汽车芯片安全隐患来自哪里?如何解决汽车芯片安全隐患？

在2023上海车展上，汽车电动化唱主角的同时，汽车智能化升温明显。为了巩固电动化的优势，并且不在智能化淘汰赛中失利，主机厂、Tier1和Tier2竞相发布新品，推出新战略，卡位战火药味十足。

此外，根据《赛博汽车》的不完全统计：2023年2月，国内智能汽车赛道发生投融资事件22起，同比增长57%，累计披露的融资金额达到86.8亿元，同比增长163%。

结合以上两组数据，在芯片行业总体下行周期，汽车电子赛道保持相对坚挺，在新品推出和投融资方面都表现出积极的态势。细追背后缘由，是软件定义硬件、算力驱动马力、比特管理瓦特的时代变革下，传统汽车产业链格局受到冲击，汽车电子需求不断扩大所致。

普华永道预测，到2030年、2035年，中国L3级别以上自动驾驶搭载率将分别达到11%、34%。而在汽车电动化和智能化的推动下，每辆汽车的芯片搭载率正从传统汽车中的500-600颗，增长到当下的5000-8000颗，且量级还在不断攀升。

模拟电路是安全验证的“黑匣子”

值得注意的是，随着汽车电子体量的增加，安全要求将变得更为严苛，数字电路的安全设计和验证技术相对成熟，但模拟方面没有那么成熟。据统计：超过80%的现场故障是由产品的模拟或混合信号部分造成的，模拟电路被视为安全验证过程之外的“安全黑匣子”。

然而在汽车电子中，除了数字芯片外，汽车模拟芯片用量也很大，以一辆B级新能源车为例，模拟芯片单车用量正在从燃油车的160 颗提升到近400颗。从市场总体量上，根据美国半导体工业协会（SIA）近日发布的数据显示，2022年全球芯片销售额突破记录，达到5735亿美元，同比增长3.2%，其中模拟芯片销售额增幅最大，同比增长7.5%，达到890亿美元。

此外，对于1颗SoC来讲，内部一定会集成数字和模拟部分。那么问题来了，如何才能实现模拟/混合信号和数字设计的集成安全呢？安全隐患又来自哪里？

汽车芯片安全隐患来自哪里？

既然我们谈集成安全，就意味着其中有安全隐患，那么汽车芯片安全隐患到底来自哪里呢？

根据ISO 26262标准，进行安全验证的目的是避免汽车系统发生两种失效：一种是系统性失效，这种失效是决定性的，是设计所固有的;另一种是随机失效，包括永久性故障和瞬时性故障，这种失效不是决定性的，可能是由使用条件所引起的。

当然，我们不必对所有汽车芯片的安全验证一视同仁，在有些功能模块中，安全隐患的容忍度相对较高，比如空调控制芯片的安全性要求就要比制动器控制系统的芯片低很多。因此，ISO 26262 标准定义了四种不同的汽车安全完整性等级（ASIL）：A、B、C 和 D，对应的单点故障指标（SPFM）、潜在故障指标（LFM）和硬件随机失效指标（PMHF）也有所不同，其中ASIL D 的级别最高。

图 | ASIL-A/B/C/D的硬件架构指标的目标值* 一次 FIT （PMHF） 等于每十亿小时发生一次故障

如何加强芯片集成安全？

事实上，和其他行业一样，要系统性地规避一些安全隐患，除了要有强烈的安全意识外，还得靠机制、流程规范来助力。因此，在ISO 26262标准中，就提到了一种FMEDA方法。

什么是FMEDA？FMEDA是英文Failure Modes Effects and Diagnostic Analysis的缩写，也就是我们所说的失效模式影响与诊断分析。FMEDA通常是系统安全研究的第一步，通过在设计周期的早期进行准确评估，引导工程师完成硬件组件及其子部件的安全设计、验证和优化，在加快芯片面世周期的同时，还能辅助降低芯片设计、制造的风险成本。

对于FMEDA过程来说，有三大关键阶段：第一，架构性FMEDA，用于无芯片设计数据时的早期估计;第二，详细的FMEDA，拥有完备的RTL或网表时，根据设计和估计的诊断覆盖率得出基本失效率;第三，FMEDA验证，在RTL或网表的基础上，通过形式分析或仿真计算出更准确的诊断覆盖率。

许多FMEDA工具都存在一个共性问题，如何解决？

FMEDA很好，但市面上的FMEDA工具大多都存在一个共性问题，那就是不能与常用的IC设计环境直接连接，无法使用额外的原生芯片设计数据，比如设计层次结构和晶体管数量信息等。

对此，Cadence推出Midas Safety Platform，并将其与集成电路设计流程紧密结合，涵盖模拟、混合信号和数字流程，成为少数能够支持不同类型FMEDA的整体性的安全设计和验证解决方案。

图 | Midas Safety Platform 支持 FMEDA 驱动的安全方法和流程

当芯片设计企业没有可用的芯片历史设计数据时，可以利用Midas Safety Platform使用架构性FMEDA。在创建FMEDA 层次结构并定义和分配安全机制后，通过评估硬件随机失效指标（SPFM、LFM、PMHF）来分析安全概念，得出对不同失效模式相关区域的早期估计。

由于这种估计是相当保守的，所以还需要通过详细的FMEDA对架构性FMEDA进行验证，以确认和微调硬件随机失效指标，从而引导工程师完成硬件组件及其子部件的安全设计、验证和优化，同时助力确定安全机制的最佳数量和其在设计中的位置，以改善诊断覆盖率。

当芯片设计企业有可用的芯片历史设计数据（RTL或网表）时，可以直接从Cadence模拟/混合信号和数字流程的设计数据库中导入设计层次结构，并将导入的设计层次结构映射到FMEDA的层次结构，获得更为准确的硬件随机失效指标。

对于数字功能和安全协同验证来说，除了失效率估计外，企业还可以通过Cadence提供的统一功能验证环境——vManager Verification Management with vManager Safety，来进行形式分析或仿真等安全验证，针对FMEDA计算出更准确的诊断覆盖率。

图 | 使用形式验证方法的故障分析和分类

值得一提的是，在得到这些诊断覆盖率的值后，它们还会被反标注到Cadence Midas Safety Platform中，以便重新计算硬件随机失效指标，形成良性循环。

对于模拟和混合信号元件安全验证来说，企业在会面临更多的测试逃逸问题因此，为了更好地分析模拟测试覆盖率，IEEE P2427工作组对模拟仿真的制造缺陷的定义进行了标准化，涵盖了直流短路、直流开路、交流耦合、电阻桥（短路/开路）等缺陷模型。

图 | FMEDA 驱动的模拟/混合信号安全验证流程

然而，巧妇难为无米之炊，光有标准，没有分析设计测试覆盖率的工具一切都是空谈，设计人员还是很难解决这个问题。为此，Cadence开发了依托 Cadence Virtuoso 设计平台的 Legato Reliability Solution和 Spectre Simulator，实现自动的故障仿真，并通过功能模式来确定模拟测试覆盖率。

写在最后

一颗芯片要满足功能安全标准，除了安全验证以外，还需要匹配兼顾安全性的实现方法。而Cadence正在提供一整套完整的安全解决方案，在一个集成的流程中协同工作，并将安全要求从 Genus Synthesis 传递到 Innovus Implementation P&R，加速汽车系统级芯片（SoC）实现安全、质量和可靠性目标。