12月5日-6日，2024全球汽车芯片创新大会在无锡滨湖举办。本届大会以“芯智驱动，协力前行”为主题，由中国汽车工业协会主办，中国汽车工业经济技术信息研究所有限公司联合主办，共设置1场高层峰会、1场大会主旨论坛、3场平行专业论坛、1场定向交流会和1场车芯对接活动，围绕汽车芯片生态建设、市场环境分析、竞争合作及技术创新等方面展开分享和交流，凝聚发展经验和集体智慧，探索解决方案。其中，在12月6日下午举办的“专业论坛三：汽车芯片功能安全及可靠性保障发展论坛”上，苏州国芯功能安全经理王宇发表精彩演讲。以下内容为现场发言实录：

　　大家好，我来自苏州国芯科技。在这里利用最后一点时间，我给大家汇报三点情况，包括三个方面。
　　第一，我们苏州国芯科技成立于2001年，经过20多年的发展历程，最近几年在汽车电子上也是逐步发力。我们可以提供逐步量产的多元化定制的用在自动驾驶的对标，英飞凌的3XX、2XX的高端的MCU。我们还提供一些液动或者电动的执行器的驱动芯片，稍后我会详细地展开。
　　这张PPT先介绍功能安全作为汽车电子的入门门槛，包括主机厂强制的要求，比如说采购会管你要一些认证证书，所以ISO 26262的产品标准、流程标准慢慢地变成了硬性的指标。
　　苏州国芯早在六七年前就开始发力，最早的就是单核的MCU，主打产品就是CCFC2012BC，这是一款出货量超百万颗的应用在气囊ACU，车身控制域等的成熟产品。
　　第二，最近我们逐步量产并且上车的就是第四列的自动驾驶或者是底盘应用的对标英飞凌TC2XX或者TC3XX的ASIL-D的MCU。配合高端ASIL-D的MCU我们仅仅靠硬件是不够的，我们还自研了软件的测试库，比如说CPU的自检等。
　　围绕MCU核心控制器的周围，我们逐渐向传感器和离散执行器、门驱、芯片和半自动悬架的阀门驱动、液动驱动去研发芯片，这是我们未来的规划。
　　截至今天为止，苏州国芯在一年半前拿到了ASIL-D流程证书，这个最重要的就是需要管理层顶层的支持，不仅仅需要人员的培训、招聘，特殊工具的购买、专业认证工具的购买，包括后期的咨询，甚至是最后产品的验证，整个一套从上到下来说没有管理层的支持，我们很难达成。
　　这是我们最早一款单核的MCU芯片，完成了自主可控，这个标准也是在德国有150年历史的检验集团给我们颁发的，在德国发的证书。单核CPU的 MCU最常见的机制有哪些？电压检测、时钟检测要达到单点故障覆盖率达到90%的要求，另外这个系统不光有时钟检测还有电压检测。谈到创新两个字，考验一个汽车电子MCU的能力，最关键的就是安全机制的方法论的理解。
　　苏州国芯科技已经拿到了莱茵检测认证集团ASILD MCU产品证书，对于复杂的MCU来讲，它的机制重点大概罗列了7个，最 基本的包括电压检测，时钟检测，存储检错、纠错，第四个是处理器锁步。我们也是经历了摸索，比如专业论文的摸索学习，包括专利的编写，在锁步方面，重构，双核等等我们做了多方面的调查验证。总线检错，每一家ASILD MCU略有不同，最简单粗暴的是总线锁步，最基本达到E2E端到端的ECC，当然在摸索过程当中其实也会学习，通道的冗余重构，毕竟我们是MCU集成商要考虑IP成熟度。第六个是考验ASILD MCU功能安全核心竞争力就是逻辑自检测试，为了达到ASILD 90%的硬性要求，如果数字电路没有Logic Bist支持，很难拿到90%的，从最早的功能调研到慢慢摸索到提升覆盖率流程非常长。
　　还有故障覆盖率验证的测试，这里介绍一下合作方北京芯思维EDA公司，我们合作了大概有三四年时间，对于验证有三条，特性，功能，故障注入，你用什么方法证明各种各样的机制故障覆盖率达到99%，用传统的数学方法也是可以，但是每一条不能都用数学验证方法去弄，我们引入了故障注入验证平台，它的原理很简单，本身可以实现VCS基本功能仿真，它的工具额外加入了并行或者串行仿真功能，可以实现节点选择和观测点的选择，最后我们把功能点和观测点选择好之后把这个仿真跑通之后，大小环境选择之后，被测的那个IP跑下来的话就会得到四象限的值，这些数值会被用到功能安全ISO26262最常见的FMEDA 计算里。这可能不算是创新，但在国内也不常见。
　　拿一个时钟来举例，它的原理很简单，比如说观测FMPLL Clk时钟输出，那么CMU作为观测点观测时钟是否有偏差，比如说高频或者低频，作为故障注入建模的时候，这个工具会自动建模四种故障模式，比如这种故障一般注入在Reg，当我们把大小环境跑通之后，工具自动设置模拟故障情况最终CMU会观测到  fhh fll是否有变化。如果芯片用纯硬件达到90%故障注入，不需要软件的话，基本上就要用一套合适方法去证明。
　　这是国芯科技在CERTIFICATE的进展，气囊作为汽车里面的标配它的点爆和误点爆安全性是比较高的，它要达到ASILD级别，通常它有复杂的模拟和数字的设计，包括58所同事讲的ADC有一个自检的功能。为了达到防止误点火的安全目标，我们设计了多层看门狗，设计了狗1、狗2、狗3来参考了EGAS脚骨思想支持ASILC达到ASILD等级。要想达到点火点爆气囊的电阻，它的点爆电流是由模拟开关控制的，在模拟方面电流自检和模拟开关双重检查也是让它可以轻轻松松达到ASILD级别。数字方面受MCU点火控制通路，同时还要接收传感器X轴和Y轴PSI协议数据的输入，这也是苏州国芯第一个ASILD认证的产品。
　　第三，苏州国芯科技在领导的支持下和带领下，在汽车方面有AECQ100作为基础，ISO 26262作为功能安全标准门槛，未来还会涉及到ISO21434比如说你的车需要出海，我们需要慢慢去升级它，总体来说苏州国芯在以下几方面对汽车的安全性和可靠性做了如下的汇报。
　　谢谢大家。
　　（注：本文根据现场速记整理，未经演讲嘉宾审阅）