今天談?wù)勂?chē)芯片的安全問(wèn)題!
在近期舉辦的 2023 上海車(chē)展上,汽車(chē)電動(dòng)化唱主角的同時(shí),汽車(chē)智能化升溫明顯。為了鞏固電動(dòng)化的優(yōu)勢,并且不在智能化淘汰賽中失利,主機廠(chǎng)、Tier1 和 Tier2 競相發(fā)布新品,推出新戰略,卡位戰火藥味十足。
此外,根據《賽博汽車(chē)》的不完全統計:2023 年 2 月,國內智能汽車(chē)賽道發(fā)生投融資事件 22 起,同比增長(cháng) 57%,累計披露的融資金額達到 86.8 億元,同比增長(cháng) 163%。
結合以上兩組數據,在芯片行業(yè)總體下行周期,汽車(chē)電子賽道保持相對堅挺,在新品推出和投融資方面都表現出積極的態(tài)勢。細追背后緣由,是軟件定義硬件、算力驅動(dòng)馬力、比特管理瓦特的時(shí)代變革下,傳統汽車(chē)產(chǎn)業(yè)鏈格局受到?jīng)_擊,汽車(chē)電子需求不斷擴大所致。
普華永道預測,到 2030 年、2035 年,中國 L3 級別以上自動(dòng)駕駛搭載率將分別達到 11%、34%。而在汽車(chē)電動(dòng)化和智能化的推動(dòng)下,每輛汽車(chē)的芯片搭載率正從傳統汽車(chē)中的 500-600 顆,增長(cháng)到當下的 5000-8000 顆,且量級還在不斷攀升。
模擬電路是安全驗證的“黑匣子”
值得注意的是,隨著(zhù)汽車(chē)電子體量的增加,安全要求將變得更為嚴苛,數字電路的安全設計和驗證技術(shù)相對成熟,但模擬方面沒(méi)有那么成熟。據統計:超過(guò) 80% 的現場(chǎng)故障是由產(chǎn)品的模擬或混合信號部分造成的,模擬電路被視為安全驗證過(guò)程之外的“安全黑匣子”。
然而在汽車(chē)電子中,除了數字芯片外,汽車(chē)模擬芯片用量也很大,以一輛 B 級新能源車(chē)為例,模擬芯片單車(chē)用量正在從燃油車(chē)的 160 顆提升到近 400 顆。從市場(chǎng)總體量上,根據美國半導體工業(yè)協(xié)會(huì )(SIA)近日發(fā)布的數據顯示,2022 年全球芯片銷(xiāo)售額突破記錄,達到 5735 億美元,同比增長(cháng) 3.2%,其中模擬芯片銷(xiāo)售額增幅最大,同比增長(cháng) 7.5%,達到 890 億美元。
此外,對于 1 顆 SoC 來(lái)講,內部一定會(huì )集成數字和模擬部分。那么問(wèn)題來(lái)了,如何才能實(shí)現模擬/混合信號和數字設計的集成安全呢?安全隱患又來(lái)自哪里?
汽車(chē)芯片安全隱患來(lái)自哪里?
既然我們談集成安全,就意味著(zhù)其中有安全隱患,那么汽車(chē)芯片安全隱患到底來(lái)自哪里呢?
根據 ISO 26262 標準,進(jìn)行安全驗證的目的是避免汽車(chē)系統發(fā)生兩種失效:一種是系統性失效,這種失效是決定性的,是設計所固有的;另一種是隨機失效,包括永久性故障和瞬時(shí)性故障,這種失效不是決定性的,可能是由使用條件所引起的。
當然,我們不必對所有汽車(chē)芯片的安全驗證一視同仁,在有些功能模塊中,安全隱患的容忍度相對較高,比如空調控制芯片的安全性要求就要比制動(dòng)器控制系統的芯片低很多。因此,ISO 26262 標準定義了四種不同的汽車(chē)安全完整性等級(ASIL):A、B、C 和 D,對應的單點(diǎn)故障指標(SPFM)、潛在故障指標(LFM)和硬件隨機失效指標(PMHF)也有所不同,其中 ASIL D 的級別最高。
如何加強芯片集成安全?
事實(shí)上,和其他行業(yè)一樣,要系統性地規避一些安全隱患,除了要有強烈的安全意識外,還得靠機制、流程規范來(lái)助力。因此,在 ISO 26262 標準中,就提到了一種 FMEDA 方法。
什么是 FMEDA?FMEDA 是英文 Failure Modes Effects and Diagnostic Analysis 的縮寫(xiě),也就是我們所說(shuō)的失效模式影響與診斷分析。FMEDA 通常是系統安全研究的第一步,通過(guò)在設計周期的早期進(jìn)行準確評估,引導工程師完成硬件組件及其子部件的安全設計、驗證和優(yōu)化,在加快芯片面世周期的同時(shí),還能輔助降低芯片設計、制造的風(fēng)險成本。
對于 FMEDA 過(guò)程來(lái)說(shuō),有三大關(guān)鍵階段:第一,架構性 FMEDA,用于無(wú)芯片設計數據時(shí)的早期估計;第二,詳細的 FMEDA,擁有完備的 RTL 或網(wǎng)表時(shí),根據設計和估計的診斷覆蓋率得出基本失效率;第三,FMEDA 驗證,在 RTL 或網(wǎng)表的基礎上,通過(guò)形式分析或仿真計算出更準確的診斷覆蓋率。
許多 FMEDA 工具都存在一個(gè)共性問(wèn)題,如何解決?
FMEDA 很好,但市面上的 FMEDA 工具大多都存在一個(gè)共性問(wèn)題,那就是不能與常用的 IC 設計環(huán)境直接連接,無(wú)法使用額外的原生芯片設計數據,比如設計層次結構和晶體管數量信息等。
對此,Cadence 推出 Midas Safety Platform,并將其與集成電路設計流程緊密結合,涵蓋模擬、混合信號和數字流程,成為少數能夠支持不同類(lèi)型 FMEDA 的整體性的安全設計和驗證解決方案。
當芯片設計企業(yè)沒(méi)有可用的芯片歷史設計數據時(shí),可以利用 Midas Safety Platform 使用架構性 FMEDA。在創(chuàng )建 FMEDA 層次結構并定義和分配安全機制后,通過(guò)評估硬件隨機失效指標(SPFM、LFM、PMHF)來(lái)分析安全概念,得出對不同失效模式相關(guān)區域的早期估計。
由于這種估計是相當保守的,所以還需要通過(guò)詳細的 FMEDA 對架構性 FMEDA 進(jìn)行驗證,以確認和微調硬件隨機失效指標,從而引導工程師完成硬件組件及其子部件的安全設計、驗證和優(yōu)化,同時(shí)助力確定安全機制的最佳數量和其在設計中的位置,以改善診斷覆蓋率。
當芯片設計企業(yè)有可用的芯片歷史設計數據(RTL或網(wǎng)表)時(shí),可以直接從 Cadence 模擬/混合信號和數字流程的設計數據庫中導入設計層次結構,并將導入的設計層次結構映射到 FMEDA 的層次結構,獲得更為準確的硬件隨機失效指標。
對于數字功能和安全協(xié)同驗證來(lái)說(shuō),除了失效率估計外,企業(yè)還可以通過(guò) Cadence 提供的統一功能驗證環(huán)境——vManager Verification Management with vManager Safety,來(lái)進(jìn)行形式分析或仿真等安全驗證,針對 FMEDA 計算出更準確的診斷覆蓋率。
值得一提的是,在得到這些診斷覆蓋率的值后,它們還會(huì )被反標注到 Cadence Midas Safety Platform 中,以便重新計算硬件隨機失效指標,形成良性循環(huán)。
對于模擬和混合信號元件安全驗證來(lái)說(shuō),企業(yè)在會(huì )面臨更多的測試逃逸問(wèn)題因此,為了更好地分析模擬測試覆蓋率,IEEE P2427 工作組對模擬仿真的制造缺陷的定義進(jìn)行了標準化,涵蓋了直流短路、直流開(kāi)路、交流耦合、電阻橋(短路/開(kāi)路)等缺陷模型。
然而,巧婦難為無(wú)米之炊,光有標準,沒(méi)有分析設計測試覆蓋率的工具一切都是空談,設計人員還是很難解決這個(gè)問(wèn)題。為此,Cadence 開(kāi)發(fā)了依托 Cadence Virtuoso? 設計平臺的 Legato Reliability Solution 和 Spectre Simulator,實(shí)現自動(dòng)的故障仿真,并通過(guò)功能模式來(lái)確定模擬測試覆蓋率。
寫(xiě)在最后
一顆芯片要滿(mǎn)足功能安全標準,除了安全驗證以外,還需要匹配兼顧安全性的實(shí)現方法。而 Cadence 正在提供一整套完整的安全解決方案,在一個(gè)集成的流程中協(xié)同工作,并將安全要求從 Genus Synthesis 傳遞到 Innovus Implementation P&R,加速汽車(chē)系統級芯片(SoC)實(shí)現安全、質(zhì)量和可靠性目標。