在近期舉辦的 2023 上海車展上，汽車電動化唱主角的同時，汽車智能化升溫明顯。為了鞏固電動化的優勢，并且不在智能化淘汰賽中失利，主機廠、Tier1 和 Tier2 競相發布新品，推出新戰略，卡位戰火藥味十足。

此外，根據《賽博汽車》的不完全統計：2023 年 2 月，國內智能汽車賽道發生投融資事件 22 起，同比增長 57%，累計披露的融資金額達到 86.8 億元，同比增長 163%。

結合以上兩組數據，在芯片行業總體下行周期，汽車電子賽道保持相對堅挺，在新品推出和投融資方面都表現出積極的態勢。細追背后緣由，是軟件定義硬件、算力驅動馬力、比特管理瓦特的時代變革下，傳統汽車產業鏈格局受到沖擊，汽車電子需求不斷擴大所致。

普華永道預測，到 2030 年、2035 年，中國 L3 級別以上自動駕駛搭載率將分別達到 11%、34%。而在汽車電動化和智能化的推動下，每輛汽車的芯片搭載率正從傳統汽車中的 500-600 顆，增長到當下的 5000-8000 顆，且量級還在不斷攀升。

模擬電路是安全驗證的“黑匣子”

值得注意的是，隨著汽車電子體量的增加，安全要求將變得更為嚴苛，數字電路的安全設計和驗證技術相對成熟，但模擬方面沒有那么成熟。據統計：超過 80％ 的現場故障是由產品的模擬或混合信號部分造成的，模擬電路被視為安全驗證過程之外的“安全黑匣子”。

然而在汽車電子中，除了數字芯片外，汽車模擬芯片用量也很大，以一輛 B 級新能源車為例，模擬芯片單車用量正在從燃油車的 160 顆提升到近 400 顆。從市場總體量上，根據美國半導體工業協會（SIA）近日發布的數據顯示，2022 年全球芯片銷售額突破記錄，達到 5735 億美元，同比增長 3.2%，其中模擬芯片銷售額增幅最大，同比增長 7.5%，達到 890 億美元。

此外，對于 1 顆 SoC 來講，內部一定會集成數字和模擬部分。那么問題來了，如何才能實現模擬/混合信號和數字設計的集成安全呢？安全隱患又來自哪里？

汽車芯片安全隱患來自哪里？

既然我們談集成安全，就意味著其中有安全隱患，那么汽車芯片安全隱患到底來自哪里呢？

根據 ISO 26262 標準，進行安全驗證的目的是避免汽車系統發生兩種失效：一種是系統性失效，這種失效是決定性的，是設計所固有的；另一種是隨機失效，包括永久性故障和瞬時性故障，這種失效不是決定性的，可能是由使用條件所引起的。

當然，我們不必對所有汽車芯片的安全驗證一視同仁，在有些功能模塊中，安全隱患的容忍度相對較高，比如空調控制芯片的安全性要求就要比制動器控制系統的芯片低很多。因此，ISO 26262 標準定義了四種不同的汽車安全完整性等級（ASIL）：A、B、C 和 D，對應的單點故障指標（SPFM）、潛在故障指標（LFM）和硬件隨機失效指標（PMHF）也有所不同，其中 ASIL D 的級別最高。

圖|ASIL-A/B/C/D 的硬件架構指標的目標值

*一次FIT（PMHF）等于每十億小時發生一次故障

如何加強芯片集成安全?

事實上，和其他行業一樣，要系統性地規避一些安全隱患，除了要有強烈的安全意識外，還得靠機制、流程規范來助力。因此，在 ISO 26262 標準中，就提到了一種 FMEDA 方法。

什么是 FMEDA？FMEDA 是英文 Failure Modes Effects and Diagnostic Analysis 的縮寫，也就是我們所說的失效模式影響與診斷分析。FMEDA 通常是系統安全研究的第一步，通過在設計周期的早期進行準確評估，引導工程師完成硬件組件及其子部件的安全設計、驗證和優化，在加快芯片面世周期的同時，還能輔助降低芯片設計、制造的風險成本。

對于 FMEDA 過程來說，有三大關鍵階段：第一，架構性 FMEDA，用于無芯片設計數據時的早期估計；第二，詳細的 FMEDA，擁有完備的 RTL 或網表時，根據設計和估計的診斷覆蓋率得出基本失效率；第三，FMEDA 驗證，在 RTL 或網表的基礎上，通過形式分析或仿真計算出更準確的診斷覆蓋率。

許多 FMEDA 工具

都存在一個共性問題，如何解決？

FMEDA 很好，但市面上的 FMEDA 工具大多都存在一個共性問題，那就是不能與常用的 IC 設計環境直接連接，無法使用額外的原生芯片設計數據，比如設計層次結構和晶體管數量信息等。

對此，Cadence 推出 Midas Safety Platform，并將其與集成電路設計流程緊密結合，涵蓋模擬、混合信號和數字流程，成為少數能夠支持不同類型 FMEDA 的整體性的安全設計和驗證解決方案。

圖 |Midas Safety Platform

支持 FMEDA 驅動的安全方法和流程

當芯片設計企業沒有可用的芯片歷史設計數據時，可以利用 Midas Safety Platform 使用架構性 FMEDA。在創建 FMEDA 層次結構并定義和分配安全機制后，通過評估硬件隨機失效指標（SPFM、LFM、PMHF）來分析安全概念，得出對不同失效模式相關區域的早期估計。

由于這種估計是相當保守的，所以還需要通過詳細的 FMEDA 對架構性 FMEDA 進行驗證，以確認和微調硬件隨機失效指標，從而引導工程師完成硬件組件及其子部件的安全設計、驗證和優化，同時助力確定安全機制的最佳數量和其在設計中的位置，以改善診斷覆蓋率。

當芯片設計企業有可用的芯片歷史設計數據（RTL或網表）時，可以直接從 Cadence 模擬/混合信號和數字流程的設計數據庫中導入設計層次結構，并將導入的設計層次結構映射到 FMEDA 的層次結構，獲得更為準確的硬件隨機失效指標。

對于數字功能和安全協同驗證來說，除了失效率估計外，企業還可以通過 Cadence 提供的統一功能驗證環境——vManager Verification Management with vManager Safety，來進行形式分析或仿真等安全驗證，針對 FMEDA 計算出更準確的診斷覆蓋率。

圖 |使用形式驗證方法的故障分析和分類

值得一提的是，在得到這些診斷覆蓋率的值后，它們還會被反標注到 Cadence Midas Safety Platform 中，以便重新計算硬件隨機失效指標，形成良性循環。

對于模擬和混合信號元件安全驗證來說，企業在會面臨更多的測試逃逸問題因此，為了更好地分析模擬測試覆蓋率，IEEE P2427 工作組對模擬仿真的制造缺陷的定義進行了標準化，涵蓋了直流短路、直流開路、交流耦合、電阻橋（短路/開路）等缺陷模型。

圖 |FMEDA 驅動的模擬/混合信號安全驗證流程

然而，巧婦難為無米之炊，光有標準，沒有分析設計測試覆蓋率的工具一切都是空談，設計人員還是很難解決這個問題。為此，Cadence 開發了依托 Cadence Virtuoso設計平臺的 Legato Reliability Solution 和 Spectre Simulator，實現自動的故障仿真，并通過功能模式來確定模擬測試覆蓋率。

寫在最后

一顆芯片要滿足功能安全標準，除了安全驗證以外，還需要匹配兼顧安全性的實現方法。而 Cadence 正在提供一整套完整的安全解決方案，在一個集成的流程中協同工作，并將安全要求從 Genus Synthesis 傳遞到 Innovus Implementation P&R，加速汽車系統級芯片（SoC）實現安全、質量和可靠性目標。

審核編輯 ：李倩