確保安全關(guān)鍵系統(tǒng)可靠運(yùn)行｜汽車測(cè)試進(jìn)入系統(tǒng)內(nèi)時(shí)代

特斯拉又雙叒降價(jià)了，卻是在日本和美國(guó)；如特斯拉大中華區(qū)總裁朱曉彤所說(shuō)：在中國(guó)，“隨著技術(shù)的發(fā)展，特斯拉的價(jià)格還會(huì)越來(lái)越低。”不過(guò)，特斯拉質(zhì)量問(wèn)題頻發(fā)，也是不爭(zhēng)的事實(shí)。如新華網(wǎng)所云：“車輛安全始終是第一位的，產(chǎn)品質(zhì)量終究是前提。”車新勢(shì)力所缺少的或許正是百多年來(lái)經(jīng)過(guò)歷史檢驗(yàn)的漫長(zhǎng)的系統(tǒng)工程——測(cè)試和驗(yàn)證。今天的汽車電氣/電子系統(tǒng)越來(lái)越多，而元件小型化導(dǎo)致對(duì)電應(yīng)力的敏感性不斷增加，防止器件中斷和潛在或?yàn)?zāi)難性的故障已成為汽車應(yīng)用的一大挑戰(zhàn)。因此，除了傳統(tǒng)的測(cè)試，一些新的測(cè)試方法也應(yīng)運(yùn)而生。我們期望，主機(jī)廠有動(dòng)力和能力制造一輛安全的汽車，以致其聲譽(yù)不會(huì)受損，召回也就沒有必要了。

隨著汽車電氣化進(jìn)程，在制造過(guò)程的最后階段對(duì)新車進(jìn)行徹底的測(cè)試已經(jīng)不夠。安全標(biāo)準(zhǔn)現(xiàn)在要求在現(xiàn)場(chǎng)進(jìn)行測(cè)試，如果測(cè)試失敗，應(yīng)制定應(yīng)急計(jì)劃。事實(shí)上，汽車半導(dǎo)體供應(yīng)鏈對(duì)專門針對(duì)系統(tǒng)內(nèi)（in-system）監(jiān)控的設(shè)計(jì)功能有明確要求。而所謂監(jiān)控包括結(jié)構(gòu)測(cè)試和性能監(jiān)控兩部分。安全機(jī)制必須包括汽車運(yùn)行期間執(zhí)行測(cè)試的計(jì)劃。雖然啟動(dòng)和關(guān)閉是觸發(fā)測(cè)試的重要事件，但有些必須在車輛運(yùn)行時(shí)進(jìn)行。在任何標(biāo)準(zhǔn)中都沒有明確規(guī)定執(zhí)行什么，但這樣的計(jì)劃必須是安全機(jī)制的一部分，也是認(rèn)證過(guò)程的一部分。

■

為什么需要測(cè)試和監(jiān)控？

每次有車輛上路，都有發(fā)生危險(xiǎn)的可能。ISO 26262標(biāo)準(zhǔn)規(guī)定了如何確保安全的一般要求，與大多數(shù)電子系統(tǒng)不同的是，它包括對(duì)車輛壽命進(jìn)行定期芯片測(cè)試。西門子EDA汽車IC測(cè)試解決方案經(jīng)理Lee Harrison說(shuō)：“縱觀整個(gè)領(lǐng)域，我們已經(jīng)進(jìn)行了多年的結(jié)構(gòu)測(cè)試。最近，我們開始在系統(tǒng)內(nèi)這樣做?！?

對(duì)于車輛中的某些系統(tǒng)，這一點(diǎn)至關(guān)重要。Advantest汽車業(yè)務(wù)開發(fā)經(jīng)理Fabio Pizza說(shuō)：“ISO 26262標(biāo)準(zhǔn)要求在汽車的整個(gè)生命周期內(nèi)，通過(guò)自檢定期檢查批量生產(chǎn)的車輛中電氣和/或電子系統(tǒng)的功能安全性?！?

進(jìn)行這種測(cè)試的三個(gè)主要理由是：

測(cè)試遺漏是一個(gè)事實(shí)?！霸?0年代、80年代和90年代，如果你的良率是98%，就會(huì)有百萬(wàn)分之一的器件是不可接受的，”KLA戰(zhàn)略合作高級(jí)主管Jay Rathert說(shuō)。

需要定期確保自上次運(yùn)行測(cè)試以來(lái)，車輛沒有任何變化。

即使沒有任何破壞性事件，老化也會(huì)影響車內(nèi)的電子設(shè)備。因此，測(cè)試機(jī)制需要關(guān)注性能，以發(fā)現(xiàn)任何芯片老化，并確保持續(xù)安全運(yùn)行。

一個(gè)器件最低水平的具體性能或老化程度取決于器件之間可能發(fā)生的變化。不同的器件會(huì)有不同的操作，測(cè)試和可靠性統(tǒng)計(jì)數(shù)據(jù)可能會(huì)，也可能不會(huì)準(zhǔn)確地反映特定的器件。

個(gè)人擁有汽車的時(shí)代——長(zhǎng)時(shí)間停放、上下班用、臨時(shí)外出——行將結(jié)束。Rathert說(shuō)：“我們正朝著24/7汽車的方向發(fā)展，汽車將被用于共享，這將徹底改變汽車的磨損模式?！?

■

應(yīng)該運(yùn)行什么類型測(cè)試？

ISO 26262沒有規(guī)定必須運(yùn)行的特定測(cè)試。相反，它更籠統(tǒng)地談到“安全機(jī)制”，由開發(fā)團(tuán)隊(duì)、Tier 1和主機(jī)廠來(lái)商定。這使他們能夠靈活地使用其認(rèn)為最有效的工具，并在出現(xiàn)新想法時(shí)融入其中。Synopsys數(shù)字設(shè)計(jì)部門產(chǎn)品營(yíng)銷總監(jiān)、功能安全從業(yè)者Robert Ruiz說(shuō)：“有邏輯測(cè)試和內(nèi)存測(cè)試，但也可能是其他類型的標(biāo)準(zhǔn)邏輯、看門狗、傳感器或監(jiān)視器。”

運(yùn)行期間安全檢查的兩個(gè)主要機(jī)制是測(cè)試和監(jiān)控。測(cè)試與制造流程中的測(cè)試基本相同，可能有一些修改或添加。其目的是尋找結(jié)構(gòu)性問(wèn)題。另一方面，監(jiān)控關(guān)注的是性能，旨在尋找安全可能在不久的將來(lái)受到威脅的任何異常或其他跡象。

測(cè)試和監(jiān)控都可以將結(jié)果傳送到云。但通常情況下，測(cè)試失敗會(huì)導(dǎo)致在沒有云幫助時(shí)在車內(nèi)立即采取行動(dòng)。與此同時(shí)，監(jiān)控?cái)?shù)據(jù)可能會(huì)被傳輸?shù)皆贫诉M(jìn)行分析和跟蹤。雖然該車將有許多其他專用傳感器組件向云端發(fā)送數(shù)據(jù)，但這些組件正在監(jiān)視特定的更高級(jí)別的汽車參數(shù)。相比之下，片內(nèi)監(jiān)視器可視電路。兩者都很重要，但處理和管理方式可能不同。

proteanTecs汽車總經(jīng)理Gal Carmel說(shuō)：“監(jiān)控允許車輛和云之間的計(jì)算協(xié)同作用，實(shí)現(xiàn)云上的實(shí)時(shí)決策和數(shù)據(jù)分析。系統(tǒng)評(píng)估邊緣電子設(shè)備的完整性，并相應(yīng)地將相關(guān)數(shù)據(jù)傳輸?shù)皆贫耍员氵M(jìn)行預(yù)測(cè)性和規(guī)范性診斷。這不僅可以延長(zhǎng)系統(tǒng)的使用壽命，還允許快速進(jìn)行根本原因分析和OTA調(diào)試。”

系統(tǒng)反應(yīng)和云分析監(jiān)控架構(gòu)

不是所有的監(jiān)視器都一樣?！拔覀冇袃煞N顯示器，”Harrison解釋說(shuō)。“我們有被動(dòng)監(jiān)視器，只是用來(lái)收集數(shù)據(jù)。還有反應(yīng)監(jiān)視器，如果我們真的發(fā)現(xiàn)了一些意想不到的事情，那么像巴士哨兵這樣的東西可以完全關(guān)閉車輛。”

■

同時(shí)進(jìn)行測(cè)試和操作

有三個(gè)事件或時(shí)間需要執(zhí)行測(cè)試：鑰匙打開、操作期間進(jìn)入系統(tǒng)和鑰匙關(guān)閉。

Synopsys數(shù)字設(shè)計(jì)部門產(chǎn)品營(yíng)銷總監(jiān)Giri Podichetty說(shuō)：“當(dāng)你開始測(cè)試系統(tǒng)是否正常時(shí)，就會(huì)打開電源。在操作過(guò)程中，我們可以做定期測(cè)試，去檢查設(shè)備的實(shí)際狀態(tài)。最后，我們關(guān)閉電源，然后我們有更多的時(shí)間做更多的測(cè)試。”

汽車在發(fā)動(dòng)機(jī)啟動(dòng)時(shí)已經(jīng)進(jìn)行了一些測(cè)試。Ruiz說(shuō)：“當(dāng)你一開始看到儀表盤上的燈時(shí)，就在進(jìn)行很多初始測(cè)試。雖然額外的測(cè)試可能需要一些時(shí)間，但沒有太多的時(shí)間，因?yàn)轳{駛員期望在幾秒鐘后開始駕駛。因此，對(duì)于芯片測(cè)試本身，可用的時(shí)間可能是200毫秒左右?！?

當(dāng)汽車熄火時(shí)，還有更多的時(shí)間測(cè)試。從理論上講，雖然開發(fā)人員說(shuō)有無(wú)限的時(shí)間，但顯然不是這樣。時(shí)間預(yù)算的關(guān)鍵是重新啟動(dòng)汽車之前的幾秒測(cè)試時(shí)間。Ruiz說(shuō)：“當(dāng)你把車熄火時(shí)，你大概可以再等10秒鐘。當(dāng)然，在半導(dǎo)體界，秒是一個(gè)巨大的時(shí)間量。”

在這個(gè)關(guān)鍵關(guān)閉階段可以運(yùn)行更廣泛的測(cè)試集。Harrison指出：“在內(nèi)存上運(yùn)行一個(gè)基本棋盤算法然后打開鑰匙，或在內(nèi)存上運(yùn)行一個(gè)功能齊全的應(yīng)力測(cè)試然后關(guān)閉鑰匙，兩者區(qū)別很大?！?

在鑰匙打開時(shí)測(cè)試的電路可能需要也可能不需要在系統(tǒng)中進(jìn)一步測(cè)試。這就是ASIL評(píng)級(jí)的重要性所在。Harrison說(shuō)：“對(duì)于信息娛樂系統(tǒng)，鑰匙開著測(cè)試就可以了。但是研究先進(jìn)防抱死制動(dòng)系統(tǒng)時(shí)，情況就不同了?！?

此外，對(duì)于無(wú)人出租車和其他類似車輛，鑰匙開啟和關(guān)閉測(cè)試的可能性很小。Harrison解釋說(shuō)：“鑰匙每10小時(shí)才開一次。所以你需要能夠運(yùn)行在線測(cè)試，以確保一切都是安全的。”

因此，面臨的挑戰(zhàn)是如何在電路運(yùn)行時(shí)對(duì)其進(jìn)行測(cè)試。測(cè)試的內(nèi)容和時(shí)間在一定程度上取決于安全級(jí)別。當(dāng)然，最嚴(yán)苛的是ASIL-D，它是對(duì)車輛最安全關(guān)鍵部件最嚴(yán)格的評(píng)級(jí)。無(wú)論車輛在做什么，都需要定期進(jìn)行關(guān)鍵測(cè)試。

監(jiān)控與車輛的運(yùn)行狀態(tài)沒有那么緊密的聯(lián)系。proteanTecs的Carmel說(shuō)：“深度數(shù)據(jù)監(jiān)控允許24/7使用，無(wú)論車輛的鑰匙處于打開或關(guān)閉狀態(tài)。與BiST（Built-in Self Test，內(nèi)建自測(cè)）相反，其在線、非侵入性的運(yùn)行不會(huì)中斷功能運(yùn)行。在鑰匙打開時(shí)，它可以識(shí)別可靠性降低和安全威脅并發(fā)出警報(bào)，從而實(shí)現(xiàn)規(guī)定的維護(hù)。在鑰匙關(guān)閉時(shí)，在預(yù)定的維護(hù)時(shí)間內(nèi)，主機(jī)廠可以物理連接和調(diào)試問(wèn)題，以保持服務(wù)可用性并延長(zhǎng)操作壽命?！?

■

何時(shí)運(yùn)行測(cè)試？

如果管理不當(dāng)，大多數(shù)測(cè)試可能會(huì)中斷。例如，當(dāng)汽車在紅綠燈處時(shí)，不一定能安排測(cè)試，因?yàn)闊o(wú)法保證何時(shí)會(huì)遇到這種情況，也無(wú)法保證停車會(huì)持續(xù)多久。因此，無(wú)論車輛當(dāng)時(shí)在做什么，都必須安排進(jìn)行測(cè)試。

處理這個(gè)問(wèn)題的一種方法是冗余。而不是單核運(yùn)行自己的內(nèi)存，核和內(nèi)存可以復(fù)制。控制可以在它們之間來(lái)回傳遞，這樣，當(dāng)一個(gè)核正在測(cè)試時(shí)，另一個(gè)將處理駕駛?cè)蝿?wù)。然后，可以將其反轉(zhuǎn)，以確保兩組都在工作狀態(tài)。

這類似于但不同于雙核鎖步操作。在這種情況下，兩個(gè)核的運(yùn)行方式總是相同的，其目標(biāo)是識(shí)別兩個(gè)內(nèi)核之間的任何分歧。但是，對(duì)于測(cè)試，兩組將不處于鎖定階段。相反，它們各自為戰(zhàn)，以便測(cè)試和操作可以無(wú)縫地進(jìn)行。

這種冗余為測(cè)試提供了操作裕度。一些架構(gòu)師可能會(huì)認(rèn)為，我有四個(gè)處理器，所以以循環(huán)方式，可以離線測(cè)試一個(gè)。Cadene的Tensilica IP部門產(chǎn)品營(yíng)銷總監(jiān)Ted Chua說(shuō)：“冗余的需求并不局限于功能電路，測(cè)試電路也很有必要。測(cè)試還需要冗余。”

內(nèi)存可以在訪問(wèn)之間進(jìn)行部分測(cè)試，這就是所謂的“透明”測(cè)試。Synopsys的Podichetty說(shuō)：“為了不占用太多時(shí)間，我們以時(shí)間切片的形式進(jìn)行無(wú)損內(nèi)存測(cè)試。如果內(nèi)存離線（taken offline），則可以執(zhí)行擴(kuò)展的內(nèi)存內(nèi)建自測(cè)（MBiST）測(cè)試。

對(duì)于SoC上的邏輯測(cè)試，測(cè)試能力主要利用芯片上已經(jīng)存在的用于制造測(cè)試的可測(cè)試設(shè)計(jì)（DFT）基礎(chǔ)設(shè)施。為了增加更多的通道以獲得更好的可視性，可能需要對(duì)電路進(jìn)行一些修改，但這種更改通常是為了縮短測(cè)試時(shí)間，幫助補(bǔ)償所需的額外硅面積。

系統(tǒng)內(nèi)邏輯測(cè)試通常涉及邏輯內(nèi)建自測(cè)（LBiST），包括通過(guò)測(cè)試運(yùn)行使用的種子向量，這些測(cè)試的結(jié)果被組合成一個(gè)簽名。對(duì)該簽名的驗(yàn)證構(gòu)成系統(tǒng)該部分的通過(guò)/失敗信號(hào)。LBiST域的大小取決于可用于測(cè)試的時(shí)間。

示例LBiST塊與嵌入式確定性測(cè)試（EDT）共享

Cadence產(chǎn)品管理總監(jiān)、數(shù)字和簽準(zhǔn)部門的Rob Knoth指出：“開車上路時(shí)，可以有一個(gè)非?？焖俚臏y(cè)試循環(huán)，而不是執(zhí)行電路的LBiST，這將在鑰匙打開或關(guān)閉時(shí)完成?！?

也可以調(diào)用軟件在硬件上運(yùn)行測(cè)試。Advantest的Pizza說(shuō)：“這可能包括用于檢查器件引導(dǎo)序列和自檢是否正常工作，以及檢測(cè)與應(yīng)用電路（傳感器、接口、攝像頭、總線等）交互中可能出現(xiàn)的問(wèn)題。然而，這種測(cè)試可能是侵入性的，其時(shí)間安排必須仔細(xì)規(guī)劃?！?