自2018年ISO 26262第二版發(fā)布以來，該標(biāo)準(zhǔn)首次引入了Part 11章節(jié)，專門針對半導(dǎo)體的功能安全提供了指導(dǎo)。此部分涵蓋了SEooC（Safety Element out of Context）定義、失效率計算、安全分析和失效模式分析等內(nèi)容，標(biāo)志著功能安全從整車系統(tǒng)向芯片級別的技術(shù)深入邁進(jìn)，為汽車電子的安全開發(fā)開辟了新的領(lǐng)域。

與整車制造商和Tier 1供應(yīng)商相比，國內(nèi)在芯片級功能安全領(lǐng)域的起步較晚。作為一家專注于模擬及混合信號芯片的公司，其功能安全研發(fā)團(tuán)隊不僅需要精通ISO 26262標(biāo)準(zhǔn)，還需深刻理解芯片在上層系統(tǒng)的應(yīng)用場景，以精準(zhǔn)定義SEooC。本文基于納芯微工程實踐，探討了芯片功能安全設(shè)計的關(guān)鍵路徑。

基于系統(tǒng)安全目標(biāo)的芯片架構(gòu)定義

在功能安全芯片的開發(fā)過程中，理解系統(tǒng)層級的應(yīng)用場景至關(guān)重要。這包括從系統(tǒng)層面的安全目標(biāo)到芯片頂層安全需求，再到芯片內(nèi)部功能設(shè)計的技術(shù)安全需求的邏輯鏈路分析。例如，在新能源主驅(qū)電機(jī)驅(qū)動芯片中，關(guān)鍵的安全目標(biāo)涉及扭矩安全、高壓安全及熱安全等。這些目標(biāo)要求驅(qū)動芯片不僅要實現(xiàn)基本的PWM信號輸出，還需要具備多種診斷功能，確保系統(tǒng)能夠?qū)崟r監(jiān)控并響應(yīng)各種潛在故障，如功率管直通、門級狀態(tài)不匹配、過溫等。

此外，為了滿足ASIL D扭矩安全的要求，系統(tǒng)通常采用E-GAS三層架構(gòu)，并通過ASIL等級分解來簡化開發(fā)過程。當(dāng)遇到非嚴(yán)重故障時，系統(tǒng)可以通過應(yīng)用層的PWM信號觸發(fā)驅(qū)動芯片進(jìn)入安全狀態(tài)，這對保證系統(tǒng)的安全性至關(guān)重要。

失效模式驅(qū)動的芯片前端設(shè)計

失效模式分析是貫穿整個功能安全芯片設(shè)計流程的核心。在前端設(shè)計階段，需要對芯片內(nèi)部各功能模塊建立詳細(xì)的失效模式庫，并評估其影響。根據(jù)ISO 26262:2018提供的標(biāo)準(zhǔn)化失效模式庫，結(jié)合具體電路實現(xiàn)進(jìn)行精細(xì)化分析。例如，對于電源失效模式，不同診斷覆蓋率對應(yīng)不同的失效模式覆蓋范圍，隨著診斷覆蓋率的提高，安全機(jī)制需涵蓋更復(fù)雜的偶發(fā)性失效模式。

后端實現(xiàn)的共因失效防護(hù)

在后端物理實現(xiàn)方面，防止共因失效同樣重要。例如，雙核鎖步（DCLS）和三模冗余（TMR）等技術(shù)被廣泛應(yīng)用于增強(qiáng)系統(tǒng)的可靠性。然而，若后端實現(xiàn)不當(dāng)，可能會導(dǎo)致雙核或寄存器組同時失效，從而降低系統(tǒng)的整體可靠性。因此，在實際設(shè)計中采取物理隔離、延遲插入等措施顯得尤為必要。

雖然ISO 26262 Part 11為芯片級功能安全設(shè)計提供了重要的理論基礎(chǔ)，但在實際工程實踐中，仍面臨諸多挑戰(zhàn)。如何高效地將這些理論轉(zhuǎn)化為實用的設(shè)計方案，是當(dāng)前亟待解決的問題之一。納芯微將繼續(xù)探索這一領(lǐng)域，致力于提供更加安全可靠的芯片解決方案，為中國汽車產(chǎn)業(yè)的高質(zhì)量發(fā)展貢獻(xiàn)力量。目前，納芯微電子的部分功能安全芯片樣片已開放申請，如NSM41xx系列輪速傳感器、NSI6911隔離式柵極驅(qū)動等。