汽車原始設備制造商（OEM）一直處于移動出行（Mobility）和高級駕駛輔助系統（ADAS）的前沿，在這個快速發展的領域爭奪領導地位。隨著這些系統的進步，車輛中半導體元件的數量也隨之增加，以應對不斷增加的新功能。

面對車用半導體市場如此快速的增長，瑞薩電子開發了許多車用產品，這其中包括微控制器（MCU），高度集成的片上系統（SoC） 處理器，存儲器以及電源管理系統（PMIC）。

然而，隨著行業的發展，問題仍然存在：“我們如何才能在整個行業中標準化這些元件的開發和設計，以便我們能夠應對風險并自信地聲稱該部件在功能上是安全的？”

因此，在ISO 26262的第一版中，汽車行業嘗試了開發的標準化，以便將如下所列出的大型系統元件開發時的風險降至最低：

因某些相關關系的遺漏，或不完整的分析所導致的系統性風險

設備故障所導致的隨機硬件失效

在過去大約十年的時間里，汽車OEM一直依靠該標準的第5部分（part 5）來幫助他們解決硬件故障，以實現業界公認的“安全”設計。瑞薩電子在產品開發中也采用了類似的標準，通過使用失效模式影響診斷分析（FMEDA）以及相關失效分析（DFA）對我們的產品進行分析，并提出解決設計中隨機硬件失效的策略。

在該標準第5部分的基礎上，為了應對汽車系統的復雜性，ISO 26262擴大了其覆蓋范圍，包括進了專門針對半導體元件的第11部分（part 11）。

為了滿足提高功能安全的同時降低成本的這一新需求，除了我們的R-Car片上系統處理器之外，瑞薩還為汽車系統設計人員提供多軌、高功率的電源管理系統 （PMIC）。這不僅能夠減少元件數量，還能夠提供系統開發所需的高性能。

為幫助汽車設計師了解在購買PMIC時需要注意哪些事項，我們將對功能安全設計時所需要的分析進行說明。為了解決在元件層面和系統層面上的相關失效及隨機硬件失效問題，瑞薩電子的所有電源產品均采用了類似的架構。這樣下次當您發現我們的R-Car套件搭載了瑞薩的PMIC時，您就會對自己的選擇充滿信心。

1. ISO 26262分析方法

ISO 26262 Analysis Tools

在通讀ISO 26262后，我們總結了該規格推薦的3種用于開發符合功能安全的產品的分析方法，具體如下：

框圖

失效模式，影響及其診斷分析（FMEDA:Failure Modes Effects and Diagnostics Analysis）

相關失效分析（DFA:Dependent Failure Analysis）

這些方法之所以會被推薦，是因為它們能夠降低復雜性的同時完成功能安全的設計。瑞薩電子為了解決隨機硬件失效的問題，在設計每一款PMIC產品時都采用了這些分析方法。

向下滑動繼續閱讀 ↓

1.1 框圖（The Block Diagram）

通讀ISO 26262的規格，可以明顯感覺到規格制定者重視的一件事：避免不必要的復雜性。并且，該規格給出了一套制作框圖的標準：

對設計進行抽象化，以確保每個區塊都有專門的功能，消除不必要的（往往會引起混亂的）混合功能

使用概念安全分析（conceptual safety analysis）對運作流程簡化，并對具體功能的執行位置進行最優化

圖2顯示了此類框圖的一個簡單示例。

1.2 失效分析方法 （Failure Analysis Tools）

在開始分析之前，我們需要確認規格希望我們在分析中使用的方法。這些方法可幫助我們確認安全機制和其保護對象的相關性（Dependent Failure）以及魯棒性設計（Robust Design）所允許的故障模式。

DFA：此分析方法有助于我們對相關失效進行識別。例如，當我們想要找出安全機制和其保護對象的元件之間相關失效時，可以使用此方法

下面給出幾種利用該分析方法進行識別的常見案例：

VCC：為安全機制供電的電路發生漂移、噪聲或故障時，可能會對供電設備產生不利影響

溫度：溫度的升高或降低可能會影響監測精度的同時，降低其控制某些對象的能力

DFA通過識別并減輕相關關系（Dependencies）的方法，使這些影響得到減輕。

FMEDA：該分析方法在考慮了例如電阻串損壞和漂移等普遍被接受的故障模式的前提下，對功能所受的影響進行分析。同時還可用作失效性模擬器，對ASIL評級的安全范圍是否合理的進行確認

DFA需要識別各個功能之間的相關性，而FMEDA則是一種更為直接的方法。FMEDA的目標是調查功能的層次結構并將預想的故障模式應用于每個元素。此處涵蓋的故障最初在ISO 26262的第5部分中引入，然后在第二版的第 11 部分中進行了擴展。其中包括：

電阻器故障和元漂移

內存中的軟錯誤率，以及數字邏輯電路中的固定型故障

數據傳輸失敗

在概念設計階段，將這些故障應用于設計，創建機制來解決故障模式，然后分配覆蓋范圍。

2. 瑞薩PMIC架構介紹

Introducing Renesas PMIC Architecture

瑞薩電子基于這些分析的結果，定義了產品的主要元素。

基準電壓的生成：這通常包括分配帶隙和偏置電壓的電路

內部電源的生成：為設備的內部元件提供電源的內部電源域

開關：這包括提供輸入電壓切換的預驅動器和驅動器電路

PWM控制電路：這包括整個控制回路

調節器使能：啟用或禁用調節器

數字核心：控制上述要素的構成使其可用于不同的應用

通常，這些系統就是PMIC（電源管理系統）的基本構成要素，如圖3所示。

結合DFA和FMEDA，我們可以從概念上分析我們的架構，并考慮追加必要的功能和安全機制，以提高對硬件失效方面的魯棒性。雖然此分析并非詳盡，但它將為我們的數據資料提供一些背景信息。

向下滑動繼續閱讀 ↓

2.1.1 內部軌和偏置生成（Internal Rail and Bias Generation）

瑞薩電子在設計產品時，首先會明確各個要素間的偏置關系。例如，為設備周圍的電路提供抽頭電壓的DAC。

我們根據DFA定義了故障模型并總結為以下內容。

共因失效 （CCF：Common Cause Failure）：單個故障導致兩個獨立元件各自發生故障

級聯失效（Cascading Failure）：一個元件出現的故障導致另一個元件出現故障

將這兩種失效模型與圖3結合來看，偏置和VCC使用了同一個生成源，如果出現故障，將會影響電壓調節和監測機制。

為了解決這個問題，原始架構被更改的更加獨立。

圖6給出了處理這種相關關系時的一種方法，其中有單獨的偏置電路（帶隙）和電壓DAC來創建各自獨立的偏置點。這減少了電路之間的相關性，這也是為什么您會在我們的許多數據表中找到獨立的帶隙、帶隙監測器和VCC監測器的原因。安全要求越嚴格，解決方案就越復雜。

2.1.2 PWM控制電路和輸出開關及驅動器（PWM Control Circuit & Output Switches and Drivers）

在設計反饋回路時，不同的架構決定了不同的性能以及必要的安全機構，因此反饋回路的設計對PMIC尤為重要。具體的失效模式分析示例如下：

由于被固定在高電平或低電平而導致輸出切換的故障：這將導致由于直通短路或將輸出直接連接到地或 VIN 而導致切換出現無規則性的問題

為防止負載變化期間相對于設定值出現的過度變化的控制回路補償：這里的潛在故障是，控制器的帶寬急劇變化可能導致過壓或振蕩現象的發生

由于許多故障會導致輸出電壓偏離其設定值或輸出電流超過設備或其負載的安全額定值，因此PMIC需要具有監控輸出電流和輸出電壓的安全機制。這些安全機制通常由比較器或板載模數 （A/D） 轉換器來實現。

接下來，我們將用DFA來分析反饋節點。在反饋路徑中，通常有一個電阻分壓器網絡將輸出電壓轉換為內部參考電平。若該電阻器出現故障，目標設定值會變得不正確，并且影響監測機制的監測能力。

因此我們得出了以下標準：

設備需要設置兩個獨立的反饋源，以解決反饋節點與板上另一個引腳或另一個電壓短路的相關故障

這種獨立的反饋源需要一個冗余電阻分壓器來解決電阻反饋網絡任何部分的短路故障模式

出于這個原因，您經常會在我們的產品中看到除了反饋引腳之外還有另一個用于監控的引腳。如果是內置反饋電阻，則大多情況下會為了冗余性而設立其他不同的路徑。

對于最后的兩節中，我們的焦點將由控制回路轉向監測機制。

2.1.3 監視器和控制（Monitors and Controls）

監視器和使能控制可以說是設備中最重要的電路之一，因為它們對于確保系統功能安全的安全機制的實施至關重要。它們由以下一系列比較器電路組成：

過流監測

上電復位監測

輸出電壓（過壓和欠壓）監測

內部時鐘監測

在進行FMEDA分析時，我們假設比較器輸出出現了固定型故障（固定在高位和低位）。在這兩個故障中，固定在低位的影響更大，因為在正常操作中會漏掉發生的故障，成為潛在故障。為了提高設備檢測出這些低位固定型故障的能力，瑞薩PMIC設置了自檢功能 （ABIST）。

數字控制器將輸入切換至比較器以生成強制觸發，正常運作得到確定后，輸入控制再次變為正常模式。

2.1.4 數字內核（Digital Core）

如圖9所示，數字內核位于模擬部分附近，并且通常分為負責功能安全相關控制的部分和負責穩壓器啟動和控制的部分。

這種架構通常更適合用于減少DFA分析所發現的相關關系。為了更好地理解數字內核的結構，請參見圖9，其中主要功能包括：

通常由寄存器和一次性可編程 （OTP） 熔絲構成

功能安全相關控制，通常由狀態機實現

通信，通常搭載I2C 或 SPI 控制器

在這里，針對一次性可編程（OTP）熔絲陣列和配置寄存器進行數據損（Bit Corruption）相關的FMEDA分析后，能夠預想到在啟動或者運行時將會出現芯片配置錯誤的故障。為了防止出現此問題，在啟動時和設備配置中定期執行循環冗余計算（CRC）。并且將此方法擴展到通信接口。

實現數字部分的安全機制的方法還有很多，除了CRC之外，還有以下列出的安全機制：

必要的冗余邏輯

時鐘監測

邏輯BIST（LBIST），與ABIST一樣，檢查數字邏輯是否存在固定型故障

3. 結論

每個新產品的開發，都會由設計團隊和安全團隊對功能安全機制進行探討研究，然后由營銷團隊將這些新產品的特點進行推廣和普及。本文中介紹的概念性分析旨在為讀者提供一些捷徑，以便于了解瑞薩電子是如何設計ASIL級電源管理產品，以及為何我們會在硬件數據表中列出各種“安全”相關功能的原因。

責任編輯：haq