​ISO 26262标准更新：推动芯片级功能安全设计

自2018年ISO 26262第二版发布以来，该标准首次引入了Part 11章节，专门针对半导体的功能安全提供了指导。此部分涵盖了SEooC（Safety Element out of Context）定义、失效率计算、安全分析和失效模式分析等内容，标志着功能安全从整车系统向芯片级别的技术深入迈进，为汽车电子的安全开发开辟了新的领域。

与整车制造商和Tier 1供应商相比，国内在芯片级功能安全领域的起步较晚。作为一家专注于模拟及混合信号芯片的公司，其功能安全研发团队不仅需要精通ISO 26262标准，还需深刻理解芯片在上层系统的应用场景，以精准定义SEooC。本文基于纳芯微工程实践，探讨了芯片功能安全设计的关键路径。

基于系统安全目标的芯片架构定义

在功能安全芯片的开发过程中，理解系统层级的应用场景至关重要。这包括从系统层面的安全目标到芯片顶层安全需求，再到芯片内部功能设计的技术安全需求的逻辑链路分析。例如，在新能源主驱电机驱动芯片中，关键的安全目标涉及扭矩安全、高压安全及热安全等。这些目标要求驱动芯片不仅要实现基本的PWM信号输出，还需要具备多种诊断功能，确保系统能够实时监控并响应各种潜在故障，如功率管直通、门级状态不匹配、过温等。

此外，为了满足ASIL D扭矩安全的要求，系统通常采用E-GAS三层架构，并通过ASIL等级分解来简化开发过程。当遇到非严重故障时，系统可以通过应用层的PWM信号触发驱动芯片进入安全状态，这对保证系统的安全性至关重要。

失效模式驱动的芯片前端设计

失效模式分析是贯穿整个功能安全芯片设计流程的核心。在前端设计阶段，需要对芯片内部各功能模块建立详细的失效模式库，并评估其影响。根据ISO 26262:2018提供的标准化失效模式库，结合具体电路实现进行精细化分析。例如，对于电源失效模式，不同诊断覆盖率对应不同的失效模式覆盖范围，随着诊断覆盖率的提高，安全机制需涵盖更复杂的偶发性失效模式。

后端实现的共因失效防护

在后端物理实现方面，防止共因失效同样重要。例如，双核锁步（DCLS）和三模冗余（TMR）等技术被广泛应用于增强系统的可靠性。然而，若后端实现不当，可能会导致双核或寄存器组同时失效，从而降低系统的整体可靠性。因此，在实际设计中采取物理隔离、延迟插入等措施显得尤为必要。

虽然ISO 26262 Part 11为芯片级功能安全设计提供了重要的理论基础，但在实际工程实践中，仍面临诸多挑战。如何高效地将这些理论转化为实用的设计方案，是当前亟待解决的问题之一。纳芯微将继续探索这一领域，致力于提供更加安全可靠的芯片解决方案，为中国汽车产业的高质量发展贡献力量。目前，纳芯微电子的部分功能安全芯片样片已开放申请，如NSM41xx系列轮速传感器、NSI6911隔离式栅极驱动等。