?特斯拉又雙叒降價了，卻是在日本和美國；如特斯拉大中華區總裁朱曉彤所說：在中國，“隨著技術的發展，特斯拉的價格還會越來越低?！辈贿^，特斯拉質量問題頻發，也是不爭的事實。如新華網所云：“車輛安全始終是第一位的，產品質量終究是前提?！?/span>

造車新勢力所缺少的或許正是百多年來經過歷史檢驗的漫長的系統工程——測試和驗證。今天的汽車電氣／電子系統越來越多，而元件小型化導致對電應力的敏感性不斷增加，防止器件中斷和潛在或災難性的故障已成為汽車應用的一大挑戰。因此，除了傳統的測試，一些新的測試方法也應運而生。

我們期望，主機廠有動力和能力制造一輛安全的汽車，以致其聲譽不會受損，召回也就沒有必要了。

隨著汽車電氣化進程，在制造過程的最后階段對新車進行徹底的測試已經不夠。安全標準現在要求在現場進行測試，如果測試失敗，應制定應急計劃。事實上，汽車半導體供應鏈對專門針對系統內（in－system）監控的設計功能有明確要求。而所謂監控包括結構測試和性能監控兩部分。

安全機制必須包括汽車運行期間執行測試的計劃。雖然啟動和關閉是觸發測試的重要事件，但有些必須在車輛運行時進行。在任何標準中都沒有明確規定執行什么，但這樣的計劃必須是安全機制的一部分，也是認證過程的一部分。

為什么需要測試和監控？

每次有車輛上路，都有發生危險的可能。ISO 26262標準規定了如何確保安全的一般要求，與大多數電子系統不同的是，它包括對車輛壽命進行定期芯片測試。西門子EDA汽車IC測試解決方案經理Lee Harrison說：“縱觀整個領域，我們已經進行了多年的結構測試。最近，我們開始在系統內這樣做?！?/p>

對于車輛中的某些系統，這一點至關重要。Advantest汽車業務開發經理Fabio Pizza說：“ISO 26262標準要求在汽車的整個生命周期內，通過自檢定期檢查批量生產的車輛中電氣和／或電子系統的功能安全性?！?/p>

進行這種測試的三個主要理由是：

測試遺漏是一個事實?！霸?0年代、80年代和90年代，如果你的良率是98％，就會有百萬分之一的器件是不可接受的，”KLA戰略合作高級主管Jay Rathert說。

需要定期確保自上次運行測試以來，車輛沒有任何變化。

即使沒有任何破壞性事件，老化也會影響車內的電子設備。因此，測試機制需要關注性能，以發現任何芯片老化，并確保持續安全運行。

一個器件最低水平的具體性能或老化程度取決于器件之間可能發生的變化。不同的器件會有不同的操作，測試和可靠性統計數據可能會，也可能不會準確地反映特定的器件。

個人擁有汽車的時代——長時間停放、上下班用、臨時外出——行將結束。Rathert說：“我們正朝著24／7汽車的方向發展，汽車將被用于共享，這將徹底改變汽車的磨損模式?！?/p>

應該運行什么類型測試？

ISO 26262沒有規定必須運行的特定測試。相反，它更籠統地談到“安全機制”，由開發團隊、Tier 1和主機廠來商定。這使他們能夠靈活地使用其認為最有效的工具，并在出現新想法時融入其中。Synopsys數字設計部門產品營銷總監、功能安全從業者Robert Ruiz說：“有邏輯測試和內存測試，但也可能是其他類型的標準邏輯、看門狗、傳感器或監視器?！?/p>

運行期間安全檢查的兩個主要機制是測試和監控。測試與制造流程中的測試基本相同，可能有一些修改或添加。其目的是尋找結構性問題。另一方面，監控關注的是性能，旨在尋找安全可能在不久的將來受到威脅的任何異常或其他跡象。

測試和監控都可以將結果傳送到云。但通常情況下，測試失敗會導致在沒有云幫助時在車內立即采取行動。與此同時，監控數據可能會被傳輸到云端進行分析和跟蹤。雖然該車將有許多其他專用傳感器組件向云端發送數據，但這些組件正在監視特定的更高級別的汽車參數。相比之下，片內監視器可監視電路。兩者都很重要，但處理和管理方式可能不同。

proteanTecs汽車總經理Gal Carmel說：“監控允許車輛和云之間的計算協同作用，實現云上的實時決策和數據分析。系統評估邊緣電子設備的完整性，并相應地將相關數據傳輸到云端，以便進行預測性和規范性診斷。這不僅可以延長系統的使用壽命，還允許快速進行根本原因分析和OTA調試。”何時運行測試？

有三個事件或時間需要執行測試：鑰匙打開、操作期間進入系統和鑰匙關閉。

Synopsys數字設計部門產品營銷總監Giri Podichetty說：“當你開始測試系統是否正常時，就會打開電源。在操作過程中，我們可以做定期測試，去檢查設備的實際狀態。最后，我們關閉電源，然后我們有更多的時間做更多的測試?！?/p>

汽車在發動機啟動時已經進行了一些測試。Ruiz說：“當你一開始看到儀表盤上的燈時，就在進行很多初始測試。雖然額外的測試可能需要一些時間，但沒有太多的時間，因為駕駛員期望在幾秒鐘后開始駕駛。因此，對于芯片測試本身，可用的時間可能是200毫秒左右?！?/p>

當汽車熄火時，還有更多的時間測試。從理論上講，雖然開發人員說有無限的時間，但顯然不是這樣。時間預算的關鍵是重新啟動汽車之前的幾秒測試時間。Ruiz說：“當你把車熄火時，你大概可以再等10秒鐘。當然，在半導體界，秒是一個巨大的時間量?！?/p>

在這個關鍵關閉階段可以運行更廣泛的測試集。Harrison指出：“在內存上運行一個基本棋盤算法然后打開鑰匙，或在內存上運行一個功能齊全的應力測試然后關閉鑰匙，兩者區別很大?！?/p>

在鑰匙打開時測試的電路可能需要也可能不需要在系統中進一步測試。這就是ASIL評級的重要性所在。Harrison說：“對于信息娛樂系統，鑰匙開著測試就可以了。但是研究先進防抱死制動系統時，情況就不同了?！?/p>

此外，對于無人出租車和其他類似車輛，鑰匙開啟和關閉測試的可能性很小。Harrison解釋說：“鑰匙每10小時才開一次。所以你需要能夠運行在線測試，以確保一切都是安全的?！?/p>

因此，面臨的挑戰是如何在電路運行時對其進行測試。測試的內容和時間在一定程度上取決于安全級別。當然，最嚴苛的是ASIL－D，它是對車輛最安全關鍵部件最嚴格的評級。無論車輛在做什么，都需要定期進行關鍵測試。

監控與車輛的運行狀態沒有那么緊密的聯系。proteanTecs的Carmel說：“深度數據監控允許24／7使用，無論車輛的鑰匙處于打開或關閉狀態。與BiST（Built－in Self Test，內建自測）相反，其在線、非侵入性的運行不會中斷功能運行。在鑰匙打開時，它可以識別可靠性降低和安全威脅并發出警報，從而實現規定的維護。在鑰匙關閉時，在預定的維護時間內，主機廠可以物理連接和調試問題，以保持服務可用性并延長操作壽命。”

何時運行測試？

如果管理不當，大多數測試可能會中斷。例如，當汽車在紅綠燈處時，不一定能安排測試，因為無法保證何時會遇到這種情況，也無法保證停車會持續多久。因此，無論車輛當時在做什么，都必須安排進行測試。

處理這個問題的一種方法是冗余。而不是單核運行自己的內存，核和內存可以復制?？刂瓶梢栽谒鼈冎g來回傳遞，這樣，當一個核正在測試時，另一個將處理駕駛任務。然后，可以將其反轉，以確保兩組都在工作狀態。

這類似于但不同于雙核鎖步操作。在這種情況下，兩個核的運行方式總是相同的，其目標是識別兩個內核之間的任何分歧。但是，對于測試，兩組將不處于鎖定階段。相反，它們各自為戰，以便測試和操作可以無縫地進行。

這種冗余為測試提供了操作裕度。一些架構師可能會認為，我有四個處理器，所以以循環方式，可以離線測試一個。Cadence的Tensilica IP部門產品營銷總監Ted Chua說：“冗余的需求并不局限于功能電路，測試電路也很有必要。測試還需要冗余。”

內存可以在訪問之間進行部分測試，這就是所謂的“透明”測試。Synopsys的Podichetty說：“為了不占用太多時間，我們以時間切片的形式進行無損內存測試。如果內存離線（taken offline），則可以執行擴展的內存內建自測（MBiST）測試。

對于SoC上的邏輯測試，測試能力主要利用芯片上已經存在的用于制造測試的可測試設計（DFT）基礎設施。為了增加更多的通道以獲得更好的可視性，可能需要對電路進行一些修改，但這種更改通常是為了縮短測試時間，幫助補償所需的額外硅面積。

系統內邏輯測試通常涉及邏輯內建自測（LBiST），包括通過測試運行使用的種子向量，這些測試的結果被組合成一個簽名。對該簽名的驗證構成系統該部分的通過／失敗信號。LBiST域的大小取決于可用于測試的時間。

Cadence產品管理總監、數字和簽準部門的Rob Knoth指出：“開車上路時，可以有一個非常快速的測試循環，而不是執行電路的LBiST，這將在鑰匙打開或關閉時完成。”

也可以調用軟件在硬件上運行測試。Advantest的Pizza說：“這可能包括用于檢查器件引導序列和自檢是否正常工作，以及檢測與應用電路（傳感器、接口、攝像頭、總線等）交互中可能出現的問題。然而，這種測試可能是侵入性的，其時間安排必須仔細規劃?！?/p>

測試需要多長時間？

總的來說，三個測試階段的時間，包括系統內時間間隔，將由功能安全管理器針對每個應用設置。Podichetty說：“這大部分來自于功能安全要求，即我們每項測試所需的時間。”

Harrison補充道：“我們與客戶一起做了大量工作，以盡量減少系統內測試的時間。由于一些測試的持續時間和一些SoC功能，將測試劃分為塊是有意義的。所以你可以把它分成10段，每幾百毫秒運行一段?！?/p>

當然，測試時間可以成為提供測試IP的公司之間的競爭指標。Harrison說：“我們已經能夠將BiST測試的運行時間降低10到20倍，這確實有助于在一個時間間隔內完成一個完整的測試，而不是將測試拆分。”

何時測試也是一個動態考量。Chua說：“如果你正處于緊急剎車狀態，哪怕是一秒鐘，你都不會進行測試。但是，如果你在測試中，然后你遇到這個緊急或危險情況呢？重要的是安全，做測試是為了安全，沒有人想做測試而危及安全?！睖y試失敗的響應

測試時間還必須考慮測試失敗時可能需要的各種響應。如果測試通過，那么操作將一如既往地繼續。但如果測試失敗，那么安全計劃必須考慮到響應。不管觸發因素是什么，響應意味著讓汽車進入到安全狀態。確切地說，這種狀態將是安全計劃的一部分。

如果檢測到故障，則允許車輛進入安全狀態的時間預算。Ruiz說：“說明書上說，如果有故障，要有一定的時間來檢測，有一定的時間來記錄，然后再做點什么。”ISO 26262將檢查一個故障和另一個故障之間的時間稱為容錯時間間隔（FTTI）。FTTI包括三個間隔，用于檢測故障，如果檢測到故障，則對故障作出反應，然后在執行下一個測試之前進入安全狀態。

FTTI的三個間隔

在檢測到測試失敗時FTTI啟動，包括在返回檢測下一個故障之前將系統置于安全狀態所需的所有響應。在這個級別上，假設這樣的測試失敗不是災難性的，但要允許一些功能來補救這種情況。

這與“檢查引擎”燈亮起時的情況類似?！皟x表盤上出現一個警告燈，說明剎車ECU壞了，”Rathert解釋道?！斑@是一個好消息，警告燈沒有失效，但車里還是有一個不好的部件，還是要去一趟服務中心?！?/p>

Knoth換了一種說法。“你發現‘二號核’不好，現在需要運行系統軟件，‘不要再使用二號核，只能使用一號核、三號核和四號核。＇系統注冊后進入新的安全狀態。也許它不再允許你使用完整的ADAS功能，也許它只會使用車道偏離避讓之類的功能。”

沒有人要求對整個車輛進行FTTI測試。Chua說：“根據器件應用的不同，不同的模塊可能會有不同的FTTI?！毙酒瑑炔勘仨氂幸粋€中心控制點來管理所有與安全和測試相關的事件。它被稱為“安全島”或“安全管理器”，即物理布局的隔離區域。

連接到汽車IC的安全島

安全島是一個處理器子系統，負責管理車輛中的各種安全機制。早期建立的測試時間表是必須遵循的測試和安全架構的一部分。但該計劃的執行——安排測試和處理結果——是由安全管理器實時完成的。Harrison說：“安全管理器可以發現危險信號，然后迅速將器件置于安全狀態?！彼梢栽谛酒壔蜃酉到y級運行。

鋰電池細節改進一刻未停

雖然系統內測試是安全計劃的一個新組成部分，但它實際上是在設計和制造的早期已開始流程的最后一個后盾。

EDA工具必須關注功能安全。測試和安全電路通常不符合優化工具的預期，因此這些工具必須在安全計劃的指導下做出讓步。擁有EDA工具和IP預認證——特別是類似測試IP的測試設計（DFT）——可以簡化這些工具和IP的用戶的認證過程。Harrison說：“如果我們已經獲得了ISO認證，那么這些技術的采用將非常有幫助?！?/p>

制造檢查以及從操作反饋到制造的長循環反饋，是隨著時間推移提高安全性的另一個重要方法。制造和封裝操作的質量越高，系統內測試失敗的可能性就越小。如果物理特性與加速老化相關，甚至也可以減輕老化。所有東西都會老化，但老化較快的芯片可以從供應鏈中淘汰。

Rathert說：“測試行業正試圖提高良率，讓作為最后一道防線進行測試東西更少。測試人員正在關注如何改進他們的測試游戲。當我們剝開洋蔥皮并研究這個問題時，首要的是阻止缺陷的發生。第二個是逃逸，其中一部分是測試覆蓋率，另一部分是我們所說的潛在缺陷?！?/p>

潛在缺陷直到稍后才顯露出來，可能是在暴露于某些環境條件之后。根據定義，不會在制造測試中發現它們。

“我們有兩種方法來處理這個問題，”Rather說。“一個是工藝控制，我們停止制造缺陷的芯片。第二個是篩選——尋找那些看起來不正常的晶圓或單個芯片，不讓它們進入供應鏈。然后，用晶圓級探針進行單次和最終測試。我們正試圖將所有這些機會盡可能地放在上游，以阻止那些壞的片芯流出，這樣之后的內置自檢就永遠是干凈的?！?/p>

CyberOptics負責研發的副總裁Tim Skunes對此表示贊同。他說：“對于汽車等安全關鍵型應用，零缺陷至關重要，因此實施有效的SMT／電子組裝、晶圓級和先進封裝的檢驗和計量過程來控制工藝和良率非常重要?！?/p>

從規劃到認證

如何實現測試取決于開發工作早期的架構階段實施策略。在早期階段讓安全團隊參與有助于確保測試計劃滿足安全計劃的需要。

還有許多利益相關者需要參與，包括芯片開發、系統開發和軟件團隊。這種協調是必要的，不僅是為了確保所有考慮因素和情景都已考慮在內，而且是為了確保不同團隊執行的測試之間沒有重疊或冗余。給定一組測試，誰執行哪些測試可以由所有相關人員在早期決定。

Knoth指出：“無論是制造測試還是現場測試，都需要一種更加多學科、‘大帳篷’的方法來決定測試內容和測試方式。”

結論

認證與大多數安全關鍵系統一樣，要在安全專家的監督下制定一個計劃，然后證明最后達到了既定目標。在審查了所有測試、監控和其他安全機制的處理方式之后，并沒有官方機構對車輛進行批準。最后，還是由主機廠進行認證。人們的期望是，主機廠有動力和能力擁有一輛安全的汽車，這樣它的聲譽就不會受損，召回也就沒有必要了，這就是“基于市場的安全”。

總而言之，系統內測試結合了其他功能安全性和安全性考慮，已成為這些輪子上系統的新要求。與任何設計一樣，隨著汽車制造商競相為客戶提供最佳和最安全的體驗，這些考慮因素之間也會存在權衡。

系統內測試整體方法的好處在于：市場上最成功的團隊利用來自不同利益相關者的所有投入，提出優雅的解決方案，使他們能夠擁有更低的開銷和更高質量的測試，而不是各自呆在自己的筒倉（silos）里，把問題拋諸腦后，然后說：“好吧，讓測試人員來解決這個問題?！?/p>

系統反應和云分析監控架構

不是所有的監視器都一樣?！拔覀冇袃煞N顯示器，”Harrison解釋說。“我們有被動監視器，只是用來收集數據。還有反應監視器，如果我們真的發現了一些意想不到的事情，那么像巴士哨兵這樣的東西可以完全關閉車輛。”