【導讀】中(zhong)國(guo)已(yi)經(jing)連(lian)續(xu)十(shi)多(duo)年(nian)成(cheng)為(wei)全(quan)球(qiu)第(di)一(yi)大(da)汽(qi)車(che)產(chan)銷(xiao)國(guo)，智(zhi)能(neng)化(hua)也(ye)成(cheng)為(wei)了(le)汽(qi)車(che)行(xing)業(ye)發(fa)展(zhan)的(de)一(yi)個(ge)重(zhong)要(yao)方(fang)向(xiang)
，同(tong)時(shi)越(yue)來(lai)越(yue)多(duo)的(de)製(zhi)造(zao)商(shang)正(zheng)在(zai)考(kao)慮(lv)進(jin)入(ru)無(wu)人(ren)機(ji)和(he)飛(fei)行(xing)汽(qi)車(che)等(deng)低(di)空(kong)設(she)備(bei)，而(er)所(suo)有(you)的(de)這(zhe)些(xie)係(xi)統(tong)產(chan)品(pin)都(dou)需(xu)要(yao)先(xian)進(jin)芯(xin)片(pian)的(de)支(zhi)撐(cheng)，其(qi)中(zhong)的(de)許(xu)多(duo)芯(xin)片(pian)因(yin)其(qi)功(gong)能(neng)都(dou)是(shi)安(an)全(quan)關(guan)鍵(jian)型(xing)芯(xin)片(pian)（safety-critical chip）。

中(zhong)國(guo)已(yi)經(jing)連(lian)續(xu)十(shi)多(duo)年(nian)成(cheng)為(wei)全(quan)球(qiu)第(di)一(yi)大(da)汽(qi)車(che)產(chan)銷(xiao)國(guo)
，智(zhi)能(neng)化(hua)也(ye)成(cheng)為(wei)了(le)汽(qi)車(che)行(xing)業(ye)發(fa)展(zhan)的(de)一(yi)個(ge)重(zhong)要(yao)方(fang)向(xiang)，同(tong)時(shi)越(yue)來(lai)越(yue)多(duo)的(de)製(zhi)造(zao)商(shang)正(zheng)在(zai)考(kao)慮(lv)進(jin)入(ru)無(wu)人(ren)機(ji)和(he)飛(fei)行(xing)汽(qi)車(che)等(deng)低(di)空(kong)設(she)備(bei)
，而(er)所(suo)有(you)的(de)這(zhe)些(xie)係(xi)統(tong)產(chan)品(pin)都(dou)需(xu)要(yao)先(xian)進(jin)芯(xin)片(pian)的(de)支(zhi)撐(cheng)，其(qi)中(zhong)的(de)許(xu)多(duo)芯(xin)片(pian)因(yin)其(qi)功(gong)能(neng)都(dou)是(shi)安(an)全(quan)關(guan)鍵(jian)型(xing)芯(xin)片(pian)（safety-critical chip）。

所有類型的安全關鍵型芯片設計都需要深謀遠慮和認真規劃。本文的目的是闡明在安全關鍵型應用中使用預先打造的電路功能（也就是IP內核）的益處，並為您在設計芯片時
，在做出相關選擇和IP內核集成過程中提供一些指導。

遺憾的是
，設計師往往低估了在其項目的早期階段與第三方IP製造商合作的重要性和益處。缺乏與IP供應商之間有計劃的密切合作可能會導致誤解、時間壓力、流片延遲和挫敗感。當然，您肯定希望在您的芯片設計項目中避免所有這些問題——那我們就接著往下看。

什麼是安全標準?

在我們深入研究安全關鍵型芯片設計的IP選型之前，讓我們先快速了解一下不同的行業針對安全性形成的標準。

適用於汽車行業的標準是ISO 26262，它源自IEC 61508標準。《航空器機載電子設備硬件設計保障指南（DO-254）和AMC 20-152A（基本上是DO-254的補充）是為開發航空機載電子設備硬件的工程師提出要求的通用標準。其他最終用途和設計應用都可能有其自己的專用標準。ISO 21434網絡安全標準就是一個例子，它在當今的汽車和航空電子設計中扮演著越來越重要的角色。（出於本文的目的，我將把重點放在安全性上
，而不是安全防護。）

我們為什麼需要安全標準?以及它們為什麼會有這麼多不同之處?

接下來我們討論一下為什麼在開發電路的時候需要標準化的問題。坦率地說，這個話題並不新鮮，甚至也不令人興奮！安全標準甚至經常被視為一種必要的挑戰——但是，如果沒有明確定義的可靠性和操作安全性規則，電子電路的運行將不再可能。

yuhangkonggongsifeixingyuanzaiqifeiqianbixutongguofeijisuoyouanquanxiangguandebiaozhunxieyileisi，biaozhunhuayebixuzuoweidianlukaifadeyibufenjiayituijin。jishifeixingyuanyijingjinglileshubaicixiangtongdeguocheng，bingqiechenggongwanchenglexiangyingshuliangdefeixing
，zaimeicizhongxinqifeizhiqianyebixuzhongxinjinxinggaichengxu；這一措施的唯一目標是避免錯誤。

同理
，這正是ISO 26262和IEC 61508等預定義的標準所希望達到的目的：一yi個ge明ming確que定ding義yi的de計ji劃hua，有you助zhu於yu發fa現xian可ke能neng的de錯cuo誤wu並bing對dui問wen題ti進jin行xing分fen類lei
，從cong而er使shi設she計ji能neng夠gou對dui不bu可ke預yu見jian的de情qing況kuang做zuo出chu充chong分fen的de反fan應ying。如ru果guo輪lun胎tai損sun壞huai
，必bi須xu阻zu止zhi飛fei機ji起qi飛fei

，因yin為wei它ta將jiang無wu法fa安an全quan著zhe陸lu。然ran而er
，如ru果guo機ji上shang廚chu房fang有you缺que陷xian，這zhe對dui於yu飛fei行xing來lai說shuo可ke能neng是shi可ke以yi接jie受shou的de
，因yin為wei它ta不bu會hui對dui飛fei機ji的de航hang空kong機ji械xie性xing能neng產chan生sheng不bu利li影ying響xiang。

從根本上說，輪船船長和飛行員的目標是完全相同的：jijiangchengkehehuowuanquandiyunsongdaoyudingdemudedi。youyuhaishanghekongzhonglvxingzhijiandejudachayi

，duizhexierenwujiuyoubutongdebiaozhun。zhengshiyouyuzhegeyuanyin，suoyicaizhidinglezhuanmendeanquanbiaozhun。weizhexiebutongyunshugongjutigongshebeiderenhegongyingshangbixushixianzhidao，liru
，tamendetuoluoluopanjiangyaobeianzhuangzaifeijishanghaishianzhuangzaiyouchuanshang
，yiquebaoqizhengchanggongzuo。zheyeshiIP供應商需要了解將使用其預定義電路功能（IP）的應用環境的原因。

安全標準定義了哪些方麵?

安全標準定義了設計過程安全需求的各個階段：計劃（planning）
、實施（implementation）
、驗證（verification）和文檔記錄（documentation）。

對dui於yu所suo有you標biao準zhun
，該gai程cheng序xu都dou有you或huo多duo或huo少shao的de統tong一yi性xing，但dan應ying該gai注zhu意yi的de是shi

，每mei個ge標biao準zhun對dui這zhe四si個ge階jie段duan的de適shi用yong性xing要yao求qiu的de定ding義yi還hai是shi略lve有you不bu同tong。必bi須xu滿man足zu每mei個ge步bu驟zhou的de原yuan則ze
，從cong而er符fu合he相xiang關guan標biao準zhun。

最終用途和允許的故障概率

為了定義恰當的錯誤處理機製
，就必須對潛在的硬件故障進行分類。就像前麵提到的飛機輪胎和廚房的場景一樣：汽車信息娛樂係統中的一個錯誤可能是可以接受的，而影響安全裝置的錯誤則是不可接受的
，例如自動製動係統。

因此，需要依次對不同的要求進行分類。例如，IEC 61508標準就被細分為五個安全完整性等級：SIL 0到SIL 4。ISO 26262標準包括四個等級：ASIL A到ASIL D（其中ASIL代表汽車安全完整性級別）。類別級別越高，安全要求越嚴格，其中SIL 4或ASIL D是最嚴格的。

在(zai)確(que)定(ding)設(she)計(ji)和(he)驗(yan)證(zheng)中(zhong)必(bi)須(xu)采(cai)用(yong)的(de)方(fang)法(fa)時(shi)，產(chan)品(pin)的(de)最(zui)終(zhong)用(yong)途(tu)在(zai)其(qi)中(zhong)起(qi)著(zhe)至(zhi)關(guan)重(zhong)要(yao)的(de)作(zuo)用(yong)。例(li)如(ru)
，進(jin)入(ru)汽(qi)車(che)信(xin)息(xi)娛(yu)樂(le)係(xi)統(tong)的(de)芯(xin)片(pian)，如(ru)果(guo)發(fa)生(sheng)故(gu)障(zhang)就(jiu)會(hui)給(gei)駕(jia)駛(shi)員(yuan)帶(dai)來(lai)麻(ma)煩(fan)
，但(dan)不(bu)會(hui)對(dui)人(ren)的(de)生(sheng)命(ming)構(gou)成(cheng)任(ren)何(he)風(feng)險(xian)。相(xiang)比(bi)之(zhi)下(xia)
，安(an)全(quan)氣(qi)囊(nang)或(huo)車(che)道(dao)管(guan)理(li)係(xi)統(tong)中(zhong)的(de)芯(xin)片(pian)故(gu)障(zhang)可(ke)能(neng)會(hui)威(wei)脅(xie)到(dao)駕(jia)駛(shi)員(yuan)、乘客、道路上其他車輛甚至行人的安全。

當一種芯片設計的最終用途可能意味著人類的生命會受到威脅時，我們將其稱為安全關鍵型芯片。功能安全在這種設計中是必不可少的：因此，這類設計的完整性級別必須與最終用途相稱。必須對軟件或硬件引起的潛在故障製定計劃並主動解決。

對故障的理解和反應

讓我們進一步了解如何理解和應對潛在的故障。從根本上來說，這都是關於係統如何處理故障情況，並確定：1)如何預防故障本身發生
，或2)如ru何he應ying對dui故gu障zhang。這zhe裏li必bi須xu區qu分fen硬ying件jian錯cuo誤wu和he軟ruan件jian錯cuo誤wu

，它ta們men要yao麼me可ke以yi被bei安an全quan地di忽hu略lve，要yao麼me必bi須xu通tong過guo不bu同tong的de方fang法fa加jia以yi預yu防fang或huo應ying對dui。即ji使shi是shi純chun粹cui的de硬ying件jian錯cuo誤wu，也ye必bi須xu了le解jie這zhe些xie錯cuo誤wu實shi際ji上shang會hui導dao致zhi什shen麼me故gu障zhang，以yi及ji適shi當dang的de應ying對dui措cuo施shi應ying該gai是shi什shen麼me樣yang子zi。

需要對係統性誤差（例如

，由電路開發或不充分驗證導致的）和隨機發生的錯誤（由外部影響引起）之間進行區分。重要的是要明白，在任何情況下都不可能避免係統性錯誤。通過良好的驗證覆蓋
、標準化的測試過程、廣泛的測試，其中也可能通過使用專用的驗證IP（VIP）以及使用專門的工具，有可能顯著提升開發無錯誤產品的可能性。

正如相應的安全標準明確強調的那樣，100%的(de)覆(fu)蓋(gai)率(lv)在(zai)實(shi)際(ji)中(zhong)是(shi)不(bu)可(ke)能(neng)實(shi)現(xian)的(de)。對(dui)於(yu)所(suo)謂(wei)的(de)極(ji)端(duan)情(qing)況(kuang)尤(you)其(qi)如(ru)此(ci)，這(zhe)種(zhong)情(qing)況(kuang)描(miao)述(shu)了(le)元(yuan)器(qi)件(jian)在(zai)異(yi)常(chang)條(tiao)件(jian)下(xia)的(de)操(cao)作(zuo)，並(bing)且(qie)在(zai)電(dian)路(lu)開(kai)發(fa)和(he)相(xiang)關(guan)驗(yan)證(zheng)中(zhong)都(dou)是(shi)一(yi)種(zhong)挑(tiao)戰(zhan)。

另一方麵，也不能完全排除隨機錯誤。在這裏
，有必要製定對此類錯誤做出適當反應的策略。為了消除由外部影響（如α因子）引(yin)起(qi)的(de)潛(qian)在(zai)故(gu)障(zhang)，必(bi)須(xu)采(cai)用(yong)錯(cuo)誤(wu)檢(jian)測(ce)和(he)校(xiao)正(zheng)電(dian)路(lu)。根(gen)據(ju)應(ying)用(yong)領(ling)域(yu)和(he)無(wu)錯(cuo)誤(wu)操(cao)作(zuo)要(yao)求(qiu)的(de)級(ji)別(bie)，有(you)必(bi)要(yao)提(ti)供(gong)容(rong)錯(cuo)實(shi)現(xian)。容(rong)錯(cuo)在(zai)發(fa)生(sheng)錯(cuo)誤(wu)會(hui)危(wei)及(ji)人(ren)類(lei)生(sheng)命(ming)的(de)情(qing)況(kuang)下(xia)尤(you)其(qi)重(zhong)要(yao)，比(bi)如(ru)飛(fei)機(ji)上(shang)的(de)設(she)備(bei)。

原yuan則ze上shang來lai說shuo，這zhe樣yang的de要yao求qiu需xu要yao大da大da增zeng加jia實shi現xian的de工gong作zuo量liang
，當dang然ran也ye需xu要yao增zeng加jia驗yan證zheng的de工gong作zuo量liang。在zai這zhe個ge領ling域yu
，有you必bi要yao強qiang調tiao的de是shi，芯xin片pian設she計ji人ren員yuan必bi須xu要yao驗yan證zheng電dian路lu本ben身shen的de正zheng確que性xing，還hai要yao驗yan證zheng錯cuo誤wu檢jian測ce和he糾jiu正zheng電dian路lu的de正zheng確que性xing。

IP開發是如何受到影響的?

當為安全關鍵型設計創建或使用IP時，工程師必須要牢記什麼?

即ji使shi隻zhi對dui最zui終zhong產chan品pin進jin行xing認ren證zheng
，但dan其qi中zhong每mei個ge組zu件jian也ye必bi須xu滿man足zu適shi用yong於yu整zheng個ge係xi統tong的de要yao求qiu。因yin此ci
，所suo有you子zi組zu件jian都dou必bi須xu按an照zhao嚴yan格ge的de規gui則ze來lai執zhi行xing電dian路lu實shi現xian要yao求qiu，以yi考kao慮lv產chan品pin在zai安an全quan性xing相xiang關guan應ying用yong中zhong的de後hou續xu使shi用yong，並bing遵zun守shou適shi用yong標biao準zhun的de開kai發fa流liu程cheng。

就ISO 26262標準而言，設計流程要求包括：

• 詳細的規劃——在定義功能安全要求階段中必須仔細完成

• 分析——旨在識別危險和可能的錯誤模式

• 實施——即對前麵兩個步驟進行全麵的考量

然(ran)後(hou)，必(bi)須(xu)對(dui)係(xi)統(tong)進(jin)行(xing)驗(yan)證(zheng)和(he)確(que)認(ren)。為(wei)了(le)獲(huo)得(de)認(ren)證(zheng)
，所(suo)有(you)細(xi)分(fen)步(bu)驟(zhou)都(dou)必(bi)須(xu)有(you)良(liang)好(hao)的(de)證(zheng)明(ming)文(wen)件(jian)
，並(bing)記(ji)錄(lu)其(qi)結(jie)果(guo)。同(tong)時(shi)，這(zhe)個(ge)記(ji)錄(lu)必(bi)須(xu)包(bao)括(kuo)所(suo)使(shi)用(yong)的(de)工(gong)具(ju)和(he)采(cai)用(yong)的(de)驗(yan)證(zheng)方(fang)法(fa)等(deng)等(deng)。

為了獲得DO-254renzheng，bixuzaiguifanzhidingjieduanshouxianjiuyaoqiangzhixingdishiyongmingquededingyiheshuyu，yiquebaocongyikaishijiuyouwanquankezhuisuxing，bingzhichujingquedeyaoqiu，yiquebaoxiangxidezhengmingwenjian。

要獲得這種類型的認證需要付出很大的努力！還必須承擔額外的任務來創建適當的證明文件，如記錄驗證過程、錯誤覆蓋
、錯誤報告和工具使用等必需環節。還應該注意的是，隻有某種產品在獲得認證後保持不變的“凍結”版本才是認證合格的。此外，在創建產品時所使用工具的版本也必須保持不變。

獲得行業標準機構認證

為了確保符合DO-254或ISO 26262等安全標準，就有必要獲得相應的認證。公司必須與獨立的組織合作，例如德國的TÜV SÜD等機構
，以完成認證過程。全球有許多這樣的認證機構。

那麼，你應該追求認證嗎
？這需要視情況而定。

不(bu)利(li)的(de)一(yi)麵(mian)是(shi)
，獲(huo)得(de)安(an)全(quan)標(biao)準(zhun)認(ren)證(zheng)的(de)整(zheng)個(ge)過(guo)程(cheng)非(fei)常(chang)耗(hao)時(shi)
，而(er)且(qie)還(hai)需(xu)要(yao)適(shi)當(dang)培(pei)訓(xun)人(ren)員(yuan)。還(hai)需(xu)要(yao)在(zai)整(zheng)個(ge)認(ren)證(zheng)期(qi)間(jian)接(jie)受(shou)認(ren)證(zheng)組(zu)織(zhi)的(de)審(shen)核(he)，以(yi)檢(jian)查(zha)和(he)證(zheng)明(ming)實(shi)現(xian)功(gong)能(neng)安(an)全(quan)的(de)措(cuo)施(shi)的(de)完(wan)整(zheng)性(xing)。

有(you)利(li)的(de)一(yi)麵(mian)是(shi)，認(ren)證(zheng)可(ke)以(yi)增(zeng)加(jia)客(ke)戶(hu)對(dui)其(qi)所(suo)需(xu)的(de)產(chan)品(pin)質(zhi)量(liang)和(he)可(ke)靠(kao)性(xing)的(de)信(xin)任(ren)。此(ci)外(wai)
，由(you)於(yu)投(tou)入(ru)了(le)額(e)外(wai)的(de)時(shi)間(jian)和(he)精(jing)力(li)
，在(zai)整(zheng)個(ge)設(she)計(ji)過(guo)程(cheng)中(zhong)對(dui)細(xi)節(jie)的(de)嚴(yan)格(ge)關(guan)注(zhu)可(ke)以(yi)開(kai)發(fa)出(chu)優(you)質(zhi)的(de)產(chan)品(pin)。

在大多數情況下，認證IPhezheyangdedangezizujianshimeiyouyiyide，yinweitamenhuibeiyongyugengfuzadedianluzhong。danshi，suoyouzizujiandoubixufuheshiyongbiaozhunguidingdeyangeguize，bingkaolvdaochanpinzaianquanxiangguanyingyongzhongdehouxushiyong。

最終考量因素

如前所述
，獲得認證並不容易，但值得一試。即使隻對最終產品進行認證
，但包括第三方IP核he在zai內nei的de每mei個ge組zu件jian都dou必bi須xu滿man足zu適shi用yong於yu整zheng個ge係xi統tong的de要yao求qiu。因yin此ci
，所suo有you子zi組zu件jian都dou有you必bi要yao按an照zhao適shi用yong標biao準zhun的de嚴yan格ge規gui則ze進jin行xing電dian路lu實shi現xian
，並bing在zai開kai發fa階jie段duan就jiu為wei產chan品pin的de安an全quan關guan鍵jian型xing最zui終zhong用yong途tu製zhi定ding規gui劃hua。前qian麵mian提ti到dao的de標biao準zhun定ding義yi流liu程cheng必bi須xu從cong始shi至zhi終zhong貫guan徹che。

SmartDV已在汽車和航空電子設計方麵富有經驗和頗有建樹，可以成為芯片廠商在探索相關領域時值得信賴的IP合作夥伴。我們的VIP是由具有數十年複雜芯片驗證經驗的驗證工程師所創建。我們還為各種應用提供基於標準的設計IP。下麵顯示的是我們的一些IP核，它們都適用於本文中討論的安全關鍵型設計。

隨著芯片的複雜性不斷增加，驗證也在逐年變得越來越複雜。在當今的芯片設計中，驗證往往會消耗大約60%-80%的項目資源
，並且通常是整個過程中的瓶頸。正是因為這樣的複雜性和重要性
，與值得信賴的IP夥伴合作是回報最高的途徑
，他們將與芯片設計師共同解決其在此過程中遇到的任何問題。

市場差異化帶來的定製化需求也在芯片行業中不斷凸顯。無論您是為下一代SoC、ASIC或FPGA項目采購設計IP
，還是尋求驗證解決方案（VIP）來完成您的芯片設計

，SmartDV都可以快速且可靠地對我們多元化的產品組合進行定製

，以滿足您獨特的設計需求。我們的SmartCompiler™技術使這種定製化可以很完美地實現，並可使芯片設計公司獲得更高的回報。IP Your Way™——隻需定義您的規格
，然後交給我們處理。

我們期待看到您的芯片設計成果應用在道路上或在天空中！

本篇技術文章是Philipp之前發表的同一主題博客文章的後續，他最近也用在線研討會的方式詳細解讀了這個話題
，大家可以關注“智權半導體”微信公眾號
，我們將在近期發布他的演講視頻記錄。智權半導體科技（廈門）有限公司是SmartDV在中國的全資子公司
，其目標是為中國的客戶提供更直接和深入的支持

，並與中國的合作夥伴開展更全麵的合作。

關於Philipp Jacobsohn

Philipp Jacobsohn是SmartDV的高級應用工程師，他為北美和歐洲地區的客戶提供設計IP和驗證IP方麵的支持。除了使SmartDV的客戶實現芯片設計成功這項工作，Philipp還是一個狂熱的技術作家

，樂於分享他擁有的在半導體行業近30年積累的豐富知識。在2023年加入SmartDV團隊之前，Philipp在J. Haugg、Synopsys、Synplicity、Epson Europe Electronics、Lattice Semiconductors
、EBV Elektronik和SEI-Elbatex等擔任過多個工程和現場應用職位。Philipp在瑞士工作。

關於智權半導體

智權半導體科技（廈門）有限公司是SmartDV Technologies™在華設立的全資子公司，其目標是利用SmartDV全球領先的矽知識產權（IP）技術和產品
，以及本地化的支持服務來賦能中國集成電路行業和電子信息產業。目前
，SmartDV在全球已有300家客戶，其中包括十大半導體公司中的七家和四大消費電子公司。

通過將專有的SmartCompiler™技術與數百位專家工程師的知識相結合，SmartDV可以快速

、經濟
、可靠地定製IP，以實現您獨特的設計目標。因此
，無論您是為下一代SoC、ASIC或FPGA尋找基於標準的設計IP，還是尋求驗證解決方案（VIP）來測試您的芯片設計，您都會發現SmartDV的IP非常容易集成，並在性能上可力助您的芯片設計實現差異化。

（來源：智權半導體

，作者：Philipp Jacobsohn
，SmartDV高級應用工程師）

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息
，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

推薦閱讀：

西部電博會即將舉辦！電子信息成都高新區專場為企業深度解析

LoRaWAN（非蜂窩LPWA）入門 - 基礎篇

創新存儲如何滿足“既要、又要、還要”的苛刻設計需求

智能邊緣傳感器需要新電源概念

一文了解SiC MOS的應用