隨著當(dāng)前國(guó)內(nèi)汽車(chē)MCU "平替"浪潮的發(fā)展,越來(lái)越多的國(guó)內(nèi)芯片設(shè)計(jì)公司正在逐步進(jìn)軍車(chē)規(guī)MCU設(shè)計(jì)領(lǐng)域,希望能夠在汽車(chē)進(jìn)入新能源與智能網(wǎng)聯(lián)的大時(shí)代背景下取得一席之地。與成熟的工業(yè)和消費(fèi)級(jí)MCU市場(chǎng)相比,車(chē)規(guī)MCU是一個(gè)全新的領(lǐng)域,因?yàn)樾碌男枨蠛蛻?yīng)用場(chǎng)景的出現(xiàn),對(duì)汽車(chē)MCU的要求也大幅提升(這也是為什么將其稱(chēng)為車(chē)規(guī))。
經(jīng)過(guò)上百年的發(fā)展,汽車(chē)產(chǎn)業(yè)形成了非常成熟的設(shè)計(jì)、研發(fā)和制造體系。然而,在這個(gè)體系中,龐大而復(fù)雜的供應(yīng)鏈體系讓后來(lái)者很難在最初的階段就全面了解汽車(chē)產(chǎn)業(yè)鏈的整體情況,尤其是對(duì)自身所在細(xì)分領(lǐng)域產(chǎn)品的定義,很難準(zhǔn)確識(shí)別需求以及需求背后的原因。
相比于直接面向終端市場(chǎng)的主機(jī)廠OEM和知名品牌車(chē)企,消費(fèi)者對(duì)一級(jí)供應(yīng)商(Tier1)的了解甚少,而芯片設(shè)計(jì)公司更處在難以被察覺(jué)的上游(Tier2)地位。正因如此,在越來(lái)越電子化的汽車(chē)產(chǎn)業(yè)鏈中,芯片企業(yè)承擔(dān)了更多的工作,但卻與真實(shí)的客戶(hù)需求越來(lái)越遠(yuǎn)。由于對(duì)終端應(yīng)用了解不足,在芯片市場(chǎng)調(diào)研和產(chǎn)品規(guī)格定義階段,往往會(huì)與最終應(yīng)用產(chǎn)生一定的脫節(jié),導(dǎo)致上市后無(wú)法很好地適應(yīng)應(yīng)用需求的情況。
筆者現(xiàn)針對(duì)汽車(chē)安全領(lǐng)域的話題,探討了車(chē)規(guī)芯片為什么滿(mǎn)足了AEC-Q100這么嚴(yán)苛的標(biāo)準(zhǔn),同時(shí)還需要滿(mǎn)足功能安全。
車(chē)規(guī)芯片為什么要滿(mǎn)足功能安全
當(dāng)前中國(guó)的汽車(chē)市場(chǎng)正經(jīng)歷著從功能車(chē)到智能車(chē)的轉(zhuǎn)型浪潮。一些整車(chē)企業(yè)或供應(yīng)鏈汽車(chē),如華為、小鵬、特斯拉,正在推動(dòng)汽車(chē)智能化水平的快速提升,對(duì)傳統(tǒng)汽車(chē)形態(tài)的定義產(chǎn)生了深遠(yuǎn)影響。
通過(guò)各種智能化的加持,無(wú)論是智能座艙還是自動(dòng)駕駛,都讓汽車(chē)變得更加聰明。例如,小鵬G6的最新發(fā)布,XNGP定義了全新的“通勤模式”,讓交通變得更智能,提升了乘員的出行安全性。基本的輔助駕駛功能LCC,可以讓車(chē)輛保持到道路標(biāo)線內(nèi)居中行駛。同時(shí),當(dāng)有大型車(chē)輛貼近或者切入自車(chē)前方時(shí),系統(tǒng)會(huì)提示危險(xiǎn)并輔助駕駛員適當(dāng)減速,提高駕駛員的安全感。此外,盡管更高等級(jí)的自動(dòng)駕駛汽車(chē)(L3+)目前還沒(méi)有真正意義上的量產(chǎn)車(chē)問(wèn)世,但相關(guān)法規(guī)已經(jīng)陸續(xù)出臺(tái),相信未來(lái)可期。
如今,智能網(wǎng)聯(lián)汽車(chē)的出現(xiàn),將數(shù)字平臺(tái)搬到了汽車(chē)上,增加了四個(gè)輪子,可以控制車(chē)輛在路上跑,可以輔助駕駛員開(kāi)車(chē),這是一項(xiàng)前所未有的變革,為人們提供了巨大的福利。然而,隨之而來(lái)的一個(gè)問(wèn)題是,我們所熟悉的數(shù)字平臺(tái)在工作過(guò)程中,難免會(huì)出現(xiàn)故障或缺陷。如果這些故障出現(xiàn)在普通的消費(fèi)電子產(chǎn)品上,可能只會(huì)導(dǎo)致功能失效,但對(duì)人員本身沒(méi)有太大的危害。但對(duì)于汽車(chē)這種主打安全的汽車(chē)來(lái)說(shuō),出現(xiàn)不可預(yù)期的故障可能會(huì)導(dǎo)致各種道路事故,嚴(yán)重影響駕駛?cè)思俺藛T的人身安全,產(chǎn)生巨大的社會(huì)影響。
以汽車(chē)MCU為例,該器件在實(shí)現(xiàn)諸如ACC、AEB等車(chē)輛ADAS功能時(shí),容易發(fā)生故障。如CPU計(jì)算指令的錯(cuò)誤或延遲,直接影響ADAS控制器(ECU)對(duì)底盤(pán)發(fā)出剎車(chē)指令的有效性和及時(shí)性,在分秒之間,就可能因?yàn)槲茨芗皶r(shí)識(shí)別MCU故障,可能導(dǎo)致嚴(yán)重的整車(chē)危害。此外,如果是汽車(chē)模塊或者其他駕駛場(chǎng)景下,也會(huì)有其他各種的危害事件。
通過(guò)上述所述,我們可以看出,對(duì)于功能實(shí)現(xiàn)至關(guān)重要的關(guān)鍵器件,例如汽車(chē)MCU,其安全性、故障檢測(cè)能力和設(shè)計(jì)能力直接影響到終端用戶(hù)的安全。同時(shí),從市場(chǎng)和終端用戶(hù)的角度來(lái)看,對(duì)汽車(chē)MCU芯片研發(fā)企業(yè)提出了更高的要求,即需滿(mǎn)足汽車(chē)芯片的功能安全性。
在當(dāng)下的時(shí)代背景下,汽車(chē)MCU作為汽車(chē)各個(gè)系統(tǒng)的關(guān)鍵器件,受到了國(guó)產(chǎn)替代的重點(diǎn)關(guān)注。一些具備研發(fā)能力的主機(jī)廠開(kāi)始進(jìn)軍自研車(chē)規(guī)MCU芯片領(lǐng)域,同時(shí)也有一些主機(jī)廠選擇與國(guó)內(nèi)芯片設(shè)計(jì)公司合作,定制生產(chǎn)他們所需的芯片產(chǎn)品。這既是一個(gè)機(jī)遇,也是一個(gè)巨大的挑戰(zhàn)。為了確保芯片的成功,并最終保證商業(yè)上的成功,那些之前沒(méi)有涉足該領(lǐng)域的芯片設(shè)計(jì)企業(yè)需要關(guān)注其中之一的關(guān)鍵特性,即功能安全。
功能安全: 降低因?yàn)殡娮悠骷б鸬牟缓侠盹L(fēng)險(xiǎn)
在汽車(chē)電子產(chǎn)品應(yīng)用中,芯片故障可以從兩個(gè)宏觀維度進(jìn)行分類(lèi):一是由于汽車(chē)芯片設(shè)計(jì)漏洞或錯(cuò)誤實(shí)現(xiàn)所引入的人為系統(tǒng)性故障,二是由于芯片老化和電子遷移等事件導(dǎo)致的隨機(jī)硬件失效故障。為了解決這兩類(lèi)故障,汽車(chē)安全芯片設(shè)計(jì)企業(yè)必須嚴(yán)格遵循ISO26262功能安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)建立了一整套風(fēng)險(xiǎn)分類(lèi)體系,并提供了基于汽車(chē)安全完整性等級(jí)(ASIL)的方法論指導(dǎo),從流程和技術(shù)角度指導(dǎo)如何降低電氣和電子故障所造成的潛在危險(xiǎn)。
在芯片設(shè)計(jì)層面,功能安全是RTL-GDS流程中的一項(xiàng)新指標(biāo),在原有的芯片設(shè)計(jì)流程基礎(chǔ)上,新增了FUSA驗(yàn)證(如通過(guò)FPGA工具執(zhí)行仿真驗(yàn)證),fusa分析(如失效模式分析,診斷分析等)及fusa實(shí)現(xiàn)(如通過(guò)后端插入TMR等安全機(jī)制)的內(nèi)容。
以上每個(gè)階段的流程是緊密集成的,通過(guò)有效的實(shí)施,可以實(shí)現(xiàn)以下目標(biāo):
1. 實(shí)現(xiàn)追溯性和安全要求的合規(guī),降低上游客戶(hù)的顧慮
2. 減少開(kāi)發(fā)工作量
3. 提升設(shè)計(jì)的魯棒性
在具體的故障防護(hù)機(jī)制設(shè)計(jì)中,功能安全標(biāo)準(zhǔn)同樣要求滿(mǎn)足一些量化指標(biāo),如SPFM、LFM和PMHF。這些指標(biāo)需要在芯片層級(jí)和IP層級(jí)均得到遵守并可追溯。
針對(duì)系統(tǒng)性失效,通常使用DFMEA方法來(lái)識(shí)別各種可能的設(shè)計(jì)失效,并提出相應(yīng)的設(shè)計(jì)預(yù)防和探測(cè)措施,以避免問(wèn)題芯片的產(chǎn)生。其中,DFMEA的重要作用是通過(guò)結(jié)構(gòu)化方法,幫助設(shè)計(jì)團(tuán)隊(duì)識(shí)別和解決實(shí)際錯(cuò)誤或潛在錯(cuò)誤源頭。
對(duì)于隨機(jī)硬件失效,結(jié)合各種安全分析和DFA分析,能夠全面覆蓋隨機(jī)故障,并在芯片設(shè)計(jì)過(guò)程中確定需要增加的安全設(shè)計(jì)措施。
完整的故障避免(fault avoidance)和故障容忍(fault tolerance)措施,不僅僅限于以上的簡(jiǎn)要說(shuō)明的內(nèi)容,實(shí)際項(xiàng)目開(kāi)發(fā)要遵循完整的流程去執(zhí)行和落地。
如今,盡管完全無(wú)人駕駛的智能網(wǎng)聯(lián)汽車(chē)尚未實(shí)現(xiàn),但對(duì)于輔助駕駛和其他相關(guān)應(yīng)用,我們可以看到車(chē)規(guī)電子器件對(duì)于提升駕駛安全性和舒適性的重要性。車(chē)規(guī)級(jí)功能安全芯片為實(shí)現(xiàn)這些功能的安全運(yùn)行提供了系統(tǒng)保障。因此,確保這些芯片設(shè)計(jì)符合質(zhì)量、可靠性和安全性要求,將有助于打造更智能、更安全的汽車(chē)。
在推出滿(mǎn)足AEC-Q100標(biāo)準(zhǔn)的車(chē)規(guī)級(jí)汽車(chē)MCU芯片后,芯??萍颊诶^續(xù)進(jìn)軍車(chē)規(guī)功能安全MCU領(lǐng)域。在確保產(chǎn)品可靠性的基礎(chǔ)上,芯??萍计?chē)電子產(chǎn)品線將持續(xù)加強(qiáng)汽車(chē)電子MCU系列化、產(chǎn)品研發(fā)平臺(tái)化以及車(chē)規(guī)功能安全體系的建設(shè)。針對(duì)智慧座艙、人機(jī)交互、車(chē)載PD快充、電池管理、車(chē)身控制、駕駛安全等應(yīng)用場(chǎng)景,實(shí)現(xiàn)系列化汽車(chē)MCU芯片的研發(fā)和市場(chǎng)開(kāi)拓。