草榴社区

车用系统单晶片设计的必要条件

本文原文由Alessandra Nardi张贴

英文原文:Key Requirements for Automotive SoC Design

受益於内建的人工智慧功能,相较於以往,现在的汽车可以自主地执行更多动作。当汽车感知到与前方车辆距离太近时,可以立即执行煞车动作;如果汽车辨识到将要切换到另一条车道,就会发出警示,或自行让车子驶回车道中心。虽然这些功能尚未商业化,但自动驾驶汽车已经在道路上开始运行并测试。

當今的互聯汽車是透過數位平台串聯。從高端技術領域來看,通常包含超過 1.5 億行軟體代碼分佈在 150 種以上電子控制單元 (Electronic Control Units, ECUs) 以及感測器、攝影機、雷達和 LiDAR 等裝置中。軟體是實現汽車差異化的關鍵之一,其與硬體協同運作,將自動煞車、車道偏離警示和自動停車等概念變成具可行性的功能。

當現代汽車的諸多功能隨著科技術發展而日新月異,车用系統單晶片(SoC) 也理所當然成為汽車製造商關注的重點。一些,而其他大部分製造商也正探索著晶片的潛力。而要確保這些晶片的可靠性,不可或缺的四大關鍵特性包括:品質(quality)、可靠性(reliability)、功能安全(functional safety)及安全性(security)。請繼續閱讀,深入瞭解在车用 SoC 设计中滿足這些領域的必要條件。

品质:减少每十亿分之一缺陷数

在晶片设计中,出現缺陷(defect)絕非好事;而涉及车用 SoC 時,對可接受的缺陷數要求更為嚴格。製程汙染物、潛在缺陷和製程變異(process variation)都有可能會影響品質,這裡指的是與晶片使用壽命開始時所定義的標準一致。

為有效识别晶片缺陷,必须在装置整个生命週期中持续测试。无庸置疑地,这个过程会面临以下挑战:

  • 在测试机台上花费的时间成本不断上升
  • 多個監控執行個體(monitor instance)和可測試性设计(Design for Test, DFT) 會佔用寶貴的空間
  • 产生测试程式可能需要投入大量时间和精力

完整的測試程式有助於減緩這些挑戰。有效的先進故障建模工具、先進壓縮和缺陷導向的记忆体測試、實體感知 DFT、適用於高效率實作的先進工具,以及產生即時分析的晶載(on-chip)監控都可協助改善測試程式和设计。

可靠性:確保整個汽車生命週期中 SoC的高效能

由於汽車使用壽命通常超過 15 年以上,因此擁有穩定可靠的车用 SoC可確保汽車元件在預期使用壽命期間表現良好,而不會發生早於預期的故障狀況。實現晶片一定程度的穩健性,則要避免出現更頻繁和/或嚴重超出容許範圍的故障。

可靠性會受到以下因素影響:製程/電壓變異性;由老化、熱效應、電子遷移 (Electromigration, EM) 及靜電放電 (Electrostatic discharge, ESD) 等因素導致的磨損故障(wear-out failure);因電壓突波(power surges)等環境因素產生的隨機故障。針對汽車可靠性及使用壽命,汽車電子協會 (Automotive Electronics Council, AEC) 制定了關鍵的汽車業界標準之一 。該標準為车用 IC封裝提供基於故障機制的應力測試验证。考量到汽車晶片必須能夠在嚴苛的情況下運作,在设计晶片的同時進行應力測試,可以提高汽車系統的穩定度。

影響 SoC 可靠性的諸多問題,需要創新的方式在 SoC 層級進行分析和修正,並同時涵蓋所有路徑。其中,裝置老化(aging)必須根據 SoC 的應力溫度、應力電壓、使用壽命和訊號機率(又稱為「任務剖面(mission profile)」)進行分析。以靜態時序分析(static timing analysis-, STA-)為基礎的解决方案涵蓋了设计中的所有路徑,並提供高精度、低成本的元件庫特性,針對全面的任務剖面(mission profile)進行全方位分析。自動化设计穩健性分析和優化技術,則可以識別易受製程變異影響的元件,或是易受電壓變異影響的路徑,對於預防時序故障非常重要。

訊號和元件層級 EM 是另一個深具挑戰性的考量因素。為了實現汽車穩定性,晶片设计必須符合按照半導體製程晶圓廠規定的訊號 EM 要求(平均電流、RMS 電流及尖峰電流)。EM 分析透過设计中的線路,精準建模、擷取及計算電流。除了訊號 EM 規則之外,元件必須在穩定的條件下使用,並不得超過電流或切換(toggle)頻率的最大值。因此,元件層級的 EM 必須在元件庫特性(library characterization)期間建模,以記錄不同迴轉率(slew rate)和負載條件的電流最大值。而訊號 EM 違規則必須在物理實作(physical implementation)優化期間解決。元件層級的 EM 違規必須在 ECO 期間透過替換元件進行修正,才能滿足 EM 要求。

在SoC運作期間,利用晶片生命週期管理 (Silicon Lifecycle Management, SLM) 可以延長晶片使用壽命。而實作晶載路徑餘裕監控 (path margin monitoring, PMM),可以降低目標效能設定檔的工作電壓。而降低工作電壓的好處是可以降低裝置上的電壓和溫度壓力,從而延長 SoC 使用壽命。持續的路徑餘裕監控則提供可以優化 SoC 效能的分析。

功能安全:减少故障造成的风险

系統故障 (例如錯誤或不正確的操作) 以及由晶片老化和 EM 效應等事件造成的隨機硬體故障,是车用電子产物安全風險的兩大潛在來源。 ISO 26262 功能安全標準為汽车晶片製造商必须符合的指南,以确保合格的安全关键装置得以在汽车中运行。这个标準的风险分类系统,也就是汽車安全完整性等級 (Automotive Safety Integrity Levels, ASILs),主要是针对减少由电气和电子系统故障导致的潜在危险而订定。

功能安全 (Functional safety, FuSa) 是RTL-to-GDS 流程的新指標。這項指標涉及 FuSa 验证 (透過故障分類進行 DC 验证就是一個例子)、分析 (如故障模式、影響與診斷分析 (FMEDA) )及 FuSa 實作 (如插入安全機制)。每個階段的自動化流程緊密整合,對於實現三大關鍵目標非常重要:

  • 实现可追溯性和安全合规性,提升可信度
  • 减少工程作业量,提高产能
  • 最佳化測試周轉時間和功率、效能及面積 (PPA) ,提升效率

设计故障安全防護硬體時需要依循特定硬體架構指標,像是 SPFM、LFM 及 PMHF。IP、次系統及 SoC 層級的FMEDA 可以追蹤這些指標,並結合相關故障分析 (Dependent Failure Analysis, DFA),以涵蓋隨機故障。而解決系統故障則需要藉由可追溯性和设计故障模式與影響分析 (DFMEA),執行最先進的验证。透過验证,將得以確認插入的安全機制是否有效,同時可追溯性在開發流程期間提供一種可以管理功能安全要求的方法。而DFMEA 則協助識別及解決设计中的錯誤或潛在錯誤來源。

安全性:防御威胁

惡意威脅對許多市場而言都是一項嚴峻的挑戰。針對汽車應用,具危害性的晶片可能對人類的生命造成嚴重、甚至致命的影響。此外,駭客試圖利用網路連線的漏洞,干擾空中下載技術 (over-the-air, OTA) 的最新軟體更新,進而影響應用程式升級的新商業模式。因此,維護汽車 SoC 及軟體的安全性極其重要。《》 以 ISO 26262 功能安全標準作為發展基礎,為道路交通工具的生命週期提供網路安全性架構。該架構涵蓋:

  • 安全性管理
  • 专案相关网路安全性管理
  • 持续性网路安全性活动
  • 相关风险评定方法
  • 道路交通工具产物開發及開發後階段的網路安全性
  • 持续进行的网路安全性监控

這個概念旨在讓汽車製造商開發一致、可重複的製程,保護汽車在其使用壽命期間免受惡意攻擊。針對硬體攻擊的抵禦方法包括物理不可仿製功能 (Physical Unclonable Functions, PUFs)、防止探針攻擊设计、邏輯鎖定和浮水印。矽前攻擊模拟可以識別漏洞,並验证緩解措施是否有效。透過規則檢查、特性檢查及模拟等技術,硬體防禦攻擊设计將能夠協助預防已知的设计弱點。

车用 SoC 加速創新

電子设计自動化 (EDA) 與 IP 解决方案供應商可以提供汽車 SoC 设计人員所需技術,進而在设计中實現高水平的品質、可靠性及安全性。新思科技提供的汽車解决方案,涵蓋设计與验证、實作、签核及製造/現場操作,協助设计人員遵循ISO 26262 和 ISO 21434 等標準。同時,新思科技積極參與各個汽車標準組織並在其中佔有一席之地,為重要協議發展作出貢獻。

如今,即使尚無法完全自動駕駛的汽車,也已經擁有一系列令人驚豔的自動駕駛功能,進而增強了車輛行駛的安全性和舒適度。符合车用等級規格的矽晶片,對於實現自動駕駛功能扮演著關鍵角色。確保這些晶片设计符合品質、可靠性及安全性要求,將有助於生產更智能、更安全的汽車。