在近期舉辦的 2023 上海車展上，汽車電動化唱主角的同時，汽車智能化升溫明顯。為了鞏固電動化的優(yōu)勢，并且不在智能化淘汰賽中失利，主機廠、Tier1 和 Tier2 競相發(fā)布新品，推出新戰(zhàn)略，卡位戰(zhàn)火藥味十足。

此外，根據(jù)《賽博汽車》的不完全統(tǒng)計：2023 年 2 月，國內(nèi)智能汽車賽道發(fā)生投融資事件 22 起，同比增長 57%，累計披露的融資金額達到 86.8 億元，同比增長 163%。

結(jié)合以上兩組數(shù)據(jù)，在芯片行業(yè)總體下行周期，汽車電子賽道保持相對堅挺，在新品推出和投融資方面都表現(xiàn)出積極的態(tài)勢。細追背后緣由，是軟件定義硬件、算力驅(qū)動馬力、比特管理瓦特的時代變革下，傳統(tǒng)汽車產(chǎn)業(yè)鏈格局受到?jīng)_擊，汽車電子需求不斷擴大所致。

普華永道預測，到 2030 年、2035 年，中國 L3 級別以上自動駕駛搭載率將分別達到 11%、34%。而在汽車電動化和智能化的推動下，每輛汽車的芯片搭載率正從傳統(tǒng)汽車中的 500-600 顆，增長到當下的 5000-8000 顆，且量級還在不斷攀升。

模擬電路是安全驗證的“黑匣子”

值得注意的是，隨著汽車電子體量的增加，安全要求將變得更為嚴苛，數(shù)字電路的安全設計和驗證技術相對成熟，但模擬方面沒有那么成熟。據(jù)統(tǒng)計：超過 80％ 的現(xiàn)場故障是由產(chǎn)品的模擬或混合信號部分造成的，模擬電路被視為安全驗證過程之外的“安全黑匣子”。

然而在汽車電子中，除了數(shù)字芯片外，汽車模擬芯片用量也很大，以一輛 B 級新能源車為例，模擬芯片單車用量正在從燃油車的 160 顆提升到近 400 顆。從市場總體量上，根據(jù)美國半導體工業(yè)協(xié)會（SIA）近日發(fā)布的數(shù)據(jù)顯示，2022 年全球芯片銷售額突破記錄，達到 5735 億美元，同比增長 3.2%，其中模擬芯片銷售額增幅最大，同比增長 7.5%，達到 890 億美元。

此外，對于 1 顆 SoC 來講，內(nèi)部一定會集成數(shù)字和模擬部分。那么問題來了，如何才能實現(xiàn)模擬/混合信號和數(shù)字設計的集成安全呢？安全隱患又來自哪里？

汽車芯片安全隱患來自哪里？

既然我們談集成安全，就意味著其中有安全隱患，那么汽車芯片安全隱患到底來自哪里呢？

根據(jù) ISO 26262 標準，進行安全驗證的目的是避免汽車系統(tǒng)發(fā)生兩種失效：一種是系統(tǒng)性失效，這種失效是決定性的，是設計所固有的；另一種是隨機失效，包括永久性故障和瞬時性故障，這種失效不是決定性的，可能是由使用條件所引起的。

當然，我們不必對所有汽車芯片的安全驗證一視同仁，在有些功能模塊中，安全隱患的容忍度相對較高，比如空調(diào)控制芯片的安全性要求就要比制動器控制系統(tǒng)的芯片低很多。因此，ISO 26262 標準定義了四種不同的汽車安全完整性等級（ASIL）：A、B、C 和 D，對應的單點故障指標（SPFM）、潛在故障指標（LFM）和硬件隨機失效指標（PMHF）也有所不同，其中 ASIL D 的級別最高。

如何加強芯片集成安全?

事實上，和其他行業(yè)一樣，要系統(tǒng)性地規(guī)避一些安全隱患，除了要有強烈的安全意識外，還得靠機制、流程規(guī)范來助力。因此，在 ISO 26262 標準中，就提到了一種 FMEDA 方法。

什么是 FMEDA？FMEDA 是英文 Failure Modes Effects and Diagnostic Analysis 的縮寫，也就是我們所說的失效模式影響與診斷分析。FMEDA 通常是系統(tǒng)安全研究的第一步，通過在設計周期的早期進行準確評估，引導工程師完成硬件組件及其子部件的安全設計、驗證和優(yōu)化，在加快芯片面世周期的同時，還能輔助降低芯片設計、制造的風險成本。

對于 FMEDA 過程來說，有三大關鍵階段：第一，架構(gòu)性 FMEDA，用于無芯片設計數(shù)據(jù)時的早期估計；第二，詳細的 FMEDA，擁有完備的 RTL 或網(wǎng)表時，根據(jù)設計和估計的診斷覆蓋率得出基本失效率；第三，F(xiàn)MEDA 驗證，在 RTL 或網(wǎng)表的基礎上，通過形式分析或仿真計算出更準確的診斷覆蓋率。

許多 FMEDA 工具都存在一個共性問題，如何解決？

FMEDA 很好，但市面上的 FMEDA 工具大多都存在一個共性問題，那就是不能與常用的 IC 設計環(huán)境直接連接，無法使用額外的原生芯片設計數(shù)據(jù)，比如設計層次結(jié)構(gòu)和晶體管數(shù)量信息等。

對此，Cadence 推出 Midas Safety Platform，并將其與集成電路設計流程緊密結(jié)合，涵蓋模擬、混合信號和數(shù)字流程，成為少數(shù)能夠支持不同類型 FMEDA 的整體性的安全設計和驗證解決方案。

當芯片設計企業(yè)沒有可用的芯片歷史設計數(shù)據(jù)時，可以利用 Midas Safety Platform 使用架構(gòu)性 FMEDA。在創(chuàng)建 FMEDA 層次結(jié)構(gòu)并定義和分配安全機制后，通過評估硬件隨機失效指標（SPFM、LFM、PMHF）來分析安全概念，得出對不同失效模式相關區(qū)域的早期估計。

由于這種估計是相當保守的，所以還需要通過詳細的 FMEDA 對架構(gòu)性 FMEDA 進行驗證，以確認和微調(diào)硬件隨機失效指標，從而引導工程師完成硬件組件及其子部件的安全設計、驗證和優(yōu)化，同時助力確定安全機制的最佳數(shù)量和其在設計中的位置，以改善診斷覆蓋率。

當芯片設計企業(yè)有可用的芯片歷史設計數(shù)據(jù)（RTL或網(wǎng)表）時，可以直接從 Cadence 模擬/混合信號和數(shù)字流程的設計數(shù)據(jù)庫中導入設計層次結(jié)構(gòu)，并將導入的設計層次結(jié)構(gòu)映射到 FMEDA 的層次結(jié)構(gòu)，獲得更為準確的硬件隨機失效指標。

對于數(shù)字功能和安全協(xié)同驗證來說，除了失效率估計外，企業(yè)還可以通過 Cadence 提供的統(tǒng)一功能驗證環(huán)境——vManager Verification Management with vManager Safety，來進行形式分析或仿真等安全驗證，針對 FMEDA 計算出更準確的診斷覆蓋率。

值得一提的是，在得到這些診斷覆蓋率的值后，它們還會被反標注到 Cadence Midas Safety Platform 中，以便重新計算硬件隨機失效指標，形成良性循環(huán)。

對于模擬和混合信號元件安全驗證來說，企業(yè)在會面臨更多的測試逃逸問題因此，為了更好地分析模擬測試覆蓋率，IEEE P2427 工作組對模擬仿真的制造缺陷的定義進行了標準化，涵蓋了直流短路、直流開路、交流耦合、電阻橋（短路/開路）等缺陷模型。

然而，巧婦難為無米之炊，光有標準，沒有分析設計測試覆蓋率的工具一切都是空談，設計人員還是很難解決這個問題。為此，Cadence 開發(fā)了依托 Cadence Virtuoso? 設計平臺的 Legato Reliability Solution 和 Spectre Simulator，實現(xiàn)自動的故障仿真，并通過功能模式來確定模擬測試覆蓋率。

寫在最后

一顆芯片要滿足功能安全標準，除了安全驗證以外，還需要匹配兼顧安全性的實現(xiàn)方法。而 Cadence 正在提供一整套完整的安全解決方案，在一個集成的流程中協(xié)同工作，并將安全要求從 Genus Synthesis 傳遞到 Innovus Implementation P&R，加速汽車系統(tǒng)級芯片（SoC）實現(xiàn)安全、質(zhì)量和可靠性目標。