ZHCAF36 March 2025 MSPM0G1518 , MSPM0G1519 , MSPM0G3106 , MSPM0G3107 , MSPM0G3506 , MSPM0G3507 , MSPM0G3518 , MSPM0G3519
全球汽车行业正在经历一场百年一遇的技术革命。根据 Strategy Analytics 的分析,在 2024 年,车载电子装置在整车成本中的占比已超过 35%,预计到 2025 年这一数字将超过 50%。这种转变由两股核心力量推动:
- 电气化:2024 年,全球新能源汽车 (NEV) 销量超过 1,400 万辆,中国市场渗透率达到 35%(CAAM 数据)。新能源汽车的销量激增,极大地增加了对动力总成系统(电池、电机和控制装置)中高可靠性 MCU 的需求。
- 智能:目前,超过 30% 的车辆具备 L2 级别以上的自动驾驶功能,同时智能驾驶舱和车辆联网已成为主流,使得每年对芯片算力的需求增长了 20% 以上。
MCU:“看不见的战场”:每辆车的 MCU 数量从传统内燃机车辆的 70 个增加到智能车辆的 300 多个,到 2025 年,车规级 MCU 的市场规模预计将达到 120 亿美元 (Yole D é veloppement)。
图 1-1 MCU 在汽车领域的应用日益广泛车规级芯片的“三道门槛”
汽车电子产品在功能安全、可靠性和供应链弹性方面的要求极高,与消费类电子产品大不相同:
- 功能安全:ISO 26262 和 ASIL 等级
- 安全基线:ASIL B 已成为车身控制和舒适系统的最低门槛。例如,电动车窗防夹功能如果出现故障,可能会造成人身伤害,因此需要单点故障覆盖率达到 90% 以上。
- 可靠性:AEC-Q100 认证
- 严格测试:包括 2000 小时的高温老化测试 (125°C)、1000 次热循环测试(-55°C 至大约 150°C)和机械振动测试(50G 加速度)。
- 寿命要求:汽车芯片必须保持 10 年以上的使用寿命,且故障率低于 1 FIT(每十亿小时发生 1 次故障)。
- 供应链弹性:独立的生产线
- 长期承诺:汽车开发周期长达 3-5 年,要求芯片能够保持 15 年以上的稳定供应。
MSPM0 在汽车应用中的优势
MSPM0 专为中低风险场景 (ASIL A/B) 而打造,凭借出色的安全性、性价比和开发便捷性,重新定义了车身电子产品市场:
- 兼顾安全和成本:
- 符合 ISO 26262 标准。TI 新产品开发流程具有管理系统故障所需的很多要素。此外,这些组件的文档和报告有助于遵循面向客户最终应用(包括汽车和工业系统)的各种标准。
- 通过单核自检架构实现 ASIL B 等级,与竞争产品相比,硬件成本降低了 40%。
- 提供 MCAL,它是 AUTOSAR 标准中定义的基本软件层的核心组件。AUTOSAR 由 EB Tresos 等第三方提供。AUTOSAR 的模块化和分层架构原生符合 ISO 26262 安全要求,这些元素的结合使用有助于创建安全、可重复使用的汽车电子系统。
- 符合 AEC-Q100 1 级(–40°C 至 125°C)标准。客户可以提交申请,从 TI 生产件批准程序 (PPAP) 网站获取报告。
- 符合 ISO 9001 / IATF 16949 标准。MSPM0 MCU 是使用 TI 的新产品开发流程开发的,此流程经 Bureau Veritas (BV) 评估,符合 ISO 9001/IATF 16949 标准。
- 强大的开放生态系统,有助于简化开发:
- 与 CCS/Keil/IAR 开发环境兼容。Green Hills MULTI IDE 还支持 INTEGRITY、AUTOSAR Classic 和 u-velosity。
- 支持多个编程器,如 XDS-110、Segger J-link、PEMicro Cyclone、C-GANG 等。
- 由第三方提供丰富的驱动程序和库支持,如安全启动库、CAN/LIN 栈库、AUTOSAR 软件等,以满足不同的应用要求。
- TI 自身的供应链弹性:
- 使用犹他州李海的 300 毫米晶圆制造厂进行生成,可保持稳定的产能。
- 位于上海的专用汽车芯片仓库可将交货周期缩短至数周。
- 保证 15 年以上的长期稳定供应。
图 1-2 德州仪器位于犹他州李海的晶圆厂
ISO 26262 标准合规流程
| ISO 26262 | |
|---|---|
| 标准合规流程 | 1.ASIL 电平:定义安全完整性等级。 |
| 2.功能安全手册:指导开发流程,定义安全目标和机制。 | |
| 3.FMEDA:定量验证 ASIL 等级合规性。 | |
| 4.FIT:验证 ASIL 等级的随机硬件故障概率目标。 |
ISO 26262 是面向汽车电子产品的国际功能安全标准,旨在系统地降低由电气/电子 (E/E) 系统中的故障导致的安全风险。主要方面包括:
- 范围:涵盖乘用车中 E/E 系统的整个生命周期,从概念设计到生产、运行直至停用。
- 目标:即使存在随机硬件故障或系统错误,也能确保系统保持安全状态。
- 结构:分为 10 个部分(第 1 部分至第 10 部分),解决安全管理、系统级开发、硬件/软件开发等问题。
ASIL A-D 是 ISO 26262 中定义的风险分类系统,用于对系统或功能安全要求的严格度进行量化。
| 等级 | 风险要求 | 典型应用 |
|---|---|---|
| ASIL A | 最低 | 天窗控制、环境照明 |
| ASIL B | 中 | 仪表盘、防夹车窗 |
| ASIL C | 高 | 制动辅助、电池管理 |
| ASIL D | 最高 | 自动驾驶、电动助力转向 |
功能安全手册是产品开发团队的合规性指南,通常由芯片制造商提供。以下是功能安全手册中的主要内容。
- 安全目标:
- 定义目标 ASIL 等级和要求(ASIL B 的 SPFM ≥ 90%)。
- 安全机制:
- 硬件:ECC 存储器,双核锁步。
- 软件:看门狗计时器,定期自检。
- 开发流程:
- 安全分析 (FMEA /FTA),可追溯性矩阵。
- 工具链认证(经 TÜV 认证的编译器)。
FMEDA 是 ISO 26262 规定的一种用于评估硬件安全性能的定量分析方法。该分析方法通常包含以下步骤:
- 故障模式识别:列出潜在的硬件故障(开路/短路)。
- 影响分析:评估安全后果(制动信号丢失)。
- 诊断覆盖率计算:测量故障检测率(ECC 覆盖 90% 的存储器故障)。
- 指标:
- 单点故障指标 (SPFM):≥90% (ASIL B),≥99% (ASIL D)。
- 潜在故障指标 (LFM):≥60% (ASIL B),≥80% (ASIL D)。
| 元件 | 失效模式 | 诊断覆盖 | ASIL 合规性 |
|---|---|---|---|
| CPU 内核 | 指令错误 | 99% | ASIL D |
| SRAM | 位翻转 | 95% | ASIL B |
| ADC 模块 | 采样漂移 | 80% | ASIL A |
FIT 是衡量电子元件或系统可靠性的关键指标。它广泛应用于汽车和航空等安全要求极高的行业,尤其是在 ISO 26262 功能安全方面,用于量化随机硬件故障率。
1 FIT 表示某个组件在运行 10 亿小时后发生一次故障的概率。ISO 26262 规定了基于 ASIL 等级的硬件故障概率指标 (PMHF) 限制:
- ASIL D:PMHF ≤ 10 FIT(每十亿小时 ≤10 次故障)。
- ASIL B:PMHF ≤ 100 FIT。
总之,ISO 26262 提供了框架,而 ASIL 定义了框架的实施严格程度。功能安全手册将理论引导到实践中,并通过 FMEDA 和 FIT 提供定量验证。对于 ASIL B MCU (MSPM0),重点兼顾安全 (SPFM ≥90%) 和成本效益。
ISO 26262 技术实现路径
| ISO 26262 | |
|---|---|
| 技术实现路径 | 1.AUTOSAR:一种旨在提升软件组件的可复用性和跨平台互操作性的汽车软件架构标准。 |
| 1.1 MCAL:提供安全库的硬件访问机制,直接影响 FMEDA 结果。 | |
| 2.安全库:提供通常集成到 AUTOSAR 中的软件级安全机制。 |
AUTOSAR(汽车开放系统架构)是由主要的汽车制造商、供应商和工具开发商合作开发的汽车 E/E 软件架构开放标准。其核心目标是将传统汽车开发中的软件与硬件去耦合,实现模块化软件设计、跨平台可复用性和高效协作开发。
传统汽车软件开发面临以下挑战:不同供应商提供的 ECU 软件不兼容,导致集成成本居高不下。高级功能(自动驾驶、OTA)需要更灵活的架构。很难系统性地符合 ISO 26262 等标准。AUTOSAR 的解决方案通过标准化接口和分层架构解决了这些难题,使软件与硬件去耦合,从而可以像搭积木一样灵活组合各种软件组件。
AUTOSAR 的通用内核架构包含以下内容:
- 应用层:
- 实现车辆特定功能(发动机控制、照明)。
- 开发人员专注于业务逻辑,而不必受硬件因素的束缚。
- 运行时环境 (RTE):
- 提供通信接口(信号传递、服务调用),将应用程序与硬件隔离。
- 基本软件层 (BSW):
- 标准化服务模块,包括:
- 服务层:诊断、内存管理。
- ECU 抽象层:统一访问传感器/执行器。
- MCAL:用于 ADC、CAN 等的底层硬件驱动程序。
- 标准化服务模块,包括:
微控制器抽象层 (MCAL) 是 AUTOSAR 标准中定义的 BSW(基本软件层)的核心组件。其主要目的是对硬件操作进行抽象,为上层软件层(应用层,ECU 抽象层)访问硬件提供统一的接口,从而屏蔽不同微控制器 (MCU) 之间的差异。
MCAL 的核心功能如下所示:
- 硬件驱动程序封装:
- 标准化驱动器(ADC、PWM、CAN、SPI、GPIO)直接与 MCU 寄存器交互,但向上层提供统一的 API。
- 硬件独立性:
- 切换 MCU 只需要修改 MCAL 层,而上部应用逻辑保持不变。
- 实时性能和安全性:
- 确保硬件操作的时序可靠性,并支持 ISO 26262 功能安全要求(故障检测、冗余检查)。
安全库包含用于实时硬件故障检测和安全响应的预集成软件模块。安全库通常集成在 AUTOSAR 项目中。同时,客户可以在自己的项目中独立使用安全库,从而满足自定义的功能安全要求。
| 诊断类型 | 目标 | ASIL 要求 |
|---|---|---|
| CPU 自检 | 寄存器/指令异常 | ASIL-B/ASIL-D |
| 内存诊断程序 | SRAM/闪存位翻转 (ECC) | ASIL B |
| 外设监控 | ADC/PWM 故障 | ASIL A/ASIL B |
| 通信检查 | CAN/LIN CRC 错误 | ASIL B |
AEC-Q100 标准
AEC-Q100 标准由汽车电子委员会制定,定义了集成电路 (IC) 的可靠性认证,以确保其在恶劣的汽车环境中的长期稳定性。0 级和 1 级是 AEC-Q100 标准下的两个关键温度等级,主要在工作温度范围、应用场景和测试严格度方面有所不同。下面是详细的比较:
| 标准 | 0 级 | 1 级 |
|---|---|---|
| 工作温度范围 | -40℃ 至大约 +150℃ | -40℃ 至大约 +125℃ |
| 典型应用 | 发动机舱、变速器、涡轮增压器 | 车身控制、信息娱乐系统和仪表板 |
| 测试严格度 | 较高(高温老化测试时间更长) | 中等 |
| 成本 | 较高(专门材料/工艺) | 较低 |
| 市场份额 | 约 15%(高端/高性能) | 约 70%(主流汽车 IC) |
下面是在不同的要求下,0 级和 1 级的常见应用场景。
- 0 级应用
- 动力总成系统:燃油喷射控制、电机驱动器(电动助力转向)。
- 高温传感器:废气温度传感器、涡轮增压器压力传感器。
- 高性能芯片:功率 MOSFET、IGBT 驱动器
- 1 级应用
- 车身电子装置:车窗升降器、座椅调节器、照明控制。
- 信息娱乐系统:导航、语音识别、显示屏驱动程序。
- 低功耗模块:胎压监测系统 (TPMS)、无钥匙进入/无钥匙启动 (PEPS)。
资源
如果您在项目开发中需要用到上述文档,请联系销售团队以获取相关资料。
- 德州仪器 (TI),MSPM0G 功能安全手册,功能安全手册
- 德州仪器 (TI),功能安全,功能安全资源网站。
- 德州仪器 (TI),MCAL 访问链接,MCAL。
- 德州仪器 (TI),EB 工具访问链接,EB 工具。