在2023年2月21日，由盖世汽车主办的2023第二届汽车芯片产业大会上，杰发科技高级产品经理涂超平阐释了功能安全的定义，即“不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险”。他表示，功能安全虽已是耳熟能详的概念，但具体应该如何落地，无论是对于芯片公司还是整车厂和Tier1而言都是很有挑战性的话题。

而车规级芯片的质量管控是杰发科技的关注重点。从2013年成立发展至今，杰发科技已有四条产品线走向量产：座舱IVI SOC、AMP功率芯片、MCU车身控制芯片、TPMS 胎压监测芯片。截至去年，杰发科技的首款功能安全MCU AC7840x已陆续送样，其中部分客户已进入产品验证阶段。这款基于ARM Cortex-M4F内核的车规级MCU具备符合ISO26262功能安全ASIL-B和AEC-Q100 Grade 1车规等级支持适配AUTOSAR V4.4，可提供MCAL及配置工具。

涂超平 | 杰发科技高级产品经理

以下为演讲内容整理：   

汽车功能安全介绍

功能安全已经是大家比较耳熟能详的词语了，但具体应该如何落地，无论是对于芯片友商公司还是客户而言都是很有挑战性的话题。

功能安全有一个定义：“不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险”，这句话包含了三个维度，一是功能异常表现，即功能失效，比如EPS转向失效，或设计意图相违背的非预期表现，比如EPS转向错误，这就是功能的异常。

这种风险怎么评判有三个维度，一是风险发生的概率。第二是这种风险的严重程度，第三是风险是否可控，或者它是否是不可接受的。我们评判一件事情的风险就是根据以上三个维度。

汽车的功能安全标准方面，IEC61508是功能安全领域基本的标准规范，ISO26262就是汽车行业的功能安全标准。ISO26262对于汽车安全生命周期有比较全面的指导和约定，其中更多是方法论的介绍，具体的落实方案每家公司都有所不同。其中约定了基于风险的等级要求、不同等级要求的指标，同时也提供验证和认可的措施要求，确保达到足够和可接受的安全水平。

ISO26262标准覆盖面广，覆盖OEM、Tier1、Tier2、硬件、软件等各个方面。2018 年，ISO 26262 经过重大更新，增加了两项标准：针对半导体的要求，以及针对摩托车、卡车和巴士的要求。针对基于模型的开发、软件安全分析、相关失效分析、故障容错等项目增加了指导纲要，规范越来越完善。

图片来源：杰发科技

ISO 26262里对汽车功能完整性等级的定义目前有ABCD四个等级，再加上QM等级，车规级芯片共有5种等级区分。不同的等级基于前面提到的危害程度及概率进行划分，危害程度越高和出现概率越大的风险，功能安全等级要求越高。

其中有一些指标性要求，比如FIT失效时间，一个FIT是指芯片工作11小时出现的错误数量。ASIL-D等级要求失效小于10，ASIL-C和ASIL-B要求小于100，同时还有单点故障度量和潜在故障度量等不同指标的要求，ISO26262都对此做了约定。

图片来源：杰发科技

这是传统架构上不同场景功能上的要求。随着软件定义汽车越来越普遍，许多功能会集成到一个MCU内进行控制。另外，不同区域的控制器后续也可能会涉及到多域融合的情况。因此相关产品对功能安全等级的要求越来越高，有些部件的功能安全等级要求会从ASIL-B升级到ASIL-D等级。杰发科技作为一家车规级芯片公司，也正致力于打造功能安全等级更高的产品。

图片来源：杰发科技演讲报告

在半导体行业，半导体故障率曲线用于显示半导体器件可靠性随时间的变化。通过在出厂测试的一部分进行加速寿命测试(如老化或IDDQ测试)，可以进一步减少早期寿命故障，在产线中保证芯片的良率。对于芯片公司而言，设计时DFT考虑得是否周全，覆盖面是否全面是重要考验，也是一个需要积累的、逐步完善的过程。

曲线中间的区域是正常生命失效部分，这一段曲线越长，就表明芯片的有效工作时间越长。由于新能源汽车上的一些部件始终处于工作状态，工作时限比燃油车更长，因此我们在做功能安全产品时会着重考虑新能源车的工况要求。

芯片是硬件产品，而硬件一定会有老化，有损耗和一定的生命周期，我们要保证的是产品能够在客户要求的年限内正常使用。故障分类是比较专业的概念，我们在做芯片时会考虑不同种类故障的覆盖率是多少，并进行相关计算，通过FMEDA分析，也可以得到硬件随机故障度量的重要指标。

我们在做ISO26262解决方案时会从几个维度去考虑：在产品端，会采用一定技术措施来避免和控制失效，并使用DFMEA/FTA/FMEDA/DFA等安全分析手段；在人员方面，会设立功能安全经理以及安全工程师，并从公司层面培养安全文化；在流程方面，功能安全概念涉及到方方面面，需形成涵盖安全计划，验证计划，安全案例，验证评审，认可评审，质量管理等环节的全套解决方案。

对于功能安全需求，ISO26262标准中有一些指导性的思路，例如3-6涉及到HARA分析和功能安全目标的确定，3-7有功能安全需求方法论的介绍，4-6中有技术安全概念，系统架构设计，软硬件接口定义的介绍，5-6和6-6中有软件安全需求，硬件安全需求，以及随机失效度量方面的介绍。

无论是硬件还是软件都一定会有bug，所以功能安全也会有失效，重要的是如何去管控失效。在芯片的设计过程中，在发布前需要从流程、方法以及组织上进行失效避免，在芯片上市后则需要考虑从软硬件方面实施故障控制的方法，其中分为随机失效和系统失效，随机失效相对容易控制，能够定量分析失效，有一定概率分布特征，能被冗余设计保护。系统失效则有一些技术要求，其主要难点在于未知，且冗余设计的作用有限。

在具体实施时，需要在芯片的研发过程中，从流程、方法、组织、学习等维度，确保需求可追踪，并进行DFMEA分析，进行设计评审，评估软件工具置信度、第三方IP的成熟度等。其中，过往经验和成熟IP的复用非常关键。

在实际产品应用的过程中，芯片的功能安全特性也非常关键。所以芯片的技术安全的机制十分重要，其中包括FMEDA/DFA/FTA等安全分析手段，以及软硬件架构设计及对应措施等安全概念，以供客户在软硬件开发过程中参考如何设计符合功能安全的产品。

AutoChips 功能安全MCU产品介绍

目前杰发科技已经推出符合功能安全的车规级MCU产品，已经量产和即将上市的车规级MCU有AC7840x，AC7802x，AC7801x，AC781x四个系列，我们的车规级MCU分为面向低端、中端、高端的应用场景。

杰发科技专注于汽车电子，因此车规级MCU产品均符合最基本的标准AEC-Q100。我们的第一颗芯片产品AC781X目前已经大批量量产。接下来杰发科技还会推出AC7803x，持续完善产品矩阵，以便于客户进行产品升级迭代。

图片来源：杰发科技

AC7840x是AutoChips首款基于ARM Cortex-M4F 内核的车规级MCU，符合ISO 26262功能安全ASIL-B，也是AC784平台的第一款产品。在软件生态上，我们支持AUTOSAR 4.4，可以为客户提供MCAL及配置工具，相对现有的量产产品资源更为丰富。在信息安全方面，AC7840x支持SHE，且支持通信加密及安全启动。AC7840x的应用场景十分广泛，包括IVI、座舱、TBOX、座椅控制器、虚拟仪表控制、车灯等应用场景。

AC7870x是我们正在研发的产品，这是一款基于ARM Cortex内核的多核车规级MCU，符合ISO 26262功能安全ASIL-B/D，支持AUTOSAR MCAL，可满足更高功能安全等级。AC7870x的资源更加丰富。在信息安全部分，支持EVITA-Full和国密，支持通信加密及安全启动。该产品适合功能安全等级更高，以及未来电子电气架构下的域控，区域控制等应用场景需求。

杰发科技早在2018年就实现了第一颗车规级MCU的上市，经过多年打磨，生态系统已逐渐完善。

关于杰发科技

实际上，杰发科技的产品并不仅限于MCU。杰发科技是一家专注于汽车电子芯片及相关系统研发与设计的公司，目前是四维图新的全资子公司，负责四维图新汽车智能化“智云、智驾、智舱、智芯”业务布局中的“智芯”板块。

目前杰发科技的四大产品线（SoC/ MCU/ AMP/ TPMS）覆盖整车，出货量领先国产汽车芯片厂商。杰发科技自2013年成立至今，已有接近10年的车规芯片领域积累。

从2018年首颗MCU AC7811量产，到2020年第二代车规级MCU AC7801量产，2022年功能安全MCU-AC7840x、新一代MCU AC7802x发布，目前MCU产品已实现广泛上车应用。

杰发科技所有产品线均已通过车规认证，每条产品线至少完成两代以上量产迭代（SoC五代/ MCU三代），每一代都有所优化、改进和创新。我们与全球主流Tier1和整车厂建立了合作关系，芯片远销多个国家和地区。全球500多款车型选用AutoChips汽车电子芯片，累计出货量超过2.5亿颗，其中SoC超8000万套片。MCU累计出货量超3000万颗，今年的出货量数字还将会进一步增长。

车规级芯片的质量管控也是公司的重点。AutoChips汽车电子芯片产品基于IPD研发体系，符合ISO 9001，AEC-Q100，ISO 26262，CMMI V2.0，IATF 16949等规范的要求。

目前杰发科技的产品已覆盖国内95%整车厂，并与全球知名Tier 1建立起合作。国际Tier1对于审核流程、产品品质都会提出更高要求，而杰发科技凭借多年技术积累，目前已通过相关审核。