2020年以來,汽車芯片的風(fēng)頭一時(shí)無兩,“缺芯”問題使其置于行業(yè)聚光燈下,為此各國(guó)政府還專門出來為各自的車廠向汽車芯片原廠和代工廠催“芯”。正是因?yàn)槠囆酒臒岫雀邼q,國(guó)內(nèi)不少半導(dǎo)體企業(yè)開始加入汽車芯片“淘金”的隊(duì)伍。
但其實(shí)要進(jìn)入汽車芯片行業(yè)并不容易,汽車芯片與消費(fèi)類,或者工業(yè)芯片的要求都不一樣。國(guó)內(nèi)半導(dǎo)體企業(yè)要想進(jìn)入汽車芯片行業(yè),首先要拿到“三張船票”,一是AEC-Q100認(rèn)證;二是IATF 16949汽車生產(chǎn)質(zhì)量管理體系認(rèn)證;三是ISO26262標(biāo)準(zhǔn)認(rèn)證。
芯片廠商先要過的三個(gè)認(rèn)證
AEC-Q100認(rèn)證已經(jīng)成為了汽車電子零部件的通用測(cè)試規(guī)范,它對(duì)于不同類型器件適用不同的標(biāo)準(zhǔn),其實(shí)它是一個(gè)廠家自聲明認(rèn)證,廠家可以自己按照測(cè)試規(guī)范做完全部的測(cè)試項(xiàng)目。不過,目前國(guó)內(nèi)的芯片廠家基本都是通過第三方測(cè)試機(jī)構(gòu)來進(jìn)行認(rèn)證的。
IATF 16949規(guī)定了汽車生產(chǎn)質(zhì)量管理體系的要求。它源于全球統(tǒng)一質(zhì)量管理體系要求文件的需求,于2016年10月正式發(fā)布。其取代了ISO/TS 16949汽車標(biāo)準(zhǔn),該標(biāo)準(zhǔn)現(xiàn)已失效。IATF 16949要求涵蓋了產(chǎn)品安全、風(fēng)險(xiǎn)管理和應(yīng)急計(jì)劃、嵌入式軟件要求、變更和質(zhì)保管理、次級(jí)供應(yīng)商管理等關(guān)鍵內(nèi)容。
ISO 26262則針對(duì)汽車電子的功能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)涵蓋了全生命周期的安全要求,功能安全管理、概念階段、系統(tǒng)研發(fā)、硬件研發(fā)、軟件研發(fā)、生產(chǎn)和操作過程、售后,但比例最大的是站在產(chǎn)品設(shè)計(jì)階段這個(gè)時(shí)間節(jié)點(diǎn)上,考慮怎樣從設(shè)計(jì)上實(shí)現(xiàn)產(chǎn)品安全,可以基于原有的功能實(shí)現(xiàn)安全,也可以額外添加功能,實(shí)現(xiàn)安全。
接下來我們?cè)敿?xì)了解一下功能安全部分,什么是功能安全,以及安全保障機(jī)制問題。
什么是功能安全
根據(jù)汽車電子行業(yè)功能安全標(biāo)準(zhǔn)ISO26262的定義,功能安全是為了避免因電氣/電子系統(tǒng)故障而導(dǎo)致的不合理風(fēng)險(xiǎn)。
根據(jù)故障的嚴(yán)重程度不同,功能安全可劃分為不同的等級(jí)。 ISO26262標(biāo)準(zhǔn)針對(duì)汽車功能的ASIL(汽車安全完整性)等級(jí)從低到高劃分為:QM、A、B、C、D五個(gè)等級(jí)。其中,ASIL D為安全等級(jí)最高。
表:功能安全故障種類
一般來說,功能安全需要覆蓋兩種故障,一種是系統(tǒng)故障,一種是隨機(jī)故障。系統(tǒng)故障適用于硬件和軟件,它由產(chǎn)品開發(fā)流程當(dāng)中引入,不完善的流程,不完備的驗(yàn)證等都有可能導(dǎo)致系統(tǒng)故障。比如,工程師所熟知的Bug就屬于系統(tǒng)故障。
隨機(jī)故障分為永久隨機(jī)故障和瞬時(shí)隨機(jī)故障,它僅針對(duì)硬件有效。對(duì)軟件來說,只有系統(tǒng)故障,沒有隨機(jī)故障。
永久隨機(jī)故障在產(chǎn)品的整個(gè)生命周期都有可能發(fā)生,一旦發(fā)生,故障就會(huì)一直存在,直到被修復(fù)或者移除。
瞬時(shí)隨機(jī)故障也是在產(chǎn)品的整個(gè)生命周期都有可能會(huì)發(fā)生,它一旦發(fā)生,隨后便會(huì)消失。比如SRAM的比特翻轉(zhuǎn),由于磁場(chǎng)變化導(dǎo)致的邏輯翻轉(zhuǎn)等。
如何應(yīng)對(duì)功能安全的三種故障?
那么,針對(duì)上面提到的這三種故障,有什么辦法可以預(yù)防,或者說有什么辦法讓這些故障發(fā)生時(shí),汽車仍然是安全可控的呢?新思科技ARC處理器資深研發(fā)工程師鄧承諾在一次功能安全研討會(huì)上表示,可以通過以下三個(gè)途徑來最大程度地規(guī)避故障。
首先是通過規(guī)定一套比較嚴(yán)格的設(shè)計(jì)驗(yàn)證開發(fā)流程,并且在產(chǎn)品開發(fā)的過程當(dāng)中,充分遵循這套開發(fā)流程。這樣,就可以最大程度地規(guī)避系統(tǒng)故障。
其次是驗(yàn)證,采用業(yè)界先進(jìn)的功能驗(yàn)證方法學(xué)和驗(yàn)證工具,通過提高產(chǎn)品質(zhì)量進(jìn)而規(guī)避系統(tǒng)故障。
還有就是引入安全機(jī)制。因?yàn)榧幢阕隽怂锌梢宰龅臏y(cè)試,當(dāng)產(chǎn)品進(jìn)入市場(chǎng)后,仍然可能會(huì)有其他種類的隨機(jī)故障發(fā)生。比如,芯片老化、短路,或者磁場(chǎng)變化,造成暫時(shí)的電位翻轉(zhuǎn)等等。
為了應(yīng)對(duì)這些情況就需要引入安全機(jī)制。在芯片發(fā)生隨機(jī)性故障時(shí),芯片可能無法正常工作,此時(shí)芯片中的安全機(jī)制需要能及時(shí)匯報(bào)故障的發(fā)生,或者直接更正故障。
目前常用的安全機(jī)制主要有多核鎖步、ECC存儲(chǔ)保護(hù)、軟件測(cè)試庫等幾種類型。
圖:新思科技的雙核鎖步安全機(jī)制(來源:新思科技)
鄧承諾拿新思科技的ARC EM22FS處理器的功能安全架構(gòu)解釋了雙核鎖步安全機(jī)制的原理。比如上圖中我們可以看到,有兩個(gè)EM核,一個(gè)是主核,一個(gè)是從核。主核與從核是完全復(fù)制的一致實(shí)現(xiàn),他們運(yùn)行一樣的程序,輸出結(jié)果會(huì)進(jìn)行時(shí)鐘周期內(nèi)的實(shí)時(shí)比較,一旦他們發(fā)生了不一致的輸出,這種情況下就會(huì)上報(bào)不匹配錯(cuò)誤,這個(gè)安全機(jī)制就稱為雙核鎖步。這就是通過硬件冗余,實(shí)時(shí)比較,來監(jiān)測(cè)錯(cuò)誤的產(chǎn)生。
也就是說,這兩個(gè)核是完全一致的,流水線是一致的,指令集是一致的,功能單元也都是一致的。另外,還引入了一定的延時(shí)。且延時(shí)是可配置的,可以是0,1,2等。在配置不同的數(shù)值后,從核會(huì)慢于主核1,2個(gè)時(shí)鐘的時(shí)間差在運(yùn)行。通過時(shí)間差的引入,可以預(yù)防在同一個(gè)時(shí)間點(diǎn),主核和從核發(fā)生了同樣的錯(cuò)誤,從而導(dǎo)致雙核鎖步無法檢測(cè)出錯(cuò)誤的情況出現(xiàn),從而提供更好的保護(hù)。
在存儲(chǔ)方面也有ECC保護(hù),從上面的框圖重可以看到,在左上方有兩個(gè)CCM(Closely coupled memories,緊耦合存儲(chǔ)器),ICCM主要用來存儲(chǔ)指令和數(shù)據(jù),DCCM僅用來存儲(chǔ)數(shù)據(jù),緊耦合存儲(chǔ)器主核和從核是共享數(shù)據(jù)的。共享存儲(chǔ)器可節(jié)省開銷,不能實(shí)現(xiàn)雙核鎖步保護(hù),但可以實(shí)現(xiàn)存儲(chǔ)ECC保護(hù)。
另外,總線也需要進(jìn)行安全保護(hù),因此芯片內(nèi)的總線分為了系統(tǒng)總線和安全總線,講他們分開后可以保證一定程度的獨(dú)立性,這樣功能安全事件的信息傳輸就不會(huì)受到指令數(shù)據(jù)的干擾,因?yàn)橹噶顢?shù)據(jù)是通過系統(tǒng)總線進(jìn)行傳輸?shù)?,而安全信息是通過安全總線進(jìn)行傳輸?shù)?。而且系統(tǒng)總線和安全總線都加入了ECC保護(hù)。鄧承諾特別指出,其實(shí)不僅是這兩類總線,芯片內(nèi)部的AXI、HB總線等的控制信號(hào)、地址信號(hào),及數(shù)據(jù)信號(hào)都加入了ECC和奇偶校驗(yàn)保護(hù)。通過這些保護(hù)就可以檢測(cè)出總線信號(hào)上瞬時(shí)隨機(jī)故障和永久隨機(jī)故障,以提供更好的保護(hù)。
結(jié)語
隨著汽車電子電氣化程度越來越高,需要用到的芯片也越來越多,未來電子系統(tǒng)在汽車中的重要性將會(huì)越來越高,可以明顯地看到汽車芯片產(chǎn)業(yè)的增長(zhǎng)潛力,因此未來肯定會(huì)有越來越多的半導(dǎo)體企業(yè)進(jìn)入汽車產(chǎn)業(yè)。
但要想在這個(gè)產(chǎn)業(yè)扎根卻并不容易,拿到前面說的三張船票也僅僅只是個(gè)開始,還有可靠性問題,失效率問題,以及最重要的客戶認(rèn)可問題需要他們面對(duì)。
-
soc
+關(guān)注
關(guān)注
38文章
4021瀏覽量
217024 -
安全機(jī)制
+關(guān)注
關(guān)注
0文章
20瀏覽量
10242 -
汽車芯片
+關(guān)注
關(guān)注
10文章
810瀏覽量
43257 -
功能安全
+關(guān)注
關(guān)注
2文章
69瀏覽量
5602
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論