概述

乘用车中的电子部分持续快速增长,驱动这一现象的主要因素是乘用车中集成了各种高级安全功能。整 个行业向全自动驾驶汽车的转变有望进一步增加此类安全功能的数量,进而增加电子部分的比重。最近 有报告表明,高端汽车中目前集成了成百上千的半导体器件。另外,这些元器件的复杂性也是与日俱 增。事实上,引领先进半导体前沿市场的正是执行人工智能算法所需的芯片,而且这些算法可以管理新 兴的自动驾驶功能。这类安全相关的器件必须尽可能满足最高的质量和可靠性要求,这一点至关重要。 这些要求已在 ISO 26262 标准中正式提出,世界各地的汽车制造商和供应商也已纷纷采用这一标准。这是 一项综合标准,涵盖软件和硬件的完整生命周期,从设计一直到测试和实际运行。为帮助企业满足 ISO 26262 标准强制要求的质量和可靠性指标,Mentor Tessent 产品系列提供了一套全面的测试解决方案。


通过在线自测试确保系统可靠性
要确保汽车电子的可靠性,其中一种方法便是在功能运转期间执行定期测试。借助 Tessent MissionMode 架 构,可以实现对所有片上测试资源的低延迟系统级访问,以便进行在线测试和诊断。图 1 显示的即为该架 构。使用基于 IEEE 1687 (IJTAG) [1,2] 的网络可以访问在整个设计流程中分发的所有测试 IP。测试 IP 可能包 括任意 Tessent DFT BIST 功能,或任何符合 IJTAG 标准的第三方 IP。利用 SIB(扫描插入位)交换机的层次 化网络,即可与测试 IP 进行多面而又高效的通信。IEEE 1149.1 TAP(测试点端口)可提供对 IJTAG 网络的 外部访问,主要在制造测试环境中使用。居于此架构中心的是 Tessent MissionMode 控制器,它能接管 TAP 信号,并将任何测试或诊断命令驱动至 IJTAG 网络中的任意和所有测试 IP。

 


图 1:基于 IJTAG 的 Tessent MissionMode 架构。


图 2:电路板/系统级的测试通信架构。

 

MissionMode 控制器可配置为在两种不同模式下工作。在 CPU 访问模式下,该控制器支持与 CPU 总线之间 的双向并行读写操作。该控制器可根据需要执行并行到串行和串行到并行数据转换,以便在 CPU 总线与 IJTAG 网络之间传输信息。此模式支持图 2 所示的模块级或系统级通信架构。服务处理器可通过任意汽车 总线,例如 CAN(控制器局域网)或 I2C(内置集成芯片),访问各个 MissionMode 控制器,进而访问任 意片上测试 IP。在直接存储器访问 (DMA) 模式下,MissionMode 控制器可读取在非易失性存储器中预载的 命令数据。在系统操作期间,根据需要,可以存储多种测试序列,而且可以以任何顺序不限次数的重新 获得这些测试序列。

 

除了通过 TAP 访问整个芯片 IJTAG 网络 之外,还可配置一个或多个 MissionMode 控制器直接与单个或一小组测试 IP 通 信(参见图 3)。这样做的好处是可以 缩短通信延迟,而这对某些测试而 言至关重要。非破坏性存储器 BIST 便 是一个重要示例 [3]。在这种形式的测 试中,存储器 BIST 控制器会使用一 系列的短事务序列对存储器进行测 试,我们通常将此成为猝发。猝发 通常仅持续若干时钟周期(可能 20 到 30 个),并且每次针对不同的存储 器位置。因此可通过大量较短的存储 器 BIST 会话对整个存储器进行测试。 这一方法是非破坏性的,因为在每个 猝发期间,猝发所修改的存储器位置 均会由 MBIST 控制器进行保存和恢复。 由于猝发仅在仲裁逻辑确定存储器

图 3:Tessent MissionMode 直接本地访问。


可用时才会启动,功能性能并不会受到严重影响。如果存储器仅在上电时进行测试,则可使用更传统的 破坏性存储器 BIST 测试。这种情况下,通常就不会存在延迟问题,单个与 TAP 接口的 MissionMode 控制 器便足够了。

 

逻辑 BIST 是另一种常见的系统内测试形式,通过 MissionMode 控制器可以访问该测试。该测试解决方案 涉及在片上生成随机测试向量,然后将其应用于扫描链。最近,我们对此方法进行了改进,提供了一种 可集成 ATPG 压缩和逻辑 BIST 的混合测试解决方案(参见图 4)。汽车设备内通常同时需要这两种解决方 案;ATPG 压缩用于高质量的制造测试,逻辑 BIST 则用于上电测试和系统内测试。

 


图 4:混合 ATPG 压缩和逻辑 BIST 架构。

 

结合使用这两种解决方案将可获得明显的优势。特别是,由于这两种解决方案使用几乎相同的片上 DFT 资 源,因此可以减少面积开销。例如,二者都使用扫描链和相关的测试时钟。两种解决方案的主要区别在 于将测试数据馈送到扫描链以及处理来自扫描链的测试响应数据的片上逻辑。然而,逻辑间也存在相似 性,所以两种解决方案的逻辑可以高效地合并以同时支持这两种方法。


在功能运转期间定期应用逻辑 BIST 的一个重要方面是限制功耗,以便最大限度地降低对被测系统其他部 分造成的影响。在逻辑 BIST 操作期间,通过最大限度减少随机测试向量和响应的扫描加载和卸载期间的 翻转活动,可以实现功耗的降低。图 5 所示的架构通过定期将随机数据位替换为常量值而减少了扫描翻转 活动 [4]。该结构支持可编程电路的翻转率色设定,在小幅增加测试向量和保持相同测试覆盖率的同时,可 以降低电路的翻转率。

 

图 5:低功耗逻辑 BIST 架构。

 

使用面向缺陷的综合测试实现极低的 DPM
广泛使用的测试数字电路的方法是向设计中添加扫描测试结构,然后通过这些结构提供测试向量,从而 在观察到芯片响应后揭示缺陷。该方法已经使用了几十年,其基础是对电路缺陷进行高度抽象建模,以实现高计算效率的测试向量生成过程。最初使用的是简单的固定故障模型,也就是将电路缺陷建模为逻 辑网络值固定为 0 或 1。多年来又增加了更复杂的故障模型,以解决在行业向新技术节点转型时出现的新 缺陷类型。最近采用的故障模型包括转换、桥接、开路和小延迟故障。


然而,随着几何形状越来越小,这些故障模型和相关联的测试向量越来越难以确保所需的质量水平。主 要问题在于所有现有故障模型只考虑单元输入和输出上的故障以及单元之间互连线路上的某些缺陷。换 句话说,明确考虑的只有抽象到网表级的故障。


然而,事实证明,越来越多的缺陷均出现在单元结构内部。针对更先进的技术节点和相关的加工技术进 行的一些估算认为,单元内发现的缺陷数量几乎占所有电路缺陷的一半。各种类型的互连缺陷也变得越 来越普遍。在正常的 ATPG 过程中,通常会产生数千个测试向量。结果是,尽管传统的故障模型并不明确 针对单元内部缺陷和各种单元外部缺陷,但最后还是会意外地检测到大量单元内部缺陷。然而,考虑到 在设计中存在数百万个门,并且需要极低的 DPPM,依靠运气来检测所有潜在缺陷显然是行不通的。更先 进的单元感知测试 (CAT) 方法 [5] 会直接针对每个单元内部特定的短路和开路缺陷,而版图感知桥接提取 方法 [6] 则针对单元之间的互连上的特定桥接缺陷。

 

在这种 CAT 方法中,首先要执行自动的单元库特征提取过程,如图 6 所示。每个半导体工艺节点都有用于 描述网表中最低级元器件的逻辑行为和物理布局的一组技术单元库。单元感知特征提取过程首先要提取 用 GDSII 描述的物理库。每个提取单元会生成一份带寄生电阻和电容的晶体管级别网表。电阻位置表示存 在潜在开路缺陷的导电路径,而电容识别存在潜在桥接缺陷的位置。然后使用模拟仿真器通过激励穷举 仿真每种潜在缺陷,以确定是否存在会产生不同于无缺陷输出结果的单元输入组合。最简单的情况是用 1 欧姆电阻表示硬件桥,以此仿真每个电容位置。还可以使用其他许多电阻值,其中某些会有不同的测试 激励要求。此外,要检测只能作为动态缺陷观察到的桥接或开路,在多个周期上仿真也很实用。

 


图 6:通过库特征提取生成单元感知故障模型。

 

单元感知特征提取的最后一步是将输入组合的列表转换为各单元内部各个故障的必要输入值组合。因为 该信息在单元输入处被定义为逻辑值,所以基本上是模拟缺陷仿真的逻辑故障模型表示。每个单元的这 组激励代表 ATPG 的单元感知故障模型文件。在此文件中,仿真缺陷(现在为故障)可以具有一个或多个 输入组合。请注意,因为已针对技术库内的所有单元执行单元特征提取过程,所以使用该技术的任何设 计均可读入相同的单元感知故障模型文件。特征提取只需要执行一次,然后即可应用于该技术节点上的 任何设计。


在标准固定和转换测试向量之外使用单元感知 ATPG,硅结果显示有更多的故障被检测到。针对从 350nm 到低于 16nm 的各种技术节点,均能测量出这种检测方面的改进。可能更重要的是,在实现这些改进的同 时,测试应用时间的增加并不明显。


版图感知桥接提取针对的是单元之间的互连,要提高缺陷覆盖率,这是顺理成章的下一步骤。桥接提取 是基于图 7 所示的临界区域提取。

 


图 7:基于临界区域的桥接提取流程。

 

第一步是从 LEF 和 DEF 文件创建版图感知数据库 (LADB)。此 LADB 包含用于桥接提取的临界区域信息。请 注意,生成 LADB 并非额外步骤,它对版图感知诊断而言已是必要步骤。完成桥接提取后,UDFM(用户 定义的故障模型)文件中将包含后续 ATPG 步骤中会考虑的所有基于临界区域的桥接。

 

使用单元感知和版图感知测试向量获得的缺陷覆盖率改善还会带来其他测试益处。凭借改进后的结果, 您可以减少甚至省去其他昂贵的测试过程,例如性能裕度或系统级测试。

 

用于高质量混合信号电路测试的模拟故障仿真

单元感知测试、版图感知测试和其他先进的数字测 试解决方案对于提高设备质量很有帮助。不过,事 实证明,当今汽车设备中的大多数现场故障都发生 在芯片的混合信号部分(参见图 8)。这并不令人意 外,因为成功消除大多数数字缺陷意味着任何剩余 缺陷的性质都可能是混合信号。这类缺陷虽然往往 数量较少,但在安全攸关的汽车应用中依然是不可 容忍的。因此需要解决方案来填补这一测试空缺。

 

自动生成模拟测试的基本前提是具备一种自动方法 来测量任何测试所实现的故障覆盖率。尽管数字电 路故障仿真面市已有近 30 年,但直到最近,各类学

 

图 8:混合信号汽车 IC 中的电子来源细分。


术论文和大会中才开始讨论模拟故障仿真的主题。全新的 Tessent DefectSim 模拟电路故障仿真器 [7,8] 是 业内首款商用解决方案。其基本方法是在晶体管级别的网表中测量开路、短路缺陷的覆盖率以及相关的 参数变化。通过模拟仿真,在存在缺陷的情况下评估电路响应的变化,来确定给定缺陷的覆盖率。与在 扁平网表中依次仿真各项缺陷的做法相比,通过使用多种效果显著的加速方法,可以将模拟仿真时间缩 短几个数量级,这使得上述方法现在变得切实可行。这类方法包括:按照可能性加权随机采样,以确保 将多数时间花在仿真最有可能的缺陷上;混合模型仿真,将最高级别的模型或网表用于每个不包含当前 仿真的缺陷的子电路实例;等等。这一全新的自动化方法实现了多种模拟测试相关的功能。首先,可以 评估现有模拟测试的效果。对于未覆盖任何额外缺陷的测试,可以予以消除,从而缩短测试时间,降低 测试成本。新的缺陷覆盖率指标还可用于指导生成新的高效测试。


缺陷容差和 FMEDA 分析
在电路存在各种缺陷的情况下,Tessent DefectSim 也可衡量电路在可接受的参数范围内继续保持正常工作的 能力 [9]。这一缺陷容差分析直接关系到长期的可靠性,因此对汽车应用来说极其重要。在最常见的情况 下,假设功能逻辑受到 ECC 或 BIST 等一些安全机制的监控。那么,缺陷造成的影响可按图 9 所示进行分类。

图 9:功能性安全分析的缺陷分类。

 

q1 和 q2 象限内的缺陷不影响正确的电路功能运转,因此不会对安全造成不利影响。q3 象限中的缺陷会 影响功能运转,但安全监视器可将其检测出来,从而令电路处于安全状态。q4 象限中的缺陷也会影响功 能运转,而且不幸的是,安全监视器无法将其检测出来。因此,q4 缺陷会导致不安全状态。于是,缺陷容 差可计算为 1 – q4 / (q1+q2+q3+q4)。

 

Tessent DefectSim 也可以生成 ISO 26262 标准中定义的其他 FMEDA(失效模式、影响和诊断分析)相关的 硬件安全指标。相关指标的定义和计算方法如下:


• 单点失效指标 (SPFM) 是单一缺陷不会导致不安全状态的概率(要么会被安全监视器检测到,要么不 会导致功能失效)。这也就是以上定义的缺陷容差。

SPFM = (q1+q2+q3) / (q1+q2+q3+q4)


• 潜在故障指标 (LFM) 表示,在两个点故障均不会单独导致不安全状态的情况下,它们一起发生时仍不 会导致不安全状态的概率。为限制此分析的复杂性,我们可通过分析哪种缺陷会导致安全监视器不 检测其他功能失效,来计算这一指标。这些缺陷的度量在以下等式中表示为     “latent”    变量:
LFM = (q1+q2+q3-latent) / (q1+q2+q3)

•  诊断覆盖率   (DC)    用于衡量可导致功能失效但会被安全监视器检测到的缺陷的百分比。

DC = q3 / (q3+q4)


• 随机硬件失效 (PMHF) 的概率指标本质上表示的是每小时的总体失效概率,衡量方法是考虑随时间的 推移发生所有可能导致功能失效的故障的可能性。
PMHF = (1-SPFM) × (所有缺陷似然的总和) × (企业常量)


结语
随着元器件尺寸的缩小和复杂性的不断提高,满足 ISO 26262 及其他汽车电子标准的质量和可靠性要求将 变得越来越困难。芯片的数字和模拟部分都必须经过充分测试。采用单元感知 ATPG 和非破坏性存储器 BIST 等先进的测试功能后,不仅将提高半导体制造商达成必要的质量和可靠性指标的能力,而且通过提供嵌 入式测试功能,还将使其产品进一步差异化。客户可以在系统级和现场利用这些测试功能。失效指标的 计算和交付也很快会成为满足必要的系统功能性安全目标的重要交付物。