汽車原始設(shè)備制造商（OEM）一直處于移動出行（Mobility）和高級駕駛輔助系統(tǒng)（ADAS）的前沿，在這個快速發(fā)展的領(lǐng)域爭奪領(lǐng)導(dǎo)地位。隨著這些系統(tǒng)的進步，車輛中半導(dǎo)體元件的數(shù)量也隨之增加，以應(yīng)對不斷增加的新功能。

面對車用半導(dǎo)體市場如此快速的增長，瑞薩電子開發(fā)了許多車用產(chǎn)品，這其中包括微控制器（MCU），高度集成的片上系統(tǒng)（SoC） 處理器，存儲器以及電源管理系統(tǒng)（PMIC）。

然而，隨著行業(yè)的發(fā)展，問題仍然存在：“我們?nèi)绾尾拍茉谡麄€行業(yè)中標準化這些元件的開發(fā)和設(shè)計，以便我們能夠應(yīng)對風(fēng)險并自信地聲稱該部件在功能上是安全的？”

因此，在ISO 26262的第一版中，汽車行業(yè)嘗試了開發(fā)的標準化，以便將如下所列出的大型系統(tǒng)元件開發(fā)時的風(fēng)險降至最低：

因某些相關(guān)關(guān)系的遺漏，或不完整的分析所導(dǎo)致的系統(tǒng)性風(fēng)險

設(shè)備故障所導(dǎo)致的隨機硬件失效

在過去大約十年的時間里，汽車OEM一直依靠該標準的第5部分（part 5）來幫助他們解決硬件故障，以實現(xiàn)業(yè)界公認的“安全”設(shè)計。瑞薩電子在產(chǎn)品開發(fā)中也采用了類似的標準，通過使用失效模式影響診斷分析（FMEDA）以及相關(guān)失效分析（DFA）對我們的產(chǎn)品進行分析，并提出解決設(shè)計中隨機硬件失效的策略。

在該標準第5部分的基礎(chǔ)上，為了應(yīng)對汽車系統(tǒng)的復(fù)雜性，ISO 26262擴大了其覆蓋范圍，包括進了專門針對半導(dǎo)體元件的第11部分（part 11）。

為了滿足提高功能安全的同時降低成本的這一新需求，除了我們的R-Car片上系統(tǒng)處理器之外，瑞薩還為汽車系統(tǒng)設(shè)計人員提供多軌、高功率的電源管理系統(tǒng) （PMIC）。這不僅能夠減少元件數(shù)量，還能夠提供系統(tǒng)開發(fā)所需的高性能。

為幫助汽車設(shè)計師了解在購買PMIC時需要注意哪些事項，我們將對功能安全設(shè)計時所需要的分析進行說明。為了解決在元件層面和系統(tǒng)層面上的相關(guān)失效及隨機硬件失效問題，瑞薩電子的所有電源產(chǎn)品均采用了類似的架構(gòu)。這樣下次當您發(fā)現(xiàn)我們的R-Car套件搭載了瑞薩的PMIC時，您就會對自己的選擇充滿信心。

1. ISO 26262分析方法

ISO 26262 Analysis Tools

在通讀ISO 26262后，我們總結(jié)了該規(guī)格推薦的3種用于開發(fā)符合功能安全的產(chǎn)品的分析方法，具體如下：

框圖

失效模式，影響及其診斷分析（FMEDA:Failure Modes Effects and Diagnostics Analysis）

相關(guān)失效分析（DFA:Dependent Failure Analysis）

這些方法之所以會被推薦，是因為它們能夠降低復(fù)雜性的同時完成功能安全的設(shè)計。瑞薩電子為了解決隨機硬件失效的問題，在設(shè)計每一款PMIC產(chǎn)品時都采用了這些分析方法。

向下滑動繼續(xù)閱讀 ↓

1.1 框圖（The Block Diagram）

通讀ISO 26262的規(guī)格，可以明顯感覺到規(guī)格制定者重視的一件事：避免不必要的復(fù)雜性。并且，該規(guī)格給出了一套制作框圖的標準：

對設(shè)計進行抽象化，以確保每個區(qū)塊都有專門的功能，消除不必要的（往往會引起混亂的）混合功能

使用概念安全分析（conceptual safety analysis）對運作流程簡化，并對具體功能的執(zhí)行位置進行最優(yōu)化

圖2顯示了此類框圖的一個簡單示例。

1.2 失效分析方法 （Failure Analysis Tools）

在開始分析之前，我們需要確認規(guī)格希望我們在分析中使用的方法。這些方法可幫助我們確認安全機制和其保護對象的相關(guān)性（Dependent Failure）以及魯棒性設(shè)計（Robust Design）所允許的故障模式。

DFA：此分析方法有助于我們對相關(guān)失效進行識別。例如，當我們想要找出安全機制和其保護對象的元件之間相關(guān)失效時，可以使用此方法

下面給出幾種利用該分析方法進行識別的常見案例：

VCC：為安全機制供電的電路發(fā)生漂移、噪聲或故障時，可能會對供電設(shè)備產(chǎn)生不利影響

溫度：溫度的升高或降低可能會影響監(jiān)測精度的同時，降低其控制某些對象的能力

DFA通過識別并減輕相關(guān)關(guān)系（Dependencies）的方法，使這些影響得到減輕。

FMEDA：該分析方法在考慮了例如電阻串損壞和漂移等普遍被接受的故障模式的前提下，對功能所受的影響進行分析。同時還可用作失效性模擬器，對ASIL評級的安全范圍是否合理的進行確認

DFA需要識別各個功能之間的相關(guān)性，而FMEDA則是一種更為直接的方法。FMEDA的目標是調(diào)查功能的層次結(jié)構(gòu)并將預(yù)想的故障模式應(yīng)用于每個元素。此處涵蓋的故障最初在ISO 26262的第5部分中引入，然后在第二版的第 11 部分中進行了擴展。其中包括：

電阻器故障和元漂移

內(nèi)存中的軟錯誤率，以及數(shù)字邏輯電路中的固定型故障

數(shù)據(jù)傳輸失敗

在概念設(shè)計階段，將這些故障應(yīng)用于設(shè)計，創(chuàng)建機制來解決故障模式，然后分配覆蓋范圍。

2. 瑞薩PMIC架構(gòu)介紹

Introducing Renesas PMIC Architecture

瑞薩電子基于這些分析的結(jié)果，定義了產(chǎn)品的主要元素。

基準電壓的生成：這通常包括分配帶隙和偏置電壓的電路

內(nèi)部電源的生成：為設(shè)備的內(nèi)部元件提供電源的內(nèi)部電源域

開關(guān)：這包括提供輸入電壓切換的預(yù)驅(qū)動器和驅(qū)動器電路

PWM控制電路：這包括整個控制回路

調(diào)節(jié)器使能：啟用或禁用調(diào)節(jié)器

數(shù)字核心：控制上述要素的構(gòu)成使其可用于不同的應(yīng)用

通常，這些系統(tǒng)就是PMIC（電源管理系統(tǒng)）的基本構(gòu)成要素，如圖3所示。

結(jié)合DFA和FMEDA，我們可以從概念上分析我們的架構(gòu)，并考慮追加必要的功能和安全機制，以提高對硬件失效方面的魯棒性。雖然此分析并非詳盡，但它將為我們的數(shù)據(jù)資料提供一些背景信息。

向下滑動繼續(xù)閱讀 ↓

2.1.1 內(nèi)部軌和偏置生成（Internal Rail and Bias Generation）

瑞薩電子在設(shè)計產(chǎn)品時，首先會明確各個要素間的偏置關(guān)系。例如，為設(shè)備周圍的電路提供抽頭電壓的DAC。

我們根據(jù)DFA定義了故障模型并總結(jié)為以下內(nèi)容。

共因失效 （CCF：Common Cause Failure）：單個故障導(dǎo)致兩個獨立元件各自發(fā)生故障

級聯(lián)失效（Cascading Failure）：一個元件出現(xiàn)的故障導(dǎo)致另一個元件出現(xiàn)故障

將這兩種失效模型與圖3結(jié)合來看，偏置和VCC使用了同一個生成源，如果出現(xiàn)故障，將會影響電壓調(diào)節(jié)和監(jiān)測機制。

為了解決這個問題，原始架構(gòu)被更改的更加獨立。

圖6給出了處理這種相關(guān)關(guān)系時的一種方法，其中有單獨的偏置電路（帶隙）和電壓DAC來創(chuàng)建各自獨立的偏置點。這減少了電路之間的相關(guān)性，這也是為什么您會在我們的許多數(shù)據(jù)表中找到獨立的帶隙、帶隙監(jiān)測器和VCC監(jiān)測器的原因。安全要求越嚴格，解決方案就越復(fù)雜。

2.1.2 PWM控制電路和輸出開關(guān)及驅(qū)動器（PWM Control Circuit & Output Switches and Drivers）

在設(shè)計反饋回路時，不同的架構(gòu)決定了不同的性能以及必要的安全機構(gòu)，因此反饋回路的設(shè)計對PMIC尤為重要。具體的失效模式分析示例如下：

由于被固定在高電平或低電平而導(dǎo)致輸出切換的故障：這將導(dǎo)致由于直通短路或?qū)⑤敵鲋苯舆B接到地或 VIN 而導(dǎo)致切換出現(xiàn)無規(guī)則性的問題

為防止負載變化期間相對于設(shè)定值出現(xiàn)的過度變化的控制回路補償：這里的潛在故障是，控制器的帶寬急劇變化可能導(dǎo)致過壓或振蕩現(xiàn)象的發(fā)生

由于許多故障會導(dǎo)致輸出電壓偏離其設(shè)定值或輸出電流超過設(shè)備或其負載的安全額定值，因此PMIC需要具有監(jiān)控輸出電流和輸出電壓的安全機制。這些安全機制通常由比較器或板載模數(shù) （A/D） 轉(zhuǎn)換器來實現(xiàn)。

接下來，我們將用DFA來分析反饋節(jié)點。在反饋路徑中，通常有一個電阻分壓器網(wǎng)絡(luò)將輸出電壓轉(zhuǎn)換為內(nèi)部參考電平。若該電阻器出現(xiàn)故障，目標設(shè)定值會變得不正確，并且影響監(jiān)測機制的監(jiān)測能力。

因此我們得出了以下標準：

設(shè)備需要設(shè)置兩個獨立的反饋源，以解決反饋節(jié)點與板上另一個引腳或另一個電壓短路的相關(guān)故障

這種獨立的反饋源需要一個冗余電阻分壓器來解決電阻反饋網(wǎng)絡(luò)任何部分的短路故障模式

出于這個原因，您經(jīng)常會在我們的產(chǎn)品中看到除了反饋引腳之外還有另一個用于監(jiān)控的引腳。如果是內(nèi)置反饋電阻，則大多情況下會為了冗余性而設(shè)立其他不同的路徑。

對于最后的兩節(jié)中，我們的焦點將由控制回路轉(zhuǎn)向監(jiān)測機制。

2.1.3 監(jiān)視器和控制（Monitors and Controls）

監(jiān)視器和使能控制可以說是設(shè)備中最重要的電路之一，因為它們對于確保系統(tǒng)功能安全的安全機制的實施至關(guān)重要。它們由以下一系列比較器電路組成：

過流監(jiān)測

上電復(fù)位監(jiān)測

輸出電壓（過壓和欠壓）監(jiān)測

內(nèi)部時鐘監(jiān)測

在進行FMEDA分析時，我們假設(shè)比較器輸出出現(xiàn)了固定型故障（固定在高位和低位）。在這兩個故障中，固定在低位的影響更大，因為在正常操作中會漏掉發(fā)生的故障，成為潛在故障。為了提高設(shè)備檢測出這些低位固定型故障的能力，瑞薩PMIC設(shè)置了自檢功能 （ABIST）。

數(shù)字控制器將輸入切換至比較器以生成強制觸發(fā)，正常運作得到確定后，輸入控制再次變?yōu)檎ＤＪ健?/p>

2.1.4 數(shù)字內(nèi)核（Digital Core）

如圖9所示，數(shù)字內(nèi)核位于模擬部分附近，并且通常分為負責(zé)功能安全相關(guān)控制的部分和負責(zé)穩(wěn)壓器啟動和控制的部分。

這種架構(gòu)通常更適合用于減少DFA分析所發(fā)現(xiàn)的相關(guān)關(guān)系。為了更好地理解數(shù)字內(nèi)核的結(jié)構(gòu)，請參見圖9，其中主要功能包括：

通常由寄存器和一次性可編程 （OTP） 熔絲構(gòu)成

功能安全相關(guān)控制，通常由狀態(tài)機實現(xiàn)

通信，通常搭載I2C 或 SPI 控制器

在這里，針對一次性可編程（OTP）熔絲陣列和配置寄存器進行數(shù)據(jù)損（Bit Corruption）相關(guān)的FMEDA分析后，能夠預(yù)想到在啟動或者運行時將會出現(xiàn)芯片配置錯誤的故障。為了防止出現(xiàn)此問題，在啟動時和設(shè)備配置中定期執(zhí)行循環(huán)冗余計算（CRC）。并且將此方法擴展到通信接口。

實現(xiàn)數(shù)字部分的安全機制的方法還有很多，除了CRC之外，還有以下列出的安全機制：

必要的冗余邏輯

時鐘監(jiān)測

邏輯BIST（LBIST），與ABIST一樣，檢查數(shù)字邏輯是否存在固定型故障

3. 結(jié)論

每個新產(chǎn)品的開發(fā)，都會由設(shè)計團隊和安全團隊對功能安全機制進行探討研究，然后由營銷團隊將這些新產(chǎn)品的特點進行推廣和普及。本文中介紹的概念性分析旨在為讀者提供一些捷徑，以便于了解瑞薩電子是如何設(shè)計ASIL級電源管理產(chǎn)品，以及為何我們會在硬件數(shù)據(jù)表中列出各種“安全”相關(guān)功能的原因。

責(zé)任編輯：haq