概述

MPSafeTM是 MPS 專為汽車元器件開發(fā)的一套全新、先進(jìn)的安全開發(fā)流程。該流程已通過獨立認(rèn)證，且符合 ISO26262標(biāo)準(zhǔn)。ISO26262是針對汽車功能安全產(chǎn)品的設(shè)計、開發(fā)和生產(chǎn)而定義的一套標(biāo)準(zhǔn)。

汽車行業(yè)在追求自動化、互聯(lián)化和電氣化的交通運輸未來道路上快速發(fā)展，而駕駛?cè)蝿?wù)也交付給了智能、富感應(yīng)的計算機系統(tǒng)。為達(dá)成這個目標(biāo)，汽車行業(yè)不斷進(jìn)步，安全標(biāo)準(zhǔn)也愈發(fā)嚴(yán)苛、具體和新穎。對于駕駛這樣安全攸關(guān)的汽車應(yīng)用來說，MPSafeTM流程能夠控制 MPS 所有相關(guān)集成電路的開發(fā)，從而確保生產(chǎn)出合適的產(chǎn)品以適應(yīng)安全標(biāo)準(zhǔn)。

汽車標(biāo)準(zhǔn)：AEC-Q100

汽車公司每年都會銷售出數(shù)百萬輛的汽車，車隊中使用的任何一個元件或子系統(tǒng)出現(xiàn)故障，都可能導(dǎo)致危險，產(chǎn)生法律問題，甚至對消費者造成嚴(yán)重傷害。盡管并非所有車輛功能都具有相同的安全功能（例如，視頻播放器不需要與制動系統(tǒng)具有同等級別的安全功能），但關(guān)鍵系統(tǒng)仍依賴于各種既定的可靠性與安全認(rèn)證。

AEC-Q100就是汽車 IC 必須滿足的一套基本標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)通過規(guī)定的一系列壓力測試，確保 IC 能夠應(yīng)對車輛環(huán)境中固有的嚴(yán)苛條件。 測試的目的是考察設(shè)備在面臨極端電氣和環(huán)境壓力時的表現(xiàn)，最終驗證設(shè)備不僅在車輛售出的那一天能夠正常運行，而且在車輛的整個合理壽命期間都能正常運行。通過 AEC-Q100 認(rèn)證是所有 MPS 汽車產(chǎn)品必經(jīng)的門檻，而所有MPSafeTM產(chǎn)品也以通過這一基本要求為起點。

汽車安全完整性等級 (ASIL)

汽車安全完整性等級 (ASIL) 是 ISO26262 中定義的一組安全等級，它通過嚴(yán)重度、暴露率和可控性三個因素確定了從 A 到 D的等級：

• 嚴(yán)重度：如果發(fā)生故障，后果是什么？它會影響駕駛員、乘客和/或車外人員嗎？級別如下：

• S1（輕傷或中等傷害）

• S2（重傷但可能存活）

• S3（重傷和致命傷）

• 暴露率：系統(tǒng)會暴露于這種特定環(huán)境或情況的可能性如何？級別如下：

• E1（非常低）

• E2（低）

• E3（中）

• E4（高）??例如，汽車在高速公路上行駛的暴露率被認(rèn)定為 E4，因為這是車輛的常見環(huán)境。

• 可控性：如果發(fā)生故障，車輛周圍或操作車輛的人員能夠避免傷害和/或損壞的難易程度如何？ 級別如下：

• C1（可控）

• C2（一般可控）

• C3（幾乎不可控）

結(jié)合這三個因素，很容易確定出ASIL 等級（見圖 1）。

質(zhì)量管理(QM)屬于沒有安全要求的等級。

ASIL A?是最易滿足的安全等級。例如在交通擁堵中出現(xiàn)意外的啟/停故障，其暴露率為 E3（平均運行時間的 1% 至 10%），嚴(yán)重度為 S1（低速下的輕傷至中度傷害），可控性為 C3（難以避免這類意外，因為車距太近）。

ASIL B涵蓋了輕度至中度條件，例如當(dāng)車輛在高速公路上不由自主地加速。 在這種情況下，暴露率為 E4（超過平均運行時間的 10%，因為汽車幾乎在每個駕駛周期中都會加速），嚴(yán)重度為 S3（高速路事故），可控性為 C1（駕駛員可以通過制動減速或停車）。

ASIL C?涵蓋中度至重度條件，例如方向盤在轉(zhuǎn)彎時失控。在這種情況下，暴露率為E4（因為隨時會使用方向盤），嚴(yán)重度為S2（重傷但可能存活），可控性為C3（駕駛員較難控制車輛以避免發(fā)生事故 ）。

ASIL D是最難滿足的要求，是S3（重傷和致命傷）、E4（高暴露可能性）和 C3（基本不可控）的唯一重合點，例如車輛在高速行駛時剎車失靈。在這種情況下，暴露率為 E4（駕駛員幾乎在每個駕駛周期中都會使用制動系統(tǒng)），嚴(yán)重度為 S3（重傷且有死亡可能），可控性為 C3（駕駛員很難減速以避免事故）。

MPSafeTM能夠支持產(chǎn)品應(yīng)用于全部 ASIL 等級范圍內(nèi)的系統(tǒng)。

MPSafeTM流程

MPSafeTM從概念階段開始就匯聚了眾多經(jīng)驗豐富的安全專家和 IC 專家，而一個恰當(dāng)和充分的啟動概念無疑有助于安全審核的成功、準(zhǔn)時的交付計劃以及良好的成本管理。

最初定義元件時，必須先解決一些基本問題。 首先是頂層需求，例如車輛和系統(tǒng)需求。如前所述，安全論證始終從車輛/系統(tǒng)級別開始。因此，有必要定義明確的車輛/系統(tǒng)安全需求，然后再定義適當(dāng)?shù)?IC 需求。頂層需求明確了，才能確定 IC 級別的需求，即才能決定如何定義您的 IC 以滿足頂層需求。換句話說，前兩個問題通常用于解決“車輛需要什么？” 接下來才是，“滿足這些需求將需要什么？”

IC的設(shè)計從一開始就必須滿足這些IC需求。為確保不出錯，額外的審查將貫穿整個定義和設(shè)計階段，因為即使是一個簡單的復(fù)制/粘貼錯誤，都可能導(dǎo)致后面的實施階段產(chǎn)生問題。

而且，在整個流程中都應(yīng)考慮這些 IC 需求，因為設(shè)計人員最終都要將需求移交給應(yīng)用工程師 (AE)。而開放的溝通渠道可確保應(yīng)用工程師避免設(shè)計人員可能忽略的錯誤。IC 設(shè)計人員可能知道如何根據(jù)詳細(xì)需求構(gòu)建元件，但他們無法縱觀全局。因此，IC 設(shè)計人員可能無法完全理解 ，取決于環(huán)境的不同，IC的實現(xiàn)會如何影響整個系統(tǒng)甚或?qū)е略O(shè)備故障。此外，想要使用該元件的客戶可能也不知道其設(shè)計的確切需求。因此，所有相關(guān)者都應(yīng)了解每個元件的最終需求，這一點至關(guān)重要。

圖 2 所示為MPSafeTM流程，其中包括五個功能安全管理 (FSM)關(guān)口，從 FSM_0到 FSM_4 。

MPSafeTM遵循5個階段的細(xì)致流程，如下所詳述。

繼續(xù)閱讀 >>>請復(fù)制下方鏈接進(jìn)入MPS官網(wǎng)查看全文：

https://bit.ly/3AUFb0m