一、安全機(jī)制的劃分目前業(yè)界主流的功能安全機(jī)制設(shè)計(jì)，按照其技術(shù)原理可以分為三類：冗余，診斷和監(jiān)控，隔離。冗余技術(shù)最早源自于航天領(lǐng)域，通過對單一的功能單元增加備份，以達(dá)到增強(qiáng)其安全性的目的。在車載芯片的功能安全設(shè)計(jì)中，冗余也是一個重要的技術(shù)手段。把冗余技術(shù)按照空間維，時間維和信息維三個維度來劃分，就可以對相關(guān)的安全機(jī)制做一個歸納?？臻g維度的冗余就是通過復(fù)制功能單元來比對輸出結(jié)果，以增加電路面積的代價獲得安全性的提升，常見的冗余機(jī)制包括有：DCLS雙核鎖步，DMR雙模冗余，TMR三模冗余。四模冗余在車載芯片領(lǐng)域極為罕見，這里不進(jìn)行討論。時間維度的冗余可以理解為增加操作時間窗口，在時間窗口內(nèi)重復(fù)同樣的操作，并通過反饋機(jī)制來確認(rèn)操作是否正確。對于時間維度的冗余機(jī)制，26262標(biāo)準(zhǔn)中列出的安全機(jī)制包括了TR重發(fā)和RB回讀。信息維度的冗余就是發(fā)送端在傳輸信息時，除了本身需要傳輸?shù)男畔?，還增加了相應(yīng)的冗余位，冗余位與信息位同時傳輸，接收端可以通過雙方約定的機(jī)制，對信息位和冗余位進(jìn)行計(jì)算并校驗(yàn)，從而得知接收到的信息位是否出現(xiàn)錯誤。對于信息維度的冗余機(jī)制：26262標(biāo)準(zhǔn)中列出了ECC錯誤探測糾錯碼，PC奇偶校驗(yàn)碼，以及改進(jìn)的CheckSum校驗(yàn)和（通常會使用CRC來實(shí)現(xiàn)）。除了冗余機(jī)制以外，診斷和監(jiān)控機(jī)制也大面積應(yīng)用在車載芯片的功能安全設(shè)計(jì)中。通常的，對一個功能單元，要應(yīng)用診斷和監(jiān)控機(jī)制，考量的維度一個是功能單元內(nèi)部的自測試和自診斷，另一個是從功能單元外部進(jìn)行的診斷和監(jiān)控，也就是對它的輸入輸出進(jìn)行診斷和監(jiān)控。常見的自測試和自診斷機(jī)制包括了MBIST存儲自測試，LBIST邏輯自測試，EIT注錯測試。有些公司會把PBIST上電自測試單獨(dú)列出。對于模擬模塊則需要支持ABIST模擬自測試，還有我們在設(shè)計(jì)中增加的testpattern測試模式也可以歸在這個范疇里。在26262標(biāo)準(zhǔn)里這部分機(jī)制被籠統(tǒng)的寫成了“硬件支持的自檢”和“通過軟件實(shí)現(xiàn)的自檢”以及“使用測試模式進(jìn)行檢查”。常見的外部診斷機(jī)制可以是TO超時機(jī)制，也可以是模塊的狀態(tài)監(jiān)測和對輸入輸出數(shù)據(jù)的正確性進(jìn)行檢查等等。除了冗余、診斷和監(jiān)控以外，隔離也是一個重要的考量維度。隔離是為了隔絕CCF共因失效，CMF共模失效以及CF級聯(lián)失效的影響，避免由于一個小的故障引發(fā)更大的故障。那么在設(shè)計(jì)的時候通常就需要考慮供電隔離，時鐘隔離，干擾源的隔離等手段，此外重要的功能單元在設(shè)計(jì)中也需要考慮相應(yīng)的隔離措施。鎖步器件在后端設(shè)計(jì)中需要有間距的考量和旋轉(zhuǎn)90度的要求，其本質(zhì)也是一種隔離。除了硬隔離以外，權(quán)限控制也是一種隔離的形式。常見的權(quán)限控制通常是指對重要的存儲單元/目標(biāo)模塊限制指定模塊的訪問權(quán)限，這種控制既可以是在空間維度也可以是在時間維度，此外還可以對權(quán)限的層級進(jìn)行控制。除此之外，在大型芯片中通過虛擬化設(shè)計(jì)管控軟件對硬件資源的請求是很普遍的做法，這其實(shí)也是一種隔離。圖一給出了依照上述討論畫的思維導(dǎo)圖，可以作為比較形象化的體現(xiàn)。實(shí)際工作中可以依照這個圖分門別類繼續(xù)增加新的安全機(jī)制，但大體上不會超出這三類。當(dāng)然，診斷和監(jiān)控機(jī)制也可以視為一種冗余。那么是否可以把一個診斷和監(jiān)控機(jī)制也劃分在冗余分類下呢？個人覺得可以這樣來劃分，冗余本質(zhì)上是對功能單元自體功能和屬性的復(fù)制，而診斷和監(jiān)控則是增加了新的功能來對原有功能單元進(jìn)行探測，這部分增加的邏輯不屬于功能單元自體功能的復(fù)制，依據(jù)這樣的標(biāo)準(zhǔn)就可以比較清晰的把這兩者分開。好了，現(xiàn)在我們討論完了安全機(jī)制的劃分，可以開始討論如何考慮芯片的功能安全設(shè)計(jì)了。掌握了每個具體的安全機(jī)制，就像練好了拳法套路的一招一式，但是具體到實(shí)際工作中，還需要見招拆招靈活運(yùn)用，針對每個具體的設(shè)計(jì)模塊考慮相匹配的安全機(jī)制。二、從安全目標(biāo)(SafetyGoal)考慮功能安全設(shè)計(jì)從安全目標(biāo)來劃分，可以把功能安全設(shè)計(jì)分為FailOperational失效可運(yùn)行和FailSafe失效安全兩類。這兩類的架構(gòu)設(shè)計(jì)重點(diǎn)是完全不同的。對安全目標(biāo)為失效可運(yùn)行的功能安全設(shè)計(jì)，需要確保當(dāng)目標(biāo)功能單元發(fā)生故障時可以有備份功能單元立即接管任務(wù)。通常的，在實(shí)現(xiàn)時會選擇雙冗余帶診斷的架構(gòu)，更進(jìn)一步的可以采用帶EGAS三層監(jiān)控的2oo2D架構(gòu)。在失效可運(yùn)行的功能安全設(shè)計(jì)中，主功能單元和備份功能單元完全相同，處于相同的工作狀態(tài)，并且彼此都可以通過診斷接口探測到對方的狀態(tài)。如果主功能單元發(fā)生失效，在檢測到失效的第一時間就會切換到備份功能單元繼續(xù)實(shí)現(xiàn)功能，同時發(fā)出降級警報。對安全目標(biāo)為失效安全的功能安全設(shè)計(jì)，其基本原則則是當(dāng)發(fā)生故障時，系統(tǒng)將關(guān)閉功能單元以進(jìn)入安全狀態(tài)。對應(yīng)的功能安全設(shè)計(jì)，基于成本的考量，往往會采用1oo1D架構(gòu)。在架構(gòu)設(shè)計(jì)時需要針對設(shè)計(jì)的功能路徑進(jìn)行安全分析，識別并定位對于路徑上發(fā)生失效會影響安全目標(biāo)的功能單元，然后基于相關(guān)功能單元進(jìn)行失效模式分析，并增加相應(yīng)的安全機(jī)制，來確保系統(tǒng)失效后可以進(jìn)入安全狀態(tài)。通常的，對于滿足失效安全的設(shè)計(jì)，定義的安全狀態(tài)包括有恢復(fù)正確狀態(tài)，報錯（包括中斷或者錯誤指示），復(fù)位和下電等。對于復(fù)雜大芯片，需要綜合考量芯片各個功能單元進(jìn)入不同安全狀態(tài)后的反應(yīng)策略，合理規(guī)劃各種反應(yīng)策略的分布，以達(dá)到芯片在滿足功能安全要求的同時盡可能的滿足可用性以改善用戶體驗(yàn)。三、從芯片類型和功能劃分（ChipType&FunctionDivision）考慮功能安全設(shè)計(jì)通常的，我們可以把芯片按照SOC系統(tǒng)級芯片和ASIC專用芯片來劃分。在SOC芯片中，AMBA協(xié)議是工程師們最熟悉最常用的總線協(xié)議，協(xié)議本身提供了一些安全機(jī)制來應(yīng)對總線通信發(fā)生錯誤的情況，但是對于車規(guī)芯片來說這是遠(yuǎn)遠(yuǎn)不夠的。幸運(yùn)的是協(xié)議為用戶提供了擴(kuò)展的總線邊帶接口，利用這些邊帶接口定制相應(yīng)的安全機(jī)制是常用的手段。工程師們在設(shè)計(jì)時需要根據(jù)目標(biāo)達(dá)到的診斷覆蓋率仔細(xì)計(jì)算能否滿足要求。對于ASIC芯片來說，這又是另外一個敘事了。由于芯片模塊之間通過信號推送的機(jī)制直接傳遞數(shù)據(jù)，通?？梢圆捎脙煞N方式來增加安全機(jī)制：一種是直接在模塊端口上增加相應(yīng)的糾錯檢錯信號接口，比如ECC糾錯檢錯碼或者奇偶校驗(yàn)碼，這種做法需要仔細(xì)的評估完整的數(shù)據(jù)通路，并且確保安全機(jī)制能夠有效覆蓋到從數(shù)據(jù)發(fā)送端到接收端的完整路徑，這么做在為信號提供有效保護(hù)的同時，帶來的副作用就是相應(yīng)的硬件電路成本增加以及信號時序的劣化，小心的選擇對應(yīng)安全機(jī)制的實(shí)現(xiàn)電路可以改善這種劣化。如果糾錯檢錯機(jī)制不能覆蓋信號傳輸全路徑的話，就需要考慮在無法覆蓋的路徑上以空間冗余的方式增加相應(yīng)的安全機(jī)制，通?？梢允擎i步或者雙模冗余的形式。另外一種做法，在不能改變底層通信協(xié)議的情況下，我們可以考慮以增加時間冗余的形式來提高安全性。通過在信號傳輸協(xié)議的上層增加一層安全協(xié)議來實(shí)現(xiàn)錯誤重傳機(jī)制，接收端在接收到數(shù)據(jù)后進(jìn)行解碼并校驗(yàn)數(shù)據(jù)的正確性，并通過返回信道把校驗(yàn)結(jié)果回傳給發(fā)送端，如果校驗(yàn)結(jié)果錯誤，發(fā)送端會重發(fā)數(shù)據(jù)，并繼續(xù)等待返回的校驗(yàn)結(jié)果，只有在校驗(yàn)結(jié)果為正確才會發(fā)送下一筆數(shù)據(jù)，若超時則報錯。這種做法的缺陷是底層傳輸協(xié)議的誤碼率不變，如果是在傳輸信道高干擾的背景下有可能出現(xiàn)數(shù)據(jù)無法傳輸成功的情況。另一種做法是把芯片的功能單元按照控制通路和數(shù)據(jù)通路的屬性來劃分。對于控制通路，如果控制信號是通過總線傳輸，那么其分析類似于前述對SOC芯片AMBA協(xié)議的分析，在協(xié)議擴(kuò)展的總線邊帶接口增加相應(yīng)的安全機(jī)制。如果控制信號是專門邏輯根據(jù)當(dāng)前電路狀態(tài)和時序產(chǎn)生的固定時序，那么其安全分析類似于對ASIC芯片的分析，需要注意的是對應(yīng)安全機(jī)制的電路時序和控制信號時序的匹配。實(shí)際工作中通過完備的仿真測試來達(dá)到這個要求。對于芯片中的數(shù)據(jù)通路，可能會遇到各種各樣的情況，包括各種低速外設(shè)通路比如I2c，UART，SPI，CAN，F(xiàn)lexRay，各種高速外設(shè)通路比如USB，MIPI，LVDS，PCIE，DisplayPort，SATA等等。進(jìn)行安全分析時需要根據(jù)相應(yīng)的通信協(xié)議是否支持功能安全特性，是否支持用戶擴(kuò)展接口等等進(jìn)行功能拆解，在通路上增加相應(yīng)的安全機(jī)制。對數(shù)據(jù)通路進(jìn)行功能安全設(shè)計(jì)的核心是控制殘余差錯率，而殘余差錯率一般取決于傳輸過程的錯誤率和差錯控制機(jī)制的設(shè)計(jì)。影響傳輸錯誤率的因素包括有傳輸介質(zhì)，干擾等，設(shè)計(jì)時可以通過隔離干擾源等手段來改善。差錯控制機(jī)制通常包括有數(shù)據(jù)傳輸時攜帶SequenceNumber序列號，TimeStamp時間戳，MessageFeedback信號回傳，DataIntegrityAssurance數(shù)據(jù)完整性保證，RedundancywithCrossChecking冗余與交叉檢查，ConnectionAuthentication連接認(rèn)證等等，IEC61784-3標(biāo)準(zhǔn)對此提供了很好的指引。另外就是對同樣的機(jī)制，不同的實(shí)現(xiàn)算法能夠達(dá)到的錯誤探測能力也有差異。最典型的例子就是CRC，不同的CRC多項(xiàng)式漢明距離不同，對錯誤碼字漏檢的可能性不同，最終達(dá)到的診斷覆蓋率不同。實(shí)際工作中可以綜合加以考量并實(shí)施。四、從失效模式分析（FailureModeAnalysis）考慮功能安全設(shè)計(jì)從失效模式分析的維度來考慮功能安全設(shè)計(jì)，我們首先要把芯片做分解，分成一個個獨(dú)立的功能單元。一個粗略的劃分方法是分為供電模塊，時鐘模塊，輸入輸出模塊，主處理模塊和存儲模塊。對于供電模塊，26262標(biāo)準(zhǔn)里給出的失效模式有欠壓，過壓，尖峰，漂移，振蕩，啟動時間錯誤等等。外部供電的故障會導(dǎo)致芯片以不可預(yù)測的方式運(yùn)行，并直接導(dǎo)致違反安全目標(biāo)。因此，與電源電壓相關(guān)的故障被視為單點(diǎn)故障。在設(shè)計(jì)中必須實(shí)施專門的安全機(jī)制用于在運(yùn)行時監(jiān)測電壓水平，并在發(fā)生欠壓、過壓或其他失效模式的情況下發(fā)出警報。在設(shè)計(jì)時我們需要仔細(xì)的選擇供電模塊，確保其可以支持診斷出相應(yīng)的失效模式并及時報警。對于復(fù)雜的芯片設(shè)計(jì)，內(nèi)部往往會有多個電源軌，需要根據(jù)安全目標(biāo)確保每條電源軌都被有效監(jiān)控，并在發(fā)生故障時及時報告和應(yīng)對。對于時鐘模塊，26262標(biāo)準(zhǔn)里給出的失效模式有輸出卡滯，浮空，頻率錯誤，占空比錯誤，信號抖動，失鎖，缺少脈沖，出現(xiàn)多余脈沖等等。業(yè)內(nèi)通行的做法是用一個參考時鐘去監(jiān)控目標(biāo)時鐘，并確保兩個時鐘之間不存在共因失效。這個模塊通常叫做時鐘監(jiān)控模塊。對于輸入輸出模塊，主處理模塊和存儲模塊，也可以按照標(biāo)準(zhǔn)中給出的參考失效模式進(jìn)行分析，并進(jìn)行相應(yīng)的功能安全設(shè)計(jì)。在實(shí)際工作中還有可能會遇到有的功能單元在26262標(biāo)準(zhǔn)中沒有給出參考的失效模式。對這些非標(biāo)的功能單元如何進(jìn)行失效模式分析呢？這種情況下通?？梢钥紤]兩種做法，一種是根據(jù)模塊端口按照功能進(jìn)行分組，然后針對每個分組的端口信號進(jìn)行失效模式分析。另一種是根據(jù)模塊功能進(jìn)行拆分，對每個子模塊發(fā)生功能失效時對整個功能單元的影響進(jìn)行分析，并給出相應(yīng)的失效模式。比如NPU神經(jīng)網(wǎng)絡(luò)處理器中有大量的乘加結(jié)構(gòu)的矩陣運(yùn)算單元，在做功能安全分析時就可以對每個運(yùn)算單元的端口信號進(jìn)行分析，也可以把運(yùn)算單元拆分成更小的模塊進(jìn)行分析。當(dāng)然，需要掌握好分析的顆粒度以避免陷入無限拆分下去的困境。五、從安全完整性等級劃分（AutoSafetyInte-grityLevel

Division）考慮功能安全設(shè)計(jì)在26262標(biāo)準(zhǔn)中給出了ASILB到ASILD不同安全完整性等級下單點(diǎn)故障和潛伏故障覆蓋率的劃分，如表一所示。表一單點(diǎn)故障和潛伏故障覆蓋率列表以ASILB和ASILD對比為例，如果一個設(shè)計(jì)需要分別按照ASILB和ASILD的要求進(jìn)行設(shè)計(jì)有什么不同？如果是按照ASILB的要求進(jìn)行功能安全設(shè)計(jì)的話，基于成本的考量，首先應(yīng)當(dāng)盡量平衡安全機(jī)制實(shí)現(xiàn)中軟件部分和硬件部分的比例，在CPU負(fù)載能力能夠支持的前提下盡可能采用軟件實(shí)現(xiàn)安全機(jī)制，只有對于需要通過硬件實(shí)現(xiàn)以優(yōu)化時序的部分才采用硬件。其次，由于ASILB對潛伏故障的診斷覆蓋率要求只有60%，那么在設(shè)計(jì)對于安全機(jī)制的安全機(jī)制時，可以考慮設(shè)計(jì)一些外部監(jiān)控機(jī)制即可滿足要求。對一個ASILD設(shè)計(jì)而言，首要目標(biāo)是滿足單點(diǎn)故障覆蓋率99%的嚴(yán)苛要求，必須首先考慮在不需要軟件介入的前提下，依靠硬件設(shè)計(jì)來達(dá)到診斷覆蓋率的要求。只有在硬件設(shè)計(jì)無法滿足要求的情況下，再想辦法通過軟件手段進(jìn)行補(bǔ)充。其次，由于潛伏故障覆蓋率要求達(dá)到90%以上，單純通過外部監(jiān)控機(jī)制已經(jīng)無法滿足對安全機(jī)制本身的故障進(jìn)行探測和監(jiān)控的要求，所以必須增加各種安全機(jī)制內(nèi)部的自測試和自診斷機(jī)制，也可以考慮通過冗余的方式去提高其診斷覆蓋率。六、從成本效益平衡（CostEffectivenessTrade-Off）考慮功能安全設(shè)計(jì)鎖步設(shè)計(jì)在大多數(shù)情況下都可以滿足功能安全設(shè)計(jì)對診斷覆蓋率的要求。但鎖步設(shè)計(jì)也是雙刃劍，在提供高診斷覆蓋率的同時帶來面積的倍增，這意味著芯片成本的增加。為了避免芯片由于過設(shè)計(jì)導(dǎo)致成本增加不可控，需要謹(jǐn)慎使用相應(yīng)的安全機(jī)制設(shè)計(jì)。因此在功能安全機(jī)制設(shè)計(jì)達(dá)到所要求的診斷覆蓋率后，還需要基于成本考量盡可能的進(jìn)行優(yōu)化設(shè)計(jì)以減少面積。舉個例子講解下，芯片中通常都會使用到超時計(jì)數(shù)器。本身這個超時計(jì)數(shù)器作為一個安全機(jī)制，如果要滿足潛伏故障的診斷覆蓋率，我們需要對計(jì)數(shù)器這個安全機(jī)制設(shè)計(jì)相應(yīng)的安全機(jī)制。如果考慮用軟件安全機(jī)制可以采用程序