汽車芯片功能安全與可靠性，如何保障？

智能網(wǎng)聯(lián)汽車已成為引領(lǐng)未來(lái)發(fā)展的關(guān)鍵趨勢(shì)。其中，芯片作為智能網(wǎng)聯(lián)汽車的核心部件，其功能安全與可靠性的重要性愈加突出。如何提升其保障，已成為業(yè)界關(guān)注的焦點(diǎn)話題。

當(dāng)前，我國(guó)智能網(wǎng)聯(lián)汽車市場(chǎng)規(guī)模持續(xù)擴(kuò)大，基礎(chǔ)設(shè)施建設(shè)逐步完善，全國(guó)多個(gè)示范區(qū)積極開展多維度、多場(chǎng)景的試驗(yàn)驗(yàn)證，為技術(shù)創(chuàng)新與產(chǎn)品研發(fā)提供了有力支持。同時(shí)，企業(yè)在自動(dòng)駕駛、車聯(lián)網(wǎng)通信、智能座艙等領(lǐng)域的研發(fā)投入不斷增加，多項(xiàng)技術(shù)取得突破，產(chǎn)業(yè)發(fā)展勢(shì)頭良好。

2024年12月6日下午，在2024全球汽車芯片創(chuàng)新大會(huì)的“汽車芯片功能安全及可靠性保障發(fā)展論壇”上，就汽車芯片功能安全和可靠性提升議題，中國(guó)汽車工業(yè)協(xié)會(huì)總工程師葉盛基、長(zhǎng)城汽車總工程師曹常鋒、安波?；ヂ?lián)與安全工程總監(jiān)吳俊、安世半導(dǎo)體IC解決方案業(yè)務(wù)部質(zhì)量總監(jiān)石磊、電子五所重點(diǎn)實(shí)驗(yàn)室博士黃中鎧、北京汽車研究總院電子電器架構(gòu)部功能與安全技術(shù)科科長(zhǎng)呂志偉、工業(yè)和信息化部電子第五研究所認(rèn)證中心高級(jí)工程師金鑫、中科芯集成電路有限公司高級(jí)工程師林中瑀、蘇州國(guó)芯功能安全經(jīng)理王宇等業(yè)內(nèi)專家圍繞汽車芯片功能安全與可靠性發(fā)展事項(xiàng)建言獻(xiàn)策，為提升汽車芯片功能安全與可靠性貢獻(xiàn)智慧與方案。本場(chǎng)論壇由工業(yè)和信息化部電子五所元材院華東分院負(fù)責(zé)人張耀主持。

在致辭中，葉盛基表示，國(guó)家高度重視汽車芯片的自主研發(fā)與技術(shù)創(chuàng)新，旨在提升產(chǎn)業(yè)全球競(jìng)爭(zhēng)力，減少對(duì)國(guó)外技術(shù)依賴。然而，國(guó)產(chǎn)芯片在功能安全與可靠性方面仍面臨挑戰(zhàn)，特別是在復(fù)雜環(huán)境下的穩(wěn)定性和測(cè)試驗(yàn)證技術(shù)方面，與國(guó)際先進(jìn)水平存在差距。

對(duì)此，葉盛基提出四點(diǎn)建議。首先，完善標(biāo)準(zhǔn)體系，加強(qiáng)創(chuàng)新合作。行業(yè)應(yīng)積極參與功能安全標(biāo)準(zhǔn)制定，結(jié)合實(shí)際需求，形成具有自主知識(shí)產(chǎn)權(quán)的標(biāo)準(zhǔn)，同時(shí)深化芯片企業(yè)與汽車企業(yè)的合作，確保功能安全貫穿產(chǎn)業(yè)鏈；其次，優(yōu)化驗(yàn)證流程，強(qiáng)化可靠性監(jiān)測(cè)。應(yīng)加大技術(shù)和設(shè)備投入，建立健全的驗(yàn)證體系，通過(guò)復(fù)雜工況模擬和嚴(yán)格測(cè)試，確保芯片在不同場(chǎng)景下的穩(wěn)定性，及時(shí)排除隱患；第三，做好研發(fā)與生產(chǎn)準(zhǔn)備，支撐批量化生產(chǎn)。在研發(fā)階段，遵循功能安全設(shè)計(jì)流程并采用先進(jìn)工具；在生產(chǎn)過(guò)程中，強(qiáng)化質(zhì)量管理與工藝控制，從源頭保障芯片的質(zhì)量與安全；最后，葉盛基呼吁全行業(yè)協(xié)同合作，推動(dòng)產(chǎn)業(yè)規(guī)模化發(fā)展。芯片企業(yè)、汽車企業(yè)與科研機(jī)構(gòu)應(yīng)整合資源，共同推動(dòng)功能安全技術(shù)進(jìn)步和產(chǎn)業(yè)鏈完善，提升我國(guó)汽車產(chǎn)業(yè)全球競(jìng)爭(zhēng)力。

可靠性保障與質(zhì)量管理進(jìn)展

曹常鋒分享了長(zhǎng)城汽車在國(guó)產(chǎn)化芯片可靠性保障方面的努力與成就，并表示，得益于公司在國(guó)產(chǎn)化替代過(guò)程中的持續(xù)推動(dòng)，2023年其國(guó)產(chǎn)化芯片的應(yīng)用率已達(dá)到17%。然而，隨著國(guó)產(chǎn)芯片的推廣，仍面臨一些挑戰(zhàn)，特別是工具鏈和軟件生態(tài)的不統(tǒng)一，這不僅增加了研發(fā)成本，還使得國(guó)產(chǎn)芯片在可靠性上的不足給試驗(yàn)與驗(yàn)證帶來(lái)了更大的難度。為了應(yīng)對(duì)這些問(wèn)題，長(zhǎng)城汽車積極探索架構(gòu)層面的解決方案，嘗試采用RISC-V架構(gòu)，通過(guò)標(biāo)準(zhǔn)化接口緩解生態(tài)割裂，提升系統(tǒng)的兼容性。

如今，在汽車芯片領(lǐng)域，功能安全和AEC-Q1

00認(rèn)證被視為確保芯片可靠性的核心。在功能安全可靠性保障方面，長(zhǎng)城汽車重點(diǎn)解決了隨機(jī)性故障和系統(tǒng)性故障的問(wèn)題，尤其是在系統(tǒng)性故障的解決上，長(zhǎng)城汽車從芯片IP選型開始，通過(guò)功能安全拆分，確保所選IP版本符合車規(guī)標(biāo)準(zhǔn)，從而為芯片提供充分的功能安全保障。

在芯片的功能安全與可靠性保障方面，長(zhǎng)城汽車特別注重解決隨機(jī)性故障和系統(tǒng)性故障問(wèn)題，尤其是在系統(tǒng)性故障的處理上，長(zhǎng)城汽車從芯片IP選型開始，通過(guò)功能安全拆分，確保所選IP版本符合車規(guī)標(biāo)準(zhǔn)，從源頭為芯片提供了可靠的安全保障。在此過(guò)程中，AEC-Q100認(rèn)證成為保障芯片可靠性的核心要求。長(zhǎng)城汽車強(qiáng)調(diào)，芯片的可靠性保障要覆蓋從概念需求到生產(chǎn)制造的全過(guò)程，特別是在溫度、濕度、老化過(guò)程和DPPM等指標(biāo)的嚴(yán)格管理，確保這些標(biāo)準(zhǔn)遠(yuǎn)超消費(fèi)級(jí)芯片的要求。

為進(jìn)一步提高國(guó)產(chǎn)芯片的可靠性，長(zhǎng)城汽車還建立了科學(xué)的驗(yàn)證流程和選型機(jī)制。這包括建立國(guó)產(chǎn)芯片選型庫(kù)，評(píng)估供應(yīng)商的可持續(xù)性，并進(jìn)行驗(yàn)證與分級(jí)管理。通過(guò)這些措施，長(zhǎng)城汽車有效保障了國(guó)產(chǎn)芯片的質(zhì)量和長(zhǎng)期供應(yīng)能力，確保其在整車中的穩(wěn)定性與可靠性。

隨著智能網(wǎng)聯(lián)汽車技術(shù)的迅猛發(fā)展，車規(guī)級(jí)模擬芯片的質(zhì)量管理逐漸成為行業(yè)關(guān)注的重點(diǎn)。石磊表示，車規(guī)級(jí)芯片的質(zhì)量管理涉及從設(shè)計(jì)、制造到量產(chǎn)供應(yīng)的整個(gè)生命周期，安世半導(dǎo)體通過(guò)將功能安全與產(chǎn)品質(zhì)量先期策劃（APQP）模型結(jié)合，強(qiáng)化了工藝監(jiān)控和可靠性持續(xù)監(jiān)控，從而確保芯片的高質(zhì)量與可靠性。在這一過(guò)程中，安世半導(dǎo)體建立了全面的質(zhì)量管理體系，將設(shè)計(jì)、制造與供應(yīng)的各環(huán)節(jié)緊密銜接，形成了閉環(huán)管理。

在設(shè)計(jì)階段，安世半導(dǎo)體將功能安全與APQP模型相結(jié)合，確保芯片在設(shè)計(jì)階段具備可靠性和安全保障。在制造階段，其通過(guò)統(tǒng)計(jì)過(guò)程控制（SPC）確保工藝的穩(wěn)定性，保持關(guān)鍵工藝指標(biāo)在合理范圍內(nèi)，特別是CpK值需達(dá)到1.67以上。在量產(chǎn)階段，安世半導(dǎo)體通過(guò)持續(xù)可靠性測(cè)試（ORT）機(jī)制，對(duì)量產(chǎn)產(chǎn)品進(jìn)行周期性抽樣檢測(cè)，以驗(yàn)證其長(zhǎng)期可靠性。如果發(fā)現(xiàn)異常，企業(yè)會(huì)啟動(dòng)物料審查委員會(huì)（MRB）機(jī)制，進(jìn)行嚴(yán)格處理，并在必要時(shí)停止出貨，防止問(wèn)題擴(kuò)大。

智能汽車架構(gòu)下的功能安全設(shè)計(jì)與驗(yàn)證

在智能汽車架構(gòu)的設(shè)計(jì)中，吳俊分享了域控制器混合功能安全等級(jí)設(shè)計(jì)的思路。他強(qiáng)調(diào)，功能安全設(shè)計(jì)應(yīng)深度融入開發(fā)流程，以確保既能保障安全，又能實(shí)現(xiàn)高效和穩(wěn)定的系統(tǒng)開發(fā)。功能安全不應(yīng)被視為獨(dú)立的環(huán)節(jié)，而應(yīng)成為產(chǎn)品開發(fā)的核心部分，推遲處理可能導(dǎo)致成本增加并影響產(chǎn)品質(zhì)量。因此，吳俊指出，功能安全必須與開發(fā)同步進(jìn)行，確保各環(huán)節(jié)無(wú)縫銜接。他特別強(qiáng)調(diào)了功能安全經(jīng)理的重要作用，不僅要推動(dòng)和協(xié)調(diào)項(xiàng)目，還需確保安全目標(biāo)在設(shè)計(jì)與開發(fā)中得到落實(shí)，優(yōu)化整體設(shè)計(jì)，而非僅僅完成形式化的工作。

在設(shè)計(jì)中，吳俊提到域控制器面臨的眾多挑戰(zhàn)，尤其是時(shí)序干擾問(wèn)題。在SOC架構(gòu)下，軟件代碼量的增長(zhǎng)大幅增加了執(zhí)行難度，通常需要數(shù)百人進(jìn)行同步協(xié)作，時(shí)序問(wèn)題因此變得更加復(fù)雜。為應(yīng)對(duì)這一挑戰(zhàn)，功能安全要求也變得更加嚴(yán)格，對(duì)設(shè)計(jì)的精準(zhǔn)度和協(xié)調(diào)性提出了更高要求。因此，系統(tǒng)功能安全等級(jí)的合理劃分至關(guān)重要，基座、操作系統(tǒng)及底層驅(qū)動(dòng)需滿足最高的安全要求，而應(yīng)用部分則根據(jù)實(shí)際需求進(jìn)行適當(dāng)劃分。

與此同時(shí)，呂志偉介紹了智能網(wǎng)聯(lián)汽車芯片功能安全的設(shè)計(jì)要求，特別是在電源系統(tǒng)設(shè)計(jì)方面。他解釋道，電源系統(tǒng)的功能安全設(shè)計(jì)源自智能駕駛與底盤系統(tǒng)的需求，旨在確保在電源失效情況下，各電子系統(tǒng)仍能穩(wěn)定運(yùn)行，從而避免電源故障帶來(lái)的安全風(fēng)險(xiǎn)。在冗余電源的設(shè)計(jì)中，關(guān)鍵在于明確輸入需求，而非固定設(shè)計(jì)形式。智能駕駛系統(tǒng)通常要求D級(jí)安全等級(jí)，而變道、停車等功能的安全等級(jí)則有所不同。

當(dāng)前，通信芯片在智能網(wǎng)聯(lián)汽車中扮演著至關(guān)重要的角色，因?yàn)楦骺刂破魍ㄟ^(guò)CAN、LIN、ETH等協(xié)議進(jìn)行交互，這要求其設(shè)計(jì)必須遵循AutoSAR標(biāo)準(zhǔn)，確保安全傳輸和信息安全，涵蓋身份認(rèn)證、密鑰管理等環(huán)節(jié)。呂志偉強(qiáng)調(diào)，所有這些需求應(yīng)在設(shè)計(jì)階段同步落實(shí)，以確保數(shù)據(jù)傳輸?shù)陌踩?。同時(shí)，隨著功能復(fù)雜度的提升，通信芯片面臨更高的功能安全和性能要求。除了必須滿足通信安全外，通信芯片還需要考慮硬件安全防護(hù)和抗電磁干擾（EMC）能力。

隨著智能網(wǎng)聯(lián)汽車技術(shù)的不斷發(fā)展，功能安全標(biāo)準(zhǔn)也在持續(xù)推進(jìn)。涉及硬件和軟件的推薦標(biāo)準(zhǔn)及強(qiáng)制標(biāo)準(zhǔn)需要嚴(yán)格遵循。芯片必須具備高算力、高安全等級(jí)、低功耗和良好的擴(kuò)展性。產(chǎn)業(yè)各方應(yīng)協(xié)同推動(dòng)芯片功能安全設(shè)計(jì)，確保芯片能夠高效、可靠地應(yīng)用于整車系統(tǒng)，推動(dòng)智能網(wǎng)聯(lián)汽車的高質(zhì)量發(fā)展。

黃中鎧則介紹了汽車芯片功能安全故障注入測(cè)試技術(shù)，并強(qiáng)調(diào)其在驗(yàn)證ISO26262功能安全等級(jí)完整性與準(zhǔn)確性中的關(guān)鍵作用。他指出，半導(dǎo)體廠商必須根據(jù)標(biāo)準(zhǔn)引入功能安全機(jī)制，確保芯片符合ASIL等級(jí)要求，并通過(guò)功能安全測(cè)試和故障注入測(cè)試等手段進(jìn)行驗(yàn)證。

故障注入測(cè)試可分為仿真級(jí)和實(shí)物級(jí)兩種類型，分別驗(yàn)證不同層面的安全機(jī)制。仿真級(jí)測(cè)試主要針對(duì)RTL/網(wǎng)表級(jí)設(shè)計(jì)，通過(guò)注入工具改變仿真信號(hào)，模擬故障環(huán)境，驗(yàn)證安全機(jī)制功能并計(jì)算診斷覆蓋率。實(shí)物級(jí)測(cè)試則側(cè)重驗(yàn)證芯片實(shí)物中的安全機(jī)制，特別是在測(cè)試容錯(cuò)機(jī)制和故障響應(yīng)時(shí)間時(shí)，確保系統(tǒng)在硬件故障時(shí)依然能正常工作。

目前，業(yè)界已有多種故障注入工具，如Syno

-psys、Z01X和西門子Austemper等，這些工具支持ISO26262與IEC61508標(biāo)準(zhǔn)，能夠測(cè)試永久性故障和瞬時(shí)故障，為功能安全認(rèn)證提供強(qiáng)有力的支持。作為車規(guī)級(jí)芯片認(rèn)證中的重要手段，故障注入測(cè)試通過(guò)仿真級(jí)與實(shí)物級(jí)的協(xié)同驗(yàn)證，確保芯片具備足夠的可靠性和安全性，滿足汽車電子系統(tǒng)的功能安全要求。

更多芯片功能安全話題分享

在車載芯片的功能安全設(shè)計(jì)中，金鑫強(qiáng)調(diào)了失效分析與安全機(jī)制顆粒度的一致性。他認(rèn)為，失效模式必須與安全概念相符，這樣才能確保分析結(jié)果的實(shí)際意義。根據(jù)ISO26262-Part114.3.2標(biāo)準(zhǔn)，例如雙核鎖步機(jī)制可以進(jìn)行整體分析，而在缺乏安全機(jī)制時(shí)，則需要通過(guò)硬件或軟件測(cè)試，并結(jié)合故障注入，評(píng)估失效模式及診斷覆蓋率。通過(guò)這一分析，目標(biāo)是精準(zhǔn)識(shí)別失效模式的覆蓋率，從而評(píng)估功能安全水平，確保車載系統(tǒng)的安全性和可靠性。

目前，芯片失效可分為永態(tài)故障（硬錯(cuò)誤）和瞬態(tài)故障（軟錯(cuò)誤）。其失效率的計(jì)算來(lái)源于多個(gè)方面，包括供應(yīng)商數(shù)據(jù)、返修數(shù)據(jù)、實(shí)驗(yàn)測(cè)試數(shù)據(jù)和失效率手冊(cè)。計(jì)算時(shí)考慮了裸片、封裝及過(guò)電應(yīng)力失效率，三者合計(jì)構(gòu)成芯片的總失效率。裸片的計(jì)算則需要考慮晶體管數(shù)量、制造年份等多項(xiàng)因素。金鑫進(jìn)一步提到，任務(wù)剖面（Profile）對(duì)失效率計(jì)算也有著重要影響。不同的使用場(chǎng)景、溫度、開關(guān)次數(shù)等因素都可能影響失效率，因此必須結(jié)合技術(shù)工藝與溫度系數(shù)進(jìn)行綜合評(píng)估，以確保失效率計(jì)算的準(zhǔn)確性，從而對(duì)車載芯片的可靠性做出全面評(píng)估。

另一方面，林中瑀介紹了新一代符合ASIL-D級(jí)車用高精度電池管理系統(tǒng)（BMS）AFE芯片的設(shè)計(jì)。作為新能源汽車三電系統(tǒng)中的核心組件，BMS負(fù)責(zé)監(jiān)控動(dòng)力電池的溫度、電量和電流等關(guān)鍵參數(shù)，其中AFE芯片作為唯一接觸高電壓、大電流的部件，承擔(dān)著保證整車功能安全和性能的重要責(zé)任。林中瑀指出，AFE芯片的設(shè)計(jì)復(fù)雜且根據(jù)不同車型和需求各有變化。其內(nèi)置的高壓采樣開關(guān)和模擬-數(shù)字轉(zhuǎn)換器（ADC）能夠復(fù)用電池的電壓和溫度數(shù)據(jù)，為整車提供重要支持。

此外，王宇分享了當(dāng)前汽車電子功能安全的現(xiàn)狀。特別是在氣囊系統(tǒng)中，點(diǎn)爆與誤點(diǎn)爆的安全性要求極為嚴(yán)苛，必須達(dá)到ASIL-D級(jí)別。為了實(shí)現(xiàn)這一要求，氣囊系統(tǒng)設(shè)計(jì)采用了復(fù)雜的模擬與數(shù)字功能，并結(jié)合自檢功能，確保防止誤點(diǎn)火或不當(dāng)啟動(dòng)。在系統(tǒng)設(shè)計(jì)中，采用了多層看門狗機(jī)制，并參考EGAS概念，最終實(shí)現(xiàn)了ASIL-D級(jí)別的功能安全標(biāo)準(zhǔn)。