谈谈汽车芯片的安全问题！

在近期举办的 2023 上海车展上，汽车电动化唱主角的同时，汽车智能化升温明显。为了巩固电动化的优势，并且不在智能化淘汰赛中失利，主机厂、Tier1 和 Tier2 竞相发布新品，推出新战略，卡位战火药味十足。

此外，根据《赛博汽车》的不完全统计：2023 年 2 月，国内智能汽车赛道发生投融资事件 22 起，同比增长 57%，累计披露的融资金额达到 86.8 亿元，同比增长 163%。

结合以上两组数据，在芯片行业总体下行周期，汽车电子赛道保持相对坚挺，在新品推出和投融资方面都表现出积极的态势。细追背后缘由，是软件定义硬件、算力驱动马力、比特管理瓦特的时代变革下，传统汽车产业链格局受到冲击，汽车电子需求不断扩大所致。

普华永道预测，到 2030 年、2035 年，中国 L3 级别以上自动驾驶搭载率将分别达到 11%、34%。而在汽车电动化和智能化的推动下，每辆汽车的芯片搭载率正从传统汽车中的 500-600 颗，增长到当下的 5000-8000 颗，且量级还在不断攀升。

模拟电路是安全验证的“黑匣子”

值得注意的是，随着汽车电子体量的增加，安全要求将变得更为严苛，数字电路的安全设计和验证技术相对成熟，但模拟方面没有那么成熟。据统计：超过 80％ 的现场故障是由产品的模拟或混合信号部分造成的，模拟电路被视为安全验证过程之外的“安全黑匣子”。

然而在汽车电子中，除了数字芯片外，汽车模拟芯片用量也很大，以一辆 B 级新能源车为例，模拟芯片单车用量正在从燃油车的 160 颗提升到近 400 颗。从市场总体量上，根据美国半导体工业协会（SIA）近日发布的数据显示，2022 年全球芯片销售额突破记录，达到 5735 亿美元，同比增长 3.2%，其中模拟芯片销售额增幅最大，同比增长 7.5%，达到 890 亿美元。

此外，对于 1 颗 SoC 来讲，内部一定会集成数字和模拟部分。那么问题来了，如何才能实现模拟/混合信号和数字设计的集成安全呢？安全隐患又来自哪里？

汽车芯片安全隐患来自哪里？

既然我们谈集成安全，就意味着其中有安全隐患，那么汽车芯片安全隐患到底来自哪里呢？

根据 ISO 26262 标准，进行安全验证的目的是避免汽车系统发生两种失效：一种是系统性失效，这种失效是决定性的，是设计所固有的；另一种是随机失效，包括永久性故障和瞬时性故障，这种失效不是决定性的，可能是由使用条件所引起的。

当然，我们不必对所有汽车芯片的安全验证一视同仁，在有些功能模块中，安全隐患的容忍度相对较高，比如空调控制芯片的安全性要求就要比制动器控制系统的芯片低很多。因此，ISO 26262 标准定义了四种不同的汽车安全完整性等级（ASIL）：A、B、C 和 D，对应的单点故障指标（SPFM）、潜在故障指标（LFM）和硬件随机失效指标（PMHF）也有所不同，其中 ASIL D 的级别最高。

图|ASIL-A/B/C/D 的硬件架构指标的目标值

*一次FIT（PMHF）等于每十亿小时发生一次故障

如何加强芯片集成安全?

事实上，和其他行业一样，要系统性地规避一些安全隐患，除了要有强烈的安全意识外，还得靠机制、流程规范来助力。因此，在 ISO 26262 标准中，就提到了一种 FMEDA 方法。

什么是 FMEDA？FMEDA 是英文 Failure Modes Effects and Diagnostic Analysis 的缩写，也就是我们所说的失效模式影响与诊断分析。FMEDA 通常是系统安全研究的第一步，通过在设计周期的早期进行准确评估，引导工程师完成硬件组件及其子部件的安全设计、验证和优化，在加快芯片面世周期的同时，还能辅助降低芯片设计、制造的风险成本。

对于 FMEDA 过程来说，有三大关键阶段：第一，架构性 FMEDA，用于无芯片设计数据时的早期估计；第二，详细的 FMEDA，拥有完备的 RTL 或网表时，根据设计和估计的诊断覆盖率得出基本失效率；第三，FMEDA 验证，在 RTL 或网表的基础上，通过形式分析或仿真计算出更准确的诊断覆盖率。

许多 FMEDA 工具

都存在一个共性问题，如何解决？

FMEDA 很好，但市面上的 FMEDA 工具大多都存在一个共性问题，那就是不能与常用的 IC 设计环境直接连接，无法使用额外的原生芯片设计数据，比如设计层次结构和晶体管数量信息等。

对此，Cadence 推出 Midas Safety Platform，并将其与集成电路设计流程紧密结合，涵盖模拟、混合信号和数字流程，成为少数能够支持不同类型 FMEDA 的整体性的安全设计和验证解决方案。

图 |Midas Safety Platform

支持 FMEDA 驱动的安全方法和流程

当芯片设计企业没有可用的芯片历史设计数据时，可以利用 Midas Safety Platform 使用架构性 FMEDA。在创建 FMEDA 层次结构并定义和分配安全机制后，通过评估硬件随机失效指标（SPFM、LFM、PMHF）来分析安全概念，得出对不同失效模式相关区域的早期估计。

由于这种估计是相当保守的，所以还需要通过详细的 FMEDA 对架构性 FMEDA 进行验证，以确认和微调硬件随机失效指标，从而引导工程师完成硬件组件及其子部件的安全设计、验证和优化，同时助力确定安全机制的最佳数量和其在设计中的位置，以改善诊断覆盖率。

当芯片设计企业有可用的芯片历史设计数据（RTL或网表）时，可以直接从 Cadence 模拟/混合信号和数字流程的设计数据库中导入设计层次结构，并将导入的设计层次结构映射到 FMEDA 的层次结构，获得更为准确的硬件随机失效指标。

对于数字功能和安全协同验证来说，除了失效率估计外，企业还可以通过 Cadence 提供的统一功能验证环境——vManager Verification Management with vManager Safety，来进行形式分析或仿真等安全验证，针对 FMEDA 计算出更准确的诊断覆盖率。

图 |使用形式验证方法的故障分析和分类

值得一提的是，在得到这些诊断覆盖率的值后，它们还会被反标注到 Cadence Midas Safety Platform 中，以便重新计算硬件随机失效指标，形成良性循环。

对于模拟和混合信号元件安全验证来说，企业在会面临更多的测试逃逸问题因此，为了更好地分析模拟测试覆盖率，IEEE P2427 工作组对模拟仿真的制造缺陷的定义进行了标准化，涵盖了直流短路、直流开路、交流耦合、电阻桥（短路/开路）等缺陷模型。

图 |FMEDA 驱动的模拟/混合信号安全验证流程

然而，巧妇难为无米之炊，光有标准，没有分析设计测试覆盖率的工具一切都是空谈，设计人员还是很难解决这个问题。为此，Cadence 开发了依托 Cadence Virtuoso设计平台的 Legato Reliability Solution 和 Spectre Simulator，实现自动的故障仿真，并通过功能模式来确定模拟测试覆盖率。

写在最后

一颗芯片要满足功能安全标准，除了安全验证以外，还需要匹配兼顾安全性的实现方法。而 Cadence 正在提供一整套完整的安全解决方案，在一个集成的流程中协同工作，并将安全要求从 Genus Synthesis 传递到 Innovus Implementation P&R，加速汽车系统级芯片（SoC）实现安全、质量和可靠性目标。

审核编辑 ：李倩