智能網(wǎng)聯(lián)汽車已成為引領(lǐng)未來(lái)發(fā)展的關(guān)鍵趨勢(shì)。其中,芯片作為智能網(wǎng)聯(lián)汽車的核心部件,其功能安全與可靠性的重要性愈加突出。如何提升其保障,已成為業(yè)界關(guān)注的焦點(diǎn)話題。
當(dāng)前,我國(guó)智能網(wǎng)聯(lián)汽車市場(chǎng)規(guī)模持續(xù)擴(kuò)大,基礎(chǔ)設(shè)施建設(shè)逐步完善,全國(guó)多個(gè)示范區(qū)積極開展多維度、多場(chǎng)景的試驗(yàn)驗(yàn)證,為技術(shù)創(chuàng)新與產(chǎn)品研發(fā)提供了有力支持。同時(shí),企業(yè)在自動(dòng)駕駛、車聯(lián)網(wǎng)通信、智能座艙等領(lǐng)域的研發(fā)投入不斷增加,多項(xiàng)技術(shù)取得突破,產(chǎn)業(yè)發(fā)展勢(shì)頭良好。
2024年12月6日下午,在2024全球汽車芯片創(chuàng)新大會(huì)的“汽車芯片功能安全及可靠性保障發(fā)展論壇”上,就汽車芯片功能安全和可靠性提升議題,中國(guó)汽車工業(yè)協(xié)會(huì)總工程師葉盛基、長(zhǎng)城汽車總工程師曹常鋒、安波?;ヂ?lián)與安全工程總監(jiān)吳俊、安世半導(dǎo)體IC解決方案業(yè)務(wù)部質(zhì)量總監(jiān)石磊、電子五所重點(diǎn)實(shí)驗(yàn)室博士黃中鎧、北京汽車研究總院電子電器架構(gòu)部功能與安全技術(shù)科科長(zhǎng)呂志偉、工業(yè)和信息化部電子第五研究所認(rèn)證中心高級(jí)工程師金鑫、中科芯集成電路有限公司高級(jí)工程師林中瑀、蘇州國(guó)芯功能安全經(jīng)理王宇等業(yè)內(nèi)專家圍繞汽車芯片功能安全與可靠性發(fā)展事項(xiàng)建言獻(xiàn)策,為提升汽車芯片功能安全與可靠性貢獻(xiàn)智慧與方案。本場(chǎng)論壇由工業(yè)和信息化部電子五所元材院華東分院負(fù)責(zé)人張耀主持。
在致辭中,葉盛基表示,國(guó)家高度重視汽車芯片的自主研發(fā)與技術(shù)創(chuàng)新,旨在提升產(chǎn)業(yè)全球競(jìng)爭(zhēng)力,減少對(duì)國(guó)外技術(shù)依賴。然而,國(guó)產(chǎn)芯片在功能安全與可靠性方面仍面臨挑戰(zhàn),特別是在復(fù)雜環(huán)境下的穩(wěn)定性和測(cè)試驗(yàn)證技術(shù)方面,與國(guó)際先進(jìn)水平存在差距。
對(duì)此,葉盛基提出四點(diǎn)建議。首先,完善標(biāo)準(zhǔn)體系,加強(qiáng)創(chuàng)新合作。行業(yè)應(yīng)積極參與功能安全標(biāo)準(zhǔn)制定,結(jié)合實(shí)際需求,形成具有自主知識(shí)產(chǎn)權(quán)的標(biāo)準(zhǔn),同時(shí)深化芯片企業(yè)與汽車企業(yè)的合作,確保功能安全貫穿產(chǎn)業(yè)鏈;其次,優(yōu)化驗(yàn)證流程,強(qiáng)化可靠性監(jiān)測(cè)。應(yīng)加大技術(shù)和設(shè)備投入,建立健全的驗(yàn)證體系,通過(guò)復(fù)雜工況模擬和嚴(yán)格測(cè)試,確保芯片在不同場(chǎng)景下的穩(wěn)定性,及時(shí)排除隱患;第三,做好研發(fā)與生產(chǎn)準(zhǔn)備,支撐批量化生產(chǎn)。在研發(fā)階段,遵循功能安全設(shè)計(jì)流程并采用先進(jìn)工具;在生產(chǎn)過(guò)程中,強(qiáng)化質(zhì)量管理與工藝控制,從源頭保障芯片的質(zhì)量與安全;最后,葉盛基呼吁全行業(yè)協(xié)同合作,推動(dòng)產(chǎn)業(yè)規(guī)模化發(fā)展。芯片企業(yè)、汽車企業(yè)與科研機(jī)構(gòu)應(yīng)整合資源,共同推動(dòng)功能安全技術(shù)進(jìn)步和產(chǎn)業(yè)鏈完善,提升我國(guó)汽車產(chǎn)業(yè)全球競(jìng)爭(zhēng)力。
可靠性保障與質(zhì)量管理進(jìn)展
曹常鋒分享了長(zhǎng)城汽車在國(guó)產(chǎn)化芯片可靠性保障方面的努力與成就,并表示,得益于公司在國(guó)產(chǎn)化替代過(guò)程中的持續(xù)推動(dòng),2023年其國(guó)產(chǎn)化芯片的應(yīng)用率已達(dá)到17%。然而,隨著國(guó)產(chǎn)芯片的推廣,仍面臨一些挑戰(zhàn),特別是工具鏈和軟件生態(tài)的不統(tǒng)一,這不僅增加了研發(fā)成本,還使得國(guó)產(chǎn)芯片在可靠性上的不足給試驗(yàn)與驗(yàn)證帶來(lái)了更大的難度。為了應(yīng)對(duì)這些問(wèn)題,長(zhǎng)城汽車積極探索架構(gòu)層面的解決方案,嘗試采用RISC-V架構(gòu),通過(guò)標(biāo)準(zhǔn)化接口緩解生態(tài)割裂,提升系統(tǒng)的兼容性。
如今,在汽車芯片領(lǐng)域,功能安全和AEC-Q1
00認(rèn)證被視為確保芯片可靠性的核心。在功能安全可靠性保障方面,長(zhǎng)城汽車重點(diǎn)解決了隨機(jī)性故障和系統(tǒng)性故障的問(wèn)題,尤其是在系統(tǒng)性故障的解決上,長(zhǎng)城汽車從芯片IP選型開始,通過(guò)功能安全拆分,確保所選IP版本符合車規(guī)標(biāo)準(zhǔn),從而為芯片提供充分的功能安全保障。
在芯片的功能安全與可靠性保障方面,長(zhǎng)城汽車特別注重解決隨機(jī)性故障和系統(tǒng)性故障問(wèn)題,尤其是在系統(tǒng)性故障的處理上,長(zhǎng)城汽車從芯片IP選型開始,通過(guò)功能安全拆分,確保所選IP版本符合車規(guī)標(biāo)準(zhǔn),從源頭為芯片提供了可靠的安全保障。在此過(guò)程中,AEC-Q100認(rèn)證成為保障芯片可靠性的核心要求。長(zhǎng)城汽車強(qiáng)調(diào),芯片的可靠性保障要覆蓋從概念需求到生產(chǎn)制造的全過(guò)程,特別是在溫度、濕度、老化過(guò)程和DPPM等指標(biāo)的嚴(yán)格管理,確保這些標(biāo)準(zhǔn)遠(yuǎn)超消費(fèi)級(jí)芯片的要求。
為進(jìn)一步提高國(guó)產(chǎn)芯片的可靠性,長(zhǎng)城汽車還建立了科學(xué)的驗(yàn)證流程和選型機(jī)制。這包括建立國(guó)產(chǎn)芯片選型庫(kù),評(píng)估供應(yīng)商的可持續(xù)性,并進(jìn)行驗(yàn)證與分級(jí)管理。通過(guò)這些措施,長(zhǎng)城汽車有效保障了國(guó)產(chǎn)芯片的質(zhì)量和長(zhǎng)期供應(yīng)能力,確保其在整車中的穩(wěn)定性與可靠性。
隨著智能網(wǎng)聯(lián)汽車技術(shù)的迅猛發(fā)展,車規(guī)級(jí)模擬芯片的質(zhì)量管理逐漸成為行業(yè)關(guān)注的重點(diǎn)。石磊表示,車規(guī)級(jí)芯片的質(zhì)量管理涉及從設(shè)計(jì)、制造到量產(chǎn)供應(yīng)的整個(gè)生命周期,安世半導(dǎo)體通過(guò)將功能安全與產(chǎn)品質(zhì)量先期策劃(APQP)模型結(jié)合,強(qiáng)化了工藝監(jiān)控和可靠性持續(xù)監(jiān)控,從而確保芯片的高質(zhì)量與可靠性。在這一過(guò)程中,安世半導(dǎo)體建立了全面的質(zhì)量管理體系,將設(shè)計(jì)、制造與供應(yīng)的各環(huán)節(jié)緊密銜接,形成了閉環(huán)管理。
在設(shè)計(jì)階段,安世半導(dǎo)體將功能安全與APQP模型相結(jié)合,確保芯片在設(shè)計(jì)階段具備可靠性和安全保障。在制造階段,其通過(guò)統(tǒng)計(jì)過(guò)程控制(SPC)確保工藝的穩(wěn)定性,保持關(guān)鍵工藝指標(biāo)在合理范圍內(nèi),特別是CpK值需達(dá)到1.67以上。在量產(chǎn)階段,安世半導(dǎo)體通過(guò)持續(xù)可靠性測(cè)試(ORT)機(jī)制,對(duì)量產(chǎn)產(chǎn)品進(jìn)行周期性抽樣檢測(cè),以驗(yàn)證其長(zhǎng)期可靠性。如果發(fā)現(xiàn)異常,企業(yè)會(huì)啟動(dòng)物料審查委員會(huì)(MRB)機(jī)制,進(jìn)行嚴(yán)格處理,并在必要時(shí)停止出貨,防止問(wèn)題擴(kuò)大。
智能汽車架構(gòu)下的功能安全設(shè)計(jì)與驗(yàn)證
在智能汽車架構(gòu)的設(shè)計(jì)中,吳俊分享了域控制器混合功能安全等級(jí)設(shè)計(jì)的思路。他強(qiáng)調(diào),功能安全設(shè)計(jì)應(yīng)深度融入開發(fā)流程,以確保既能保障安全,又能實(shí)現(xiàn)高效和穩(wěn)定的系統(tǒng)開發(fā)。功能安全不應(yīng)被視為獨(dú)立的環(huán)節(jié),而應(yīng)成為產(chǎn)品開發(fā)的核心部分,推遲處理可能導(dǎo)致成本增加并影響產(chǎn)品質(zhì)量。因此,吳俊指出,功能安全必須與開發(fā)同步進(jìn)行,確保各環(huán)節(jié)無(wú)縫銜接。他特別強(qiáng)調(diào)了功能安全經(jīng)理的重要作用,不僅要推動(dòng)和協(xié)調(diào)項(xiàng)目,還需確保安全目標(biāo)在設(shè)計(jì)與開發(fā)中得到落實(shí),優(yōu)化整體設(shè)計(jì),而非僅僅完成形式化的工作。
在設(shè)計(jì)中,吳俊提到域控制器面臨的眾多挑戰(zhàn),尤其是時(shí)序干擾問(wèn)題。在SOC架構(gòu)下,軟件代碼量的增長(zhǎng)大幅增加了執(zhí)行難度,通常需要數(shù)百人進(jìn)行同步協(xié)作,時(shí)序問(wèn)題因此變得更加復(fù)雜。為應(yīng)對(duì)這一挑戰(zhàn),功能安全要求也變得更加嚴(yán)格,對(duì)設(shè)計(jì)的精準(zhǔn)度和協(xié)調(diào)性提出了更高要求。因此,系統(tǒng)功能安全等級(jí)的合理劃分至關(guān)重要,基座、操作系統(tǒng)及底層驅(qū)動(dòng)需滿足最高的安全要求,而應(yīng)用部分則根據(jù)實(shí)際需求進(jìn)行適當(dāng)劃分。
與此同時(shí),呂志偉介紹了智能網(wǎng)聯(lián)汽車芯片功能安全的設(shè)計(jì)要求,特別是在電源系統(tǒng)設(shè)計(jì)方面。他解釋道,電源系統(tǒng)的功能安全設(shè)計(jì)源自智能駕駛與底盤系統(tǒng)的需求,旨在確保在電源失效情況下,各電子系統(tǒng)仍能穩(wěn)定運(yùn)行,從而避免電源故障帶來(lái)的安全風(fēng)險(xiǎn)。在冗余電源的設(shè)計(jì)中,關(guān)鍵在于明確輸入需求,而非固定設(shè)計(jì)形式。智能駕駛系統(tǒng)通常要求D級(jí)安全等級(jí),而變道、停車等功能的安全等級(jí)則有所不同。
當(dāng)前,通信芯片在智能網(wǎng)聯(lián)汽車中扮演著至關(guān)重要的角色,因?yàn)楦骺刂破魍ㄟ^(guò)CAN、LIN、ETH等協(xié)議進(jìn)行交互,這要求其設(shè)計(jì)必須遵循AutoSAR標(biāo)準(zhǔn),確保安全傳輸和信息安全,涵蓋身份認(rèn)證、密鑰管理等環(huán)節(jié)。呂志偉強(qiáng)調(diào),所有這些需求應(yīng)在設(shè)計(jì)階段同步落實(shí),以確保數(shù)據(jù)傳輸?shù)陌踩?。同時(shí),隨著功能復(fù)雜度的提升,通信芯片面臨更高的功能安全和性能要求。除了必須滿足通信安全外,通信芯片還需要考慮硬件安全防護(hù)和抗電磁干擾(EMC)能力。
隨著智能網(wǎng)聯(lián)汽車技術(shù)的不斷發(fā)展,功能安全標(biāo)準(zhǔn)也在持續(xù)推進(jìn)。涉及硬件和軟件的推薦標(biāo)準(zhǔn)及強(qiáng)制標(biāo)準(zhǔn)需要嚴(yán)格遵循。芯片必須具備高算力、高安全等級(jí)、低功耗和良好的擴(kuò)展性。產(chǎn)業(yè)各方應(yīng)協(xié)同推動(dòng)芯片功能安全設(shè)計(jì),確保芯片能夠高效、可靠地應(yīng)用于整車系統(tǒng),推動(dòng)智能網(wǎng)聯(lián)汽車的高質(zhì)量發(fā)展。
黃中鎧則介紹了汽車芯片功能安全故障注入測(cè)試技術(shù),并強(qiáng)調(diào)其在驗(yàn)證ISO26262功能安全等級(jí)完整性與準(zhǔn)確性中的關(guān)鍵作用。他指出,半導(dǎo)體廠商必須根據(jù)標(biāo)準(zhǔn)引入功能安全機(jī)制,確保芯片符合ASIL等級(jí)要求,并通過(guò)功能安全測(cè)試和故障注入測(cè)試等手段進(jìn)行驗(yàn)證。
故障注入測(cè)試可分為仿真級(jí)和實(shí)物級(jí)兩種類型,分別驗(yàn)證不同層面的安全機(jī)制。仿真級(jí)測(cè)試主要針對(duì)RTL/網(wǎng)表級(jí)設(shè)計(jì),通過(guò)注入工具改變仿真信號(hào),模擬故障環(huán)境,驗(yàn)證安全機(jī)制功能并計(jì)算診斷覆蓋率。實(shí)物級(jí)測(cè)試則側(cè)重驗(yàn)證芯片實(shí)物中的安全機(jī)制,特別是在測(cè)試容錯(cuò)機(jī)制和故障響應(yīng)時(shí)間時(shí),確保系統(tǒng)在硬件故障時(shí)依然能正常工作。
目前,業(yè)界已有多種故障注入工具,如Syno
-psys、Z01X和西門子Austemper等,這些工具支持ISO26262與IEC61508標(biāo)準(zhǔn),能夠測(cè)試永久性故障和瞬時(shí)故障,為功能安全認(rèn)證提供強(qiáng)有力的支持。作為車規(guī)級(jí)芯片認(rèn)證中的重要手段,故障注入測(cè)試通過(guò)仿真級(jí)與實(shí)物級(jí)的協(xié)同驗(yàn)證,確保芯片具備足夠的可靠性和安全性,滿足汽車電子系統(tǒng)的功能安全要求。
更多芯片功能安全話題分享
在車載芯片的功能安全設(shè)計(jì)中,金鑫強(qiáng)調(diào)了失效分析與安全機(jī)制顆粒度的一致性。他認(rèn)為,失效模式必須與安全概念相符,這樣才能確保分析結(jié)果的實(shí)際意義。根據(jù)ISO26262-Part114.3.2標(biāo)準(zhǔn),例如雙核鎖步機(jī)制可以進(jìn)行整體分析,而在缺乏安全機(jī)制時(shí),則需要通過(guò)硬件或軟件測(cè)試,并結(jié)合故障注入,評(píng)估失效模式及診斷覆蓋率。通過(guò)這一分析,目標(biāo)是精準(zhǔn)識(shí)別失效模式的覆蓋率,從而評(píng)估功能安全水平,確保車載系統(tǒng)的安全性和可靠性。
目前,芯片失效可分為永態(tài)故障(硬錯(cuò)誤)和瞬態(tài)故障(軟錯(cuò)誤)。其失效率的計(jì)算來(lái)源于多個(gè)方面,包括供應(yīng)商數(shù)據(jù)、返修數(shù)據(jù)、實(shí)驗(yàn)測(cè)試數(shù)據(jù)和失效率手冊(cè)。計(jì)算時(shí)考慮了裸片、封裝及過(guò)電應(yīng)力失效率,三者合計(jì)構(gòu)成芯片的總失效率。裸片的計(jì)算則需要考慮晶體管數(shù)量、制造年份等多項(xiàng)因素。金鑫進(jìn)一步提到,任務(wù)剖面(Profile)對(duì)失效率計(jì)算也有著重要影響。不同的使用場(chǎng)景、溫度、開關(guān)次數(shù)等因素都可能影響失效率,因此必須結(jié)合技術(shù)工藝與溫度系數(shù)進(jìn)行綜合評(píng)估,以確保失效率計(jì)算的準(zhǔn)確性,從而對(duì)車載芯片的可靠性做出全面評(píng)估。
另一方面,林中瑀介紹了新一代符合ASIL-D級(jí)車用高精度電池管理系統(tǒng)(BMS)AFE芯片的設(shè)計(jì)。作為新能源汽車三電系統(tǒng)中的核心組件,BMS負(fù)責(zé)監(jiān)控動(dòng)力電池的溫度、電量和電流等關(guān)鍵參數(shù),其中AFE芯片作為唯一接觸高電壓、大電流的部件,承擔(dān)著保證整車功能安全和性能的重要責(zé)任。林中瑀指出,AFE芯片的設(shè)計(jì)復(fù)雜且根據(jù)不同車型和需求各有變化。其內(nèi)置的高壓采樣開關(guān)和模擬-數(shù)字轉(zhuǎn)換器(ADC)能夠復(fù)用電池的電壓和溫度數(shù)據(jù),為整車提供重要支持。
此外,王宇分享了當(dāng)前汽車電子功能安全的現(xiàn)狀。特別是在氣囊系統(tǒng)中,點(diǎn)爆與誤點(diǎn)爆的安全性要求極為嚴(yán)苛,必須達(dá)到ASIL-D級(jí)別。為了實(shí)現(xiàn)這一要求,氣囊系統(tǒng)設(shè)計(jì)采用了復(fù)雜的模擬與數(shù)字功能,并結(jié)合自檢功能,確保防止誤點(diǎn)火或不當(dāng)啟動(dòng)。在系統(tǒng)設(shè)計(jì)中,采用了多層看門狗機(jī)制,并參考EGAS概念,最終實(shí)現(xiàn)了ASIL-D級(jí)別的功能安全標(biāo)準(zhǔn)。