美光將汽車功能安全領域的優勢地位拓展到工業市場

對于汽車、火箭、機器人和飛機的用戶，在享受這些產品帶來的便利用途的同時，都希望它們是安全的，甚至可能將這種安全視為理所當然。但是，對于這些系統的設計者而言，安全性及隨之而來的各項要求，對產品的正常運行至關重要。

三十多年來，美光一直是汽車內存和存儲市場值得信賴的領軍企業，持續推出創新產品，以滿足芯片組 (SoC) 供應商、OEM廠商、一級供應商和終端用戶不斷變化的需求。美光在品質與安全領域的卓越積淀，使其成為業界標桿。我們深知，汽車應用和關鍵任務工業應用必須使用搭載前沿技術的內存，才能滿足功能安全標準的要求，同時還能幫助集成商顯著縮短開發時間，簡化安全系統認證流程。

定義功能安全

功能安全的目標是：即使在發生故障時，系統仍然能夠對輸入作出響應，并能夠持續安全、正確地運行。在半導體領域，功能安全的實現涉及對器件的設計與驗證，以檢測、管理和減輕可能導致危險情況的故障。適用于汽車系統ISO 26262和適用于工業應用的IEC 61508等行業標準定義了相關的結構化流程和安全完整性等級——汽車安全完整性等級 (ASIL) 和安全完整性等級 (SIL)，用于指導這些安全關鍵型器件的開發。

內存在汽車安全系統中的作用

隨著高級駕駛輔助系統 (ADAS) 和自動駕駛技術的快速發展，車載電子系統的復雜性已經堪比現代的數據中心。內存組件在過去被認為是外圍設備，如今已經成為核心設備，對于系統的性能和安全性至關重要。

2022年，美光LPDDR5X DRAM在業界率先通過了ISO 26262 ASIL-D認證，為內存功能安全樹立了新的標桿。這一里程碑將內存重新定義為復雜半導體器件，與安全關鍵型應用中的處理器和SoC具有同等重要地位。這不僅是一項技術成就，還標志著美光的戰略承諾——為ADAS、信息娛樂和自動駕駛等平臺提供安全可靠的性能。

如今，美光仍然是唯一一家可提供產品級ASIL-D認證DRAM的內存供應商，彰顯出我們在功能安全方面的優勢地位。隨著美光深耕工業市場，安全與可靠性積淀使我們成為快速轉型行業中值得信賴的供應商。在這些行業中，安全性和性能均是不可或缺的關鍵因素。

通過IEC 61508 SIL-3認證提升工業安全水平

在智能工廠、機器人和端側AI推動下，工業市場正在經歷一場影響深遠的數字化轉型。這些技術進步使得應用的復雜度和重要性大幅上升，要求安全標準達到與汽車行業相當的水平。隨著工業自動化系統在制造、能源和運輸行業中的不斷拓展，故障可能造成的影響也日益顯著。用于控制機械、基礎設施或移動設備的系統必須能夠安全地處理故障——其首要前提是采用符合嚴苛SIL標準的器件。

為應對上述需求，美光正在擴展其ASIL-D認證級別LPDDR5X產品組合，以滿足安全完整性等級3 (SIL 3) 要求，從而加強我們對汽車和工業領域功能安全的承諾。美光的LPDDR5X產品系列已通過IEC 61508認證，具備SIL 3所要求的系統能力（由exida評估）。這一里程碑使美光能夠在關鍵任務工業應用中部署旗下的內存解決方案，而這些應用也需要更高等級的安全保證。

如今，美光的LPDDR5X解決方案借助外部安全機制，可在系統層面支持SIL-3合規性，如果僅依靠內部安全特性，則可滿足SIL 2合規要求。

2022年，美光獲得了ISO 26262產品認證和流程認證雙認證。產品認證證明美光具備提供ASIL級別內存解決方案的能力，而流程認證更具戰略意義，證明美光的開發流程本身能夠始終如一地生產符合ASIL標準的產品。這種雙認證的獨特優勢讓美光能夠將功能安全擴展到旗下整套汽車產品組合中。

現在，美光正在采用相同的方法進軍工業領域。通過讓旗下具有代表性的LPDDR5X產品先獲得IEC 61508認證（詳見下文），同時積極獲得流程認證，我們正為該標準在更多產品中的推廣奠定基礎。這意味著未來使用這些已認證流程開發的美光產品可以更高效地滿足IEC 61508標準的要求，從而能夠加速上市，并減輕每種新產品都需要重新認證的負擔。

與旗下的汽車行業產品類似，美光同樣為工業市場客戶提供安全文檔，包括安全手冊和基于FMEDA的安全分析報告（表 1）。這些資源可提升產品的透明度和可追溯性，讓客戶能夠更輕松地將我們的產品集成到其安全關鍵型設計中。

在工業系統日益智能化、自主化的當下，SIL級別內存不再是一種可選配置：它已經成為構建工業系統的基礎要素。

表1:工業安全合規與功能安全合規對比

了解IEC 61508

如上所述，ISO 26262標準適用于汽車系統，而IEC 61508則是全球公認的電氣、電子和可編程電子 (E/E/PE) 系統中的功能安全標準（表 2）。IEC 61508提供了一個基于系統的風險驅動框架，適用于廣泛的工業領域——工廠自動化、機器人、醫療器械、鐵路和能源系統等等。該標準還成為了多個特定行業標準的基礎，例如適用于過程工業的IEC 61511、適用于機械領域的IEC 62061，以及適用于電力傳動系統的IEC 61800-5-2。

表2：ISO 26262與IEC 61508：快速比較

（來源：ISO 26262和ISO21434）

在IEC 61508中，安全功能的運行模式決定了其可靠性的評估方式，以及其SIL的計算方法。該標準明確了三種運行模式：

低需求模式：啟動頻率低，通常每年不超過一次（例如，緊急停機系統）。

高需求模式：啟動頻率高，可能每年超過一次（例如，安全聯鎖裝置）。

連續模式：始終處于活動狀態，能夠持續保持安全狀態（例如，實時控制系統）。

美光LPDDR5X內存專為支持連續模式，這是一種要求最嚴苛的模式，可在關鍵任務工業系統中實現實時故障檢測和緩解。

通過獲得IEC 61508認證，美光讓工業客戶能夠充滿自信地實現安全目標，同時有助于提升法規遵從性和供應鏈效率。

ISO 26262與IEC 61508在功能安全原則方面有著共同的基礎。但是，由于各自應用的運行環境不同，兩者所采用的模式存在顯著差異（表 3）。

表3：汽車行業與工業行業對比：不同的使用模式，同樣的安全承諾（與美光器件相關的要求）（來源：ISO 26262和ISO21434）

從這些差異可以看出，工業系統通常需要更廣泛的互操作性、更長的生命周期支持，以及更靈活的故障處理能力。通過獲得IEC 61508 SIL-3認證，美光證明其內存解決方案不僅具備滿足汽車級安全要求的足夠可靠性，還能適配關鍵任務工業自動化、機器人及控制系統的獨特需求。

美光的LPDDR5X產品可滿足以下范圍的目標隨機硬件故障 (RHWF) 指標（表 4）：

僅依靠內部安全措施時，時間故障率 (FIT) 為個位數（滿足SIL-2級要求）

搭配外部安全機制時，時間故障率 (FIT) 為幾十分之一（滿足SIL-3級系統要求）

這些指標同樣符合ISO 26262標準下ASIL-C級與ASIL-D級的要求。

表4：隨機硬件故障指標（來源：ISO 26262和ISO21434）

SIL-3認證解決方案的實際應用場景

美光LPDDR5X內存是E/E/PE安全相關系統的重要助推因素，可為安全關鍵型代碼、參數和實時數據提供可靠的存儲空間。雖然它通常與CPU和邏輯控制功能一起使用（如圖1中的SoC子系統所示），但在輸入/輸出模塊、智能變送器與傳感器，以及執行元件的控制邏輯中，其表現同樣出色。美光內存的設計采用SIL-3認證的系統功能，能夠通過強大的錯誤檢測與緩解功能，實現高完整性的數據流。所有存儲的數據都被視為安全關鍵型數據，受到全面安全措施的保護，可有效防止故障產生，并具備主動檢測和控制故障的能力，同時還支持集中式和分布式架構中的各種安全功能。

圖1：內部集成美光內存解決方案的E/E/PE安全相關系統（由exida提供）

美光LPDDR5X產品專為連續運行模式設計，有助于整個系統在其生命周期內隨時觸發風險降低措施。該設計確保了足夠的故障檢測與響應時間，從而防止危險事件的發生。連續模式是要求最嚴苛的工況，因為該模式要求安全措施必須在系統運行期間持續有效，且排除所有依賴定期離線維護或診斷中斷的措施。

美光的突破性LPDDR5X優化糾錯碼 (ECC) 方案有效降低了系統內聯ECC性能損耗，將帶寬提升15%至25%。7這種全新的LPDDR5X優化ECC方案稱為“直接鏈路ECC協議 (DLEP)”，不僅能夠提升性能，還可以降低時間故障率 (FIT)，讓LPDDR5X內存系統滿足ISO 26262 ASIL-D和IEC 61508 SIL-3規定的硬件指標。此外，在使用pJ/b（皮焦耳/比特）衡量時，這款新產品還能降低約10%的功耗，并提供至少6%的額外可尋址內存空間。

共筑嵌入式安全統一愿景

美光的戰略定位清晰明確——成為汽車和工業市場中符合安全要求的內存和存儲解決方案標桿供應商。我們的統一框架同時支持ISO 26262和IEC 61508標準，貫穿其中的是“安全優先”理念。

美光將繼續加大在基礎設施上的投資力度，包括建立專門的功能安全辦公室，負責實施安全服務包，并為客戶提供一級技術支持及配套培訓資料。雖然客戶需自行負責達成其系統級安全目標，但美光會為客戶提供專家指導，讓客戶理解內存在實現功能安全中的重要作用。

對汽車行業客戶而言，美光向工業市場的拓展進一步加強了我們的承諾：向客戶提供更安全的內存解決方案。對工業客戶而言，這標志著一個新時代的開啟——將美光旗下安全、可靠并經過市場長期檢驗的產品和創新技術正式引入關鍵任務工業系統。

無論您是在設計下一代自動駕駛汽車，還是構建高可靠性工業系統，美光都是您值得信賴的安全供應商。

1一種開發模型，通過將系統設計（“V”型的左側）映射到相應的驗證和確認活動（“V”型的右側），來強調可追溯性和結構化測試。

2由于缺陷、輻射或其他物理因素而導致的無法預測的硬件故障。這類故障可通過冗余和診斷機制來解決。

3由設計或流程問題導致、在特定條件下會持續出現的故障。這類故障可通過嚴苛的開發流程和驗證來緩解。

4將在系統級別進行評估。

5汽車系統通常需要即時響應，而工業系統可能會依賴于冗余配置或漸進式降級機制。對于工業系統，系統層面的冗余配置通常是必需的，為此系統需要支持多通道協同運作，即有可能在一條生產線上進行維護，而另一條生產線則繼續提供安全功能。

6PFH：每小時發生危險故障的概率；“1 FIT”表示每10?小時發生一次故障。PFH是對于系統整體級別的要求。通常，FIT被分配給系統的所有器件。根據歷史數據慣例，我們為內存分配的FIT預算占比通常維持在較低水平——一般僅占總體預算的幾個百分點。

7具備增強型ECC功能的車用LPDDR5X能夠應對這一挑戰。

本文作者

Ignazio Martines

AEBU標準、功能安全（FuSa）及網絡安全部門主管