车规MCU功能安全如何落地？杰发科技打造安全可靠产品矩阵

2023年2月21日，在格仕汽车主办的2023年第二届汽车芯片产业大会上，捷发科技高级产品经理涂朝平解释了功能安全的定义，这意味着“不存在由电子和电气系统的异常性能引起的不合理风险。他表示，尽管功能安全是一个众所周知的概念，但如何实现它对芯片公司、汽车制造商和Tier1来说是一个具有挑战性的课题。汽车级芯片的质量控制是杰发科技的重点。捷发科技自2013年成立发展以来，已有四条产品线走向量产：座舱IVI SOC、AMP电源芯片、MCU车身控制芯片、TPMS胎压监测芯片。截至去年，杰发科技首款功能安全MCU AC7840x已陆续送样，部分客户已进入产品验证阶段。这款基于ARM Cortex-M4F内核的汽车级MCU具有符合ISO26262标准的功能安全ASIL-B和AEC-Q100 1级汽车级支持，可适应AUTOSAR V4.4，并可提供MCAL和配置工具。

屠超平|捷发科技高级产品经理：以下是演讲摘要：《汽车功能安全导论》。功能安全已经是一个熟悉的术语，但如何实现它对芯片制造商和客户来说是一个具有挑战性的话题。功能安全有一个定义：“不存在由电子和电气系统的异常性能引起的不合理风险”，包括三个维度。一种是功能性能异常，即功能故障，如EPS转向故障，或与设计意图相反的意外性能，如EPS方向盘错误，即功能异常。评估这类风险有三个维度，一个是风险发生的概率。第二个问题是这种风险的严重程度，第三个问题是风险是可控的还是不可接受的。我们根据以上三个维度来判断事件的风险。在汽车功能安全标准方面，IEC61508是功能安全领域的基本标准规范，ISO26262是汽车行业的功能安全标准。ISO26262为汽车安全生命周期提供了全面的指导和惯例，更强调方法介绍和具体的实施计划，这些计划因公司而异。它规定了基于风险的级别要求、不同级别要求的指标，还提供了验证和识别措施，以确保达到足够和可接受的安全级别。ISO26262标准覆盖范围很广，涵盖OEM、Tier1、Tier2、硬件、软件和其他方面。2018年，ISO 26262进行了重大更新，增加了两个标准：半导体要求和摩托车、卡车和公共汽车要求。为基于模型的开发、软件安全分析、相关故障分析、容错等项目增加了指南，规范越来越完整。

图片来源：杰发科技ISO 26262对汽车功能完整性级别的定义目前有四个级别的ABCD，加上QM级别，汽车级芯片共有五个级别的差异化。不同的级别是根据前面提到的危害程度和概率来划分的。危害程度越高，发生的概率越大，对功能安全级别的要求就越高。有一些指标要求，例如FIT故障时间，其中FIT指的是芯片运行11小时后发生的错误数量。ASIL-D级别要求故障小于10，ASIL-C和ASIL-B要求小于100，并且对单点故障测量和潜在故障测量等不同指标也有要求，这些指标在ISO26262中得到了认可。

图片来源：杰发科技这是传统架构中对不同场景和功能的需求。随着定义汽车的软件越来越普遍，许多功能将集成到一个MCU中进行控制。此外，未来不同区域的控制器也可能涉及多域融合。因此，相关产品对功能安全级别的要求越来越高，一些部件的功能安全级别要求将从ASIL-B升级为ASIL-……

作为一家汽车级芯片公司，捷发科技也致力于打造功能安全级别更高的产品。

图片来源：杰发科技演讲报告在半导体行业，半导体故障率曲线用于显示半导体器件随时间的可靠性。通过将加速寿命测试（如老化或IDDQ测试）作为工厂测试的一部分，可以进一步减少早期寿命故障，确保生产线上的芯片产量。对于芯片公司来说，设计时对DFT的透彻考虑和全面覆盖是重要的考验，也是一个需要积累和逐步完善的过程。曲线中间的区域是正常寿命失效部分，该曲线越长，芯片的有效工作时间越长。由于新能源汽车上的一些部件总是处于工作状态，并且比汽油车的工作时间更长，因此我们在制作功能安全产品时将重点考虑新能源汽车的工作条件。芯片是硬件产品，硬件不可避免地会经历老化、磨损和一定的生命周期。我们需要确保产品能够在客户要求的使用寿命内正常使用。故障分类是一个相对专业的概念。在制造芯片时，我们会考虑不同类型故障的覆盖范围，并进行相关计算。通过FMEDA分析，我们还可以获得测量硬件随机故障的重要指标。在制定ISO26262解决方案时，我们会考虑几个维度：在产品方面，我们会采取一定的技术措施来避免和控制故障，并使用DFMEA/FTA/FMDA/DFA等安全分析方法；在人员方面，将建立职能安全经理和安全工程师，并在公司层面发展安全文化；

在流程方面，功能安全的概念涉及多个方面，需要形成一个涵盖安全计划、验证计划、安全案例、验证评审、认可评审、质量管理等方面的完整解决方案。对于功能安全要求，ISO26262标准中有一些指导思想，如3-6涉及功能安全目标的HARA分析和确定，3-7引入功能安全要求的方法论，4-6引入技术安全的概念、系统架构设计、软硬件接口定义，5-6和6-6介绍了软件安全要求、硬件安全要求和随机故障测量。硬件和软件都不可避免地会出现漏洞，因此功能安全也会出现故障。重要的是如何管理故障。在芯片的设计过程中，有必要在发布前避免流程、方法和组织方面的失败。芯片上市后，需要考虑在软硬件方面实现故障控制方法，分为随机故障和系统故障。随机故障相对容易控制，可以定量分析故障，具有一定的概率分布特征，可以通过冗余设计进行保护。系统故障有一些技术要求，主要困难在于未知和冗余设计的有限作用。在具体实施中，需要从芯片开发过程中的流程、方法论、组织、学习等维度确保需求的可追溯性，并进行DFMEA分析、设计评审、软件工具信心评估、第三方IP成熟度评估等。其中，对过去经验和成熟IP的复用至关重要。在实际产品应用过程中，芯片的功能安全特性也至关重要。因此，芯片的技术安全机制非常重要，包括FMEDA/DFA/FTA等安全分析方法，以及软硬件架构设计等安全概念和相应措施，供客户在软硬件开发过程中参考如何设计出满足功能安全的产品。AutoChips功能安全MCU产品介绍：目前，捷发科技已推出符合功能安全要求的汽车级MCU产品。已经量产并即将上市的汽车级MCU有四个系列：AC7840x、AC7802x、AC780 1x和AC781x。我们的汽车级MCU分为低端、中端和高端应用场景。捷发科技专注于汽车电子，因此所有车载级MCU产品都符合最基本的标准AEC-Q100。我们的第一个芯片产品AC781X已经大规模生产。接下来，杰发科技还将推出AC7803x，不断完善产品矩阵，方便客户进行产品升级迭代。

图片来源：捷发科技AC7840x是AutoChips首款基于ARM Cortex-M4F内核的汽车级MCU，符合ISO 26262功能安全ASIL-B，也是AC784平台上的首款产品。在软件生态方面，我们支持AUTOSAR 4.4，可以为客户提供MCAL和配置工具，与现有的量产产品资源相比更加丰富。在信息安全方面，AC7840x支持SHE、通信加密和安全启动。AC7840x的应用场景非常广泛，包括IVI、座舱、TBOX、座椅控制器、虚拟仪表控制、车灯等应用场景。AC7870x是我们目前正在开发的一款产品，是一款基于ARM Cortex内核的多核车载级MCU。它符合ISO 26262功能安全ASIL-B/D，支持AUTOSAR MCAL，可以满足更高的功能安全级别。AC7870x的资源更加丰富。在信息安全部分，它支持EVITA完整和国家安全，以及通信加密和安全启动。该产品适用于具有更高功能安全级别和未来电子电气架构的应用，如域控制和区域控制。捷发科技早在2018年就实现了首款车载级MCU的上市，经过多年的打磨，生态系统逐渐完善。关于杰发科技，事实上，其产品并不局限于MCU。捷发科技是一家专注于汽车电子芯片及相关系统的研发和设计的公司。目前，它是SVT New的全资子公司，负责“智能公司……

SVT New的智能汽车业务布局部分，包括“智能云、智能驾驶、智能座舱、，和智能核心“。目前，捷发科技的四大产品线覆盖整车，出货量领先国内汽车芯片制造商。捷发科技自2013年成立以来，在汽车规格芯片领域已经积累了近10年的经验。从2018年第一台MCU AC7811的量产，到第二台MCU的量产2020年发布了一代车载级MCU AC7801，2022年发布了功能安全MCU AC7840x和新一代MCU AC7802x，MCU产品现已广泛应用于汽车。捷发科技的所有产品线都通过了整车认证，每条产品线至少完成了两代量产迭代。每一代都经过了优化、改进和创新。我们与全球主流Tier1和汽车制造商建立了合作关系，我们的芯片出口到多个国家和地区。全球有500多个车型使用AutoChips汽车电子芯片，累计出货量超过2.5亿片，其中包括8000多万片SoC芯片。MCU的累计出货量超过3000万件，今年的出货量数字将进一步增加。汽车级芯片的质量控制也是该公司的一个重点。AutoChips汽车电子芯片产品基于IPD研发体系，符合ISO 9001、AEC-Q100、ISO 26262、CMMI V2.0、IATF 16949等规范要求。目前，捷发科技的产品已覆盖95%的国内汽车制造商，并与全球知名的Tier 1建立了合作关系。国际Tier1将对审核流程和产品质量提出更高的要求，而杰发科技凭借多年的技术积累，目前已通过相关审核。

标签：

汽车资讯热门资讯