汽車芯片火熱，半導(dǎo)體企業(yè)上車的“三張船票”

2020年以來，汽車芯片的風(fēng)頭一時(shí)無兩，“缺芯”問題使其置于行業(yè)聚光燈下，為此各國(guó)政府還專門出來為各自的車廠向汽車芯片原廠和代工廠催“芯”。正是因?yàn)槠囆酒臒岫雀邼q，國(guó)內(nèi)不少半導(dǎo)體企業(yè)開始加入汽車芯片“淘金”的隊(duì)伍。

但其實(shí)要進(jìn)入汽車芯片行業(yè)并不容易，汽車芯片與消費(fèi)類，或者工業(yè)芯片的要求都不一樣。國(guó)內(nèi)半導(dǎo)體企業(yè)要想進(jìn)入汽車芯片行業(yè)，首先要拿到“三張船票”，一是AEC-Q100認(rèn)證；二是IATF 16949汽車生產(chǎn)質(zhì)量管理體系認(rèn)證；三是ISO26262標(biāo)準(zhǔn)認(rèn)證。

芯片廠商先要過的三個(gè)認(rèn)證

AEC-Q100認(rèn)證已經(jīng)成為了汽車電子零部件的通用測(cè)試規(guī)范，它對(duì)于不同類型器件適用不同的標(biāo)準(zhǔn)，其實(shí)它是一個(gè)廠家自聲明認(rèn)證，廠家可以自己按照測(cè)試規(guī)范做完全部的測(cè)試項(xiàng)目。不過，目前國(guó)內(nèi)的芯片廠家基本都是通過第三方測(cè)試機(jī)構(gòu)來進(jìn)行認(rèn)證的。

IATF 16949規(guī)定了汽車生產(chǎn)質(zhì)量管理體系的要求。它源于全球統(tǒng)一質(zhì)量管理體系要求文件的需求，于2016年10月正式發(fā)布。其取代了ISO/TS 16949汽車標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)現(xiàn)已失效。IATF 16949要求涵蓋了產(chǎn)品安全、風(fēng)險(xiǎn)管理和應(yīng)急計(jì)劃、嵌入式軟件要求、變更和質(zhì)保管理、次級(jí)供應(yīng)商管理等關(guān)鍵內(nèi)容。

ISO 26262則針對(duì)汽車電子的功能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)涵蓋了全生命周期的安全要求，功能安全管理、概念階段、系統(tǒng)研發(fā)、硬件研發(fā)、軟件研發(fā)、生產(chǎn)和操作過程、售后，但比例最大的是站在產(chǎn)品設(shè)計(jì)階段這個(gè)時(shí)間節(jié)點(diǎn)上，考慮怎樣從設(shè)計(jì)上實(shí)現(xiàn)產(chǎn)品安全，可以基于原有的功能實(shí)現(xiàn)安全，也可以額外添加功能，實(shí)現(xiàn)安全。

接下來我們?cè)敿?xì)了解一下功能安全部分，什么是功能安全，以及安全保障機(jī)制問題。

什么是功能安全

根據(jù)汽車電子行業(yè)功能安全標(biāo)準(zhǔn)ISO26262的定義，功能安全是為了避免因電氣/電子系統(tǒng)故障而導(dǎo)致的不合理風(fēng)險(xiǎn)。

根據(jù)故障的嚴(yán)重程度不同，功能安全可劃分為不同的等級(jí)。 ISO26262標(biāo)準(zhǔn)針對(duì)汽車功能的ASIL（汽車安全完整性）等級(jí)從低到高劃分為：QM、A、B、C、D五個(gè)等級(jí)。其中，ASIL D為安全等級(jí)最高。

表：功能安全故障種類

一般來說，功能安全需要覆蓋兩種故障，一種是系統(tǒng)故障，一種是隨機(jī)故障。系統(tǒng)故障適用于硬件和軟件，它由產(chǎn)品開發(fā)流程當(dāng)中引入，不完善的流程，不完備的驗(yàn)證等都有可能導(dǎo)致系統(tǒng)故障。比如，工程師所熟知的Bug就屬于系統(tǒng)故障。

隨機(jī)故障分為永久隨機(jī)故障和瞬時(shí)隨機(jī)故障，它僅針對(duì)硬件有效。對(duì)軟件來說，只有系統(tǒng)故障，沒有隨機(jī)故障。

永久隨機(jī)故障在產(chǎn)品的整個(gè)生命周期都有可能發(fā)生，一旦發(fā)生，故障就會(huì)一直存在，直到被修復(fù)或者移除。

瞬時(shí)隨機(jī)故障也是在產(chǎn)品的整個(gè)生命周期都有可能會(huì)發(fā)生，它一旦發(fā)生，隨后便會(huì)消失。比如SRAM的比特翻轉(zhuǎn)，由于磁場(chǎng)變化導(dǎo)致的邏輯翻轉(zhuǎn)等。

如何應(yīng)對(duì)功能安全的三種故障？

那么，針對(duì)上面提到的這三種故障，有什么辦法可以預(yù)防，或者說有什么辦法讓這些故障發(fā)生時(shí)，汽車仍然是安全可控的呢？新思科技ARC處理器資深研發(fā)工程師鄧承諾在一次功能安全研討會(huì)上表示，可以通過以下三個(gè)途徑來最大程度地規(guī)避故障。

首先是通過規(guī)定一套比較嚴(yán)格的設(shè)計(jì)驗(yàn)證開發(fā)流程，并且在產(chǎn)品開發(fā)的過程當(dāng)中，充分遵循這套開發(fā)流程。這樣，就可以最大程度地規(guī)避系統(tǒng)故障。

其次是驗(yàn)證，采用業(yè)界先進(jìn)的功能驗(yàn)證方法學(xué)和驗(yàn)證工具，通過提高產(chǎn)品質(zhì)量進(jìn)而規(guī)避系統(tǒng)故障。

還有就是引入安全機(jī)制。因?yàn)榧幢阕隽怂锌梢宰龅臏y(cè)試，當(dāng)產(chǎn)品進(jìn)入市場(chǎng)后，仍然可能會(huì)有其他種類的隨機(jī)故障發(fā)生。比如，芯片老化、短路，或者磁場(chǎng)變化，造成暫時(shí)的電位翻轉(zhuǎn)等等。

為了應(yīng)對(duì)這些情況就需要引入安全機(jī)制。在芯片發(fā)生隨機(jī)性故障時(shí)，芯片可能無法正常工作，此時(shí)芯片中的安全機(jī)制需要能及時(shí)匯報(bào)故障的發(fā)生，或者直接更正故障。

目前常用的安全機(jī)制主要有多核鎖步、ECC存儲(chǔ)保護(hù)、軟件測(cè)試庫等幾種類型。

圖：新思科技的雙核鎖步安全機(jī)制（來源：新思科技）

鄧承諾拿新思科技的ARC EM22FS處理器的功能安全架構(gòu)解釋了雙核鎖步安全機(jī)制的原理。比如上圖中我們可以看到，有兩個(gè)EM核，一個(gè)是主核，一個(gè)是從核。主核與從核是完全復(fù)制的一致實(shí)現(xiàn)，他們運(yùn)行一樣的程序，輸出結(jié)果會(huì)進(jìn)行時(shí)鐘周期內(nèi)的實(shí)時(shí)比較，一旦他們發(fā)生了不一致的輸出，這種情況下就會(huì)上報(bào)不匹配錯(cuò)誤，這個(gè)安全機(jī)制就稱為雙核鎖步。這就是通過硬件冗余，實(shí)時(shí)比較，來監(jiān)測(cè)錯(cuò)誤的產(chǎn)生。

也就是說，這兩個(gè)核是完全一致的，流水線是一致的，指令集是一致的，功能單元也都是一致的。另外，還引入了一定的延時(shí)。且延時(shí)是可配置的，可以是0，1，2等。在配置不同的數(shù)值后，從核會(huì)慢于主核1，2個(gè)時(shí)鐘的時(shí)間差在運(yùn)行。通過時(shí)間差的引入，可以預(yù)防在同一個(gè)時(shí)間點(diǎn)，主核和從核發(fā)生了同樣的錯(cuò)誤，從而導(dǎo)致雙核鎖步無法檢測(cè)出錯(cuò)誤的情況出現(xiàn)，從而提供更好的保護(hù)。

在存儲(chǔ)方面也有ECC保護(hù)，從上面的框圖重可以看到，在左上方有兩個(gè)CCM（Closely coupled memories，緊耦合存儲(chǔ)器），ICCM主要用來存儲(chǔ)指令和數(shù)據(jù)，DCCM僅用來存儲(chǔ)數(shù)據(jù)，緊耦合存儲(chǔ)器主核和從核是共享數(shù)據(jù)的。共享存儲(chǔ)器可節(jié)省開銷，不能實(shí)現(xiàn)雙核鎖步保護(hù)，但可以實(shí)現(xiàn)存儲(chǔ)ECC保護(hù)。

另外，總線也需要進(jìn)行安全保護(hù)，因此芯片內(nèi)的總線分為了系統(tǒng)總線和安全總線，講他們分開后可以保證一定程度的獨(dú)立性，這樣功能安全事件的信息傳輸就不會(huì)受到指令數(shù)據(jù)的干擾，因?yàn)橹噶顢?shù)據(jù)是通過系統(tǒng)總線進(jìn)行傳輸?shù)?，而安全信息是通過安全總線進(jìn)行傳輸?shù)?。而且系統(tǒng)總線和安全總線都加入了ECC保護(hù)。鄧承諾特別指出，其實(shí)不僅是這兩類總線，芯片內(nèi)部的AXI、HB總線等的控制信號(hào)、地址信號(hào)，及數(shù)據(jù)信號(hào)都加入了ECC和奇偶校驗(yàn)保護(hù)。通過這些保護(hù)就可以檢測(cè)出總線信號(hào)上瞬時(shí)隨機(jī)故障和永久隨機(jī)故障，以提供更好的保護(hù)。

結(jié)語

隨著汽車電子電氣化程度越來越高，需要用到的芯片也越來越多，未來電子系統(tǒng)在汽車中的重要性將會(huì)越來越高，可以明顯地看到汽車芯片產(chǎn)業(yè)的增長(zhǎng)潛力，因此未來肯定會(huì)有越來越多的半導(dǎo)體企業(yè)進(jìn)入汽車產(chǎn)業(yè)。

但要想在這個(gè)產(chǎn)業(yè)扎根卻并不容易，拿到前面說的三張船票也僅僅只是個(gè)開始，還有可靠性問題，失效率問題，以及最重要的客戶認(rèn)可問題需要他們面對(duì)。