2020年以來，汽車芯片的風頭一時無兩，“缺芯”問題使其置于行業聚光燈下，為此各國政府還專門出來為各自的車廠向汽車芯片原廠和代工廠催“芯”。正是因為汽車芯片的熱度高漲，國內不少半導體企業開始加入汽車芯片“淘金”的隊伍。

但其實要進入汽車芯片行業并不容易，汽車芯片與消費類，或者工業芯片的要求都不一樣。國內半導體企業要想進入汽車芯片行業，首先要拿到“三張船票”，一是AEC-Q100認證；二是IATF 16949汽車生產質量管理體系認證；三是ISO26262標準認證。

芯片廠商先要過的三個認證

AEC-Q100認證已經成為了汽車電子零部件的通用測試規范，它對于不同類型器件適用不同的標準，其實它是一個廠家自聲明認證，廠家可以自己按照測試規范做完全部的測試項目。不過，目前國內的芯片廠家基本都是通過第三方測試機構來進行認證的。

IATF 16949規定了汽車生產質量管理體系的要求。它源于全球統一質量管理體系要求文件的需求，于2016年10月正式發布。其取代了ISO/TS 16949汽車標準，該標準現已失效。IATF 16949要求涵蓋了產品安全、風險管理和應急計劃、嵌入式軟件要求、變更和質保管理、次級供應商管理等關鍵內容。

ISO 26262則針對汽車電子的功能安全標準。該標準涵蓋了全生命周期的安全要求，功能安全管理、概念階段、系統研發、硬件研發、軟件研發、生產和操作過程、售后，但比例最大的是站在產品設計階段這個時間節點上，考慮怎樣從設計上實現產品安全，可以基于原有的功能實現安全，也可以額外添加功能，實現安全。

接下來我們詳細了解一下功能安全部分，什么是功能安全，以及安全保障機制問題。

什么是功能安全

根據汽車電子行業功能安全標準ISO26262的定義，功能安全是為了避免因電氣/電子系統故障而導致的不合理風險。

根據故障的嚴重程度不同，功能安全可劃分為不同的等級。 ISO26262標準針對汽車功能的ASIL（汽車安全完整性）等級從低到高劃分為：QM、A、B、C、D五個等級。其中，ASIL D為安全等級最高。

表：功能安全故障種類

一般來說，功能安全需要覆蓋兩種故障，一種是系統故障，一種是隨機故障。系統故障適用于硬件和軟件，它由產品開發流程當中引入，不完善的流程，不完備的驗證等都有可能導致系統故障。比如，工程師所熟知的Bug就屬于系統故障。

隨機故障分為永久隨機故障和瞬時隨機故障，它僅針對硬件有效。對軟件來說，只有系統故障，沒有隨機故障。

永久隨機故障在產品的整個生命周期都有可能發生，一旦發生，故障就會一直存在，直到被修復或者移除。

瞬時隨機故障也是在產品的整個生命周期都有可能會發生，它一旦發生，隨后便會消失。比如SRAM的比特翻轉，由于磁場變化導致的邏輯翻轉等。

如何應對功能安全的三種故障？

那么，針對上面提到的這三種故障，有什么辦法可以預防，或者說有什么辦法讓這些故障發生時，汽車仍然是安全可控的呢？新思科技ARC處理器資深研發工程師鄧承諾在一次功能安全研討會上表示，可以通過以下三個途徑來最大程度地規避故障。

首先是通過規定一套比較嚴格的設計驗證開發流程，并且在產品開發的過程當中，充分遵循這套開發流程。這樣，就可以最大程度地規避系統故障。

其次是驗證，采用業界先進的功能驗證方法學和驗證工具，通過提高產品質量進而規避系統故障。

還有就是引入安全機制。因為即便做了所有可以做的測試，當產品進入市場后，仍然可能會有其他種類的隨機故障發生。比如，芯片老化、短路，或者磁場變化，造成暫時的電位翻轉等等。

為了應對這些情況就需要引入安全機制。在芯片發生隨機性故障時，芯片可能無法正常工作，此時芯片中的安全機制需要能及時匯報故障的發生，或者直接更正故障。

目前常用的安全機制主要有多核鎖步、ECC存儲保護、軟件測試庫等幾種類型。

圖：新思科技的雙核鎖步安全機制（來源：新思科技）

鄧承諾拿新思科技的ARC EM22FS處理器的功能安全架構解釋了雙核鎖步安全機制的原理。比如上圖中我們可以看到，有兩個EM核，一個是主核，一個是從核。主核與從核是完全復制的一致實現，他們運行一樣的程序，輸出結果會進行時鐘周期內的實時比較，一旦他們發生了不一致的輸出，這種情況下就會上報不匹配錯誤，這個安全機制就稱為雙核鎖步。這就是通過硬件冗余，實時比較，來監測錯誤的產生。

也就是說，這兩個核是完全一致的，流水線是一致的，指令集是一致的，功能單元也都是一致的。另外，還引入了一定的延時。且延時是可配置的，可以是0，1，2等。在配置不同的數值后，從核會慢于主核1，2個時鐘的時間差在運行。通過時間差的引入，可以預防在同一個時間點，主核和從核發生了同樣的錯誤，從而導致雙核鎖步無法檢測出錯誤的情況出現，從而提供更好的保護。

在存儲方面也有ECC保護，從上面的框圖重可以看到，在左上方有兩個CCM（Closely coupled memories，緊耦合存儲器），ICCM主要用來存儲指令和數據，DCCM僅用來存儲數據，緊耦合存儲器主核和從核是共享數據的。共享存儲器可節省開銷，不能實現雙核鎖步保護，但可以實現存儲ECC保護。

另外，總線也需要進行安全保護，因此芯片內的總線分為了系統總線和安全總線，講他們分開后可以保證一定程度的獨立性，這樣功能安全事件的信息傳輸就不會受到指令數據的干擾，因為指令數據是通過系統總線進行傳輸的，而安全信息是通過安全總線進行傳輸的。而且系統總線和安全總線都加入了ECC保護。鄧承諾特別指出，其實不僅是這兩類總線，芯片內部的AXI、HB總線等的控制信號、地址信號，及數據信號都加入了ECC和奇偶校驗保護。通過這些保護就可以檢測出總線信號上瞬時隨機故障和永久隨機故障，以提供更好的保護。

結語

隨著汽車電子電氣化程度越來越高，需要用到的芯片也越來越多，未來電子系統在汽車中的重要性將會越來越高，可以明顯地看到汽車芯片產業的增長潛力，因此未來肯定會有越來越多的半導體企業進入汽車產業。

但要想在這個產業扎根卻并不容易，拿到前面說的三張船票也僅僅只是個開始，還有可靠性問題，失效率問題，以及最重要的客戶認可問題需要他們面對。