如何为自动驾驶平台供电安全“保驾护航”？

集微网报道 智能汽车行业在追求“新四化”的道路上一路急驰，而功能安全作为支撑这些技术发展的关键“后盾”，重要性也与日俱增。

特别是在当下最火热的汽车自动驾驶应用中，驾驶员或乘客与电气电子设备之间的相互作用正在显著增加，其中自动驾驶汽车的安全关键决策变得尤其重要。随着这些先进安全技术的操作系统从被动转向更加主动，加之自动驾驶平台变得越来越复杂，出现了越来越多的系统性或随机硬件故障的风险。

因而，向自动驾驶平台提供符合ISO 26262安全标准的电源与监控系统成为不可或缺的重要一环。在此领域深耕多年的MPS，应时而动采用独立开发、已被权威认证机构TUV-SUD认证的MPSafe™开发流程，研发了一套完整的解决方案，全面应对自动驾驶平台中的安全挑战。

MPSafe™开发流程层层“把关”

按照汽车安全等级，ASIL主要有三大变量，即严重程度、接触概率和可控性，每个变量都可以细分为几个子类。严重程度有四个等级，从“无伤害”(S0) 到“危及生命/致命伤”(S3)。接触概率有五个等级，涵盖“非常不可能”(E0) 到“极有可能”(E4)。可控性有四个等级，从“一般可控”(C0) 到“不可控”(C3)。因而，需分析并组合所有变量和子分类才能确定所需的ASIL。

为此，ISO 26262确定了四种ASIL—A、B、C和D。ASIL A代表最低程度的汽车危害，ASIL D则代表最高程度的汽车危险。也因而，最高危害(S3 + E4 + C3)的组合将导致达到ASIL D等级。

MPS高级功能安全经理Jing Guo介绍，系统安全分为两类，一类是失效安全系统，即检测到失效时即触发安全状态，这主要涉及动力、BMS等；二是失效可运行系统，检测到失效时，在限定驾驶循环次数内依旧能维持系统可运行，这需具备冗余性能，包括ADAS、EPS动力转向系统等应用。

因而，随着自动驾驶技术的飞速发展，多种自动驾驶应用场景也在不断落地，涉及自动驾驶平台的汽车核心计算系统、雷达系统、摄像系统等等，这些领域对电源系统也有不同的安全要求，因而自动驾驶系统的电源安全要求从芯片定义之初，就需要站在系统安全的高度出发，以了解功能安全要求对于芯片规格的制定产生的影响，避免最终产品功能和系统安全要求之间存在的偏差。

根据芯片需要满足的安全要求，MPSafe™开发流程涉及芯片定义、设计、芯片样品、芯片测试和成品出货五个步骤，每个环节都层层把关。特别是在出货阶段，在以上所有四个步骤都正常进行的过程中，MPS安全团队始终与第三方权威认证机构紧密合作，以确保MPSafe™开发流程和生产流程所有设计、测试、生产环节均满足安全要求。

Jing Guo还提到，根据应用场景的不同，MPS在保证产品功能的基础上，提供给用户不同安全等级的灵活选择。如系统安全风险较低，用户可选择具备一定FIT分析、符合AEC-Q100标准的芯片。如需保证系统安全等级较高，MPS可提供高达ASIL-D等级的带有功能安全的系列芯片。通过高可靠性和安全性，控制风险及故障，为客户的自动驾驶平台高效安全供电及监控保驾护航。

直面系统级设计痛点

整体而言，对于自动驾驶供电安全来说，一方面需要具备提供稳定的电压的能力，另一方面也应具备自身与系统故障监测报告的能力，以保证系统的正常运行。

针对此需求，MPSafe™开发了系列产品，具备了内建自测试、通过冗余的参考电压和时钟进行自我监控等功能，力求保证芯片本身的安全状态。

此外，MPSafe™不仅考虑了电源芯片如何处理各种安全案例、安全目标，还可以通过芯片引脚的兼容性以及配套的安全文件，实现解决方案的可扩展和模块化功能，可扩展性包括满足不同ASIL安全等级、功能需求和应用场景；模块化包括针对系统不同应用模块设计要求具有针对性且灵活性功能的产品，从而满足客户多样化的安全等级与需求。

如用于自动驾驶SoC核心供电的MPQ2967+Intelli-PhaseTM DrMOS。随着自动驾驶功能的不断丰富和完善，系统对于主芯片的算力要求不断提高，这也意味着更高的功耗，系统对于核心供电的要求也更高。MPQ2967 是一款用于ADAS和自动驾驶平台核心供电的功能安全数字化双路多相控制器芯片，可与MPS的Intelli-PhaseTM 产品配合使用，以更少的外部组件实现多相调压器方案。MPQ2967基于MPS独特的数字多相非线性控制，能以最少的输出电容为负载阶跃提供快速瞬态响应，其集成的多次可编程存储器能够存储为不同设计和平台定制的个性化配置。

而MPQ79700FS 是一款专为ADAS和自动驾驶平台设计的12通道功能安全电源时序芯片，可为需要多个电源轨道供电的SoC提供必要的上下电时序控制。据悉，该设备的可配置性和灵活性支持跨不同的设计应用。

为监控汽车安全应用系统级芯片，MPS开发了MPQ79500FS-AEC1六通道电压监控芯片。Jing Guo介绍说，对于SoC来说，超出范围的电源电压可能会导致系统运行性能不佳甚至系统故障，因此电压监控芯片在确保受监控的电源电压方面发挥着关键作用。

此外，MPS的MPQ79500FS-AEC1电压监控芯片也备受关注。Jing Guo提到，此芯片在被监控电压超过阈值时检测过压，或在电压降至阈值以下时检测欠压 。一旦发生过压或者欠压，电压监控芯片会向安全微控制器单元报告故障，使MCU在故障发生后能够及时做出判断，保证系统的正常运行。

值得一提的是，以失效率来测算，所有MPSafe™产品的PMHF均低于其ASIL目标的10%，如MPSafe™ ASIL-D产品的PMHF小于1，而 ASIL-D等级为10。

Jing Guo最后强调，MPS在为自动驾驶安全持续“保驾护航”的同时，MPS也将持续着力，与客户一起高瞻远瞩，助力客户加速开发，不断适应自动驾驶技术的革新趋势。