汽車芯片功能安全與可靠性，如何保障？

智能網聯汽車已成為引領未來發展的關鍵趨勢。其中，芯片作為智能網聯汽車的核心部件，其功能安全與可靠性的重要性愈加突出。如何提升其保障，已成為業界關注的焦點話題。

當前，我國智能網聯汽車市場規模持續擴大，基礎設施建設逐步完善，全國多個示范區積極開展多維度、多場景的試驗驗證，為技術創新與產品研發提供了有力支持。同時，企業在自動駕駛、車聯網通信、智能座艙等領域的研發投入不斷增加，多項技術取得突破，產業發展勢頭良好。

2024年12月6日下午，在2024全球汽車芯片創新大會的“汽車芯片功能安全及可靠性保障發展論壇”上，就汽車芯片功能安全和可靠性提升議題，中國汽車工業協會總工程師葉盛基、長城汽車總工程師曹常鋒、安波?；ヂ撆c安全工程總監吳俊、安世半導體IC解決方案業務部質量總監石磊、電子五所重點實驗室博士黃中鎧、北京汽車研究總院電子電器架構部功能與安全技術科科長呂志偉、工業和信息化部電子第五研究所認證中心高級工程師金鑫、中科芯集成電路有限公司高級工程師林中瑀、蘇州國芯功能安全經理王宇等業內專家圍繞汽車芯片功能安全與可靠性發展事項建言獻策，為提升汽車芯片功能安全與可靠性貢獻智慧與方案。本場論壇由工業和信息化部電子五所元材院華東分院負責人張耀主持。

在致辭中，葉盛基表示，國家高度重視汽車芯片的自主研發與技術創新，旨在提升產業全球競爭力，減少對國外技術依賴。然而，國產芯片在功能安全與可靠性方面仍面臨挑戰，特別是在復雜環境下的穩定性和測試驗證技術方面，與國際先進水平存在差距。

對此，葉盛基提出四點建議。首先，完善標準體系，加強創新合作。行業應積極參與功能安全標準制定，結合實際需求，形成具有自主知識產權的標準，同時深化芯片企業與汽車企業的合作，確保功能安全貫穿產業鏈；其次，優化驗證流程，強化可靠性監測。應加大技術和設備投入，建立健全的驗證體系，通過復雜工況模擬和嚴格測試，確保芯片在不同場景下的穩定性，及時排除隱患；第三，做好研發與生產準備，支撐批量化生產。在研發階段，遵循功能安全設計流程并采用先進工具；在生產過程中，強化質量管理與工藝控制，從源頭保障芯片的質量與安全；最后，葉盛基呼吁全行業協同合作，推動產業規?；l展。芯片企業、汽車企業與科研機構應整合資源，共同推動功能安全技術進步和產業鏈完善，提升我國汽車產業全球競爭力。

可靠性保障與質量管理進展

曹常鋒分享了長城汽車在國產化芯片可靠性保障方面的努力與成就，并表示，得益于公司在國產化替代過程中的持續推動，2023年其國產化芯片的應用率已達到17%。然而，隨著國產芯片的推廣，仍面臨一些挑戰，特別是工具鏈和軟件生態的不統一，這不僅增加了研發成本，還使得國產芯片在可靠性上的不足給試驗與驗證帶來了更大的難度。為了應對這些問題，長城汽車積極探索架構層面的解決方案，嘗試采用RISC-V架構，通過標準化接口緩解生態割裂，提升系統的兼容性。

如今，在汽車芯片領域，功能安全和AEC-Q1

00認證被視為確保芯片可靠性的核心。在功能安全可靠性保障方面，長城汽車重點解決了隨機性故障和系統性故障的問題，尤其是在系統性故障的解決上，長城汽車從芯片IP選型開始，通過功能安全拆分，確保所選IP版本符合車規標準，從而為芯片提供充分的功能安全保障。

在芯片的功能安全與可靠性保障方面，長城汽車特別注重解決隨機性故障和系統性故障問題，尤其是在系統性故障的處理上，長城汽車從芯片IP選型開始，通過功能安全拆分，確保所選IP版本符合車規標準，從源頭為芯片提供了可靠的安全保障。在此過程中，AEC-Q100認證成為保障芯片可靠性的核心要求。長城汽車強調，芯片的可靠性保障要覆蓋從概念需求到生產制造的全過程，特別是在溫度、濕度、老化過程和DPPM等指標的嚴格管理，確保這些標準遠超消費級芯片的要求。

為進一步提高國產芯片的可靠性，長城汽車還建立了科學的驗證流程和選型機制。這包括建立國產芯片選型庫，評估供應商的可持續性，并進行驗證與分級管理。通過這些措施，長城汽車有效保障了國產芯片的質量和長期供應能力，確保其在整車中的穩定性與可靠性。

隨著智能網聯汽車技術的迅猛發展，車規級模擬芯片的質量管理逐漸成為行業關注的重點。石磊表示，車規級芯片的質量管理涉及從設計、制造到量產供應的整個生命周期，安世半導體通過將功能安全與產品質量先期策劃（APQP）模型結合，強化了工藝監控和可靠性持續監控，從而確保芯片的高質量與可靠性。在這一過程中，安世半導體建立了全面的質量管理體系，將設計、制造與供應的各環節緊密銜接，形成了閉環管理。

在設計階段，安世半導體將功能安全與APQP模型相結合，確保芯片在設計階段具備可靠性和安全保障。在制造階段，其通過統計過程控制（SPC）確保工藝的穩定性，保持關鍵工藝指標在合理范圍內，特別是CpK值需達到1.67以上。在量產階段，安世半導體通過持續可靠性測試（ORT）機制，對量產產品進行周期性抽樣檢測，以驗證其長期可靠性。如果發現異常，企業會啟動物料審查委員會（MRB）機制，進行嚴格處理，并在必要時停止出貨，防止問題擴大。

智能汽車架構下的功能安全設計與驗證

在智能汽車架構的設計中，吳俊分享了域控制器混合功能安全等級設計的思路。他強調，功能安全設計應深度融入開發流程，以確保既能保障安全，又能實現高效和穩定的系統開發。功能安全不應被視為獨立的環節，而應成為產品開發的核心部分，推遲處理可能導致成本增加并影響產品質量。因此，吳俊指出，功能安全必須與開發同步進行，確保各環節無縫銜接。他特別強調了功能安全經理的重要作用，不僅要推動和協調項目，還需確保安全目標在設計與開發中得到落實，優化整體設計，而非僅僅完成形式化的工作。

在設計中，吳俊提到域控制器面臨的眾多挑戰，尤其是時序干擾問題。在SOC架構下，軟件代碼量的增長大幅增加了執行難度，通常需要數百人進行同步協作，時序問題因此變得更加復雜。為應對這一挑戰，功能安全要求也變得更加嚴格，對設計的精準度和協調性提出了更高要求。因此，系統功能安全等級的合理劃分至關重要，基座、操作系統及底層驅動需滿足最高的安全要求，而應用部分則根據實際需求進行適當劃分。

與此同時，呂志偉介紹了智能網聯汽車芯片功能安全的設計要求，特別是在電源系統設計方面。他解釋道，電源系統的功能安全設計源自智能駕駛與底盤系統的需求，旨在確保在電源失效情況下，各電子系統仍能穩定運行，從而避免電源故障帶來的安全風險。在冗余電源的設計中，關鍵在于明確輸入需求，而非固定設計形式。智能駕駛系統通常要求D級安全等級，而變道、停車等功能的安全等級則有所不同。

當前，通信芯片在智能網聯汽車中扮演著至關重要的角色，因為各控制器通過CAN、LIN、ETH等協議進行交互，這要求其設計必須遵循AutoSAR標準，確保安全傳輸和信息安全，涵蓋身份認證、密鑰管理等環節。呂志偉強調，所有這些需求應在設計階段同步落實，以確保數據傳輸的安全性。同時，隨著功能復雜度的提升，通信芯片面臨更高的功能安全和性能要求。除了必須滿足通信安全外，通信芯片還需要考慮硬件安全防護和抗電磁干擾（EMC）能力。

隨著智能網聯汽車技術的不斷發展，功能安全標準也在持續推進。涉及硬件和軟件的推薦標準及強制標準需要嚴格遵循。芯片必須具備高算力、高安全等級、低功耗和良好的擴展性。產業各方應協同推動芯片功能安全設計，確保芯片能夠高效、可靠地應用于整車系統，推動智能網聯汽車的高質量發展。

黃中鎧則介紹了汽車芯片功能安全故障注入測試技術，并強調其在驗證ISO26262功能安全等級完整性與準確性中的關鍵作用。他指出，半導體廠商必須根據標準引入功能安全機制，確保芯片符合ASIL等級要求，并通過功能安全測試和故障注入測試等手段進行驗證。

故障注入測試可分為仿真級和實物級兩種類型，分別驗證不同層面的安全機制。仿真級測試主要針對RTL/網表級設計，通過注入工具改變仿真信號，模擬故障環境，驗證安全機制功能并計算診斷覆蓋率。實物級測試則側重驗證芯片實物中的安全機制，特別是在測試容錯機制和故障響應時間時，確保系統在硬件故障時依然能正常工作。

目前，業界已有多種故障注入工具，如Syno

-psys、Z01X和西門子Austemper等，這些工具支持ISO26262與IEC61508標準，能夠測試永久性故障和瞬時故障，為功能安全認證提供強有力的支持。作為車規級芯片認證中的重要手段，故障注入測試通過仿真級與實物級的協同驗證，確保芯片具備足夠的可靠性和安全性，滿足汽車電子系統的功能安全要求。

更多芯片功能安全話題分享

在車載芯片的功能安全設計中，金鑫強調了失效分析與安全機制顆粒度的一致性。他認為，失效模式必須與安全概念相符，這樣才能確保分析結果的實際意義。根據ISO26262-Part114.3.2標準，例如雙核鎖步機制可以進行整體分析，而在缺乏安全機制時，則需要通過硬件或軟件測試，并結合故障注入，評估失效模式及診斷覆蓋率。通過這一分析，目標是精準識別失效模式的覆蓋率，從而評估功能安全水平，確保車載系統的安全性和可靠性。

目前，芯片失效可分為永態故障（硬錯誤）和瞬態故障（軟錯誤）。其失效率的計算來源于多個方面，包括供應商數據、返修數據、實驗測試數據和失效率手冊。計算時考慮了裸片、封裝及過電應力失效率，三者合計構成芯片的總失效率。裸片的計算則需要考慮晶體管數量、制造年份等多項因素。金鑫進一步提到，任務剖面（Profile）對失效率計算也有著重要影響。不同的使用場景、溫度、開關次數等因素都可能影響失效率，因此必須結合技術工藝與溫度系數進行綜合評估，以確保失效率計算的準確性，從而對車載芯片的可靠性做出全面評估。

另一方面，林中瑀介紹了新一代符合ASIL-D級車用高精度電池管理系統（BMS）AFE芯片的設計。作為新能源汽車三電系統中的核心組件，BMS負責監控動力電池的溫度、電量和電流等關鍵參數，其中AFE芯片作為唯一接觸高電壓、大電流的部件，承擔著保證整車功能安全和性能的重要責任。林中瑀指出，AFE芯片的設計復雜且根據不同車型和需求各有變化。其內置的高壓采樣開關和模擬-數字轉換器（ADC）能夠復用電池的電壓和溫度數據，為整車提供重要支持。

此外，王宇分享了當前汽車電子功能安全的現狀。特別是在氣囊系統中，點爆與誤點爆的安全性要求極為嚴苛，必須達到ASIL-D級別。為了實現這一要求，氣囊系統設計采用了復雜的模擬與數字功能，并結合自檢功能，確保防止誤點火或不當啟動。在系統設計中，采用了多層看門狗機制，并參考EGAS概念，最終實現了ASIL-D級別的功能安全標準。