“国创中心张祥：车规芯片功能安全要求和设计概览”

6月29日-30日，列支敦士登汽车主办的“2021中国汽车半导体产业大会”隆重举行。 此次会议主要围绕中国汽车企业核心短缺的现状、供应链国产化安全建设、车载芯片平台构建设计、自动驾驶、智能座舱行业的芯片诉求和应用实例、电力半导体在三电的应用、芯片测试和功能安全等话题展开讨论，共谋产业未来快速发展的道路， 接下来是国家新能源汽车技术创新中心功能安全总师张祥在这次大会上的演讲。

国家新能源汽车技术创新中心功能安全总师 张祥

早上好。 我是国家创中心的张祥。 国家创中心是科技部推动下设立的第二个国家级技术创新中心，主要包括新能源汽车行业、整车、零部件及车规半导体。 我自己把车规芯片功能安全相关的工作放在首位，从车规芯片功能安全的角度来分享我们的理解。

随着汽车电子智能化的发展，汽车仪表盘芯片的采用量也在增加。 为了保障包括司机、行人、乘客在内的交通参与者的安全，业界对汽车安全性的要求也越来越高。 一般来说，我们要求车规芯片满足“零缺陷”的要求，这也是我们在车规芯片行业一直追求的目标。 基于高可靠性，随着技术的增多和复杂性的提高，我们对车规芯片功能安全的要求也越来越高，从而消除和控制了系统故障和随机硬件故障带来的风险。 车规芯片的非功能性要求包括可靠性、维修性、测试性、保障性、环境适应性和安全性，其中安全性是备受关注的焦点。

这里简要列举了目前国内外功能安全标准的相关情况。 最初公布的功能安全标准为iec 61508标准，根据该标准衍生出了iso 26262、en 50129等各行业的功能安全标准。 这些标准还包括实施级别的指导，但越来越多地侧重于整体要求而不细分各种APP。 在这里也列举了一点功能安全国家标准，对应国际标准，还制定了功能安全的整体标准gb/t 34590。 表中后半部分的一些国内标准与国际标准不同，这些标准比较不同的应用(包括电池管理系统、电机控制系统、转向系统等)，提出相应的功能安全标准，从而落地标准，实现功能安全在国内的 另外，请注意，iso 26262 :和国标第二版中添加了半导体功能的安全相关章节。 新文案详细阐述了半导体行业中功能安全的基本概念和理论，并列出了不同类型半导体器件中需要考虑功能安全方面的要求。 这不仅可以作为半导体工作者开发芯片时的指导，也可以为oem和第1层更好的芯片的选择和判断提供参考。

根据功能安全标准中的要求，功能安全将按照“v模型”进行开发和验证，其中“v模型”的左侧侧重设计，“v模型”的右侧侧重验证和测试。 即使在比较芯片或系统时，功能的安全性也需要解决系统故障和随机硬件故障。 对于系统失效，一般是按照一定的开发流程进行不使用和控制，没有定量指标。 对随机硬件故障，必须通过安全架构设计进行检测和控制，满足单点故障测量、潜在故障测量、随机硬件故障目标评估的要求。 此外，车规芯片的功能安全必须考虑其全生命周期过程，在不同阶段满足和达到功能安全。

虽然车规芯片功能安全设计遵循功能安全相关标准(如iso 262626和gb/t 34590 )的要求，但由于芯片的特殊性，我们在进行车规芯片功能安全开发时将减少标准中规定的工艺，保留适合芯片的部分。 在开发过程中，需要关注三个层面:安全体系结构的设计、安全度量计算以及功能安全性的验证和确认。 安全架构设计是功能安全开发的核心，需要通过设计合理的安全架构来实现系统故障和随机硬件故障的控制。 安全度量衡计算通过定量计算验证功能安全设计对随机硬件故障的探测和控制能力，功能安全验证和确认活动验证功能安全开发活动的正确性和完整性。

首先，让我们来看看安全结构的设计部分。 简单地说，分为三个步骤。 取得车规芯片顶级的安全要求； 与通过安全分解导出违反顶级安全要求的失效模式进行比较进行功能安全设计，设计安全机制和安全对策等。 导出顶级安全要求一般有两种方法。 第一种方法是根据特定的APP应用要求逐步推导和获取芯片顶级的安全要求，通常适合于在特定的APP应用中开发芯片。 第二种方法是基于seooc (独立于环境的安全因素)方法获得芯片顶级安全要求，这种方法可以将芯片应用于多种APP应用，是目前普遍使用的方法。 获得安全要求后，可以通过安全拆除方法，如fmea和fta等导出和获取违反安全要求的失效模式。 与违反安全要求的失效模式相比，有必要设计安全机构和安全措施以满足功能安全要求。 安全机构的选择是比较重要的拷贝，如asil等级要求、故障解决时间间隔、实现难度和价格等因素。

功能标准中列举了一系列安全机制的例子，可以作为参考采用，并在此基础上进行扩展。 当然，安全机制在选择时需要考虑其比较的有效性，对随机硬件失效和系统失效要有良好的控制作用。 在芯片级上，安全机制通常有两种:内部安全机制和外部安全机制。 内部安全机构由芯片提供者实现，有必要就其比较的有效性进行说明。 外部安全机制由芯片集成/采用方的责任来实现，保证其比较的有效性。 仔细查阅芯片安全手册发现，其实两种方法并存，只采用内部安全机制会增加芯片价格，只采用外部安全机制会增加芯片采用者的负担和工作量。 这是因为目前应用的芯片一般会平衡内部安全机制和外部安全机制。 这里另一个重要指标是安全机构的诊断覆盖率( dc，diagnostic coverage )值。 诊断的覆盖率简单来说就是安全机构检测故障的程度，例如诊断低覆盖率值的典型值之一的99%，通过该安全机构可以检测到99%的故障。 诊断覆盖率的声明依据来自标准，来自理论计算和模拟，来自专家评价，另一个来自测试方法。 当然，诊断评价率的值也略有影响。 例如，相关失效的影响会降低诊断评估率。 这在芯片设计的过程中也需要考虑。

这里有一个cpu功能安全设计的例子。 要满足asild级别的要求，必须适当控制系统禁用和随机硬件禁用。 那么，如何执行到cpu部分呢？ 比较常见的架构是双核锁定步结构。

该体系结构采用了两个cpu内核，但性能仍为单核，通过周期性比较两个cpu的输出结果，可以保证cpu运算结果的准确性。 这个机制看起来很简单，但在实际操作中需要考虑很多因素。 例如，为了防止协作故障的影响，需要进行“异构化”的设计，如双核内部结构的异构化、执行定时的异构化、物理位置的异构化等。 另外，为了保证两个cpu核心进行独立的运算处理，需要设置物理隔离防护等措施。 此示例是设计cpu功能安全性的典型方法。 该设计方法不仅在微控类芯片中得到解决，在高性能芯片设计中也用同样的方法得到解决。

接下来，让我们来看看安全度量的计算。 本部分将随机硬件的禁用作为首要比较。 比较不同asil水平的要求，一个要求是将随机硬件故障控制在一定范围内，同时满足单点故障测量、潜在故障测量和随机硬件故障目标值的要求。 关于定量指标，标准中有非常明确的公式，也有一例，所以实施难度并不高。 但是，在计算过程中需要明确一系列的参数值，这些参数的明确才是功能安全定量计算的难点。

如上图所示，这些框的参数包括基础低效、失效模式定义、失效模式分布、安全机制覆盖率宣言数值等，所有这些数据的获取都需要理论和证据的支持，其中有些必须通过大量测试才能得到

例如，与基础低效比较，一般需要包括永久基础低效和过渡低效两种。 对于这两种类型的失效，都需要在定量计算中加以考虑。 关于永久性基础低效，一般通过三种方法获取。 第一种形式是基于或域源计算永久性基础低效，第二种方法是利用现场数据统计计算永久性基础低效，第三种方法是从试验测试导出的低效。 一般来说，以第一种形式获得的数据是保守的，但利润很容易实施，可以以读取标准直接获得新闻。 这也是业界多采用的形式。 第二种方法是收集足够的现场数据样本。 如果样本不够，数据统计结果将不准确。 第三，需要进行特定的考试。 这是因为增加价格和试验周期。 对于瞬态故障，通常重点考虑α粒子和中子的影响，可以按照jesd89a标准定义的测试方法测量瞬态故障的故障效率。

考虑到车规芯片功能的安全性，第三部分是验证和确认。 无论是汽车电子零部件还是半导体，功能安全性的验证和确认都是不可缺少的过程，它主要对应于“v型”的右侧。 从功能安全标准可以看出，part 5对硬件部分的要求同样适用于半导体水平，除了调查、检测、安全拆解方法外，仿真和原型验证也是芯片开发过程中的重要手段。 为了验证半导体级硬件安全要求的实施的完整性和正确性，硬件集成测试必须符合iso 262626:-5和iso 262626:-11的要求。 这里重复提到了功能安全标准，但标准其实是我们进行功能安全设计的出发点，也并不是只要满足标准就可以的。 标准中的要求是最低的要求，随着我们技术的积累，会衍生出比标准更高更全面的要求，指导我们的设计。

谈谈故障注入吧。 该技术在功能安全行业应用较多，在半导体行业尤为重要。 故障注入可以用于支持生命周期的几个活动，如硬件度量的判断、安全机构的诊断评价率的判断、故障检测时间间隔和故障影响时间间隔的判断、故障影响的确认等。 通常，在eda仿真环境中，多采用该技术。 因为随着芯片的物理开放接口和封装形式的限制，故障注入会受到一些限制。 为了在典型的eda环境中也能轻松实施这种操作，集成了各种工具。

简言之，随着汽车电子系统功能安全要求的提高，满足可靠性，且对车规芯片安全性的诉求也在提高，其中满足功能安全要求成为许多车规芯片“必须”的属性。 汽车电子的数量和复杂性的提高带来了对芯片的进一步要求，如何设计生产国产高安全性的车规芯片是亟待解决的“勒脖子”问题，需要攻克技术难关，不断总结和积累经验。

未来，随着自动驾驶技术的飞速发展，高计算力芯片和可编程器件在车侧的应用将得到加强，保证这类芯片和器件的功能安全设计满足要求是必然的趋势。 功能安全设计提高了安全性，从而提高了芯片的研制价格和价格。 最终我们在设计芯片时折中选择，设计真正符合市场要求的芯片。 另外，功能安全作为功能安全的补充，有望提高车辆整体的安全性。 如何融合期待的功能安全和功能安全，在芯片层面支持实现，也是将来需要思考和应对的问题。

我演讲的复印件是这个。 可能偏向于技术方面。 希望能给大家带来一点好处。 谢谢您的时间。