CA168首页 >
自动化信息 >
综合信息 > 信息详情
汽车芯片火热,半导体企业上车的“三张船票”
2020年以来,汽车芯片的风头一时无两,“缺芯”问题使其置于行业聚光灯下,为此各国政府还专门出来为各自的车厂向汽车芯片原厂和代工厂催“芯”。正是因为汽车芯片的热度高涨,国内不少半导体企业开始加入汽车芯片“淘金”的队伍。但其实要进入汽车芯片行业并不容易,汽车芯片与消费类,或者工业芯片的要求都不一样。国内半导体企业要想进入汽车芯片行业,首先要拿到“三张船票”,一是AEC-Q100认证;二是IATF 16949汽车生产质量管理体系认证;三是ISO26262标准认证。
AEC-Q100认证已经成为了汽车电子零部件的通用测试规范,它对于不同类型器件适用不同的标准,其实它是一个厂家自声明认证,厂家可以自己按照测试规范做完全部的测试项目。不过,目前国内的芯片厂家基本都是通过第三方测试机构来进行认证的。IATF 16949规定了汽车生产质量管理体系的要求。它源于全球统一质量管理体系要求文件的需求,于2016年10月正式发布。其取代了ISO/TS 16949汽车标准,该标准现已失效。IATF 16949要求涵盖了产品安全、风险管理和应急计划、嵌入式软件要求、变更和质保管理、次级供应商管理等关键内容。ISO 26262则针对汽车电子的功能安全标准。该标准涵盖了全生命周期的安全要求,功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后,但比例最大的是站在产品设计阶段这个时间节点上,考虑怎样从设计上实现产品安全,可以基于原有的功能实现安全,也可以额外添加功能,实现安全。接下来我们详细了解一下功能安全部分,什么是功能安全,以及安全保障机制问题。
根据汽车电子行业功能安全标准ISO26262的定义,功能安全是为了避免因电气/电子系统故障而导致的不合理风险。根据故障的严重程度不同,功能安全可划分为不同的等级。ISO26262标准针对汽车功能的ASIL(汽车安全完整性)等级从低到高划分为:QM、A、B、C、D五个等级。其中,ASIL D为安全等级最高。
一般来说,功能安全需要覆盖两种故障,一种是系统故障,一种是随机故障。系统故障适用于硬件和软件,它由产品开发流程当中引入,不完善的流程,不完备的验证等都有可能导致系统故障。比如,工程师所熟知的Bug就属于系统故障。随机故障分为永久随机故障和瞬时随机故障,它仅针对硬件有效。对软件来说,只有系统故障,没有随机故障。永久随机故障在产品的整个生命周期都有可能发生,一旦发生,故障就会一直存在,直到被修复或者移除。瞬时随机故障也是在产品的整个生命周期都有可能会发生,它一旦发生,随后便会消失。比如SRAM的比特翻转,由于磁场变化导致的逻辑翻转等。
那么,针对上面提到的这三种故障,有什么办法可以预防,或者说有什么办法让这些故障发生时,汽车仍然是安全可控的呢?新思科技ARC处理器资深研发工程师邓承诺在一次功能安全研讨会上表示,可以通过以下三个途径来最大程度地规避故障。首先是通过规定一套比较严格的设计验证开发流程,并且在产品开发的过程当中,充分遵循这套开发流程。这样,就可以最大程度地规避系统故障。其次是验证,采用业界先进的功能验证方法学和验证工具,通过提高产品质量进而规避系统故障。还有就是引入安全机制。因为即便做了所有可以做的测试,当产品进入市场后,仍然可能会有其他种类的随机故障发生。比如,芯片老化、短路,或者磁场变化,造成暂时的电位翻转等等。为了应对这些情况就需要引入安全机制。在芯片发生随机性故障时,芯片可能无法正常工作,此时芯片中的安全机制需要能及时汇报故障的发生,或者直接更正故障。目前常用的安全机制主要有多核锁步、ECC存储保护、软件测试库等几种类型。
邓承诺拿新思科技的ARC EM22FS处理器的功能安全架构解释了双核锁步安全机制的原理。比如上图中我们可以看到,有两个EM核,一个是主核,一个是从核。主核与从核是完全复制的一致实现,他们运行一样的程序,输出结果会进行时钟周期内的实时比较,一旦他们发生了不一致的输出,这种情况下就会上报不匹配错误,这个安全机制就称为双核锁步。这就是通过硬件冗余,实时比较,来监测错误的产生。也就是说,这两个核是完全一致的,流水线是一致的,指令集是一致的,功能单元也都是一致的。另外,还引入了一定的延时。且延时是可配置的,可以是0,1,2等。在配置不同的数值后,从核会慢于主核1,2个时钟的时间差在运行。通过时间差的引入,可以预防在同一个时间点,主核和从核发生了同样的错误,从而导致双核锁步无法检测出错误的情况出现,从而提供更好的保护。在存储方面也有ECC保护,从上面的框图重可以看到,在左上方有两个CCM(Closely coupLED memories,紧耦合存储器),ICCM主要用来存储指令和数据,DCCM仅用来存储数据,紧耦合存储器主核和从核是共享数据的。共享存储器可节省开销,不能实现双核锁步保护,但可以实现存储ECC保护。另外,总线也需要进行安全保护,因此芯片内的总线分为了系统总线和安全总线,讲他们分开后可以保证一定程度的独立性,这样功能安全事件的信息传输就不会受到指令数据的干扰,因为指令数据是通过系统总线进行传输的,而安全信息是通过安全总线进行传输的。而且系统总线和安全总线都加入了ECC保护。邓承诺特别指出,其实不仅是这两类总线,芯片内部的AXI、HB总线等的控制信号、地址信号,及数据信号都加入了ECC和奇偶校验保护。通过这些保护就可以检测出总线信号上瞬时随机故障和永久随机故障,以提供更好的保护。
随着汽车电子电气化程度越来越高,需要用到的芯片也越来越多,未来电子系统在汽车中的重要性将会越来越高,可以明显地看到汽车芯片产业的增长潜力,因此未来肯定会有越来越多的半导体企业进入汽车产业。但要想在这个产业扎根却并不容易,拿到前面说的三张船票也仅仅只是个开始,还有可靠性问题,失效率问题,以及最重要的客户认可问题需要他们面对。