0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

MPS功能安全汽车开发流程MPSAFETM简介

jf_pJlTbmA9 来源:jf_pJlTbmA9 作者:jf_pJlTbmA9 2023-08-02 11:32 次阅读

MPS 功能安全汽车开发流程MPSAFETM 简介

概述

MP 安全TM是 MPS 专为汽车元器件开发的一套全新、先进的安全开发流程。该流程已通过独立认证,且符合 ISO26262标准。ISO26262是针对汽车功能安全产品的设计、开发和生产而定义的一套标准。

汽车行业在追求自动化、互联化和电气化的交通运输未来道路上快速发展,而驾驶任务也交付给了智能、富感应的计算机系统。为达成这个目标,汽车行业不断进步,安全标准也愈发严苛、具体和新颖。对于驾驶这样安全攸关的汽车应用来说,MP 安全TM流程能够控制 MPS 所有相关集成电路的开发,从而确保生产出合适的产品以适应安全标准。

汽车标准:AEC-Q100

汽车公司每年都会销售出数百万辆的汽车,车队中使用的任何一个元件或子系统出现故障,都可能导致危险,产生法律问题,甚至对消费者造成严重伤害。尽管并非所有车辆功能都具有相同的安全功能(例如,视频播放器不需要与制动系统具有同等级别的安全功能),但关键系统仍依赖于各种既定的可靠性与安全认证。

AEC-Q100就是汽车 IC 必须满足的一套基本标准,该标准通过规定的一系列压力测试,确保 IC 能够应对车辆环境中固有的严苛条件。 测试的目的是考察设备在面临极端电气和环境压力时的表现,最终验证设备不仅在车辆售出的那一天能够正常运行,而且在车辆的整个合理寿命期间都能正常运行。通过 AEC-Q100 认证是所有 MPS 汽车产品必经的门槛,而所有MP 安全TM产品也以通过这一基本要求为起点。

汽车安全完整性等级 (ASIL)

汽车安全完整性等级 (ASIL) 是 ISO26262 中定义的一组安全等级,它通过严重度、暴露率和可控性三个因素确定了从 A 到 D的等级:

例如,汽车在高速公路上行驶的暴露率被认定为 E4,因为这是车辆的常见环境。

严重度:如果发生故障,后果是什么?它会影响驾驶员、乘客和/或车外人员吗?级别如下:

S1(轻伤或中等伤害)

S2(重伤但可能存活)

S3(重伤和致命伤)

暴露率:系统会暴露于这种特定环境或情况的可能性如何?级别如下:

E1(非常低)

E2(低)

E3(中)

E4(高)

可控性:如果发生故障,车辆周围或操作车辆的人员能够避免伤害和/或损坏的难易程度如何? 级别如下:

C1(可控)

C2(一般可控)

C3(几乎不可控)

结合这三个因素,很容易确定出ASIL 等级(见图 1)。

poYBAGTBMwqAAKnjAADZNK7S9FY041.png

图 1:ASIL 需求

质量管理(QM)属于没有安全要求的等级。

A类A类A类A类A类A类A类A类A类A类A类A类A类是最易满足的安全等级。例如在交通拥堵中出现意外的启/停故障,其暴露率为 E3(平均运行时间的 1% 至 10%),严重度为 S1(低速下的轻伤至中度伤害),可控性为 C3(难以避免这类意外,因为车距太近)。

B类B类ASIL B类ASIL B类ASIL B类ASIL B类ASIL B类ASIL B类ASIL B类ASILB涵盖了轻度至中度条件,例如当车辆在高速公路上不由自主地加速。 在这种情况下,暴露率为 E4(超过平均运行时间的 10%,因为汽车几乎在每个驾驶周期中都会加速),严重度为 S3(高速路事故),可控性为 C1(驾驶员可以通过制动减速或停车)。

C国联C涵盖中度至重度条件,例如方向盘在转弯时失控。在这种情况下,暴露率为E4(因为随时会使用方向盘),严重度为S2(重伤但可能存活),可控性为C3(驾驶员较难控制车辆以避免发生事故 )。

D类ASIL D是最难满足的要求,是S3(重伤和致命伤)、E4(高暴露可能性)和 C3(基本不可控)的唯一重合点,例如车辆在高速行驶时刹车失灵。在这种情况下,暴露率为 E4(驾驶员几乎在每个驾驶周期中都会使用制动系统),严重度为 S3(重伤且有死亡可能),可控性为 C3(驾驶员很难减速以避免事故)。

MP 安全TM能够支持产品应用于全部 ASIL 等级范围内的系统。

MP 安全TM流程

MP 安全TM从概念阶段开始就汇聚了众多经验丰富的安全专家和 IC 专家,而一个恰当和充分的启动概念无疑有助于安全审核的成功、准时的交付计划以及良好的成本管理。

最初定义元件时,必须先解决一些基本问题。 首先是顶层需求,例如车辆和系统需求。如前所述,安全论证始终从车辆/系统级别开始。因此,有必要定义明确的车辆/系统安全需求,然后再定义适当的 IC 需求。顶层需求明确了,才能确定 IC 级别的需求,即才能决定如何定义您的 IC 以满足顶层需求。换句话说,前两个问题通常用于解决“车辆需要什么?” 接下来才是,“满足这些需求将需要什么?”

IC的设计从一开始就必须满足这些IC需求。为确保不出错,额外的审查将贯穿整个定义和设计阶段,因为即使是一个简单的复制/粘贴错误,都可能导致后面的实施阶段产生问题。

而且,在整个流程中都应考虑这些 IC 需求,因为设计人员最终都要将需求移交给应用工程师 (AE)。而开放的沟通渠道可确保应用工程师避免设计人员可能忽略的错误。IC 设计人员可能知道如何根据详细需求构建元件,但他们无法纵观全局。因此,IC 设计人员可能无法完全理解 ,取决于环境的不同,IC的实现会如何影响整个系统甚或导致设备故障。此外,想要使用该元件的客户可能也不知道其设计的确切需求。因此,所有相关者都应了解每个元件的最终需求,这一点至关重要。

图 2 所示为MP 安全TM流程,其中包括五个功能安全管理 (FSM)关口,从 FSM_0到 FSM_4 。

poYBAGTBLNKAQ8U_AAKMXkEbhGQ694.png

图2: MP 安全TM流程

MP 安全TM遵循5个阶段的细致流程,如下所详述。

FSM_0: 概念

概念阶段要求最高,因为这是最易出现人为错误的阶段。具体包括以下内容:

定义每个参与者的角色

发布并通过安全计划

发布系统安全概念的设想

对每个安全案例均通过合理组织的流程管理所有文档

采用第三方来确认安全与开发措施

审查整个流程和安全计划,以确认元件已准备好进行设计

FSM_1:设计/实施

设计阶段用于验证所有功能报告,具体内容涵盖在如下的步骤中:

定义满足设想系统安全概念的 IC 安全需求

执行相关故障分析 (DFA) 以减少 IC 功能和安全机制之间的常见故障

执行定量安全分析 (FMEDA) 以确保 IC 设计满足系统分配的安全目标(PMHF、SPFM 和 LFM)

确认所有开发工具均根据ISO26262 标准进行分类且合规

如果项目有任何可重复使用的 IP,则执行影响分析和风险评估

通过仿真来验证定量安全分析中定义的诊断有效性

对单点故障和常见故障进行仿真结果分析、封装故障分析和定性分析,同时验证安全需求

充分定义道路测试用例,以及用于创建产品的工具

第三方确认审核

FSM_2: 取样

取样阶段过程也就是对元件的取样过程。装配制造商可遵循MP 安全TM和其他的汽车级需求指导。该信息由功能安全经理确认,有任何偏差都需要立即审核。

FSM_3: 验证与确认

设计验证和确认阶段完成元件测试、验证及其结果的捕获与测量。这些测试涵盖了电气认证和可靠性认证、IC 表征、RT 功能和电气验证,以及 ATE 测试。所有的安全机制及其相关诊断范围都必须在此阶段验证。如果出现任何故障或问题,都将进行影响分析以做出必要的更改,然后再创建一个新样本来解决问题。

FSM_4:投入生产

在根据 MPS 标准执行完所有监测和评估测试,并评估了测试覆盖率之后,产品即可投入生产。功能安全经理和指定的第三方可一同确认所有安全相关审查,以及所有需要的审查或测试。所有安全论证都必须记录在安全案例中,并存档至少 15 年。直到安全用例完成并发布,产品才能投入生产。

年度审核

MP 安全TM流程每年都会经过第三方评估者的年度审核,以证明该流程并验证在整个设计/生产过程中没有产生偏差。MPS 放弃采用内部审核以实现对安全的承诺,以前所未有的透明度,确保了元件始终满足安全需求。

降低人为失误

元件设计可能有两种失效途径:随机失效和人为失误。随机失效意即每个电气元件都有可能失效,即使经过严格的测试和认证也是如此。设计人员会通过设计失效保护和额外的安全功能来确保随机失效不会带来安全隐患。人为失误则指在整个设计过程中出现的拼写错误、理解错误或其他错误。而MP 安全TM的目的就是创建一个拟定协议,在设计人员设计前瞻性设备时,减少人为失误的可能性。因为人不可避免地会犯错误,所以定义一个充分的开发流程来规避这类错误十分重要。

人为失误涵盖了范围广泛的意外事件,其后果从轻微到严重不等。例如,每项设计都需要仿真以确保设计符合其预期规格,如果元件设计人员同时也执行仿真,那么设计人员在设计过程中不太可能发现任何问题或差池。在这种情况下,应由另一位工程师检查仿真,以在解决方案分享出去之前确保IC 的设计是符合要求的。这种额外的审查提供了独立思考,从而可以发现设计人员在设计过程中可能出现的任何错误。而且,为了在高质量的解决方案基础之上锦上添花,MPS 还采用第三方来确认所有产品都符合相关的安全要求。

当元件被用于超出其测试范围的系统时,则可能出现更深层次的人为失误示例。 例如一个在电压降至 4V 以下即触发欠压保护 (UVP)的元件。将该元件用于一个并非专用的系统中,该系统的欠压保护阈值可能需要降至 2V,而这可能导致元件失效,因为在不触发安全保护的情况下,该元件无法降至 4V 以下。

不明确的安全系统目标也可能导致错误,因为以“最高安全性”为目标只会增加成本、上市时间和复杂性,而生产出的元件也不能满足系统特定的需求。一个项目在特定的阶段可能有不同的审查需求,安全经理可以遵循MP 安全TM来确定在流程的任一时刻,项目的确切审查需求。例如,测试样本和数据可能需要多名专家评审员来评审,而原理图则可能只需要一名工程师提供技术评审即可。这样,设计过程中的每个步骤都有其特定的规范,从而最终实现上市时间的最小化。

结论

凭借以安全为导向的思维方式,MPS构建的系统架构不仅安全,而且可定制且可快速推向市场。MP 安全TM流程的推出有助于避免人为失误,确保MPS 器件轻松满足安全需求。通过该流程生产出的汽车产品能够满足日益严苛的汽车安全认证,未来还将涵盖更多的产品,包括精密传感器、数字可编程电源变换器、电机驱动器、电压监视器和用于大电流解决方案的定序器、LED 驱动器等。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 计算机
    +关注

    关注

    19

    文章

    7409

    浏览量

    87691
  • MPS
    MPS
    +关注

    关注

    26

    文章

    259

    浏览量

    64108
  • 功能安全
    +关注

    关注

    2

    文章

    78

    浏览量

    5632
收藏 人收藏

    评论

    相关推荐

    大唐恩智浦启动首个ISO 26262功能安全开发流程认证项目

    近日,中国首家汽车半导体公司大唐恩智浦半导体有限公司 (以下简称“大唐恩智浦”)与 TÜV 南德意志大中华集团 (以下简称“TÜV SÜD”)正式签署了ISO 26262功能安全开发流程
    发表于 11-02 20:04 1273次阅读

    深圳站-2017 MPS高性能电源与工业技术研讨会资料分享

    ,模块电源方案,汽车功能安全设计并分享车载电源EMC设计要领以及典型案例分析。面向行业:汽车电子,医疗,伺服,工业自动化,无人机,电机控制等。演讲议程: 演讲内容及演讲嘉宾
    发表于 11-15 10:41

    Vivado 开发环境简介及设计流程

    `Vivado 开发环境简介及设计流程`
    发表于 12-12 10:15

    ZYNQ芯片开发流程简介

    PS和PL互联技术ZYNQ芯片开发流程简介
    发表于 01-26 07:12

    汽车安全功能及应用介绍

    汽车功能安全简介以及功能安全应用示例
    的头像 发表于 08-23 00:14 4121次阅读

    罗姆取得汽车行业功能安全标准开发流程认证

    位于日本京都的半导体制造商罗姆,今年3月通过了德国第三方认证机构TÜV Rheinland(莱茵TUV)的认证,取得了汽车行业功能安全标准“ISO26262”的开发
    的头像 发表于 11-30 15:46 4199次阅读

    亿咖通科技获汽车功能安全ASIL D流程认证

    2022年1月24日,亿咖通科技获SGS通标标准技术服务(上海)有限公司(以下简称为“SGS”)颁发ISO 26262:2018汽车功能安全ASIL D流程认证证书,标志着亿咖通科技已
    的头像 发表于 01-26 16:39 1883次阅读
    亿咖通科技获<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>ASIL D<b class='flag-5'>流程</b>认证

    四维图新旗下杰发科技获ISO 26262汽车功能安全ASIL D流程认证证书

    杰发科技获颁ISO 26262 ASIL D流程认证证书,包括功能安全管理、系统水平开发、硬件开发、支持过程、
    的头像 发表于 09-25 11:38 846次阅读

    AUTOSAR软件开发流程简介

    AUTOSAR软件开发流程简介 AUTOSAR软件开发流程是指在AUTOSAR架构下进行软件开发
    的头像 发表于 10-27 15:55 3050次阅读
    AUTOSAR软件<b class='flag-5'>开发</b><b class='flag-5'>流程</b><b class='flag-5'>简介</b>

    蔚来汽车:BMS 功能安全开发方法.zip

    蔚来汽车:BMS功能安全开发方法
    发表于 01-13 09:07 4次下载

    专家访谈 | AI如何助力汽车功能安全?(汽车安全②:功能安全

    汽车行业中,确保功能安全至关重要。开发汽车功能需要一个严格的
    的头像 发表于 04-08 15:42 384次阅读
    专家访谈 | AI如何助力<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>?(<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>②:<b class='flag-5'>功能</b><b class='flag-5'>安全</b>)

    美行科技通过ISO26262:2018汽车功能安全ASIL D流程认证

    近日,沈阳美行科技股份有限公司获得了TUV莱茵颁发的ISO 26262:2018汽车功能安全ASIL D流程认证证书,标志着美行科技已按照ISO 26262:2018版标准要求,建立起
    的头像 发表于 05-08 09:33 400次阅读
    美行科技通过ISO26262:2018<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>ASIL D<b class='flag-5'>流程</b>认证

    威灵汽车获得ISO 26262 ASIL-D汽车功能安全流程认证证书

    近日,安徽威灵汽车部件有限公司(以下简称“威灵汽车”)成功通过ISO 26262:2018 ASIL-D汽车功能安全
    的头像 发表于 05-28 10:45 1112次阅读
    威灵<b class='flag-5'>汽车</b>获得ISO 26262 ASIL-D<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b><b class='flag-5'>流程</b>认证证书

    深圳和而泰汽车电子荣获ISO 26262 ASIL-D功能安全流程认证证书

    近日,全球领先的检验检测认证机构DEKRA德凯为深圳和而泰汽车电子科技有限公司(以下简称“深圳和而泰汽车电子”)颁发ISO 26262 ASIL-D功能安全
    的头像 发表于 07-16 14:32 525次阅读

    易控智驾正式通过汽车功能安全流程认证

    近日,易控智驾正式通过「ISO26262:2018 ASIL-D」汽车功能安全流程认证,并获得由国际知名认证机构SGS颁发的功能
    的头像 发表于 11-21 09:46 174次阅读
    易控智驾正式通过<b class='flag-5'>汽车</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b><b class='flag-5'>流程</b>认证