【導讀】zhongguoyijinglianxushiduonianchengweiquanqiudiyidaqichechanxiaoguo

，zhinenghuayechengweileqichexingyefazhandeyigezhongyaofangxiang，tongshiyuelaiyueduodezhizaoshangzhengzaikaolvjinruwurenjihefeixingqichedengdikongshebei，ersuoyoudezhexiexitongchanpindouxuyaoxianjinxinpiandezhicheng
，qizhongdexuduoxinpianyinqigongnengdoushianquanguanjianxingxinpian（safety-critical chip）。

zhongguoyijinglianxushiduonianchengweiquanqiudiyidaqichechanxiaoguo，zhinenghuayechengweileqichexingyefazhandeyigezhongyaofangxiang
，tongshiyuelaiyueduodezhizaoshangzhengzaikaolvjinruwurenjihefeixingqichedengdikongshebei，ersuoyoudezhexiexitongchanpindouxuyaoxianjinxinpiandezhicheng，qizhongdexuduoxinpianyinqigongnengdoushianquanguanjianxingxinpian（safety-critical chip）。

所有類型的安全關鍵型芯片設計都需要深謀遠慮和認真規劃。本文的目的是闡明在安全關鍵型應用中使用預先打造的電路功能（也就是IP內核）的益處，並為您在設計芯片時

，在做出相關選擇和IP內核集成過程中提供一些指導。

遺憾的是，設計師往往低估了在其項目的早期階段與第三方IP製造商合作的重要性和益處。缺乏與IP供應商之間有計劃的密切合作可能會導致誤解、時間壓力
、流片延遲和挫敗感。當然，您肯定希望在您的芯片設計項目中避免所有這些問題——那我們就接著往下看。

什麼是安全標準?

在我們深入研究安全關鍵型芯片設計的IP選型之前，讓我們先快速了解一下不同的行業針對安全性形成的標準。

適用於汽車行業的標準是ISO 26262，它源自IEC 61508標準。《航空器機載電子設備硬件設計保障指南（DO-254）和AMC 20-152A（基本上是DO-254的補充）是為開發航空機載電子設備硬件的工程師提出要求的通用標準。其他最終用途和設計應用都可能有其自己的專用標準。ISO 21434網絡安全標準就是一個例子，它在當今的汽車和航空電子設計中扮演著越來越重要的角色。（出於本文的目的
，我將把重點放在安全性上，而不是安全防護。）

我們為什麼需要安全標準?以及它們為什麼會有這麼多不同之處?

接下來我們討論一下為什麼在開發電路的時候需要標準化的問題。坦率地說，這個話題並不新鮮，甚至也不令人興奮！安全標準甚至經常被視為一種必要的挑戰——但是
，如果沒有明確定義的可靠性和操作安全性規則，電子電路的運行將不再可能。

與(yu)航(hang)空(kong)公(gong)司(si)飛(fei)行(xing)員(yuan)在(zai)起(qi)飛(fei)前(qian)必(bi)須(xu)通(tong)過(guo)飛(fei)機(ji)所(suo)有(you)安(an)全(quan)相(xiang)關(guan)的(de)標(biao)準(zhun)協(xie)議(yi)類(lei)似(si)，標(biao)準(zhun)化(hua)也(ye)必(bi)須(xu)作(zuo)為(wei)電(dian)路(lu)開(kai)發(fa)的(de)一(yi)部(bu)分(fen)加(jia)以(yi)推(tui)進(jin)。即(ji)使(shi)飛(fei)行(xing)員(yuan)已(yi)經(jing)經(jing)曆(li)了(le)數(shu)百(bai)次(ci)相(xiang)同(tong)的(de)過(guo)程(cheng)，並(bing)且(qie)成(cheng)功(gong)完(wan)成(cheng)了(le)相(xiang)應(ying)數(shu)量(liang)的(de)飛(fei)行(xing)，在(zai)每(mei)次(ci)重(zhong)新(xin)起(qi)飛(fei)之(zhi)前(qian)也(ye)必(bi)須(xu)重(zhong)新(xin)進(jin)行(xing)該(gai)程(cheng)序(xu)
；這一措施的唯一目標是避免錯誤。

同理，這正是ISO 26262和IEC 61508等預定義的標準所希望達到的目的：一(yi)個(ge)明(ming)確(que)定(ding)義(yi)的(de)計(ji)劃(hua)，有(you)助(zhu)於(yu)發(fa)現(xian)可(ke)能(neng)的(de)錯(cuo)誤(wu)並(bing)對(dui)問(wen)題(ti)進(jin)行(xing)分(fen)類(lei)
，從(cong)而(er)使(shi)設(she)計(ji)能(neng)夠(gou)對(dui)不(bu)可(ke)預(yu)見(jian)的(de)情(qing)況(kuang)做(zuo)出(chu)充(chong)分(fen)的(de)反(fan)應(ying)。如(ru)果(guo)輪(lun)胎(tai)損(sun)壞(huai)，必(bi)須(xu)阻(zu)止(zhi)飛(fei)機(ji)起(qi)飛(fei)，因(yin)為(wei)它(ta)將(jiang)無(wu)法(fa)安(an)全(quan)著(zhe)陸(lu)。然(ran)而(er)，如(ru)果(guo)機(ji)上(shang)廚(chu)房(fang)有(you)缺(que)陷(xian)
，這(zhe)對(dui)於(yu)飛(fei)行(xing)來(lai)說(shuo)可(ke)能(neng)是(shi)可(ke)以(yi)接(jie)受(shou)的(de)

，因(yin)為(wei)它(ta)不(bu)會(hui)對(dui)飛(fei)機(ji)的(de)航(hang)空(kong)機(ji)械(xie)性(xing)能(neng)產(chan)生(sheng)不(bu)利(li)影(ying)響(xiang)。

從根本上說，輪船船長和飛行員的目標是完全相同的：即ji將jiang乘cheng客ke和he貨huo物wu安an全quan地di運yun送song到dao預yu定ding的de目mu的de地di。由you於yu海hai上shang和he空kong中zhong旅lv行xing之zhi間jian的de巨ju大da差cha異yi，對dui這zhe些xie任ren務wu就jiu有you不bu同tong的de標biao準zhun。正zheng是shi由you於yu這zhe個ge原yuan因yin，所suo以yi才cai製zhi定ding了le專zhuan門men的de安an全quan標biao準zhun。為wei這zhe些xie不bu同tong運yun輸shu工gong具ju提ti供gong設she備bei的de任ren何he供gong應ying商shang必bi須xu事shi先xian知zhi道dao，例li如ru
，他ta們men的de陀tuo螺luo羅luo盤pan將jiang要yao被bei安an裝zhuang在zai飛fei機ji上shang還hai是shi安an裝zhuang在zai遊you船chuan上shang，以yi確que保bao其qi正zheng常chang工gong作zuo。這zhe也ye是shiIP供應商需要了解將使用其預定義電路功能（IP）的應用環境的原因。

安全標準定義了哪些方麵?

安全標準定義了設計過程安全需求的各個階段：計劃（planning）、實施（implementation）
、驗證（verification）和文檔記錄（documentation）。

對dui於yu所suo有you標biao準zhun，該gai程cheng序xu都dou有you或huo多duo或huo少shao的de統tong一yi性xing，但dan應ying該gai注zhu意yi的de是shi，每mei個ge標biao準zhun對dui這zhe四si個ge階jie段duan的de適shi用yong性xing要yao求qiu的de定ding義yi還hai是shi略lve有you不bu同tong。必bi須xu滿man足zu每mei個ge步bu驟zhou的de原yuan則ze，從cong而er符fu合he相xiang關guan標biao準zhun。

最終用途和允許的故障概率

為了定義恰當的錯誤處理機製
，就必須對潛在的硬件故障進行分類。就像前麵提到的飛機輪胎和廚房的場景一樣：汽車信息娛樂係統中的一個錯誤可能是可以接受的，而影響安全裝置的錯誤則是不可接受的，例如自動製動係統。

因此，需要依次對不同的要求進行分類。例如，IEC 61508標準就被細分為五個安全完整性等級：SIL 0到SIL 4。ISO 26262標準包括四個等級：ASIL A到ASIL D（其中ASIL代表汽車安全完整性級別）。類別級別越高，安全要求越嚴格

，其中SIL 4或ASIL D是最嚴格的。

在zai確que定ding設she計ji和he驗yan證zheng中zhong必bi須xu采cai用yong的de方fang法fa時shi，產chan品pin的de最zui終zhong用yong途tu在zai其qi中zhong起qi著zhe至zhi關guan重zhong要yao的de作zuo用yong。例li如ru

，進jin入ru汽qi車che信xin息xi娛yu樂le係xi統tong的de芯xin片pian，如ru果guo發fa生sheng故gu障zhang就jiu會hui給gei駕jia駛shi員yuan帶dai來lai麻ma煩fan，但dan不bu會hui對dui人ren的de生sheng命ming構gou成cheng任ren何he風feng險xian。相xiang比bi之zhi下xia
，安an全quan氣qi囊nang或huo車che道dao管guan理li係xi統tong中zhong的de芯xin片pian故gu障zhang可ke能neng會hui威wei脅xie到dao駕jia駛shi員yuan
、乘客、道路上其他車輛甚至行人的安全。

當一種芯片設計的最終用途可能意味著人類的生命會受到威脅時，我們將其稱為安全關鍵型芯片。功能安全在這種設計中是必不可少的：因此
，這類設計的完整性級別必須與最終用途相稱。必須對軟件或硬件引起的潛在故障製定計劃並主動解決。

對故障的理解和反應

讓我們進一步了解如何理解和應對潛在的故障。從根本上來說，這都是關於係統如何處理故障情況
，並確定：1)如何預防故障本身發生，或2)如ru何he應ying對dui故gu障zhang。這zhe裏li必bi須xu區qu分fen硬ying件jian錯cuo誤wu和he軟ruan件jian錯cuo誤wu，它ta們men要yao麼me可ke以yi被bei安an全quan地di忽hu略lve，要yao麼me必bi須xu通tong過guo不bu同tong的de方fang法fa加jia以yi預yu防fang或huo應ying對dui。即ji使shi是shi純chun粹cui的de硬ying件jian錯cuo誤wu，也ye必bi須xu了le解jie這zhe些xie錯cuo誤wu實shi際ji上shang會hui導dao致zhi什shen麼me故gu障zhang，以yi及ji適shi當dang的de應ying對dui措cuo施shi應ying該gai是shi什shen麼me樣yang子zi。

需要對係統性誤差（例如，由電路開發或不充分驗證導致的）和隨機發生的錯誤（由外部影響引起）之間進行區分。重要的是要明白，在任何情況下都不可能避免係統性錯誤。通過良好的驗證覆蓋、標準化的測試過程、廣泛的測試，其中也可能通過使用專用的驗證IP（VIP）以及使用專門的工具


，有可能顯著提升開發無錯誤產品的可能性。

正如相應的安全標準明確強調的那樣，100%defugailvzaishijizhongshibukenengshixiande。duiyusuoweidejiduanqingkuangyouqiruci
，zhezhongqingkuangmiaoshuleyuanqijianzaiyichangtiaojianxiadecaozuo，bingqiezaidianlukaifahexiangguanyanzhengzhongdoushiyizhongtiaozhan。

另一方麵，也不能完全排除隨機錯誤。在這裏
，有必要製定對此類錯誤做出適當反應的策略。為了消除由外部影響（如α因子）引yin起qi的de潛qian在zai故gu障zhang，必bi須xu采cai用yong錯cuo誤wu檢jian測ce和he校xiao正zheng電dian路lu。根gen據ju應ying用yong領ling域yu和he無wu錯cuo誤wu操cao作zuo要yao求qiu的de級ji別bie，有you必bi要yao提ti供gong容rong錯cuo實shi現xian。容rong錯cuo在zai發fa生sheng錯cuo誤wu會hui危wei及ji人ren類lei生sheng命ming的de情qing況kuang下xia尤you其qi重zhong要yao，比bi如ru飛fei機ji上shang的de設she備bei。

原yuan則ze上shang來lai說shuo，這zhe樣yang的de要yao求qiu需xu要yao大da大da增zeng加jia實shi現xian的de工gong作zuo量liang，當dang然ran也ye需xu要yao增zeng加jia驗yan證zheng的de工gong作zuo量liang。在zai這zhe個ge領ling域yu，有you必bi要yao強qiang調tiao的de是shi
，芯xin片pian設she計ji人ren員yuan必bi須xu要yao驗yan證zheng電dian路lu本ben身shen的de正zheng確que性xing
，還hai要yao驗yan證zheng錯cuo誤wu檢jian測ce和he糾jiu正zheng電dian路lu的de正zheng確que性xing。

IP開發是如何受到影響的?

當為安全關鍵型設計創建或使用IP時，工程師必須要牢記什麼?

即ji使shi隻zhi對dui最zui終zhong產chan品pin進jin行xing認ren證zheng，但dan其qi中zhong每mei個ge組zu件jian也ye必bi須xu滿man足zu適shi用yong於yu整zheng個ge係xi統tong的de要yao求qiu。因yin此ci，所suo有you子zi組zu件jian都dou必bi須xu按an照zhao嚴yan格ge的de規gui則ze來lai執zhi行xing電dian路lu實shi現xian要yao求qiu，以yi考kao慮lv產chan品pin在zai安an全quan性xing相xiang關guan應ying用yong中zhong的de後hou續xu使shi用yong

，並bing遵zun守shou適shi用yong標biao準zhun的de開kai發fa流liu程cheng。

就ISO 26262標準而言，設計流程要求包括：

• 詳細的規劃——在定義功能安全要求階段中必須仔細完成

• 分析——旨在識別危險和可能的錯誤模式

• 實施——即對前麵兩個步驟進行全麵的考量

ranhou，bixuduixitongjinxingyanzhenghequeren。weilehuoderenzheng，suoyouxifenbuzhoudoubixuyoulianghaodezhengmingwenjian，bingjiluqijieguo。tongshi，zhegejilubixubaokuosuoshiyongdegongjuhecaiyongdeyanzhengfangfadengdeng。

為了獲得DO-254認(ren)證(zheng)，必(bi)須(xu)在(zai)規(gui)範(fan)製(zhi)定(ding)階(jie)段(duan)首(shou)先(xian)就(jiu)要(yao)強(qiang)製(zhi)性(xing)地(di)使(shi)用(yong)明(ming)確(que)的(de)定(ding)義(yi)和(he)術(shu)語(yu)，以(yi)確(que)保(bao)從(cong)一(yi)開(kai)始(shi)就(jiu)有(you)完(wan)全(quan)可(ke)追(zhui)溯(su)性(xing)
，並(bing)指(zhi)出(chu)精(jing)確(que)的(de)要(yao)求(qiu)，以(yi)確(que)保(bao)詳(xiang)細(xi)的(de)證(zheng)明(ming)文(wen)件(jian)。

要獲得這種類型的認證需要付出很大的努力！還必須承擔額外的任務來創建適當的證明文件，如記錄驗證過程、錯誤覆蓋、錯誤報告和工具使用等必需環節。還應該注意的是
，隻有某種產品在獲得認證後保持不變的“凍結”版本才是認證合格的。此外，在創建產品時所使用工具的版本也必須保持不變。

獲得行業標準機構認證

為了確保符合DO-254或ISO 26262等安全標準，就有必要獲得相應的認證。公司必須與獨立的組織合作

，例如德國的TÜV SÜD等機構
，以完成認證過程。全球有許多這樣的認證機構。

那麼，你應該追求認證嗎？這需要視情況而定。

bulideyimianshi，huodeanquanbiaozhunrenzhengdezhenggeguochengfeichanghaoshi
，erqiehaixuyaoshidangpeixunrenyuan。haixuyaozaizhenggerenzhengqijianjieshourenzhengzuzhideshenhe，yijianzhahezhengmingshixiangongnenganquandecuoshidewanzhengxing。

youlideyimianshi，renzhengkeyizengjiakehuduiqisuoxudechanpinzhilianghekekaoxingdexinren。ciwai，youyutouruleewaideshijianhejingli
，zaizhenggeshejiguochengzhongduixijiedeyangeguanzhukeyikaifachuyouzhidechanpin。

在大多數情況下
，認證IPhezheyangdedangezizujianshimeiyouyiyide，yinweitamenhuibeiyongyugengfuzadedianluzhong。danshi，suoyouzizujiandoubixufuheshiyongbiaozhunguidingdeyangeguize
，bingkaolvdaochanpinzaianquanxiangguanyingyongzhongdehouxushiyong。

最終考量因素

如前所述，獲得認證並不容易，但值得一試。即使隻對最終產品進行認證，但包括第三方IP核(he)在(zai)內(nei)的(de)每(mei)個(ge)組(zu)件(jian)都(dou)必(bi)須(xu)滿(man)足(zu)適(shi)用(yong)於(yu)整(zheng)個(ge)係(xi)統(tong)的(de)要(yao)求(qiu)。因(yin)此(ci)，所(suo)有(you)子(zi)組(zu)件(jian)都(dou)有(you)必(bi)要(yao)按(an)照(zhao)適(shi)用(yong)標(biao)準(zhun)的(de)嚴(yan)格(ge)規(gui)則(ze)進(jin)行(xing)電(dian)路(lu)實(shi)現(xian)
，並(bing)在(zai)開(kai)發(fa)階(jie)段(duan)就(jiu)為(wei)產(chan)品(pin)的(de)安(an)全(quan)關(guan)鍵(jian)型(xing)最(zui)終(zhong)用(yong)途(tu)製(zhi)定(ding)規(gui)劃(hua)。前(qian)麵(mian)提(ti)到(dao)的(de)標(biao)準(zhun)定(ding)義(yi)流(liu)程(cheng)必(bi)須(xu)從(cong)始(shi)至(zhi)終(zhong)貫(guan)徹(che)。

SmartDV已在汽車和航空電子設計方麵富有經驗和頗有建樹
，可以成為芯片廠商在探索相關領域時值得信賴的IP合作夥伴。我們的VIP是由具有數十年複雜芯片驗證經驗的驗證工程師所創建。我們還為各種應用提供基於標準的設計IP。下麵顯示的是我們的一些IP核，它們都適用於本文中討論的安全關鍵型設計。

隨著芯片的複雜性不斷增加，驗證也在逐年變得越來越複雜。在當今的芯片設計中，驗證往往會消耗大約60%-80%的項目資源，並且通常是整個過程中的瓶頸。正是因為這樣的複雜性和重要性，與值得信賴的IP夥伴合作是回報最高的途徑
，他們將與芯片設計師共同解決其在此過程中遇到的任何問題。

市場差異化帶來的定製化需求也在芯片行業中不斷凸顯。無論您是為下一代SoC
、ASIC或FPGA項目采購設計IP，還是尋求驗證解決方案（VIP）來完成您的芯片設計
，SmartDV都可以快速且可靠地對我們多元化的產品組合進行定製，以滿足您獨特的設計需求。我們的SmartCompiler™技術使這種定製化可以很完美地實現
，並可使芯片設計公司獲得更高的回報。IP Your Way™——隻需定義您的規格，然後交給我們處理。

我們期待看到您的芯片設計成果應用在道路上或在天空中！

本篇技術文章是Philipp之前發表的同一主題博客文章的後續
，他最近也用在線研討會的方式詳細解讀了這個話題

，大家可以關注“智權半導體”微信公眾號，我們將在近期發布他的演講視頻記錄。智權半導體科技（廈門）有限公司是SmartDV在中國的全資子公司，其目標是為中國的客戶提供更直接和深入的支持
，並與中國的合作夥伴開展更全麵的合作。

關於Philipp Jacobsohn

Philipp Jacobsohn是SmartDV的高級應用工程師，他為北美和歐洲地區的客戶提供設計IP和驗證IP方麵的支持。除了使SmartDV的客戶實現芯片設計成功這項工作，Philipp還是一個狂熱的技術作家，樂於分享他擁有的在半導體行業近30年積累的豐富知識。在2023年加入SmartDV團隊之前，Philipp在J. Haugg、Synopsys

、Synplicity、Epson Europe Electronics、Lattice Semiconductors

、EBV Elektronik和SEI-Elbatex等擔任過多個工程和現場應用職位。Philipp在瑞士工作。

關於智權半導體

智權半導體科技（廈門）有限公司是SmartDV Technologies™在華設立的全資子公司
，其目標是利用SmartDV全球領先的矽知識產權（IP）技術和產品，以及本地化的支持服務來賦能中國集成電路行業和電子信息產業。目前
，SmartDV在全球已有300家客戶，其中包括十大半導體公司中的七家和四大消費電子公司。

通過將專有的SmartCompiler™技術與數百位專家工程師的知識相結合，SmartDV可以快速、經濟、可靠地定製IP，以實現您獨特的設計目標。因此，無論您是為下一代SoC、ASIC或FPGA尋找基於標準的設計IP
，還是尋求驗證解決方案（VIP）來測試您的芯片設計，您都會發現SmartDV的IP非常容易集成，並在性能上可力助您的芯片設計實現差異化。

（來源：智權半導體，作者：Philipp Jacobsohn
，SmartDV高級應用工程師）

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息
，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題
，請聯係小編進行處理。

推薦閱讀：

西部電博會即將舉辦！電子信息成都高新區專場為企業深度解析

LoRaWAN（非蜂窩LPWA）入門 - 基礎篇

創新存儲如何滿足“既要、又要
、還要”的苛刻設計需求

智能邊緣傳感器需要新電源概念

一文了解SiC MOS的應用