【深度报道】汽车芯片功能安全与可靠性,如何保障?

智能网联汽车已成为引领未来发展的关键趋势。其中,芯片作为智能网联汽车的核心部件,其功能安全与可靠性的重要性愈加突出。如何提升其保障,已成为业界关注的焦点话题。




当前,我国智能网联汽车市场规模持续扩大,基础设施建设逐步完善,全国多个示范区积极开展多维度、多场景的试验验证,为技术创新与产品研发提供了有力支持。同时,企业在自动驾驶、车联网通信、智能座舱等领域的研发投入不断增加,多项技术取得突破,产业发展势头良好。

图片

12月6日下午,在2024全球汽车芯片创新大会的“汽车芯片功能安全及可靠性保障发展论坛”上,就汽车芯片功能安全和可靠性提升议题,中国汽车工业协会总工程师叶盛基、长城汽车总工程师曹常锋、安波福互联与安全工程总监吴俊、安世半导体IC解决方案业务部质量总监石磊、电子五所重点实验室博士黄中铠、北京汽车研究总院电子电器架构部功能与安全技术科科长吕志伟、工业和信息化部电子第五研究所认证中心高级工程师金鑫、中科芯集成电路有限公司高级工程师林中瑀、苏州国芯功能安全经理王宇等业内专家围绕汽车芯片功能安全与可靠性发展事项建言献策,为提升汽车芯片功能安全与可靠性贡献智慧与方案。本场论坛由工业和信息化部电子五所元材院华东分院负责人张耀主持。

图片

图片工业和信息化部电子五所
元材院华东分院负责人张耀(主持人)

在致辞中,叶盛基表示,国家高度重视汽车芯片的自主研发与技术创新,旨在提升产业全球竞争力,减少对国外技术依赖。然而,国产芯片在功能安全与可靠性方面仍面临挑战,特别是在复杂环境下的稳定性和测试验证技术方面,与国际先进水平存在差距。

图片中国汽车工业协会总工程师叶盛基

对此,叶盛基提出四点建议。首先,完善标准体系,加强创新合作。行业应积极参与功能安全标准制定,结合实际需求,形成具有自主知识产权的标准,同时深化芯片企业与汽车企业的合作,确保功能安全贯穿产业链;其次,优化验证流程,强化可靠性监测。应加大技术和设备投入,建立健全的验证体系,通过复杂工况模拟和严格测试,确保芯片在不同场景下的稳定性,及时排除隐患;第三,做好研发与生产准备,支撑批量化生产。在研发阶段,遵循功能安全设计流程并采用先进工具;在生产过程中,强化质量管理与工艺控制,从源头保障芯片的质量与安全;最后,叶盛基呼吁全行业协同合作,推动产业规模化发展。芯片企业、汽车企业与科研机构应整合资源,共同推动功能安全技术进步和产业链完善,提升我国汽车产业全球竞争力。

可靠性保障与质量管理进展

曹常锋分享了长城汽车在国产化芯片可靠性保障方面的努力与成就,并表示,得益于公司在国产化替代过程中的持续推动,2023年其国产化芯片的应用率已达到17%。然而,随着国产芯片的推广,仍面临一些挑战,特别是工具链和软件生态的不统一,这不仅增加了研发成本,还使得国产芯片在可靠性上的不足给试验与验证带来了更大的难度。为了应对这些问题,长城汽车积极探索架构层面的解决方案,尝试采用RISC-V架构,通过标准化接口缓解生态割裂,提升系统的兼容性。

图片长城汽车总工程师曹常锋

如今,在汽车芯片领域,功能安全和AEC-Q100认证被视为确保芯片可靠性的核心。在功能安全可靠性保障方面,长城汽车重点解决了随机性故障和系统性故障的问题,尤其是在系统性故障的解决上,长城汽车从芯片IP选型开始,通过功能安全拆分,确保所选IP版本符合车规标准,从而为芯片提供充分的功能安全保障。
在芯片的功能安全与可靠性保障方面,长城汽车特别注重解决随机性故障和系统性故障问题,尤其是在系统性故障的处理上,长城汽车从芯片IP选型开始,通过功能安全拆分,确保所选IP版本符合车规标准,从源头为芯片提供了可靠的安全保障。在此过程中,AEC-Q100认证成为保障芯片可靠性的核心要求。长城汽车强调,芯片的可靠性保障要覆盖从概念需求到生产制造的全过程,特别是在温度、湿度、老化过程和DPPM等指标的严格管理,确保这些标准远超消费级芯片的要求。
为进一步提高国产芯片的可靠性,长城汽车还建立了科学的验证流程和选型机制。这包括建立国产芯片选型库,评估供应商的可持续性,并进行验证与分级管理。通过这些措施,长城汽车有效保障了国产芯片的质量和长期供应能力,确保其在整车中的稳定性与可靠性。
随着智能网联汽车技术的迅猛发展,车规级模拟芯片的质量管理逐渐成为行业关注的重点。石磊表示,车规级芯片的质量管理涉及从设计、制造到量产供应的整个生命周期,安世半导体通过将功能安全与产品质量先期策划(APQP)模型结合,强化了工艺监控和可靠性持续监控,从而确保芯片的高质量与可靠性。在这一过程中,安世半导体建立了全面的质量管理体系,将设计、制造与供应的各环节紧密衔接,形成了闭环管理。

图片安世半导体IC解决方案业务部质量总监石磊

在设计阶段,安世半导体将功能安全与APQP模型相结合,确保芯片在设计阶段具备可靠性和安全保障。在制造阶段,其通过统计过程控制(SPC)确保工艺的稳定性,保持关键工艺指标在合理范围内,特别是CpK值需达到1.67以上。在量产阶段,安世半导体通过持续可靠性测试(ORT)机制,对量产产品进行周期性抽样检测,以验证其长期可靠性。如果发现异常,企业会启动物料审查委员会(MRB)机制,进行严格处理,并在必要时停止出货,防止问题扩大。

智能汽车架构下的功能安全设计与验证

在智能汽车架构的设计中,吴俊分享了域控制器混合功能安全等级设计的思路。他强调,功能安全设计应深度融入开发流程,以确保既能保障安全,又能实现高效和稳定的系统开发。功能安全不应被视为独立的环节,而应成为产品开发的核心部分,推迟处理可能导致成本增加并影响产品质量。因此,吴俊指出,功能安全必须与开发同步进行,确保各环节无缝衔接。他特别强调了功能安全经理的重要作用,不仅要推动和协调项目,还需确保安全目标在设计与开发中得到落实,优化整体设计,而非仅仅完成形式化的工作。

图片安波福互联与安全工程总监吴俊

在设计中,吴俊提到域控制器面临的众多挑战,尤其是时序干扰问题。在SOC架构下,软件代码量的增长大幅增加了执行难度,通常需要数百人进行同步协作,时序问题因此变得更加复杂。为应对这一挑战,功能安全要求也变得更加严格,对设计的精准度和协调性提出了更高要求。因此,系统功能安全等级的合理划分至关重要,基座、操作系统及底层驱动需满足最高的安全要求,而应用部分则根据实际需求进行适当划分。
与此同时,吕志伟介绍了智能网联汽车芯片功能安全的设计要求,特别是在电源系统设计方面。他解释道,电源系统的功能安全设计源自智能驾驶与底盘系统的需求,旨在确保在电源失效情况下,各电子系统仍能稳定运行,从而避免电源故障带来的安全风险。在冗余电源的设计中,关键在于明确输入需求,而非固定设计形式。智能驾驶系统通常要求D级安全等级,而变道、停车等功能的安全等级则有所不同。

图片北京汽车研究总院电子电器架构部
功能与安全技术科科长吕志伟

当前,通信芯片在智能网联汽车中扮演着至关重要的角色,因为各控制器通过CAN、LIN、ETH等协议进行交互,这要求其设计必须遵循AutoSAR标准,确保安全传输和信息安全,涵盖身份认证、密钥管理等环节。吕志伟强调,所有这些需求应在设计阶段同步落实,以确保数据传输的安全性。同时,随着功能复杂度的提升,通信芯片面临更高的功能安全和性能要求。除了必须满足通信安全外,通信芯片还需要考虑硬件安全防护和抗电磁干扰(EMC)能力。
随着智能网联汽车技术的不断发展,功能安全标准也在持续推进。涉及硬件和软件的推荐标准及强制标准需要严格遵循。芯片必须具备高算力、高安全等级、低功耗和良好的扩展性。产业各方应协同推动芯片功能安全设计,确保芯片能够高效、可靠地应用于整车系统,推动智能网联汽车的高质量发展。
黄中铠则介绍了汽车芯片功能安全故障注入测试技术,并强调其在验证ISO 26262功能安全等级完整性与准确性中的关键作用。他指出,半导体厂商必须根据标准引入功能安全机制,确保芯片符合ASIL等级要求,并通过功能安全测试和故障注入测试等手段进行验证。

图片电子五所重点实验室博士黄中铠

故障注入测试可分为仿真级和实物级两种类型,分别验证不同层面的安全机制。仿真级测试主要针对RTL/网表级设计,通过注入工具改变仿真信号,模拟故障环境,验证安全机制功能并计算诊断覆盖率。实物级测试则侧重验证芯片实物中的安全机制,特别是在测试容错机制和故障响应时间时,确保系统在硬件故障时依然能正常工作。
目前,业界已有多种故障注入工具,如Synopsys、Z01X和西门子Austemper等,这些工具支持ISO 26262与IEC 61508标准,能够测试永久性故障和瞬时故障,为功能安全认证提供强有力的支持。作为车规级芯片认证中的重要手段,故障注入测试通过仿真级与实物级的协同验证,确保芯片具备足够的可靠性和安全性,满足汽车电子系统的功能安全要求。

更多芯片功能安全话题分享

在车载芯片的功能安全设计中,金鑫强调了失效分析与安全机制颗粒度的一致性。他认为,失效模式必须与安全概念相符,这样才能确保分析结果的实际意义。根据ISO 26262-Part11 4.3.2标准,例如双核锁步机制可以进行整体分析,而在缺乏安全机制时,则需要通过硬件或软件测试,并结合故障注入,评估失效模式及诊断覆盖率。通过这一分析,目标是精准识别失效模式的覆盖率,从而评估功能安全水平,确保车载系统的安全性和可靠性。

图片工业和信息化部电子第五研究所
认证中心高级工程师金鑫

目前,芯片失效可分为永态故障(硬错误)和瞬态故障(软错误)。其失效率的计算来源于多个方面,包括供应商数据、返修数据、实验测试数据和失效率手册。计算时考虑了裸片、封装及过电应力失效率,三者合计构成芯片的总失效率。裸片的计算则需要考虑晶体管数量、制造年份等多项因素。金鑫进一步提到,任务剖面(Profile)对失效率计算也有着重要影响。不同的使用场景、温度、开关次数等因素都可能影响失效率,因此必须结合技术工艺与温度系数进行综合评估,以确保失效率计算的准确性,从而对车载芯片的可靠性做出全面评估。
另一方面,林中瑀介绍了新一代符合ASIL-D级车用高精度电池管理系统(BMS)AFE芯片的设计。作为新能源汽车三电系统中的核心组件,BMS负责监控动力电池的温度、电量和电流等关键参数,其中AFE芯片作为唯一接触高电压、大电流的部件,承担着保证整车功能安全和性能的重要责任。林中瑀指出,AFE芯片的设计复杂且根据不同车型和需求各有变化。其内置的高压采样开关和模拟-数字转换器(ADC)能够复用电池的电压和温度数据,为整车提供重要支持。

图片中科芯集成电路有限公司高级工程师林中瑀

此外,王宇分享了当前汽车电子功能安全的现状。特别是在气囊系统中,点爆与误点爆的安全性要求极为严苛,必须达到ASIL-D级别。为了实现这一要求,气囊系统设计采用了复杂的模拟与数字功能,并结合自检功能,确保防止误点火或不当启动。在系统设计中,采用了多层看门狗机制,并参考EGAS概念,最终实现了ASIL-D级别的功能安全标准。

图片苏州国芯功能安全经理王宇


图片