來源：納芯微電子

功能安全指電子電氣系統在故障發生時仍能維持安全狀態的能力，其核心在于通過合理的設計和流程將風險降至可接受水平。隨著汽車智能化發展，電子系統復雜度大幅增加，芯片成為功能安全的關鍵載體。

2018年發布的第二版ISO 26262標準首次增設Part 11: Guidelines on application of ISO 26262 to semiconductors章節，對半導體功能安全中涉及到的SEooC（Safety Element out of Context）定義、失效率計算、安全分析、失效模式分析等提供了較為全面的開發指導。這標志著功能安全正式從整車系統層面向芯片級技術縱深拓展，推動汽車電子安全開發進入全新階段。

相較于整車廠與Tier 1廠商，國內芯片功能安全領域起步較晚。作為模擬及混合信號芯片公司的功能安全研發團隊，除深入掌握ISO 26262標準外，還需精準理解芯片在上層系統的應用場景，以定義SEooC。本文基于納芯微工程實踐，對芯片功能安全設計的關鍵路徑進行梳理。

01基于系統安全目標的芯片架構定義

功能安全芯片開發需深度理解系統層應用場景，以逐層分析從系統級安全目標到芯片頂層安全需求，進而到芯片內部功能設計的技術安全需求的邏輯鏈路。

以新能源主驅電機驅動芯片為例，上層系統的典型安全目標為扭矩安全、高壓安全及熱安全。具體到扭矩安全，逆變器通過六個柵極驅動芯片實現永磁同步電機控制。驅動芯片除實現基礎PWM信號輸出外，還需承擔眾多診斷功能。針對功率模塊及外部驅動電路，驅動芯片應監控功率管直通、門級狀態不匹配、過溫等失效模式；針對芯片內部電路是否工作正常，也應執行相應監控，例如隔離通信是否受到干擾或出現失效、內部電源軌輸出是否在允許范圍內等。此外，該芯片還可以通過PWM輸入或原、副邊的ASCx pin承接上層系統關斷路徑的安全需求。

舉例說明安全需求的推導：為實現ASIL D扭矩安全，系統通常采用E-GAS三層架構，通過ASIL等級分解來降低開發難度，結合系統級故障策略，在非嚴重故障(例如單側驅動故障，MCU正常)時，上層系統會通過應用層的PWM信號觸發驅動芯片進入安全狀態，芯片能否可靠執行控制信號，對于一個安全系統至關重要。

進一步結合驅動芯片的關鍵基礎功能，我們可推導出驅動芯片的其中一條頂層安全需求：當芯片內部失效導致芯片驅動外部功率管的控制信號誤動作時，芯片應觸發相應的安全狀態。基于該安全需求，芯片應在內部關鍵路徑執行對應校驗機制，例如PWM一致性檢測、門級狀態一致性檢測。

其中，PWM信號一致性檢測作為芯片內部診斷功能，需要綜合考慮die-to-die傳輸過程中的信號延時以及多類消息的仲裁機制。而門級狀態一致性檢測則需實時監控外部功率管的實際門級狀態是否符合預期。功率管的門級表現可能受到系統級安全請求（ASCx）、內部故障響應或外部功率管失效等多種因素的影響。因此，芯片需要對這些故障響應和安全請求進行優先級判定，并據此控制芯片最終的輸出響應。進一步詳細拆解該需求，則需深入理解上層系統的安全狀態。

當前主流逆變器(驅動永磁同步電機)的安全狀態設計，包含上下橋ASC（Active Short Circuit）和FW (Freewheeling)。ASC通過開通同一側的功率模塊（IGBT/SiC）使電機三相輸入短路，主要用于高速區域；FW則為關斷所有功率模塊，僅限低速使用，高速時可能產生超出安全裕量的負扭矩。逆變器層面，會根據系統中故障的嚴重程度進行分級的安全關斷，例如非嚴重故障通過PWM信號控制進入安全狀態(ASC/FW)，而嚴重故障則采用一條獨立于軟件的硬件關斷路徑去觸發驅動芯片的ASC pin腳。由此可見，驅動芯片為上層系統的安全關斷提供了靈活而多樣化的支持，并且應和系統安全策略匹配。尤其是當系統中出現某些典型失效，例如功率管的GDS（SiC）/ GCE（IGBT）短路時，故障相橋臂內的驅動芯片有可能因為單個失效，面臨一連串故障和系統安全請求的沖突，包括但不限于DESAT、門級一致性校驗、ASCx等。因此，芯片廠在定義SEooC以及技術安全架構時，需要有意識地結合上層系統的use case和期望的故障響應，去進行正向的故障優先級定義。否則，有可能因為芯片多故障管理策略和上層系統安全策略的不一致，導致系統出現非預期的危險狀態，例如高速下Freewheeling。

02失效模式驅動的芯片前端設計

失效模式分析貫穿功能安全芯片設計全流程。前端設計階段需針對芯片內部功能模塊建立失效模式庫，并分析其失效模式影響。視芯片類型，失效模式影響可以分析到芯片級別（Effect on Chip）或上層系統級別（Effect on System），并應最終關聯到芯片頂層安全需求。

針對常見的功能模塊，ISO26262:2018提供了標準化的失效模式庫。開發團隊應結合該功能模塊的具體電路實現（例如不同 LDO的電路架構），基于工程判斷對芯片內各模塊電路的失效模式進行更精細化的分析。其中一種方式，是將模塊電路拆解到架構級，并從底層關鍵器件的基礎失效模式往上推導（例如管子的開路、短路）。在設計具體安全機制時，首先應當針對該電路的失效模式進行分類，識別出可能潛在違反頂層安全需求的失效模式。結合芯片的目標ASIL等級，考慮設計安全機制覆蓋這些失效模式。

此外，老版的標準ISO26262: 2011 Part5 Annex D也提供了針對不同診斷覆蓋率的失效模式簡易參考。以電源失效模式為例：

常見的電源失效模式有：過壓、欠壓、漂移、震蕩、尖峰等。隨著診斷覆蓋率（DC）的提高，安全機制需要覆蓋更復雜/偶發的失效模式。該表格提供的信息雖較為寬泛，但也為設計思路提供了一定指導：

? 低DC（60%）：欠壓、過壓

? 中DC（90%）：疊加漂移

? 高DC（99%）：疊加振蕩、電源尖峰

在進行失效模式分析時，功能安全工程師也應結合失效率一并考量。根據標準，失效率需涵蓋永久故障（permanent fault）和瞬態故障（transient fault）。前者通常基于業內通用的可靠性標準（e.g. IEC62380）計算得出，包含Die、Package、Overstress失效率等。后者可以基于實測，或考慮根據工藝類型，采用門數乘以保守基礎瞬態失效率得到。

03后端實現的共因失效防護

除上述維度的考量，芯片還應在后端物理實現上也采取措施防止共因失效。以常用的雙核鎖步（DCLS）和三模冗余（TMR）為例：

雙核鎖步（DCLS）通過雙核冗余執行與實時比對實現故障檢測。若不考慮功能安全，后端工具會基于線長、時序、邏輯關系、擁塞和功耗自動優化標準單元位置，導致雙核單元擺放交錯穿插，這樣，雙核有可能會因為某個common cause導致同時失效，進而導致校驗失效。因此在后端實現時，應采取諸如物理隔離、延遲插入、版圖異向布局等特殊措施規避共因失效。

其中雙核間物理間距可以基于IEC 61508-2: 2010 Functional safety of electrical/electronic/programmable electronic safety-related systems推薦的金屬層間距評估方法，疊加工藝安全系數確定。

出于同樣原理，針對三模冗余TMR的物理實現上，隸屬于同一組TMR的寄存器在水平和垂直方向均不可毗鄰擺放，以此避免相鄰寄存器受到同一束高能粒子的影響出現翻轉。

小結

本文基于不同維度，針對芯片功能安全開發進行了粗淺探討。通過以上不同開發層級的聯動，可以初步實現從系統安全目標、到芯片安全需求、再到到芯片設計和物理實現的閉環。

然而在工程實踐層面，芯片開發團隊需要面對遠多于此的復雜落地問題。因此如何高效地實現芯片功能安全開發，仍有很多核心課題亟待探索。

納芯微電子（簡稱納芯微，科創板股票代碼688052）是高性能高可靠性模擬及混合信號芯片公司。自2013年成立以來，公司聚焦傳感器、信號鏈、電源管理三大方向，為汽車、工業、信息通訊及消費電子等領域提供豐富的半導體產品及解決方案。

納芯微以『“感知”“驅動”未來，共建綠色、智能、互聯互通的“芯”世界』為使命，致力于為數字世界和現實世界的連接提供芯片級解決方案。