • C1(可控)

    • C2(一般可控)

    • C3(几乎不可控)

结合这三个因素,很容易确定出ASIL 等级(见图 1)。

图 1:ASIL 需求

质量管理(QM)属于没有安全要求的等级。

ASIL A 是最易满足的安全等级。例如在交通拥堵中出现意外的启/停故障,其暴露率为 E3(平均运行时间的 1% 至 10%),严重度为 S1(低速下的轻伤至中度伤害),可控性为 C3(难以避免这类意外,因为车距太近)。

ASIL B涵盖了轻度至中度条件,例如当车辆在高速公路上不由自主地加速。 在这种情况下,暴露率为 E4(超过平均运行时间的 10%,因为汽车几乎在每个驾驶周期中都会加速),严重度为 S3(高速路事故),可控性为 C1(驾驶员可以通过制动减速或停车)。

ASIL C 涵盖中度至重度条件,例如方向盘在转弯时失控。在这种情况下,暴露率为E4(因为随时会使用方向盘),严重度为S2(重伤但可能存活),可控性为C3(驾驶员较难控制车辆以避免发生事故 )。

ASIL D是最难满足的要求,是S3(重伤和致命伤)、E4(高暴露可能性)和 C3(基本不可控)的唯一重合点,例如车辆在高速行驶时刹车失灵。在这种情况下,暴露率为 E4(驾驶员几乎在每个驾驶周期中都会使用制动系统),严重度为 S3(重伤且有死亡可能),可控性为 C3(驾驶员很难减速以避免事故)。

MPSafeTM能够支持产品应用于全部 ASIL 等级范围内的系统。

MPSafeTM流程

MPSafeTM从概念阶段开始就汇聚了众多经验丰富的安全专家和 IC 专家,而一个恰当和充分的启动概念无疑有助于安全审核的成功、准时的交付计划以及良好的成本管理。

最初定义元件时,必须先解决一些基本问题。 首先是顶层需求,例如车辆和系统需求。如前所述,安全论证始终从车辆/系统级别开始。因此,有必要定义明确的车辆/系统安全需求,然后再定义适当的 IC 需求。顶层需求明确了,才能确定 IC 级别的需求,即才能决定如何定义您的 IC 以满足顶层需求。换句话说,前两个问题通常用于解决“车辆需要什么?” 接下来才是,“满足这些需求将需要什么?”

IC的设计从一开始就必须满足这些IC需求。为确保不出错,额外的审查将贯穿整个定义和设计阶段,因为即使是一个简单的复制/粘贴错误,都可能导致后面的实施阶段产生问题。

而且,在整个流程中都应考虑这些 IC 需求,因为设计人员最终都要将需求移交给应用工程师 (AE)。而开放的沟通渠道可确保应用工程师避免设计人员可能忽略的错误。IC 设计人员可能知道如何根据详细需求构建元件,但他们无法纵观全局。因此,IC 设计人员可能无法完全理解 ,取决于环境的不同,IC的实现会如何影响整个系统甚或导致设备故障。此外,想要使用该元件的客户可能也不知道其设计的确切需求。因此,所有相关者都应了解每个元件的最终需求,这一点至关重要。

图 2 所示为MPSafeTM流程,其中包括五个功能安全管理 (FSM)关口,从 FSM_0到 FSM_4 。

图2: MPSafe 流程

MPSafeTM遵循5个阶段的细致流程,如下所详述。

继续阅读 >>>请复制下方链接进入MPS官网查看全文:

https://bit.ly/3AUFb0m

标签:

MPS 功能安全汽车开发流程MPSAFE简介的评论 (共 条)

分享到微博请遵守国家法律