芯耀
与非AI
704
很多做消费电子转车规的工程师,第一次接触ISO 26262时都会有一个困惑:“车规芯片不就是温度范围宽一点、寿命长一点、再通过个AEC-Q100吗?”
其实,AEC-Q100解决的是可靠性——芯片在高温、振动环境下不会物理损坏。而功能安全(ASIL-B/D)解决的是另一件事:芯片即使发生故障,也要往安全的方向坏,不能往危险的方向坏。
这是两个完全不同的维度。下面用一张表先给你看清ASIL-B/D芯片在设计和测试上到底“多做了什么”,然后再逐条拆解。
1. 一张表看懂核心差异
| 对比维度 | 非车规/消费级芯片 | ASIL-B车规芯片 | ASIL-D车规芯片 | 本质差异 |
|---|---|---|---|---|
| 开发流程 | 无强制安全流程 | 需建立ISO 26262功能安全流程,通过第三方认证 | 同ASIL-B,但流程覆盖度、文档严苛度更高 | 系统性失效控制:避免“把人设计进坑里” |
| 硬件架构 | 单核、无冗余 | 可选局部冗余(如ECC保护内存) | 强制关键模块冗余(双核锁步、三模冗余) | 随机硬件失效容忍:坏一个还能工作 |
| 片内安全机制 | 无 | ECC/奇偶校验、CRC、看门狗、BIST | 在ASIL-B基础上增加:模拟BIST、冗余电压/时钟监测、全生命周期自检 | 诊断覆盖率:ASIL-D要求单点故障诊断率≥99% |
| 故障分析与指标 | 无强制要求 | 需完成FMEDA,计算SPFM/LFM/PMHF | SPFM≥99%,LFM≥90%,PMHF<10FIT | 量化安全等级:数字说话,不是拍脑袋 |
| 测试验证 | 功能测试+部分可靠性测试 | 需做仿真级故障注入验证诊断覆盖率 | 必须追加实物级故障注入验证安全机制性能和响应时间 | 证明安全机制真的有用,不是摆设 |
下面展开说。
2. 流程差异:不是“怎么做”,是“怎么证明你一直会这么做”
非车规芯片的开发流程,核心目标是“把功能做对”。车规功能安全芯片的核心目标是“证明你永远有能力把功能做对,并且证明给第三方看”。
ASIL-B/D芯片的开发必须遵循ISO 26262或GB/T 34590的全生命周期流程。这意味着:
-
必须设立功能安全经理(FSM),全员培训安全文化,不是“几个人懂就行”
-
所有需求必须双向追溯:从顶层安全目标→技术安全需求→硬件需求→设计实现→验证用例,一条链串起来,少一环认证就过不了
-
必须形成开发接口协议(DIA):因为芯片通常是SEooC(脱离语境的安全元素),你必须写清楚“这芯片到底在什么条件下用才是安全的”,下游客户签字认可
非车规芯片不需要这些。你画完版图、流片回来能点亮,就结束了。
3. 硬件架构差异:ASIL-D强制“双份保险”
这是最直观的区别。
非车规芯片:一个CPU核,坏了就死机。
ASIL-B芯片:可以在非安全关键模块用单核,但在安全关键路径(如为ASIL-D系统提供服务的“安全岛”)必须用双核锁步(Lockstep)。两个核执行相同指令,输出实时比较,不一致立刻报错。
ASIL-D芯片:强制要求更高的硬件冗余。
-
处理器核通常需要双核锁步,甚至三模冗余(TMR),三取二表决
-
电源、时钟、传感器都需要冗余设计
-
以TI的LM5137F-Q1为例,它集成了模拟BIST(ABIST),启动前先自检自己和周边电路的健康状态,确认没问题才让输出使能——这功能非车规电源芯片听都没听过
一个典型的ASIL-B SoC设计策略是:芯片整体目标是ASIL-B,但里面的处理器子系统单独做到ASIL-D,作为“安全岛”来兜底。这种“分级安全”架构在ADAS芯片里非常常见。
非车规芯片不需要这种架构,成本敏感的应用也承受不起双核锁步带来的面积和功耗代价。
4. 片内安全机制:从“被动不坏”到“主动自查”
非车规芯片也有保护电路(ESD、过流),但那叫可靠性设计,不是功能安全。
ASIL-B/D芯片的片内机制,核心目标是“发现故障、报告故障、进入安全状态”。常见机制及等级差异如下:
| 安全机制 | 非车规 | ASIL-B | ASIL-D | 说明 |
|---|---|---|---|---|
| 存储器ECC | 无 | 可选(单纠错双检错) | 强制 | ASIL-D对SRAM/Flash几乎必配ECC |
| 奇偶校验 | 无 | 低成本替代 | 不满足覆盖率 | ASIL-D要求纠正能力,不止检错 |
| CRC/校验和 | 极少 | 关键数据流 | 全周期校验 | ASIL-D要求运行时定期CRC重算 |
| LBIST(逻辑BIST) | 无 | 可选上电自检 | 强制周期性自检 | 上电、休眠、甚至运行中插空测 |
| ABIST(模拟BIST) | 无 | 极少 | 高端方案集成 | 如TI电源芯片,测ADC/比较器好坏 |
| 电压/时钟监控 | 无 | 可选 | 双路冗余监控 | ASIL-D必须防止单点失效 |
关键差异:非车规芯片坏了你换一台;ASIL-D芯片坏了,它要自己发现、自己报告、自己停在安全位置。
5. 测试验证:从“测功能”到“测故障”
这是工作量差别最大的地方。
非车规芯片测试:
-
功能测试:逻辑对不对
-
性能测试:跑多快、功耗多少
-
可靠性测试:HTOL、ESD、AEC-Q100(如果是车规)
ASIL-B/D芯片必须在上述基础上,追加两套测试体系:
1. 仿真级故障注入
-
目的:计算诊断覆盖率(DC),证明你加的安全机制确实能抓到故障
-
方法:用工具(Synopsys Z01X、西门子Tessent、芯思维SSIM等)向RTL/网表里注入成千上万种故障(SA0/SA1、SET、SEU),看安全机制能不能报出来
-
产出:FMEDA报告里的SPFM、LFM数值
-
非车规芯片不做这个——没人关心你的看门狗到底能抓到多少比例的故障
2. 实物级故障注入
-
目的:验证安全机制在真实硅片上的性能——不仅“能不能抓”,还要“多久抓到”
-
方法:用电压毛刺、时钟毛刺、电磁脉冲、激光打芯片内部,人为制造故障,量测响应时间
-
典型案例:电子五所实测某ASIL-B MCU,厂家宣称低压监测延时10μs,实测25.5μs——这种差距只有实物故障注入能发现
-
非车规芯片完全不做——没人拿激光打你的门锁芯片
结论:ASIL-B/D芯片的测试成本远超非车规芯片,主要就贵在这两轮故障注入上。
6. 量化指标:ASIL-D是有“及格线”的
非车规芯片没有功能安全指标。ASIL-B/D有三条硬杠杠:
| 指标 | 全称 | ASIL-B要求 | ASIL-D要求 | 物理意义 |
|---|---|---|---|---|
| SPFM | 单点故障度量 | ≥90% | ≥99% | 单个坏点能被抓到的比例 |
| LFM | 潜伏故障度量 | ≥60% | ≥90% | 双点故障里第二点坏之前能被发现的比例 |
| PMHF | 随机硬件失效概率 | <100 FIT | <10 FIT | 十亿小时累计故障次数 |
ASIL-D的99%意味着:100个单点故障,至多允许1个漏网。这1%的容忍度,逼着你上双核锁步、上三模冗余、上ABIST、上全生命周期CRC。
非车规芯片不需要算这些数,因为没人要求你证明“坏的概率小于多少”。
把上面这些串起来,结论很清晰:
非车规芯片追求的是“正常工作时不坏”;ASIL-B/D芯片追求的是“坏了也要往安全方向坏”。
从流程、架构、机制到测试,ASIL-B/D芯片做的每一件“多余的事”,都是在为这个目标服务。它不是消费级的“增强版”,而是另一个物种。
对于正在做车规产品选型,或者需要向客户解释“为什么这颗芯片贵这么多”的工程师,能把“双核锁步”“FMEDA”“实物故障注入”这些词背后的工程代价讲清楚,本身就是专业能力的体现。
这类“把标准条款翻译成工程代价”的内容,在与非网的文章栏目里经常出现。比如TI电源芯片的ABIST机制解析、国产MCU的故障注入实测对比、以及不同等级ASIL对BOM成本的影响测算——这些不是标准文档里会写的东西,而是踩过坑的工程师写出来的。如果你正在做功能安全相关项目,定期刷这类内容,比硬啃ISO 26262原著更容易转化成选型决策的底气。
