全球汽車行業(yè)正在經(jīng)歷一場(chǎng)百年一遇的技術(shù)革命。根據(jù) Strategy Analytics 的分析，在 2024 年，車載電子裝置在整車成本中的占比已超過 35%，預(yù)計(jì)到 2025 年這一數(shù)字將超過 50%。這種轉(zhuǎn)變由兩股核心力量推動(dòng)：

• 電氣化：2024 年，全球新能源汽車 (NEV) 銷量超過 1,400 萬輛，中國(guó)市場(chǎng)滲透率達(dá)到 35%（CAAM 數(shù)據(jù)）。新能源汽車的銷量激增，極大地增加了對(duì)動(dòng)力總成系統(tǒng)（電池、電機(jī)和控制裝置）中高可靠性 MCU 的需求。
• 智能：目前，超過 30% 的車輛具備 L2 級(jí)別以上的自動(dòng)駕駛功能，同時(shí)智能駕駛艙和車輛聯(lián)網(wǎng)已成為主流，使得每年對(duì)芯片算力的需求增長(zhǎng)了 20% 以上。

MCU：“看不見的戰(zhàn)場(chǎng)”：每輛車的 MCU 數(shù)量從傳統(tǒng)內(nèi)燃機(jī)車輛的 70 個(gè)增加到智能車輛的 300 多個(gè)，到 2025 年，車規(guī)級(jí) MCU 的市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)到 120 億美元 (Yole D é veloppement)。

車規(guī)級(jí)芯片的“三道門檻”

汽車電子產(chǎn)品在功能安全、可靠性和供應(yīng)鏈彈性方面的要求極高，與消費(fèi)類電子產(chǎn)品大不相同：

1. 功能安全：ISO 26262 和 ASIL 等級(jí)
   1. 安全基線：ASIL B 已成為車身控制和舒適系統(tǒng)的最低門檻。例如，電動(dòng)車窗防夾功能如果出現(xiàn)故障，可能會(huì)造成人身傷害，因此需要單點(diǎn)故障覆蓋率達(dá)到 90% 以上。
2. 可靠性：AEC-Q100 認(rèn)證
   1. 嚴(yán)格測(cè)試：包括 2000 小時(shí)的高溫老化測(cè)試 (125°C)、1000 次熱循環(huán)測(cè)試（-55°C 至大約 150°C）和機(jī)械振動(dòng)測(cè)試（50G 加速度）。
   2. 壽命要求：汽車芯片必須保持 10 年以上的使用壽命，且故障率低于 1 FIT（每十億小時(shí)發(fā)生 1 次故障）。
3. 供應(yīng)鏈彈性：獨(dú)立的生產(chǎn)線
   1. 長(zhǎng)期承諾：汽車開發(fā)周期長(zhǎng)達(dá) 3-5 年，要求芯片能夠保持 15 年以上的穩(wěn)定供應(yīng)。

MSPM0 在汽車應(yīng)用中的優(yōu)勢(shì)

MSPM0 專為中低風(fēng)險(xiǎn)場(chǎng)景 (ASIL A/B) 而打造，憑借出色的安全性、性價(jià)比和開發(fā)便捷性，重新定義了車身電子產(chǎn)品市場(chǎng)：

• 兼顧安全和成本：
  • 符合 ISO 26262 標(biāo)準(zhǔn)。TI 新產(chǎn)品開發(fā)流程具有管理系統(tǒng)故障所需的很多要素。此外，這些組件的文檔和報(bào)告有助于遵循面向客戶最終應(yīng)用（包括汽車和工業(yè)系統(tǒng)）的各種標(biāo)準(zhǔn)。
  • 通過單核自檢架構(gòu)實(shí)現(xiàn) ASIL B 等級(jí)，與競(jìng)爭(zhēng)產(chǎn)品相比，硬件成本降低了 40%。
  • 提供 MCAL，它是 AUTOSAR 標(biāo)準(zhǔn)中定義的基本軟件層的核心組件。AUTOSAR 由 EB Tresos 等第三方提供。AUTOSAR 的模塊化和分層架構(gòu)原生符合 ISO 26262 安全要求，這些元素的結(jié)合使用有助于創(chuàng)建安全、可重復(fù)使用的汽車電子系統(tǒng)。
  • 符合 AEC-Q100 1 級(jí)（–40°C 至 125°C）標(biāo)準(zhǔn)?？蛻艨梢蕴峤簧暾?qǐng)，從 TI 生產(chǎn)件批準(zhǔn)程序 (PPAP) 網(wǎng)站獲取報(bào)告。
  • 符合 ISO 9001 / IATF 16949 標(biāo)準(zhǔn)。MSPM0 MCU 是使用 TI 的新產(chǎn)品開發(fā)流程開發(fā)的，此流程經(jīng) Bureau Veritas (BV) 評(píng)估，符合 ISO 9001/IATF 16949 標(biāo)準(zhǔn)。
• 強(qiáng)大的開放生態(tài)系統(tǒng)，有助于簡(jiǎn)化開發(fā)：
  • 與 CCS/Keil/IAR 開發(fā)環(huán)境兼容。Green Hills MULTI IDE 還支持 INTEGRITY、AUTOSAR Classic 和 u-velosity。
  • 支持多個(gè)編程器，如 XDS-110、Segger J-link、PEMicro Cyclone、C-GANG 等。
  • 由第三方提供豐富的驅(qū)動(dòng)程序和庫支持，如安全啟動(dòng)庫、CAN/LIN 棧庫、AUTOSAR 軟件等，以滿足不同的應(yīng)用要求。
• TI 自身的供應(yīng)鏈彈性：
  • 使用猶他州李海的 300 毫米晶圓制造廠進(jìn)行生成，可保持穩(wěn)定的產(chǎn)能。
  • 位于上海的專用汽車芯片倉(cāng)庫可將交貨周期縮短至數(shù)周。
  • 保證 15 年以上的長(zhǎng)期穩(wěn)定供應(yīng)。
  圖 1-2 德州儀器位于猶他州李海的晶圓廠

ISO 26262 標(biāo)準(zhǔn)合規(guī)流程

ISO 26262 是面向汽車電子產(chǎn)品的國(guó)際功能安全標(biāo)準(zhǔn)，旨在系統(tǒng)地降低由電氣/電子 (E/E) 系統(tǒng)中的故障導(dǎo)致的安全風(fēng)險(xiǎn)。主要方面包括：

• 范圍：涵蓋乘用車中 E/E 系統(tǒng)的整個(gè)生命周期，從概念設(shè)計(jì)到生產(chǎn)、運(yùn)行直至停用。
• 目標(biāo)：即使存在隨機(jī)硬件故障或系統(tǒng)錯(cuò)誤，也能確保系統(tǒng)保持安全狀態(tài)。
• 結(jié)構(gòu)：分為 10 個(gè)部分（第 1 部分至第 10 部分），解決安全管理、系統(tǒng)級(jí)開發(fā)、硬件/軟件開發(fā)等問題。

ASIL A-D 是 ISO 26262 中定義的風(fēng)險(xiǎn)分類系統(tǒng)，用于對(duì)系統(tǒng)或功能安全要求的嚴(yán)格度進(jìn)行量化。

功能安全手冊(cè)是產(chǎn)品開發(fā)團(tuán)隊(duì)的合規(guī)性指南，通常由芯片制造商提供。以下是功能安全手冊(cè)中的主要內(nèi)容。

1. 安全目標(biāo)：
   1. 定義目標(biāo) ASIL 等級(jí)和要求（ASIL B 的 SPFM ≥ 90%）。
2. 安全機(jī)制：
   1. 硬件：ECC 存儲(chǔ)器，雙核鎖步。
   2. 軟件：看門狗計(jì)時(shí)器，定期自檢。
3. 開發(fā)流程：
   1. 安全分析 (FMEA /FTA)，可追溯性矩陣。
   2. 工具鏈認(rèn)證（經(jīng) TüV 認(rèn)證的編譯器）。

FMEDA 是 ISO 26262 規(guī)定的一種用于評(píng)估硬件安全性能的定量分析方法。該分析方法通常包含以下步驟：

1. 故障模式識(shí)別：列出潛在的硬件故障（開路/短路）。
2. 影響分析：評(píng)估安全后果（制動(dòng)信號(hào)丟失）。
3. 診斷覆蓋率計(jì)算：測(cè)量故障檢測(cè)率（ECC 覆蓋 90% 的存儲(chǔ)器故障）。
4. 指標(biāo)：
   1. 單點(diǎn)故障指標(biāo) (SPFM)：≥90% (ASIL B)，≥99% (ASIL D)。
   2. 潛在故障指標(biāo) (LFM)：≥60% (ASIL B)，≥80% (ASIL D)。

FIT 是衡量電子元件或系統(tǒng)可靠性的關(guān)鍵指標(biāo)。它廣泛應(yīng)用于汽車和航空等安全要求極高的行業(yè)，尤其是在 ISO 26262 功能安全方面，用于量化隨機(jī)硬件故障率。

1 FIT 表示某個(gè)組件在運(yùn)行 10 億小時(shí)后發(fā)生一次故障的概率。ISO 26262 規(guī)定了基于 ASIL 等級(jí)的硬件故障概率指標(biāo) (PMHF) 限制：

• ASIL D：PMHF ≤ 10 FIT（每十億小時(shí) ≤10 次故障）。
• ASIL B：PMHF ≤ 100 FIT。

總之，ISO 26262 提供了框架，而 ASIL 定義了框架的實(shí)施嚴(yán)格程度。功能安全手冊(cè)將理論引導(dǎo)到實(shí)踐中，并通過 FMEDA 和 FIT 提供定量驗(yàn)證。對(duì)于 ASIL B MCU (MSPM0)，重點(diǎn)兼顧安全 (SPFM ≥90%) 和成本效益。

ISO 26262 技術(shù)實(shí)現(xiàn)路徑

AUTOSAR（汽車開放系統(tǒng)架構(gòu)）是由主要的汽車制造商、供應(yīng)商和工具開發(fā)商合作開發(fā)的汽車 E/E 軟件架構(gòu)開放標(biāo)準(zhǔn)。其核心目標(biāo)是將傳統(tǒng)汽車開發(fā)中的軟件與硬件去耦合，實(shí)現(xiàn)模塊化軟件設(shè)計(jì)、跨平臺(tái)可復(fù)用性和高效協(xié)作開發(fā)。

傳統(tǒng)汽車軟件開發(fā)面臨以下挑戰(zhàn)：不同供應(yīng)商提供的 ECU 軟件不兼容，導(dǎo)致集成成本居高不下。高級(jí)功能（自動(dòng)駕駛、OTA）需要更靈活的架構(gòu)。很難系統(tǒng)性地符合 ISO 26262 等標(biāo)準(zhǔn)。AUTOSAR 的解決方案通過標(biāo)準(zhǔn)化接口和分層架構(gòu)解決了這些難題，使軟件與硬件去耦合，從而可以像搭積木一樣靈活組合各種軟件組件。

AUTOSAR 的通用內(nèi)核架構(gòu)包含以下內(nèi)容：

• 應(yīng)用層：
  • 實(shí)現(xiàn)車輛特定功能（發(fā)動(dòng)機(jī)控制、照明）。
  • 開發(fā)人員專注于業(yè)務(wù)邏輯，而不必受硬件因素的束縛。
• 運(yùn)行時(shí)環(huán)境 (RTE)：
  • 提供通信接口（信號(hào)傳遞、服務(wù)調(diào)用），將應(yīng)用程序與硬件隔離。
• 基本軟件層 (BSW)：
  • 標(biāo)準(zhǔn)化服務(wù)模塊，包括：
    • 服務(wù)層：診斷、內(nèi)存管理。
    • ECU 抽象層：統(tǒng)一訪問傳感器/執(zhí)行器。
    • MCAL：用于 ADC、CAN 等的底層硬件驅(qū)動(dòng)程序。

微控制器抽象層 (MCAL) 是 AUTOSAR 標(biāo)準(zhǔn)中定義的 BSW（基本軟件層）的核心組件。其主要目的是對(duì)硬件操作進(jìn)行抽象，為上層軟件層（應(yīng)用層，ECU 抽象層）訪問硬件提供統(tǒng)一的接口，從而屏蔽不同微控制器 (MCU) 之間的差異。

MCAL 的核心功能如下所示：

• 硬件驅(qū)動(dòng)程序封裝：
• 標(biāo)準(zhǔn)化驅(qū)動(dòng)器（ADC、PWM、CAN、SPI、GPIO）直接與 MCU 寄存器交互，但向上層提供統(tǒng)一的 API。
• 硬件獨(dú)立性：
• 切換 MCU 只需要修改 MCAL 層，而上部應(yīng)用邏輯保持不變。
• 實(shí)時(shí)性能和安全性：
• 確保硬件操作的時(shí)序可靠性，并支持 ISO 26262 功能安全要求（故障檢測(cè)、冗余檢查）。

安全庫包含用于實(shí)時(shí)硬件故障檢測(cè)和安全響應(yīng)的預(yù)集成軟件模塊。安全庫通常集成在 AUTOSAR 項(xiàng)目中。同時(shí)，客戶可以在自己的項(xiàng)目中獨(dú)立使用安全庫，從而滿足自定義的功能安全要求。

AEC-Q100 標(biāo)準(zhǔn)

AEC-Q100 標(biāo)準(zhǔn)由汽車電子委員會(huì)制定，定義了集成電路 (IC) 的可靠性認(rèn)證，以確保其在惡劣的汽車環(huán)境中的長(zhǎng)期穩(wěn)定性。0 級(jí)和 1 級(jí)是 AEC-Q100 標(biāo)準(zhǔn)下的兩個(gè)關(guān)鍵溫度等級(jí)，主要在工作溫度范圍、應(yīng)用場(chǎng)景和測(cè)試嚴(yán)格度方面有所不同。下面是詳細(xì)的比較：

下面是在不同的要求下，0 級(jí)和 1 級(jí)的常見應(yīng)用場(chǎng)景。

• 0 級(jí)應(yīng)用
  • 動(dòng)力總成系統(tǒng)：燃油噴射控制、電機(jī)驅(qū)動(dòng)器（電動(dòng)助力轉(zhuǎn)向）。
  • 高溫傳感器：廢氣溫度傳感器、渦輪增壓器壓力傳感器。
  • 高性能芯片：功率 MOSFET、IGBT 驅(qū)動(dòng)器
• 1 級(jí)應(yīng)用
  • 車身電子裝置：車窗升降器、座椅調(diào)節(jié)器、照明控制。
  • 信息娛樂系統(tǒng)：導(dǎo)航、語音識(shí)別、顯示屏驅(qū)動(dòng)程序。
  • 低功耗模塊：胎壓監(jiān)測(cè)系統(tǒng) (TPMS)、無鑰匙進(jìn)入/無鑰匙啟動(dòng) (PEPS)。