作者:Andy MAN
随着当前国内汽车MCU "平替"浪潮的发展,越来越多的国内芯片设计公司正在逐步进军车规MCU设计领域,希望能够在汽车进入新能源与智能网联的大时代背景下取得一席之地。与成熟的工业和消费级MCU市场相比,车规MCU是一个全新的领域,因为新的需求和应用场景的出现,对汽车MCU的要求也大幅提升(这也是为什么将其称为车规)。
经过上百年的发展,汽车产业形成了非常成熟的设计、研发和制造体系。然而,在这个体系中,庞大而复杂的供应链体系让后来者很难在最初的阶段就全面了解汽车产业链的整体情况,尤其是对自身所在细分领域产品的定义,很难准确识别需求以及需求背后的原因。
相比于直接面向终端市场的主机厂OEM和知名品牌车企,消费者对一级供应商(Tier1)的了解甚少,而芯片设计公司更处在难以被察觉的上游(Tier2)地位。正因如此,在越来越电子化的汽车产业链中,芯片企业承担了更多的工作,但却与真实的客户需求越来越远。由于对终端应用了解不足,在芯片市场调研和产品规格定义阶段,往往会与最终应用产生一定的脱节,导致上市后无法很好地适应应用需求的情况。
笔者现针对汽车安全领域的话题,探讨了车规芯片为什么满足了AEC-Q100这么严苛的标准,同时还需要满足功能安全。
1. 车规芯片为什么要满足功能安全
当前中国的汽车市场正经历着从功能车到智能车的转型浪潮。一些整车企业或供应链汽车,如华为、小鹏、特斯拉,正在推动汽车智能化水平的快速提升,对传统汽车形态的定义产生了深远影响。
通过各种智能化的加持,无论是智能座舱还是自动驾驶,都让汽车变得更加聪明。例如,小鹏G6的最新发布,XNGP定义了全新的“通勤模式”,让交通变得更智能,提升了乘员的出行安全性。基本的辅助驾驶功能LCC,可以让车辆保持到道路标线内居中行驶。同时,当有大型车辆贴近或者切入自车前方时,系统会提示危险并辅助驾驶员适当减速,提高驾驶员的安全感。此外,尽管更高等级的自动驾驶汽车(L3+)目前还没有真正意义上的量产车问世,但相关法规已经陆续出台,相信未来可期。
如今,智能网联汽车的出现,将数字平台搬到了汽车上,增加了四个轮子,可以控制车辆在路上跑,可以辅助驾驶员开车,这是一项前所未有的变革,为人们提供了巨大的福利。然而,随之而来的一个问题是,我们所熟悉的数字平台在工作过程中,难免会出现故障或缺陷。如果这些故障出现在普通的消费电子产品上,可能只会导致功能失效,但对人员本身没有太大的危害。但对于汽车这种主打安全的汽车来说,出现不可预期的故障可能会导致各种道路事故,严重影响驾驶人及乘员的人身安全,产生巨大的社会影响。
以汽车MCU为例,该器件在实现诸如ACC、AEB等车辆ADAS功能时,容易发生故障。如CPU计算指令的错误或延迟,直接影响ADAS控制器(ECU)对底盘发出刹车指令的有效性和及时性,在分秒之间,就可能因为未能及时识别MCU故障,可能导致严重的整车危害。此外,如果是汽车模块或者其他驾驶场景下,也会有其他各种的危害事件。
通过上述所述,我们可以看出,对于功能实现至关重要的关键器件,例如汽车MCU,其安全性、故障检测能力和设计能力直接影响到终端用户的安全。同时,从市场和终端用户的角度来看,对汽车MCU芯片研发企业提出了更高的要求,即需满足汽车芯片的功能安全性。
在当下的时代背景下,汽车MCU作为汽车各个系统的关键器件,受到了国产替代的重点关注。一些具备研发能力的主机厂开始进军自研车规MCU芯片领域,同时也有一些主机厂选择与国内芯片设计公司合作,定制生产他们所需的芯片产品。这既是一个机遇,也是一个巨大的挑战。为了确保芯片的成功,并最终保证商业上的成功,那些之前没有涉足该领域的芯片设计企业需要关注其中之一的关键特性,即功能安全。
2. 功能安全: 降低因为电子器件失效引起的不合理风险
在汽车电子产品应用中,芯片故障可以从两个宏观维度进行分类:一是由于汽车芯片设计漏洞或错误实现所引入的人为系统性故障,二是由于芯片老化和电子迁移等事件导致的随机硬件失效故障。为了解决这两类故障,汽车安全芯片设计企业必须严格遵循ISO26262功能安全标准。该标准建立了一整套风险分类体系,并提供了基于汽车安全完整性等级(ASIL)的方法论指导,从流程和技术角度指导如何降低电气和电子故障所造成的潜在危险。
在芯片设计层面,功能安全是RTL-GDS流程中的一项新指标,在原有的芯片设计流程基础上,新增了FUSA验证(如通过FPGA工具执行仿真验证),fusa分析(如失效模式分析,诊断分析等)及fusa实现(如通过后端插入TMR等安全机制)的内容。
以上每个阶段的流程是紧密集成的,通过有效的实施,可以实现以下目标:
1. 实现追溯性和安全要求的合规,降低上游客户的顾虑
2. 减少开发工作量
3. 提升设计的鲁棒性
在具体的故障防护机制设计中,功能安全标准同样要求满足一些量化指标,如SPFM、LFM和PMHF。这些指标需要在芯片层级和IP层级均得到遵守并可追溯。
针对系统性失效,通常使用DFMEA方法来识别各种可能的设计失效,并提出相应的设计预防和探测措施,以避免问题芯片的产生。其中,DFMEA的重要作用是通过结构化方法,帮助设计团队识别和解决实际错误或潜在错误源头。
对于随机硬件失效,结合各种安全分析和DFA分析,能够全面覆盖随机故障,并在芯片设计过程中确定需要增加的安全设计措施。
完整的故障避免(fault avoidance)和故障容忍(fault tolerance)措施,不仅仅限于以上的简要说明的内容,实际项目开发要遵循完整的流程去执行和落地。
如今,尽管完全无人驾驶的智能网联汽车尚未实现,但对于辅助驾驶和其他相关应用,我们可以看到车规电子器件对于提升驾驶安全性和舒适性的重要性。车规级功能安全芯片为实现这些功能的安全运行提供了系统保障。因此,确保这些芯片设计符合质量、可靠性和安全性要求,将有助于打造更智能、更安全的汽车。
在推出满足AEC-Q100标准的车规级汽车MCU芯片后,芯海科技正在继续进军车规功能安全MCU领域。在确保产品可靠性的基础上,芯海科技汽车电子产品线将持续加强汽车电子MCU系列化、产品研发平台化以及车规功能安全体系的建设。针对智慧座舱、人机交互、车载PD快充、电池管理、车身控制、驾驶安全等应用场景,实现系列化汽车MCU芯片的研发和市场开拓。