SafeNovo® | 深入解析电源功能安全！纳芯微分享芯片级设计方案与落地实践

近年来，随着整车电气化水平的提升，整车系统中针对电源系统的功能安全需求正在持续增加。在安全相关系统中，电源的失效不仅仅会造成元器件的损坏，更有可能会直接违背安全目标并导致严重后果。

纳芯微专注于各类型电源芯片设计，拥有丰富的产品类别。其中，LED 驱动芯片（LED driver）、系统基础芯片（SBC）、电源管理集成电路（PMIC）、电源保护芯片（Power protector IC）等电源类产品，覆盖了从 ASIL B 到 ASIL D 的多种系统应用，并进行了完善的功能安全考量。无论是汽车还是工业应用，这些产品都时刻为使用者的安全保驾护航。

本文将介绍电源类芯片功能安全的基本概念，以及纳芯微在电源相关芯片产品研发中的一些具体实践。

1.电源芯片典型功能安全需求

功能安全芯片常常基于SEooC（独立于环境的安全要素）进行开发，芯片承接来自于更上层的系统级功能安全需求，以处理器PMIC为例，如下图所示，其首要功能就是为处理器提供正确的电压。同时，针对处理器软硬件可能出现的失效，需要配置外部看门狗进行监控。目前，满足功能安全要求的处理器往往还会配置故障收集以及处理单元，其故障输出也需要外部装置持续监控。如果检测到相关故障，需要提供另外一条冗余路径，使得系统能够进入安全状态。

上图中绿色方框所代表的部分就构成了针对处理器PMIC的顶层安全需求，总结如下：

• 安全需求_1：提供正确的输出电压及监控功能（过压监控，欠压监控，内部电压监控，外部电压监控）
• 安全需求_2：提供看门狗功能（simple看门狗，challenge看门狗）
• 安全需求_3：监控安全输入信号（FCCU监控，SMU监控，Error signal监控）
• 安全需求_4：提供安全输出信号（内部故障或外部故障触发，Reset输出，单路或多路可配置延时的安全输出）

2.如何打造满足功能安全要求的电源产品

芯片功能安全设计的重点在于解决系统性失效以及随机硬件失效问题。

纳芯微的功能安全开发流程已经通过TÜV莱茵的审核，并结合芯片设计实际经验不断地进行相关改进。在电源类芯片产品的开发过程中，纳芯微遵循相关流程，同时根据芯片行业实际情况适配标准中针对系统能力的相关要求，尽可能的降低系统性失效带来的产品安全风险。

对于随机硬件失效带来的问题，电源类产品需要设计相应的安全架构来满足不同功能安全等级的要求，以下就以简单的电源监控为例，介绍相关概念：

a、检测单点故障，提升SPFM指标：电源输出的异常状态往往会直接影响系统级安全目标，因此被定义为单点故障。通常可通过为电压输出增加监控等方式，对输出电压进行不间断监控，确保其处于正常工作范围之内。

b、检测潜伏故障，提升 LFM 指标：当电源监控部分出现故障、丧失监控功能时，若电源输出发生异常，该异常将无法被正确检测。通常可通过增加 ABIST（内置自测试）等方式，在 MPF_DTI（多点故障检测时间间隔）时间内，测试监控是否能正确检测并响应故障。

c、解决共因及级联影响：需尽可能提高监控单元与被监控单元之间的独立性，以确保监控的有效性。

d、保证 PMHF 指标满足要求：PMHF（硬件失效概率指标）即大家常提及的 FIT 值（失效单位）。

由于电源类芯片往往只是整条安全功能链路上很小的一部分，因此其PMHF占比也不能过高。例如，针对 ASIL D 级别的安全功能，若采用 PMIC 这类集成度较高的芯片，其 PMHF 占比 10%（即 1 FIT）较为合适对于更简单的芯片，其 PMHF 占比应进一步降低。这里需要综合考虑封装，Die（芯片/晶粒）以及软失效带来的影响。如果最终PMHF指标过大，则可能需要更新安全架构设计。

3.功能安全标准中的相关参考及解读

ISO 26262-11:2018标准为半导体如何满足功能安全要求打下了坚实的基础，针对电源相关功能安全设计，标准中也提供了相关的参考。纳芯微在电源类产品的开发实践中，也利用标准的输入更好地指导了功能安全相关设计。

a、功能安全芯片设计需要分析每个IP的失效模式并进行针对性处理，ISO 26262-11:2018标准中，针对电源相关模块可能出现的失效模式给出了描述。下表展示了电压调节器（Voltage regulator）相关失效模式内容，当然标准中还针对电荷泵（Charge pump）、电压基准源（Voltage references）、电压比较器（Voltage comparator）给出了建议，也可以在设计中进行参考：

b、ISO 26262-11:2018中还给出了电源常见的安全机制：

c、除了失效模式之外，诊断覆盖率以及失效模式的分布情况也是我们在分析电源功能安全中需要重点关注的地方。针对诊断覆盖率以及失效模式分布，标准中也有一些内容可以参考：

首先追溯到ISO 26262-5:2011版本标准中的相关信息，表 D.1描述了电源相关失效模式及诊断覆盖率。通常可解读为：若过压（OV）及欠压（UV）可被诊断，可宣称 60% 的诊断覆盖率（DC）；若电源的漂移（Drift）可被诊断，可宣称 90% 的诊断覆盖率（DC）；若振荡（Oscillation）及电源尖峰（power spike）可被诊断，则可宣称 99% 的诊断覆盖率（DC）。同时，此处也可作为标准给出的失效模式分布参考，即过压（OV）/ 欠压（UV）占比 60%、漂移（Drift）占比 30%、振荡（Oscillation）/ 电源尖峰（Power spike）占比 10%。

然而ISO 26262-5-2018版本标准中对此进行了更新。表 D.1中不再将失效模式和诊断覆盖率挂钩，因此上述的解读就有可能不再适用，而是需要根据实际的设计情况进行相应评估。

d、ISO 26262-11:2018标准中的附录D也是一份重要的参考资料。其以低压差线性稳压器（LDO）及其诊断为例，进行了两个颗粒度的 FMEDA（故障模式影响及诊断分析）。在 FMEDA_1 中，分析颗粒度如下图所示，主要分析部分为 LDO 及其电压监控部分。

在FMEDA_2中，则将LDO及其电压监控部分进行了细化，分析颗粒度细化了一个层级，也得到了更加精确的结果。两份FMEDA中子模块的失效模式分布均采用平均分配方式。

e、解读与实践：

标准中给出的相关内容具有很高的参考价值，但在实际研发过程中往往不能照搬，需要根据实际设计的不同进行适配，否则有可能导致完全依赖标准进行纸上谈兵，却无法准确地发现设计的弱点及实际存在的安全问题。

在项目研发过程中，纳芯微针对电源产品的重点IP做了细致深入的分析，通过仿真、分析等手段获取了IC或IP更为准确的失效模式及其分布情况。同时纳芯微正结合标准，并根据公司实际IP实现情况，建立并不断充实公司级失效模式及其分布数据库，以指导并不断优化功能安全相关产品设计。

4.高功能安全等级电源芯片设计的难点

在高功能安全等级电源芯片的研发过程中，如果希望满足ASIL D的要求，在实践中往往需要付出较大的努力。

a、需要尽可能地提升SPFM指标：这意味着电压监测模块在任何情况下[考虑精度（accuracy）以及工艺角（corner）]，都能确保所有电压区间（0V到输入的最大可能电压）均被监测，并在出错时保持安全状态，这在面向高电压等级（例如48V）系统应用的电源芯片设计中，会面临诸多困难。同时，若振荡（oscillation）及电源尖峰（power spike）在应用中与安全相关，也需纳入考虑。

b、需要尽可能地提升LFM指标：如果ABIST（内置自测试）仅仅覆盖电压监控输出能否正常翻转，则LFM指标表现不佳。若电压监控先出现漂移（drift），之后电源也发生漂移，就可能由于无法检测而违背安全目标。很显然如果ABIST无法覆盖电压监控drift的问题，就很难获取较高的LFM指标，但是增加对drift的覆盖往往会提升设计复杂性，这也需要在实际设计中进行平衡。

c、需要尽可能提升独立性：除了share resource问题（例如共用BG），还需要考虑高边FET Drain_Source短路导致的share supply voltage，以及coupling带来的问题（例如Heat propagation/Substrate current injection），这些都会给芯片的前后端设计以及成本带来难度。

小结

本文介绍了电源功能安全的一些基本概念，无论是作为单独的电源类芯片产品，亦或是芯片中集成一些电源相关模块，本文描述的相关内容以及基础设计思路都可作为参考。

芯片设计需始终关注应用系统的发展趋势。随着自动驾驶的高速发展，电源可用性也将逐渐成为安全相关可用性需求（SaRA，Safety Relevant Availability Requirements），当下电源相关芯片往往设计为故障安全（fail-safe）模式，而如何从故障诊断转向故障预防/预测/容忍并满足系统级可用性（availability）的要求，将会在未来给电源芯片本身及其功能安全策略带来新的挑战。