功能安全指電子電氣系統(tǒng)在故障發(fā)生時仍能維持安全狀態(tài)的能力，其核心在于通過合理的設(shè)計和流程將風險降至可接受水平。隨著汽車智能化發(fā)展，電子系統(tǒng)復(fù)雜度大幅增加，芯片成為功能安全的關(guān)鍵載體。

2018年發(fā)布的第二版ISO 26262標準首次增設(shè)Part 11: Guidelines on application of ISO 26262 to semiconductors章節(jié)，對半導(dǎo)體功能安全中涉及到的SEooC（Safety Element out of Context）定義、失效率計算、安全分析、失效模式分析等提供了較為全面的開發(fā)指導(dǎo)。這標志著功能安全正式從整車系統(tǒng)層面向芯片級技術(shù)縱深拓展，推動汽車電子安全開發(fā)進入全新階段。

相較于整車廠與Tier 1廠商，國內(nèi)芯片功能安全領(lǐng)域起步較晚。作為模擬及混合信號芯片公司的功能安全研發(fā)團隊，除深入掌握ISO 26262標準外，還需精準理解芯片在上層系統(tǒng)的應(yīng)用場景，以定義SEooC。本文基于納芯微工程實踐，對芯片功能安全設(shè)計的關(guān)鍵路徑進行梳理。

1. 基于系統(tǒng)安全目標的芯片架構(gòu)定義

功能安全芯片開發(fā)需深度理解系統(tǒng)層應(yīng)用場景，以逐層分析從系統(tǒng)級安全目標到芯片頂層安全需求，進而到芯片內(nèi)部功能設(shè)計的技術(shù)安全需求的邏輯鏈路。

以新能源主驅(qū)電機驅(qū)動芯片為例，上層系統(tǒng)的典型安全目標為扭矩安全、高壓安全及熱安全。具體到扭矩安全，逆變器通過六個柵極驅(qū)動芯片實現(xiàn)永磁同步電機控制。驅(qū)動芯片除實現(xiàn)基礎(chǔ)PWM信號輸出外，還需承擔眾多診斷功能。針對功率模塊及外部驅(qū)動電路，驅(qū)動芯片應(yīng)監(jiān)控功率管直通、門級狀態(tài)不匹配、過溫等失效模式；針對芯片內(nèi)部電路是否工作正常，也應(yīng)執(zhí)行相應(yīng)監(jiān)控，例如隔離通信是否受到干擾或出現(xiàn)失效、內(nèi)部電源軌輸出是否在允許范圍內(nèi)等。此外，該芯片還可以通過PWM輸入或原、副邊的ASCx pin承接上層系統(tǒng)關(guān)斷路徑的安全需求。

舉例說明安全需求的推導(dǎo)：為實現(xiàn)ASIL D扭矩安全，系統(tǒng)通常采用E-GAS三層架構(gòu)，通過ASIL等級分解來降低開發(fā)難度，結(jié)合系統(tǒng)級故障策略，在非嚴重故障(例如單側(cè)驅(qū)動故障，MCU正常)時，上層系統(tǒng)會通過應(yīng)用層的PWM信號觸發(fā)驅(qū)動芯片進入安全狀態(tài)，芯片能否可靠執(zhí)行控制信號，對于一個安全系統(tǒng)至關(guān)重要。

進一步結(jié)合驅(qū)動芯片的關(guān)鍵基礎(chǔ)功能，我們可推導(dǎo)出驅(qū)動芯片的其中一條頂層安全需求：當芯片內(nèi)部失效導(dǎo)致芯片驅(qū)動外部功率管的控制信號誤動作時，芯片應(yīng)觸發(fā)相應(yīng)的安全狀態(tài)?；谠摪踩枨螅酒瑧?yīng)在內(nèi)部關(guān)鍵路徑執(zhí)行對應(yīng)校驗機制，例如PWM一致性檢測、門級狀態(tài)一致性檢測。

其中，PWM信號一致性檢測作為芯片內(nèi)部診斷功能，需要綜合考慮die-to-die傳輸過程中的信號延時以及多類消息的仲裁機制。而門級狀態(tài)一致性檢測則需實時監(jiān)控外部功率管的實際門級狀態(tài)是否符合預(yù)期。功率管的門級表現(xiàn)可能受到系統(tǒng)級安全請求（ASCx）、內(nèi)部故障響應(yīng)或外部功率管失效等多種因素的影響。因此，芯片需要對這些故障響應(yīng)和安全請求進行優(yōu)先級判定，并據(jù)此控制芯片最終的輸出響應(yīng)。進一步詳細拆解該需求，則需深入理解上層系統(tǒng)的安全狀態(tài)。

當前主流逆變器(驅(qū)動永磁同步電機)的安全狀態(tài)設(shè)計，包含上下橋ASC（Active Short Circuit）和FW (Freewheeling)。ASC通過開通同一側(cè)的功率模塊（IGBT/SiC）使電機三相輸入短路，主要用于高速區(qū)域；FW則為關(guān)斷所有功率模塊，僅限低速使用，高速時可能產(chǎn)生超出安全裕量的負扭矩。逆變器層面，會根據(jù)系統(tǒng)中故障的嚴重程度進行分級的安全關(guān)斷，例如非嚴重故障通過PWM信號控制進入安全狀態(tài)(ASC/FW)，而嚴重故障則采用一條獨立于軟件的硬件關(guān)斷路徑去觸發(fā)驅(qū)動芯片的ASC pin腳。由此可見，驅(qū)動芯片為上層系統(tǒng)的安全關(guān)斷提供了靈活而多樣化的支持，并且應(yīng)和系統(tǒng)安全策略匹配。尤其是當系統(tǒng)中出現(xiàn)某些典型失效，例如功率管的GDS（SiC）/ GCE（IGBT）短路時，故障相橋臂內(nèi)的驅(qū)動芯片有可能因為單個失效，面臨一連串故障和系統(tǒng)安全請求的沖突，包括但不限于DESAT、門級一致性校驗、ASCx等。因此，芯片廠在定義SEooC以及技術(shù)安全架構(gòu)時，需要有意識地結(jié)合上層系統(tǒng)的use case和期望的故障響應(yīng)，去進行正向的故障優(yōu)先級定義。否則，有可能因為芯片多故障管理策略和上層系統(tǒng)安全策略的不一致，導(dǎo)致系統(tǒng)出現(xiàn)非預(yù)期的危險狀態(tài)，例如高速下Freewheeling。

2. 失效模式驅(qū)動的芯片前端設(shè)計

失效模式分析貫穿功能安全芯片設(shè)計全流程。前端設(shè)計階段需針對芯片內(nèi)部功能模塊建立失效模式庫，并分析其失效模式影響。視芯片類型，失效模式影響可以分析到芯片級別（Effect on Chip）或上層系統(tǒng)級別（Effect on System），并應(yīng)最終關(guān)聯(lián)到芯片頂層安全需求。

針對常見的功能模塊，ISO26262:2018提供了標準化的失效模式庫。開發(fā)團隊應(yīng)結(jié)合該功能模塊的具體電路實現(xiàn)（例如不同 LDO的電路架構(gòu)），基于工程判斷對芯片內(nèi)各模塊電路的失效模式進行更精細化的分析。其中一種方式，是將模塊電路拆解到架構(gòu)級，并從底層關(guān)鍵器件的基礎(chǔ)失效模式往上推導(dǎo)（例如管子的開路、短路）。在設(shè)計具體安全機制時，首先應(yīng)當針對該電路的失效模式進行分類，識別出可能潛在違反頂層安全需求的失效模式。結(jié)合芯片的目標ASIL等級，考慮設(shè)計安全機制覆蓋這些失效模式。

此外，老版的標準ISO26262: 2011 Part5 Annex D也提供了針對不同診斷覆蓋率的失效模式簡易參考。以電源失效模式為例：

常見的電源失效模式有：過壓、欠壓、漂移、震蕩、尖峰等。隨著診斷覆蓋率（DC）的提高，安全機制需要覆蓋更復(fù)雜/偶發(fā)的失效模式。該表格提供的信息雖較為寬泛，但也為設(shè)計思路提供了一定指導(dǎo)：

? 低DC（60%）：欠壓、過壓

? 中DC（90%）：疊加漂移

? 高DC（99%）：疊加振蕩、電源尖峰

在進行失效模式分析時，功能安全工程師也應(yīng)結(jié)合失效率一并考量。根據(jù)標準，失效率需涵蓋永久故障（permanent fault）和瞬態(tài)故障（transient fault）。前者通?；跇I(yè)內(nèi)通用的可靠性標準（e.g. IEC62380）計算得出，包含Die、Package、Overstress失效率等。后者可以基于實測，或考慮根據(jù)工藝類型，采用門數(shù)乘以保守基礎(chǔ)瞬態(tài)失效率得到。

3. 后端實現(xiàn)的共因失效防護

除上述維度的考量，芯片還應(yīng)在后端物理實現(xiàn)上也采取措施防止共因失效。以常用的雙核鎖步（DCLS）和三模冗余（TMR）為例：

雙核鎖步（DCLS）通過雙核冗余執(zhí)行與實時比對實現(xiàn)故障檢測。若不考慮功能安全，后端工具會基于線長、時序、邏輯關(guān)系、擁塞和功耗自動優(yōu)化標準單元位置，導(dǎo)致雙核單元擺放交錯穿插，這樣，雙核有可能會因為某個common cause導(dǎo)致同時失效，進而導(dǎo)致校驗失效。因此在后端實現(xiàn)時，應(yīng)采取諸如物理隔離、延遲插入、版圖異向布局等特殊措施規(guī)避共因失效。

其中雙核間物理間距可以基于IEC 61508-2: 2010 Functional safety of electrical/electronic/programmable electronic safety-related systems推薦的金屬層間距評估方法，疊加工藝安全系數(shù)確定。

出于同樣原理，針對三模冗余TMR的物理實現(xiàn)上，隸屬于同一組TMR的寄存器在水平和垂直方向均不可毗鄰擺放，以此避免相鄰寄存器受到同一束高能粒子的影響出現(xiàn)翻轉(zhuǎn)。

小結(jié)

本文基于不同維度，針對芯片功能安全開發(fā)進行了粗淺探討。通過以上不同開發(fā)層級的聯(lián)動，可以初步實現(xiàn)從系統(tǒng)安全目標、到芯片安全需求、再到到芯片設(shè)計和物理實現(xiàn)的閉環(huán)。

然而在工程實踐層面，芯片開發(fā)團隊需要面對遠多于此的復(fù)雜落地問題。因此如何高效地實現(xiàn)芯片功能安全開發(fā)，仍有很多核心課題亟待探索。

審核編輯 黃宇