來源：納芯微電子

近年來，隨著整車電氣化水平的提升，整車系統中針對電源系統的功能安全需求正在持續增加。在安全相關系統中，電源的失效不僅僅會造成元器件的損壞，更有可能會直接違背安全目標并導致嚴重后果。

納芯微專注于各類型電源芯片設計，擁有豐富的產品類別。其中，LED 驅動芯片（LED driver）、系統基礎芯片（SBC）、電源管理集成電路（PMIC）、電源保護芯片（Power protector IC）等電源類產品，覆蓋了從 ASIL B 到 ASIL D 的多種系統應用，并進行了完善的功能安全考量。無論是汽車還是工業應用，這些產品都時刻為使用者的安全保駕護航。

本文將介紹電源類芯片功能安全的基本概念，以及納芯微在電源相關芯片產品研發中的一些具體實踐。

01電源芯片典型功能安全需求

功能安全芯片常常基于SEooC（獨立于環境的安全要素）進行開發，芯片承接來自于更上層的系統級功能安全需求，以處理器PMIC為例，如下圖所示，其首要功能就是為處理器提供正確的電壓。同時，針對處理器軟硬件可能出現的失效，需要配置外部看門狗進行監控。目前，滿足功能安全要求的處理器往往還會配置故障收集以及處理單元，其故障輸出也需要外部裝置持續監控。如果檢測到相關故障，需要提供另外一條冗余路徑，使得系統能夠進入安全狀態。

上圖中綠色方框所代表的部分就構成了針對處理器PMIC的頂層安全需求，總結如下：

安全需求_1：提供正確的輸出電壓及監控功能（過壓監控，欠壓監控，內部電壓監控，外部電壓監控）

安全需求_2：提供看門狗功能（simple看門狗，challenge看門狗）

安全需求_3：監控安全輸入信號（FCCU監控，SMU監控，Error signal監控）

安全需求_4：提供安全輸出信號（內部故障或外部故障觸發，Reset輸出，單路或多路可配置延時的安全輸出）

02如何打造滿足功能安全要求的電源產品

芯片功能安全設計的重點在于解決系統性失效以及隨機硬件失效問題。

納芯微的功能安全開發流程已經通過TüV萊茵的審核，并結合芯片設計實際經驗不斷地進行相關改進。在電源類芯片產品的開發過程中，納芯微遵循相關流程，同時根據芯片行業實際情況適配標準中針對系統能力的相關要求，盡可能的降低系統性失效帶來的產品安全風險。

對于隨機硬件失效帶來的問題，電源類產品需要設計相應的安全架構來滿足不同功能安全等級的要求，以下就以簡單的電源監控為例，介紹相關概念：

a、檢測單點故障，提升SPFM指標：電源輸出的異常狀態往往會直接影響系統級安全目標，因此被定義為單點故障。通常可通過為電壓輸出增加監控等方式，對輸出電壓進行不間斷監控，確保其處于正常工作范圍之內。

b、檢測潛伏故障，提升 LFM 指標：當電源監控部分出現故障、喪失監控功能時，若電源輸出發生異常，該異常將無法被正確檢測。通常可通過增加 ABIST（內置自測試）等方式，在 MPF_DTI（多點故障檢測時間間隔）時間內，測試監控是否能正確檢測并響應故障。

c、解決共因及級聯影響：需盡可能提高監控單元與被監控單元之間的獨立性，以確保監控的有效性。

d、保證 PMHF 指標滿足要求：PMHF（硬件失效概率指標）即大家常提及的 FIT 值（失效單位）。

由于電源類芯片往往只是整條安全功能鏈路上很小的一部分，因此其PMHF占比也不能過高。例如，針對 ASIL D 級別的安全功能，若采用 PMIC 這類集成度較高的芯片，其 PMHF 占比 10%（即 1 FIT）較為合適對于更簡單的芯片，其 PMHF 占比應進一步降低。這里需要綜合考慮封裝，Die（芯片/晶粒）以及軟失效帶來的影響。如果最終PMHF指標過大，則可能需要更新安全架構設計。

03功能安全標準中的相關參考及解讀

ISO 26262-11:2018標準為半導體如何滿足功能安全要求打下了堅實的基礎，針對電源相關功能安全設計，標準中也提供了相關的參考。納芯微在電源類產品的開發實踐中，也利用標準的輸入更好地指導了功能安全相關設計。

a、功能安全芯片設計需要分析每個IP的失效模式并進行針對性處理，ISO 26262-11:2018標準中，針對電源相關模塊可能出現的失效模式給出了描述。下表展示了電壓調節器（Voltage regulator）相關失效模式內容，當然標準中還針對電荷泵（Charge pump）、電壓基準源（Voltage references）、電壓比較器（Voltage comparator）給出了建議，也可以在設計中進行參考：

b、ISO 26262-11:2018中還給出了電源常見的安全機制：

c、除了失效模式之外，診斷覆蓋率以及失效模式的分布情況也是我們在分析電源功能安全中需要重點關注的地方。針對診斷覆蓋率以及失效模式分布，標準中也有一些內容可以參考：

首先追溯到ISO 26262-5:2011版本標準中的相關信息，表 D.1描述了電源相關失效模式及診斷覆蓋率。通常可解讀為：若過壓（OV）及欠壓（UV）可被診斷，可宣稱 60% 的診斷覆蓋率（DC）；若電源的漂移（Drift）可被診斷，可宣稱 90% 的診斷覆蓋率（DC）；若振蕩（Oscillation）及電源尖峰（power spike）可被診斷，則可宣稱 99% 的診斷覆蓋率（DC）。同時，此處也可作為標準給出的失效模式分布參考，即過壓（OV）/ 欠壓（UV）占比 60%、漂移（Drift）占比 30%、振蕩（Oscillation）/ 電源尖峰（Power spike）占比 10%。

然而ISO 26262-5-2018版本標準中對此進行了更新。表 D.1中不再將失效模式和診斷覆蓋率掛鉤，因此上述的解讀就有可能不再適用，而是需要根據實際的設計情況進行相應評估。

d、ISO 26262-11:2018標準中的附錄D也是一份重要的參考資料。其以低壓差線性穩壓器（LDO）及其診斷為例，進行了兩個顆粒度的 FMEDA（故障模式影響及診斷分析）。在 FMEDA_1 中，分析顆粒度如下圖所示，主要分析部分為 LDO 及其電壓監控部分。

在FMEDA_2中，則將LDO及其電壓監控部分進行了細化，分析顆粒度細化了一個層級，也得到了更加精確的結果。兩份FMEDA中子模塊的失效模式分布均采用平均分配方式。

e、解讀與實踐：

標準中給出的相關內容具有很高的參考價值，但在實際研發過程中往往不能照搬，需要根據實際設計的不同進行適配，否則有可能導致完全依賴標準進行紙上談兵，卻無法準確地發現設計的弱點及實際存在的安全問題。

在項目研發過程中，納芯微針對電源產品的重點IP做了細致深入的分析，通過仿真、分析等手段獲取了IC或IP更為準確的失效模式及其分布情況。同時納芯微正結合標準，并根據公司實際IP實現情況，建立并不斷充實公司級失效模式及其分布數據庫，以指導并不斷優化功能安全相關產品設計。

04高功能安全等級電源芯片設計的難點

在高功能安全等級電源芯片的研發過程中，如果希望滿足ASIL D的要求，在實踐中往往需要付出較大的努力。

a、需要盡可能地提升SPFM指標：這意味著電壓監測模塊在任何情況下[考慮精度（accuracy）以及工藝角（corner）]，都能確保所有電壓區間（0V到輸入的最大可能電壓）均被監測，并在出錯時保持安全狀態，這在面向高電壓等級（例如48V）系統應用的電源芯片設計中，會面臨諸多困難。同時，若振蕩（oscillation）及電源尖峰（power spike）在應用中與安全相關，也需納入考慮。

b、需要盡可能地提升LFM指標：如果ABIST（內置自測試）僅僅覆蓋電壓監控輸出能否正常翻轉，則LFM指標表現不佳。若電壓監控先出現漂移（drift），之后電源也發生漂移，就可能由于無法檢測而違背安全目標。很顯然如果ABIST無法覆蓋電壓監控drift的問題，就很難獲取較高的LFM指標，但是增加對drift的覆蓋往往會提升設計復雜性，這也需要在實際設計中進行平衡。

c、需要盡可能提升獨立性：除了share resource問題（例如共用BG），還需要考慮高邊FET Drain_Source短路導致的share supply voltage，以及coupling帶來的問題（例如Heat propagation/Substrate current injection），這些都會給芯片的前后端設計以及成本帶來難度。

小結

本文介紹了電源功能安全的一些基本概念，無論是作為單獨的電源類芯片產品，亦或是芯片中集成一些電源相關模塊，本文描述的相關內容以及基礎設計思路都可作為參考。

芯片設計需始終關注應用系統的發展趨勢。隨著自動駕駛的高速發展，電源可用性也將逐漸成為安全相關可用性需求（SaRA，Safety Relevant Availability Requirements），當下電源相關芯片往往設計為故障安全（fail-safe）模式，而如何從故障診斷轉向故障預防/預測/容忍并滿足系統級可用性（availability）的要求，將會在未來給電源芯片本身及其功能安全策略帶來新的挑戰。

納芯微電子（簡稱納芯微，科創板股票代碼688052）是高性能高可靠性模擬及混合信號芯片公司。自2013年成立以來，公司聚焦傳感器、信號鏈、電源管理三大方向，為汽車、工業、信息通訊及消費電子等領域提供豐富的半導體產品及解決方案。

納芯微以『“感知”“驅動”未來，共建綠色、智能、互聯互通的“芯”世界』為使命，致力于為數字世界和現實世界的連接提供芯片級解決方案。