2020年以來，汽車芯片的風(fēng)頭一時無兩，“缺芯”問題使其置于行業(yè)聚光燈下，為此各國政府還專門出來為各自的車廠向汽車芯片原廠和代工廠催“芯”。正是因為汽車芯片的熱度高漲，國內(nèi)不少半導(dǎo)體企業(yè)開始加入汽車芯片“淘金”的隊伍。

但其實要進(jìn)入汽車芯片行業(yè)并不容易，汽車芯片與消費類，或者工業(yè)芯片的要求都不一樣。國內(nèi)半導(dǎo)體企業(yè)要想進(jìn)入汽車芯片行業(yè)，首先要拿到“三張船票”，一是AEC-Q100認(rèn)證；二是IATF 16949汽車生產(chǎn)質(zhì)量管理體系認(rèn)證；三是ISO26262標(biāo)準(zhǔn)認(rèn)證。

芯片廠商先要過的三個認(rèn)證

AEC-Q100認(rèn)證已經(jīng)成為了汽車電子零部件的通用測試規(guī)范，它對于不同類型器件適用不同的標(biāo)準(zhǔn)，其實它是一個廠家自聲明認(rèn)證，廠家可以自己按照測試規(guī)范做完全部的測試項目。不過，目前國內(nèi)的芯片廠家基本都是通過第三方測試機構(gòu)來進(jìn)行認(rèn)證的。

IATF 16949規(guī)定了汽車生產(chǎn)質(zhì)量管理體系的要求。它源于全球統(tǒng)一質(zhì)量管理體系要求文件的需求，于2016年10月正式發(fā)布。其取代了ISO/TS 16949汽車標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)現(xiàn)已失效。IATF 16949要求涵蓋了產(chǎn)品安全、風(fēng)險管理和應(yīng)急計劃、嵌入式軟件要求、變更和質(zhì)保管理、次級供應(yīng)商管理等關(guān)鍵內(nèi)容。

ISO 26262則針對汽車電子的功能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)涵蓋了全生命周期的安全要求，功能安全管理、概念階段、系統(tǒng)研發(fā)、硬件研發(fā)、軟件研發(fā)、生產(chǎn)和操作過程、售后，但比例最大的是站在產(chǎn)品設(shè)計階段這個時間節(jié)點上，考慮怎樣從設(shè)計上實現(xiàn)產(chǎn)品安全，可以基于原有的功能實現(xiàn)安全，也可以額外添加功能，實現(xiàn)安全。

接下來我們詳細(xì)了解一下功能安全部分，什么是功能安全，以及安全保障機制問題。

什么是功能安全

根據(jù)汽車電子行業(yè)功能安全標(biāo)準(zhǔn)ISO26262的定義，功能安全是為了避免因電氣/電子系統(tǒng)故障而導(dǎo)致的不合理風(fēng)險。

根據(jù)故障的嚴(yán)重程度不同，功能安全可劃分為不同的等級。 ISO26262標(biāo)準(zhǔn)針對汽車功能的ASIL（汽車安全完整性）等級從低到高劃分為：QM、A、B、C、D五個等級。其中，ASIL D為安全等級最高。

表：功能安全故障種類

一般來說，功能安全需要覆蓋兩種故障，一種是系統(tǒng)故障，一種是隨機故障。系統(tǒng)故障適用于硬件和軟件，它由產(chǎn)品開發(fā)流程當(dāng)中引入，不完善的流程，不完備的驗證等都有可能導(dǎo)致系統(tǒng)故障。比如，工程師所熟知的Bug就屬于系統(tǒng)故障。

隨機故障分為永久隨機故障和瞬時隨機故障，它僅針對硬件有效。對軟件來說，只有系統(tǒng)故障，沒有隨機故障。

永久隨機故障在產(chǎn)品的整個生命周期都有可能發(fā)生，一旦發(fā)生，故障就會一直存在，直到被修復(fù)或者移除。

瞬時隨機故障也是在產(chǎn)品的整個生命周期都有可能會發(fā)生，它一旦發(fā)生，隨后便會消失。比如SRAM的比特翻轉(zhuǎn)，由于磁場變化導(dǎo)致的邏輯翻轉(zhuǎn)等。

如何應(yīng)對功能安全的三種故障？

那么，針對上面提到的這三種故障，有什么辦法可以預(yù)防，或者說有什么辦法讓這些故障發(fā)生時，汽車仍然是安全可控的呢？新思科技ARC處理器資深研發(fā)工程師鄧承諾在一次功能安全研討會上表示，可以通過以下三個途徑來最大程度地規(guī)避故障。

首先是通過規(guī)定一套比較嚴(yán)格的設(shè)計驗證開發(fā)流程，并且在產(chǎn)品開發(fā)的過程當(dāng)中，充分遵循這套開發(fā)流程。這樣，就可以最大程度地規(guī)避系統(tǒng)故障。

其次是驗證，采用業(yè)界先進(jìn)的功能驗證方法學(xué)和驗證工具，通過提高產(chǎn)品質(zhì)量進(jìn)而規(guī)避系統(tǒng)故障。

還有就是引入安全機制。因為即便做了所有可以做的測試，當(dāng)產(chǎn)品進(jìn)入市場后，仍然可能會有其他種類的隨機故障發(fā)生。比如，芯片老化、短路，或者磁場變化，造成暫時的電位翻轉(zhuǎn)等等。

為了應(yīng)對這些情況就需要引入安全機制。在芯片發(fā)生隨機性故障時，芯片可能無法正常工作，此時芯片中的安全機制需要能及時匯報故障的發(fā)生，或者直接更正故障。

目前常用的安全機制主要有多核鎖步、ECC存儲保護(hù)、軟件測試庫等幾種類型。

圖：新思科技的雙核鎖步安全機制（來源：新思科技）

鄧承諾拿新思科技的ARC EM22FS處理器的功能安全架構(gòu)解釋了雙核鎖步安全機制的原理。比如上圖中我們可以看到，有兩個EM核，一個是主核，一個是從核。主核與從核是完全復(fù)制的一致實現(xiàn)，他們運行一樣的程序，輸出結(jié)果會進(jìn)行時鐘周期內(nèi)的實時比較，一旦他們發(fā)生了不一致的輸出，這種情況下就會上報不匹配錯誤，這個安全機制就稱為雙核鎖步。這就是通過硬件冗余，實時比較，來監(jiān)測錯誤的產(chǎn)生。

也就是說，這兩個核是完全一致的，流水線是一致的，指令集是一致的，功能單元也都是一致的。另外，還引入了一定的延時。且延時是可配置的，可以是0，1，2等。在配置不同的數(shù)值后，從核會慢于主核1，2個時鐘的時間差在運行。通過時間差的引入，可以預(yù)防在同一個時間點，主核和從核發(fā)生了同樣的錯誤，從而導(dǎo)致雙核鎖步無法檢測出錯誤的情況出現(xiàn)，從而提供更好的保護(hù)。

在存儲方面也有ECC保護(hù)，從上面的框圖重可以看到，在左上方有兩個CCM（Closely coupled memories，緊耦合存儲器），ICCM主要用來存儲指令和數(shù)據(jù)，DCCM僅用來存儲數(shù)據(jù)，緊耦合存儲器主核和從核是共享數(shù)據(jù)的。共享存儲器可節(jié)省開銷，不能實現(xiàn)雙核鎖步保護(hù)，但可以實現(xiàn)存儲ECC保護(hù)。

另外，總線也需要進(jìn)行安全保護(hù)，因此芯片內(nèi)的總線分為了系統(tǒng)總線和安全總線，講他們分開后可以保證一定程度的獨立性，這樣功能安全事件的信息傳輸就不會受到指令數(shù)據(jù)的干擾，因為指令數(shù)據(jù)是通過系統(tǒng)總線進(jìn)行傳輸?shù)?，而安全信息是通過安全總線進(jìn)行傳輸?shù)摹６蚁到y(tǒng)總線和安全總線都加入了ECC保護(hù)。鄧承諾特別指出，其實不僅是這兩類總線，芯片內(nèi)部的AXI、HB總線等的控制信號、地址信號，及數(shù)據(jù)信號都加入了ECC和奇偶校驗保護(hù)。通過這些保護(hù)就可以檢測出總線信號上瞬時隨機故障和永久隨機故障，以提供更好的保護(hù)。

結(jié)語

隨著汽車電子電氣化程度越來越高，需要用到的芯片也越來越多，未來電子系統(tǒng)在汽車中的重要性將會越來越高，可以明顯地看到汽車芯片產(chǎn)業(yè)的增長潛力，因此未來肯定會有越來越多的半導(dǎo)體企業(yè)進(jìn)入汽車產(chǎn)業(yè)。

但要想在這個產(chǎn)業(yè)扎根卻并不容易，拿到前面說的三張船票也僅僅只是個開始，還有可靠性問題，失效率問題，以及最重要的客戶認(rèn)可問題需要他們面對。