集成式SoC电源系统监控器满足ADAS的ASIL要求

本文着眼于管理ADAS功能的安全标准，以及在设计符合此标准的电源监控系统时所面临的挑战，同时介绍一种经认证可满足该标准的汽车电源监控器。

人们对汽车的驾驶是如此糟糕，以至于计算机不必变得更好就可以变得更好。”第一个Web浏览器Mosaic的创建者Marc Andreesen轻松地评论道。但是，就像航空业一样，自动驾驶汽车制造商未来的成败很大程度上取决于他们为客户提供的安全程度。尽管大众市场上的无人驾驶汽车（暂时）是未来的领域，但是安全性对老牌汽车制造商而言却是至关重要的，正如当今许多先进的驾驶员辅助系统（ADAS）所证明的那样型号（图1）

在此设计解决方案中，我们考虑了控制ADAS功能的安全标准以及设计符合该标准的电源监控系统所面临的挑战。然后，我们推出一种经过认证可满足该标准的汽车功率监控器，从而有可能加速未来安全可靠的ADAS设计的开发。

ADAS / ASIL

随着汽车中电子设备的增加以及汽车中电气/电子功能的部署，在开发ADAS时，功能安全已成为首要考虑因素。它在消费汽车中很普遍，它具有自动停车，车道偏离辅助和防撞系统等功能。这些系统需要庞大的信号链，需要结合动力，传感器和智能，才能使汽车执行最终动作。

ISO-26262是一项驱动功能安全要求的法规，旨在解决电气安全相关系统的故障行为（包括这些系统的相互作用）所引起的潜在危害。系统所需的功能安全级别按系统的ASIL（汽车安全完整性级别）等级进行分类。ASIL等级从A级到D级不等，D级要求最坚固的系统。系统的ASIL等级取决于潜在伤害的严重程度，故障的可控制性以及发生故障时所承受的风险。

设计符合ASIL

ADAS设计要求对微控制器和/或SoC（片上系统）进行电压监控和执行监控，以确保系统做出明智而一致的决策。中央SoC使用复杂的算法将传感器数据转换为逻辑响应。这些复杂的算法需要在SoC内集成多个功能块，从而需要不同的电压轨才能正常运行。这些包括主处理器外围电压，处理器内核，存储器以及内部架构所需的任何其他参考，例如ADC或DAC。

除主SoC之外，整个系统中可能还有多个微控制器，它们控制传感器数据的采集和致动响应，也需要进行监控。执行监视可确保微控制器不会陷入循环中，从而导致其程序停顿。执行此功能的电路称为“窗口式看门狗”，因为它们从控制器中寻找间歇信号（在定义的时间窗口内）以指示其正常工作。

尽管有电压监控IC，但在ADAS设计中使用它们存在一些缺点。首先，如图2所示，使用分立的电阻分压器电路设置参考电压电平，从而增加了整体解决方案的尺寸。同样，这些电阻的容差会极大地影响参考电压的精度。通常，这些IC只能监视4至6个不同的电压电平。

其次，这些IC不具有看门狗功能，这意味着必须使用单独的IC提供此功能。在设计时，整个监控系统必须经过ASIL符合性验证。

另一种建议的设计方法可能是将ADC与微控制器一起使用。但是，这将带来一些挑战。首先，所使用的微控制器（及其上运行的固件）将需要达到ASIL要求。其次，轮询单个电压轨的固件可能会错过快速的过压和欠压瞬变。最后，微控制器本身将需要符合ASIL的电源解决方案。