來源：納芯微電子

功能安全指電子電氣系統(tǒng)在故障發(fā)生時(shí)仍能維持安全狀態(tài)的能力，其核心在于通過合理的設(shè)計(jì)和流程將風(fēng)險(xiǎn)降至可接受水平。隨著汽車智能化發(fā)展，電子系統(tǒng)復(fù)雜度大幅增加，芯片成為功能安全的關(guān)鍵載體。

2018年發(fā)布的第二版ISO 26262標(biāo)準(zhǔn)首次增設(shè)Part 11: Guidelines on application of ISO 26262 to semiconductors章節(jié)，對半導(dǎo)體功能安全中涉及到的SEooC（Safety Element out of Context）定義、失效率計(jì)算、安全分析、失效模式分析等提供了較為全面的開發(fā)指導(dǎo)。這標(biāo)志著功能安全正式從整車系統(tǒng)層面向芯片級技術(shù)縱深拓展，推動(dòng)汽車電子安全開發(fā)進(jìn)入全新階段。

相較于整車廠與Tier 1廠商，國內(nèi)芯片功能安全領(lǐng)域起步較晚。作為模擬及混合信號(hào)芯片公司的功能安全研發(fā)團(tuán)隊(duì)，除深入掌握ISO 26262標(biāo)準(zhǔn)外，還需精準(zhǔn)理解芯片在上層系統(tǒng)的應(yīng)用場景，以定義SEooC。本文基于納芯微工程實(shí)踐，對芯片功能安全設(shè)計(jì)的關(guān)鍵路徑進(jìn)行梳理。

01基于系統(tǒng)安全目標(biāo)的芯片架構(gòu)定義

功能安全芯片開發(fā)需深度理解系統(tǒng)層應(yīng)用場景，以逐層分析從系統(tǒng)級安全目標(biāo)到芯片頂層安全需求，進(jìn)而到芯片內(nèi)部功能設(shè)計(jì)的技術(shù)安全需求的邏輯鏈路。

以新能源主驅(qū)電機(jī)驅(qū)動(dòng)芯片為例，上層系統(tǒng)的典型安全目標(biāo)為扭矩安全、高壓安全及熱安全。具體到扭矩安全，逆變器通過六個(gè)柵極驅(qū)動(dòng)芯片實(shí)現(xiàn)永磁同步電機(jī)控制。驅(qū)動(dòng)芯片除實(shí)現(xiàn)基礎(chǔ)PWM信號(hào)輸出外，還需承擔(dān)眾多診斷功能。針對功率模塊及外部驅(qū)動(dòng)電路，驅(qū)動(dòng)芯片應(yīng)監(jiān)控功率管直通、門級狀態(tài)不匹配、過溫等失效模式；針對芯片內(nèi)部電路是否工作正常，也應(yīng)執(zhí)行相應(yīng)監(jiān)控，例如隔離通信是否受到干擾或出現(xiàn)失效、內(nèi)部電源軌輸出是否在允許范圍內(nèi)等。此外，該芯片還可以通過PWM輸入或原、副邊的ASCx pin承接上層系統(tǒng)關(guān)斷路徑的安全需求。

舉例說明安全需求的推導(dǎo)：為實(shí)現(xiàn)ASIL D扭矩安全，系統(tǒng)通常采用E-GAS三層架構(gòu)，通過ASIL等級分解來降低開發(fā)難度，結(jié)合系統(tǒng)級故障策略，在非嚴(yán)重故障(例如單側(cè)驅(qū)動(dòng)故障，MCU正常)時(shí)，上層系統(tǒng)會(huì)通過應(yīng)用層的PWM信號(hào)觸發(fā)驅(qū)動(dòng)芯片進(jìn)入安全狀態(tài)，芯片能否可靠執(zhí)行控制信號(hào)，對于一個(gè)安全系統(tǒng)至關(guān)重要。

進(jìn)一步結(jié)合驅(qū)動(dòng)芯片的關(guān)鍵基礎(chǔ)功能，我們可推導(dǎo)出驅(qū)動(dòng)芯片的其中一條頂層安全需求：當(dāng)芯片內(nèi)部失效導(dǎo)致芯片驅(qū)動(dòng)外部功率管的控制信號(hào)誤動(dòng)作時(shí)，芯片應(yīng)觸發(fā)相應(yīng)的安全狀態(tài)?；谠摪踩枨螅酒瑧?yīng)在內(nèi)部關(guān)鍵路徑執(zhí)行對應(yīng)校驗(yàn)機(jī)制，例如PWM一致性檢測、門級狀態(tài)一致性檢測。

其中，PWM信號(hào)一致性檢測作為芯片內(nèi)部診斷功能，需要綜合考慮die-to-die傳輸過程中的信號(hào)延時(shí)以及多類消息的仲裁機(jī)制。而門級狀態(tài)一致性檢測則需實(shí)時(shí)監(jiān)控外部功率管的實(shí)際門級狀態(tài)是否符合預(yù)期。功率管的門級表現(xiàn)可能受到系統(tǒng)級安全請求（ASCx）、內(nèi)部故障響應(yīng)或外部功率管失效等多種因素的影響。因此，芯片需要對這些故障響應(yīng)和安全請求進(jìn)行優(yōu)先級判定，并據(jù)此控制芯片最終的輸出響應(yīng)。進(jìn)一步詳細(xì)拆解該需求，則需深入理解上層系統(tǒng)的安全狀態(tài)。

當(dāng)前主流逆變器(驅(qū)動(dòng)永磁同步電機(jī))的安全狀態(tài)設(shè)計(jì)，包含上下橋ASC（Active Short Circuit）和FW (Freewheeling)。ASC通過開通同一側(cè)的功率模塊（IGBT/SiC）使電機(jī)三相輸入短路，主要用于高速區(qū)域；FW則為關(guān)斷所有功率模塊，僅限低速使用，高速時(shí)可能產(chǎn)生超出安全裕量的負(fù)扭矩。逆變器層面，會(huì)根據(jù)系統(tǒng)中故障的嚴(yán)重程度進(jìn)行分級的安全關(guān)斷，例如非嚴(yán)重故障通過PWM信號(hào)控制進(jìn)入安全狀態(tài)(ASC/FW)，而嚴(yán)重故障則采用一條獨(dú)立于軟件的硬件關(guān)斷路徑去觸發(fā)驅(qū)動(dòng)芯片的ASC pin腳。由此可見，驅(qū)動(dòng)芯片為上層系統(tǒng)的安全關(guān)斷提供了靈活而多樣化的支持，并且應(yīng)和系統(tǒng)安全策略匹配。尤其是當(dāng)系統(tǒng)中出現(xiàn)某些典型失效，例如功率管的GDS（SiC）/ GCE（IGBT）短路時(shí)，故障相橋臂內(nèi)的驅(qū)動(dòng)芯片有可能因?yàn)閱蝹€(gè)失效，面臨一連串故障和系統(tǒng)安全請求的沖突，包括但不限于DESAT、門級一致性校驗(yàn)、ASCx等。因此，芯片廠在定義SEooC以及技術(shù)安全架構(gòu)時(shí)，需要有意識(shí)地結(jié)合上層系統(tǒng)的use case和期望的故障響應(yīng)，去進(jìn)行正向的故障優(yōu)先級定義。否則，有可能因?yàn)樾酒喙收瞎芾聿呗院蜕蠈酉到y(tǒng)安全策略的不一致，導(dǎo)致系統(tǒng)出現(xiàn)非預(yù)期的危險(xiǎn)狀態(tài)，例如高速下Freewheeling。

02失效模式驅(qū)動(dòng)的芯片前端設(shè)計(jì)

失效模式分析貫穿功能安全芯片設(shè)計(jì)全流程。前端設(shè)計(jì)階段需針對芯片內(nèi)部功能模塊建立失效模式庫，并分析其失效模式影響。視芯片類型，失效模式影響可以分析到芯片級別（Effect on Chip）或上層系統(tǒng)級別（Effect on System），并應(yīng)最終關(guān)聯(lián)到芯片頂層安全需求。

針對常見的功能模塊，ISO26262:2018提供了標(biāo)準(zhǔn)化的失效模式庫。開發(fā)團(tuán)隊(duì)?wèi)?yīng)結(jié)合該功能模塊的具體電路實(shí)現(xiàn)（例如不同 LDO的電路架構(gòu)），基于工程判斷對芯片內(nèi)各模塊電路的失效模式進(jìn)行更精細(xì)化的分析。其中一種方式，是將模塊電路拆解到架構(gòu)級，并從底層關(guān)鍵器件的基礎(chǔ)失效模式往上推導(dǎo)（例如管子的開路、短路）。在設(shè)計(jì)具體安全機(jī)制時(shí)，首先應(yīng)當(dāng)針對該電路的失效模式進(jìn)行分類，識(shí)別出可能潛在違反頂層安全需求的失效模式。結(jié)合芯片的目標(biāo)ASIL等級，考慮設(shè)計(jì)安全機(jī)制覆蓋這些失效模式。

此外，老版的標(biāo)準(zhǔn)ISO26262: 2011 Part5 Annex D也提供了針對不同診斷覆蓋率的失效模式簡易參考。以電源失效模式為例：

常見的電源失效模式有：過壓、欠壓、漂移、震蕩、尖峰等。隨著診斷覆蓋率（DC）的提高，安全機(jī)制需要覆蓋更復(fù)雜/偶發(fā)的失效模式。該表格提供的信息雖較為寬泛，但也為設(shè)計(jì)思路提供了一定指導(dǎo)：

? 低DC（60%）：欠壓、過壓

? 中DC（90%）：疊加漂移

? 高DC（99%）：疊加振蕩、電源尖峰

在進(jìn)行失效模式分析時(shí)，功能安全工程師也應(yīng)結(jié)合失效率一并考量。根據(jù)標(biāo)準(zhǔn)，失效率需涵蓋永久故障（permanent fault）和瞬態(tài)故障（transient fault）。前者通?；跇I(yè)內(nèi)通用的可靠性標(biāo)準(zhǔn)（e.g. IEC62380）計(jì)算得出，包含Die、Package、Overstress失效率等。后者可以基于實(shí)測，或考慮根據(jù)工藝類型，采用門數(shù)乘以保守基礎(chǔ)瞬態(tài)失效率得到。

03后端實(shí)現(xiàn)的共因失效防護(hù)

除上述維度的考量，芯片還應(yīng)在后端物理實(shí)現(xiàn)上也采取措施防止共因失效。以常用的雙核鎖步（DCLS）和三模冗余（TMR）為例：

雙核鎖步（DCLS）通過雙核冗余執(zhí)行與實(shí)時(shí)比對實(shí)現(xiàn)故障檢測。若不考慮功能安全，后端工具會(huì)基于線長、時(shí)序、邏輯關(guān)系、擁塞和功耗自動(dòng)優(yōu)化標(biāo)準(zhǔn)單元位置，導(dǎo)致雙核單元擺放交錯(cuò)穿插，這樣，雙核有可能會(huì)因?yàn)槟硞€(gè)common cause導(dǎo)致同時(shí)失效，進(jìn)而導(dǎo)致校驗(yàn)失效。因此在后端實(shí)現(xiàn)時(shí)，應(yīng)采取諸如物理隔離、延遲插入、版圖異向布局等特殊措施規(guī)避共因失效。

其中雙核間物理間距可以基于IEC 61508-2: 2010 Functional safety of electrical/electronic/programmable electronic safety-related systems推薦的金屬層間距評估方法，疊加工藝安全系數(shù)確定。

出于同樣原理，針對三模冗余TMR的物理實(shí)現(xiàn)上，隸屬于同一組TMR的寄存器在水平和垂直方向均不可毗鄰擺放，以此避免相鄰寄存器受到同一束高能粒子的影響出現(xiàn)翻轉(zhuǎn)。

小結(jié)

本文基于不同維度，針對芯片功能安全開發(fā)進(jìn)行了粗淺探討。通過以上不同開發(fā)層級的聯(lián)動(dòng)，可以初步實(shí)現(xiàn)從系統(tǒng)安全目標(biāo)、到芯片安全需求、再到到芯片設(shè)計(jì)和物理實(shí)現(xiàn)的閉環(huán)。

然而在工程實(shí)踐層面，芯片開發(fā)團(tuán)隊(duì)需要面對遠(yuǎn)多于此的復(fù)雜落地問題。因此如何高效地實(shí)現(xiàn)芯片功能安全開發(fā)，仍有很多核心課題亟待探索。

納芯微電子（簡稱納芯微，科創(chuàng)板股票代碼688052）是高性能高可靠性模擬及混合信號(hào)芯片公司。自2013年成立以來，公司聚焦傳感器、信號(hào)鏈、電源管理三大方向，為汽車、工業(yè)、信息通訊及消費(fèi)電子等領(lǐng)域提供豐富的半導(dǎo)體產(chǎn)品及解決方案。

納芯微以『“感知”“驅(qū)動(dòng)”未來，共建綠色、智能、互聯(lián)互通的“芯”世界』為使命，致力于為數(shù)字世界和現(xiàn)實(shí)世界的連接提供芯片級解決方案。