近年來(lái)，隨著整車(chē)電氣化水平的提升，整車(chē)系統(tǒng)中針對(duì)電源系統(tǒng)的功能安全需求正在持續(xù)增加。在安全相關(guān)系統(tǒng)中，電源的失效不僅僅會(huì)造成元器件的損壞，更有可能會(huì)直接違背安全目標(biāo)并導(dǎo)致嚴(yán)重后果。

納芯微專(zhuān)注于各類(lèi)型電源芯片設(shè)計(jì)，擁有豐富的產(chǎn)品類(lèi)別。其中，LED 驅(qū)動(dòng)芯片（LED driver）、系統(tǒng)基礎(chǔ)芯片（SBC）、電源管理集成電路（PMIC）、電源保護(hù)芯片（Power protector IC）等電源類(lèi)產(chǎn)品，覆蓋了從 ASIL B 到 ASIL D 的多種系統(tǒng)應(yīng)用，并進(jìn)行了完善的功能安全考量。無(wú)論是汽車(chē)還是工業(yè)應(yīng)用，這些產(chǎn)品都時(shí)刻為使用者的安全保駕護(hù)航。

本文將介紹電源類(lèi)芯片功能安全的基本概念，以及納芯微在電源相關(guān)芯片產(chǎn)品研發(fā)中的一些具體實(shí)踐。

01電源芯片典型功能安全需求

功能安全芯片常?；赟EooC（獨(dú)立于環(huán)境的安全要素）進(jìn)行開(kāi)發(fā)，芯片承接來(lái)自于更上層的系統(tǒng)級(jí)功能安全需求，以處理器PMIC為例，如下圖所示，其首要功能就是為處理器提供正確的電壓。同時(shí)，針對(duì)處理器軟硬件可能出現(xiàn)的失效，需要配置外部看門(mén)狗進(jìn)行監(jiān)控。目前，滿(mǎn)足功能安全要求的處理器往往還會(huì)配置故障收集以及處理單元，其故障輸出也需要外部裝置持續(xù)監(jiān)控。如果檢測(cè)到相關(guān)故障，需要提供另外一條冗余路徑，使得系統(tǒng)能夠進(jìn)入安全狀態(tài)。

上圖中綠色方框所代表的部分就構(gòu)成了針對(duì)處理器PMIC的頂層安全需求，總結(jié)如下：

·安全需求_1：提供正確的輸出電壓及監(jiān)控功能（過(guò)壓監(jiān)控，欠壓監(jiān)控，內(nèi)部電壓監(jiān)控，外部電壓監(jiān)控）

·安全需求_2：提供看門(mén)狗功能（simple看門(mén)狗，challenge看門(mén)狗）

·安全需求_3：監(jiān)控安全輸入信號(hào)（FCCU監(jiān)控，SMU監(jiān)控，Error signal監(jiān)控）

·安全需求_4：提供安全輸出信號(hào)（內(nèi)部故障或外部故障觸發(fā)，Reset輸出，單路或多路可配置延時(shí)的安全輸出）

02如何打造滿(mǎn)足功能安全要求的電源產(chǎn)品

芯片功能安全設(shè)計(jì)的重點(diǎn)在于解決系統(tǒng)性失效以及隨機(jī)硬件失效問(wèn)題。

納芯微的功能安全開(kāi)發(fā)流程已經(jīng)通過(guò)TüV萊茵的審核，并結(jié)合芯片設(shè)計(jì)實(shí)際經(jīng)驗(yàn)不斷地進(jìn)行相關(guān)改進(jìn)。在電源類(lèi)芯片產(chǎn)品的開(kāi)發(fā)過(guò)程中，納芯微遵循相關(guān)流程，同時(shí)根據(jù)芯片行業(yè)實(shí)際情況適配標(biāo)準(zhǔn)中針對(duì)系統(tǒng)能力的相關(guān)要求，盡可能的降低系統(tǒng)性失效帶來(lái)的產(chǎn)品安全風(fēng)險(xiǎn)。

對(duì)于隨機(jī)硬件失效帶來(lái)的問(wèn)題，電源類(lèi)產(chǎn)品需要設(shè)計(jì)相應(yīng)的安全架構(gòu)來(lái)滿(mǎn)足不同功能安全等級(jí)的要求，以下就以簡(jiǎn)單的電源監(jiān)控為例，介紹相關(guān)概念：

a、檢測(cè)單點(diǎn)故障，提升SPFM指標(biāo)：電源輸出的異常狀態(tài)往往會(huì)直接影響系統(tǒng)級(jí)安全目標(biāo)，因此被定義為單點(diǎn)故障。通?？赏ㄟ^(guò)為電壓輸出增加監(jiān)控等方式，對(duì)輸出電壓進(jìn)行不間斷監(jiān)控，確保其處于正常工作范圍之內(nèi)。

b、檢測(cè)潛伏故障，提升 LFM 指標(biāo)：當(dāng)電源監(jiān)控部分出現(xiàn)故障、喪失監(jiān)控功能時(shí)，若電源輸出發(fā)生異常，該異常將無(wú)法被正確檢測(cè)。通?？赏ㄟ^(guò)增加 ABIST（內(nèi)置自測(cè)試）等方式，在 MPF_DTI（多點(diǎn)故障檢測(cè)時(shí)間間隔）時(shí)間內(nèi)，測(cè)試監(jiān)控是否能正確檢測(cè)并響應(yīng)故障。

c、解決共因及級(jí)聯(lián)影響：需盡可能提高監(jiān)控單元與被監(jiān)控單元之間的獨(dú)立性，以確保監(jiān)控的有效性。

d、保證 PMHF 指標(biāo)滿(mǎn)足要求：PMHF（硬件失效概率指標(biāo)）即大家常提及的 FIT 值（失效單位）。

由于電源類(lèi)芯片往往只是整條安全功能鏈路上很小的一部分，因此其PMHF占比也不能過(guò)高。例如，針對(duì) ASIL D 級(jí)別的安全功能，若采用 PMIC 這類(lèi)集成度較高的芯片，其 PMHF 占比 10%（即 1 FIT）較為合適對(duì)于更簡(jiǎn)單的芯片，其 PMHF 占比應(yīng)進(jìn)一步降低。這里需要綜合考慮封裝，Die（芯片/晶粒）以及軟失效帶來(lái)的影響。如果最終PMHF指標(biāo)過(guò)大，則可能需要更新安全架構(gòu)設(shè)計(jì)。

03功能安全標(biāo)準(zhǔn)中的相關(guān)參考及解讀

ISO 26262-11:2018標(biāo)準(zhǔn)為半導(dǎo)體如何滿(mǎn)足功能安全要求打下了堅(jiān)實(shí)的基礎(chǔ)，針對(duì)電源相關(guān)功能安全設(shè)計(jì)，標(biāo)準(zhǔn)中也提供了相關(guān)的參考。納芯微在電源類(lèi)產(chǎn)品的開(kāi)發(fā)實(shí)踐中，也利用標(biāo)準(zhǔn)的輸入更好地指導(dǎo)了功能安全相關(guān)設(shè)計(jì)。

a、功能安全芯片設(shè)計(jì)需要分析每個(gè)IP的失效模式并進(jìn)行針對(duì)性處理，ISO 26262-11:2018標(biāo)準(zhǔn)中，針對(duì)電源相關(guān)模塊可能出現(xiàn)的失效模式給出了描述。下表展示了電壓調(diào)節(jié)器（Voltage regulator）相關(guān)失效模式內(nèi)容，當(dāng)然標(biāo)準(zhǔn)中還針對(duì)電荷泵（Charge pump）、電壓基準(zhǔn)源（Voltage references）、電壓比較器（Voltage comparator）給出了建議，也可以在設(shè)計(jì)中進(jìn)行參考：

b、ISO 26262-11:2018中還給出了電源常見(jiàn)的安全機(jī)制：

c、除了失效模式之外，診斷覆蓋率以及失效模式的分布情況也是我們?cè)诜治鲭娫垂δ馨踩行枰攸c(diǎn)關(guān)注的地方。針對(duì)診斷覆蓋率以及失效模式分布，標(biāo)準(zhǔn)中也有一些內(nèi)容可以參考：

首先追溯到ISO 26262-5:2011版本標(biāo)準(zhǔn)中的相關(guān)信息，表 D.1描述了電源相關(guān)失效模式及診斷覆蓋率。通常可解讀為：若過(guò)壓（OV）及欠壓（UV）可被診斷，可宣稱(chēng) 60% 的診斷覆蓋率（DC）；若電源的漂移（Drift）可被診斷，可宣稱(chēng) 90% 的診斷覆蓋率（DC）；若振蕩（Oscillation）及電源尖峰（power spike）可被診斷，則可宣稱(chēng) 99% 的診斷覆蓋率（DC）。同時(shí)，此處也可作為標(biāo)準(zhǔn)給出的失效模式分布參考，即過(guò)壓（OV）/ 欠壓（UV）占比 60%、漂移（Drift）占比 30%、振蕩（Oscillation）/ 電源尖峰（Power spike）占比 10%。

然而ISO 26262-5-2018版本標(biāo)準(zhǔn)中對(duì)此進(jìn)行了更新。表 D.1中不再將失效模式和診斷覆蓋率掛鉤，因此上述的解讀就有可能不再適用，而是需要根據(jù)實(shí)際的設(shè)計(jì)情況進(jìn)行相應(yīng)評(píng)估。

d、ISO 26262-11:2018標(biāo)準(zhǔn)中的附錄D也是一份重要的參考資料。其以低壓差線性穩(wěn)壓器（LDO）及其診斷為例，進(jìn)行了兩個(gè)顆粒度的 FMEDA（故障模式影響及診斷分析）。在 FMEDA_1 中，分析顆粒度如下圖所示，主要分析部分為 LDO 及其電壓監(jiān)控部分。

在FMEDA_2中，則將LDO及其電壓監(jiān)控部分進(jìn)行了細(xì)化，分析顆粒度細(xì)化了一個(gè)層級(jí)，也得到了更加精確的結(jié)果。兩份FMEDA中子模塊的失效模式分布均采用平均分配方式。

e、解讀與實(shí)踐：

標(biāo)準(zhǔn)中給出的相關(guān)內(nèi)容具有很高的參考價(jià)值，但在實(shí)際研發(fā)過(guò)程中往往不能照搬，需要根據(jù)實(shí)際設(shè)計(jì)的不同進(jìn)行適配，否則有可能導(dǎo)致完全依賴(lài)標(biāo)準(zhǔn)進(jìn)行紙上談兵，卻無(wú)法準(zhǔn)確地發(fā)現(xiàn)設(shè)計(jì)的弱點(diǎn)及實(shí)際存在的安全問(wèn)題。

在項(xiàng)目研發(fā)過(guò)程中，納芯微針對(duì)電源產(chǎn)品的重點(diǎn)IP做了細(xì)致深入的分析，通過(guò)仿真、分析等手段獲取了IC或IP更為準(zhǔn)確的失效模式及其分布情況。同時(shí)納芯微正結(jié)合標(biāo)準(zhǔn)，并根據(jù)公司實(shí)際IP實(shí)現(xiàn)情況，建立并不斷充實(shí)公司級(jí)失效模式及其分布數(shù)據(jù)庫(kù)，以指導(dǎo)并不斷優(yōu)化功能安全相關(guān)產(chǎn)品設(shè)計(jì)。

04高功能安全等級(jí)電源芯片設(shè)計(jì)的難點(diǎn)

在高功能安全等級(jí)電源芯片的研發(fā)過(guò)程中，如果希望滿(mǎn)足ASIL D的要求，在實(shí)踐中往往需要付出較大的努力。

a、需要盡可能地提升SPFM指標(biāo)：這意味著電壓監(jiān)測(cè)模塊在任何情況下[考慮精度（accuracy）以及工藝角（corner）]，都能確保所有電壓區(qū)間（0V到輸入的最大可能電壓）均被監(jiān)測(cè)，并在出錯(cuò)時(shí)保持安全狀態(tài)，這在面向高電壓等級(jí)（例如48V）系統(tǒng)應(yīng)用的電源芯片設(shè)計(jì)中，會(huì)面臨諸多困難。同時(shí)，若振蕩（oscillation）及電源尖峰（power spike）在應(yīng)用中與安全相關(guān)，也需納入考慮。

b、需要盡可能地提升LFM指標(biāo)：如果ABIST（內(nèi)置自測(cè)試）僅僅覆蓋電壓監(jiān)控輸出能否正常翻轉(zhuǎn)，則LFM指標(biāo)表現(xiàn)不佳。若電壓監(jiān)控先出現(xiàn)漂移（drift），之后電源也發(fā)生漂移，就可能由于無(wú)法檢測(cè)而違背安全目標(biāo)。很顯然如果ABIST無(wú)法覆蓋電壓監(jiān)控drift的問(wèn)題，就很難獲取較高的LFM指標(biāo)，但是增加對(duì)drift的覆蓋往往會(huì)提升設(shè)計(jì)復(fù)雜性，這也需要在實(shí)際設(shè)計(jì)中進(jìn)行平衡。

c、需要盡可能提升獨(dú)立性：除了share resource問(wèn)題（例如共用BG），還需要考慮高邊FET Drain_Source短路導(dǎo)致的share supply voltage，以及coupling帶來(lái)的問(wèn)題（例如Heat propagation/Substrate current injection），這些都會(huì)給芯片的前后端設(shè)計(jì)以及成本帶來(lái)難度。

小結(jié)

本文介紹了電源功能安全的一些基本概念，無(wú)論是作為單獨(dú)的電源類(lèi)芯片產(chǎn)品，亦或是芯片中集成一些電源相關(guān)模塊，本文描述的相關(guān)內(nèi)容以及基礎(chǔ)設(shè)計(jì)思路都可作為參考。

芯片設(shè)計(jì)需始終關(guān)注應(yīng)用系統(tǒng)的發(fā)展趨勢(shì)。隨著自動(dòng)駕駛的高速發(fā)展，電源可用性也將逐漸成為安全相關(guān)可用性需求（SaRA，Safety Relevant Availability Requirements），當(dāng)下電源相關(guān)芯片往往設(shè)計(jì)為故障安全（fail-safe）模式，而如何從故障診斷轉(zhuǎn)向故障預(yù)防/預(yù)測(cè)/容忍并滿(mǎn)足系統(tǒng)級(jí)可用性（availability）的要求，將會(huì)在未來(lái)給電源芯片本身及其功能安全策略帶來(lái)新的挑戰(zhàn)。