特斯拉又雙叒降價了，卻是在日本和美國；如特斯拉大中華區(qū)總裁朱曉彤所說：在中國，“隨著技術(shù)的發(fā)展，特斯拉的價格還會越來越低?！辈贿^，特斯拉質(zhì)量問題頻發(fā)，也是不爭的事實。如新華網(wǎng)所云：“車輛安全始終是第一位的，產(chǎn)品質(zhì)量終究是前提?！?/span>車新勢力所缺少的或許正是百多年來經(jīng)過歷史檢驗的漫長的系統(tǒng)工程——測試和驗證。今天的汽車電氣/電子系統(tǒng)越來越多，而元件小型化導(dǎo)致對電應(yīng)力的敏感性不斷增加，防止器件中斷和潛在或災(zāi)難性的故障已成為汽車應(yīng)用的一大挑戰(zhàn)。因此，除了傳統(tǒng)的測試，一些新的測試方法也應(yīng)運而生。我們期望，主機廠有動力和能力制造一輛安全的汽車，以致其聲譽不會受損，召回也就沒有必要了。

隨著汽車電氣化進程，在制造過程的最后階段對新車進行徹底的測試已經(jīng)不夠。安全標準現(xiàn)在要求在現(xiàn)場進行測試，如果測試失敗，應(yīng)制定應(yīng)急計劃。事實上，汽車半導(dǎo)體供應(yīng)鏈對專門針對系統(tǒng)內(nèi)（in-system）監(jiān)控的設(shè)計功能有明確要求。而所謂監(jiān)控包括結(jié)構(gòu)測試和性能監(jiān)控兩部分。安全機制必須包括汽車運行期間執(zhí)行測試的計劃。雖然啟動和關(guān)閉是觸發(fā)測試的重要事件，但有些必須在車輛運行時進行。在任何標準中都沒有明確規(guī)定執(zhí)行什么，但這樣的計劃必須是安全機制的一部分，也是認證過程的一部分。

■

為什么需要測試和監(jiān)控？

每次有車輛上路，都有發(fā)生危險的可能。ISO 26262標準規(guī)定了如何確保安全的一般要求，與大多數(shù)電子系統(tǒng)不同的是，它包括對車輛壽命進行定期芯片測試。西門子EDA汽車IC測試解決方案經(jīng)理Lee Harrison說：“縱觀整個領(lǐng)域，我們已經(jīng)進行了多年的結(jié)構(gòu)測試。最近，我們開始在系統(tǒng)內(nèi)這樣做?！?

對于車輛中的某些系統(tǒng)，這一點至關(guān)重要。Advantest汽車業(yè)務(wù)開發(fā)經(jīng)理Fabio Pizza說：“ISO 26262標準要求在汽車的整個生命周期內(nèi)，通過自檢定期檢查批量生產(chǎn)的車輛中電氣和/或電子系統(tǒng)的功能安全性。”

進行這種測試的三個主要理由是：

測試遺漏是一個事實?！霸?0年代、80年代和90年代，如果你的良率是98%，就會有百萬分之一的器件是不可接受的，”KLA戰(zhàn)略合作高級主管Jay Rathert說。

需要定期確保自上次運行測試以來，車輛沒有任何變化。

即使沒有任何破壞性事件，老化也會影響車內(nèi)的電子設(shè)備。因此，測試機制需要關(guān)注性能，以發(fā)現(xiàn)任何芯片老化，并確保持續(xù)安全運行。

一個器件最低水平的具體性能或老化程度取決于器件之間可能發(fā)生的變化。不同的器件會有不同的操作，測試和可靠性統(tǒng)計數(shù)據(jù)可能會，也可能不會準確地反映特定的器件。

個人擁有汽車的時代——長時間停放、上下班用、臨時外出——行將結(jié)束。Rathert說：“我們正朝著24/7汽車的方向發(fā)展，汽車將被用于共享，這將徹底改變汽車的磨損模式?！?

■

應(yīng)該運行什么類型測試？

ISO 26262沒有規(guī)定必須運行的特定測試。相反，它更籠統(tǒng)地談到“安全機制”，由開發(fā)團隊、Tier 1和主機廠來商定。這使他們能夠靈活地使用其認為最有效的工具，并在出現(xiàn)新想法時融入其中。Synopsys數(shù)字設(shè)計部門產(chǎn)品營銷總監(jiān)、功能安全從業(yè)者Robert Ruiz說：“有邏輯測試和內(nèi)存測試，但也可能是其他類型的標準邏輯、看門狗、傳感器或監(jiān)視器?！?

運行期間安全檢查的兩個主要機制是測試和監(jiān)控。測試與制造流程中的測試基本相同，可能有一些修改或添加。其目的是尋找結(jié)構(gòu)性問題。另一方面，監(jiān)控關(guān)注的是性能，旨在尋找安全可能在不久的將來受到威脅的任何異?；蚱渌E象。

測試和監(jiān)控都可以將結(jié)果傳送到云。但通常情況下，測試失敗會導(dǎo)致在沒有云幫助時在車內(nèi)立即采取行動。與此同時，監(jiān)控數(shù)據(jù)可能會被傳輸?shù)皆贫诉M行分析和跟蹤。雖然該車將有許多其他專用傳感器組件向云端發(fā)送數(shù)據(jù)，但這些組件正在監(jiān)視特定的更高級別的汽車參數(shù)。相比之下，片內(nèi)監(jiān)視器可視電路。兩者都很重要，但處理和管理方式可能不同。

proteanTecs汽車總經(jīng)理Gal Carmel說：“監(jiān)控允許車輛和云之間的計算協(xié)同作用，實現(xiàn)云上的實時決策和數(shù)據(jù)分析。系統(tǒng)評估邊緣電子設(shè)備的完整性，并相應(yīng)地將相關(guān)數(shù)據(jù)傳輸?shù)皆贫?，以便進行預(yù)測性和規(guī)范性診斷。這不僅可以延長系統(tǒng)的使用壽命，還允許快速進行根本原因分析和OTA調(diào)試?！?

系統(tǒng)反應(yīng)和云分析監(jiān)控架構(gòu)

不是所有的監(jiān)視器都一樣?！拔覀冇袃煞N顯示器，”Harrison解釋說?！拔覀冇斜粍颖O(jiān)視器，只是用來收集數(shù)據(jù)。還有反應(yīng)監(jiān)視器，如果我們真的發(fā)現(xiàn)了一些意想不到的事情，那么像巴士哨兵這樣的東西可以完全關(guān)閉車輛?！?

■

同時進行測試和操作

有三個事件或時間需要執(zhí)行測試：鑰匙打開、操作期間進入系統(tǒng)和鑰匙關(guān)閉。

Synopsys數(shù)字設(shè)計部門產(chǎn)品營銷總監(jiān)Giri Podichetty說：“當(dāng)你開始測試系統(tǒng)是否正常時，就會打開電源。在操作過程中，我們可以做定期測試，去檢查設(shè)備的實際狀態(tài)。最后，我們關(guān)閉電源，然后我們有更多的時間做更多的測試。”

汽車在發(fā)動機啟動時已經(jīng)進行了一些測試。Ruiz說：“當(dāng)你一開始看到儀表盤上的燈時，就在進行很多初始測試。雖然額外的測試可能需要一些時間，但沒有太多的時間，因為駕駛員期望在幾秒鐘后開始駕駛。因此，對于芯片測試本身，可用的時間可能是200毫秒左右?！?

當(dāng)汽車熄火時，還有更多的時間測試。從理論上講，雖然開發(fā)人員說有無限的時間，但顯然不是這樣。時間預(yù)算的關(guān)鍵是重新啟動汽車之前的幾秒測試時間。Ruiz說：“當(dāng)你把車熄火時，你大概可以再等10秒鐘。當(dāng)然，在半導(dǎo)體界，秒是一個巨大的時間量?！?

在這個關(guān)鍵關(guān)閉階段可以運行更廣泛的測試集。Harrison指出：“在內(nèi)存上運行一個基本棋盤算法然后打開鑰匙，或在內(nèi)存上運行一個功能齊全的應(yīng)力測試然后關(guān)閉鑰匙，兩者區(qū)別很大?！?

在鑰匙打開時測試的電路可能需要也可能不需要在系統(tǒng)中進一步測試。這就是ASIL評級的重要性所在。Harrison說：“對于信息娛樂系統(tǒng)，鑰匙開著測試就可以了。但是研究先進防抱死制動系統(tǒng)時，情況就不同了。”

此外，對于無人出租車和其他類似車輛，鑰匙開啟和關(guān)閉測試的可能性很小。Harrison解釋說：“鑰匙每10小時才開一次。所以你需要能夠運行在線測試，以確保一切都是安全的?！?

因此，面臨的挑戰(zhàn)是如何在電路運行時對其進行測試。測試的內(nèi)容和時間在一定程度上取決于安全級別。當(dāng)然，最嚴苛的是ASIL-D，它是對車輛最安全關(guān)鍵部件最嚴格的評級。無論車輛在做什么，都需要定期進行關(guān)鍵測試。

監(jiān)控與車輛的運行狀態(tài)沒有那么緊密的聯(lián)系。proteanTecs的Carmel說：“深度數(shù)據(jù)監(jiān)控允許24/7使用，無論車輛的鑰匙處于打開或關(guān)閉狀態(tài)。與BiST（Built-in Self Test，內(nèi)建自測）相反，其在線、非侵入性的運行不會中斷功能運行。在鑰匙打開時，它可以識別可靠性降低和安全威脅并發(fā)出警報，從而實現(xiàn)規(guī)定的維護。在鑰匙關(guān)閉時，在預(yù)定的維護時間內(nèi)，主機廠可以物理連接和調(diào)試問題，以保持服務(wù)可用性并延長操作壽命?！?

■

何時運行測試？

如果管理不當(dāng)，大多數(shù)測試可能會中斷。例如，當(dāng)汽車在紅綠燈處時，不一定能安排測試，因為無法保證何時會遇到這種情況，也無法保證停車會持續(xù)多久。因此，無論車輛當(dāng)時在做什么，都必須安排進行測試。

處理這個問題的一種方法是冗余。而不是單核運行自己的內(nèi)存，核和內(nèi)存可以復(fù)制。控制可以在它們之間來回傳遞，這樣，當(dāng)一個核正在測試時，另一個將處理駕駛?cè)蝿?wù)。然后，可以將其反轉(zhuǎn)，以確保兩組都在工作狀態(tài)。

這類似于但不同于雙核鎖步操作。在這種情況下，兩個核的運行方式總是相同的，其目標是識別兩個內(nèi)核之間的任何分歧。但是，對于測試，兩組將不處于鎖定階段。相反，它們各自為戰(zhàn)，以便測試和操作可以無縫地進行。

這種冗余為測試提供了操作裕度。一些架構(gòu)師可能會認為，我有四個處理器，所以以循環(huán)方式，可以離線測試一個。Cadene的Tensilica IP部門產(chǎn)品營銷總監(jiān)Ted Chua說：“冗余的需求并不局限于功能電路，測試電路也很有必要。測試還需要冗余?！?

內(nèi)存可以在訪問之間進行部分測試，這就是所謂的“透明”測試。Synopsys的Podichetty說：“為了不占用太多時間，我們以時間切片的形式進行無損內(nèi)存測試。如果內(nèi)存離線（taken offline），則可以執(zhí)行擴展的內(nèi)存內(nèi)建自測（MBiST）測試。

對于SoC上的邏輯測試，測試能力主要利用芯片上已經(jīng)存在的用于制造測試的可測試設(shè)計（DFT）基礎(chǔ)設(shè)施。為了增加更多的通道以獲得更好的可視性，可能需要對電路進行一些修改，但這種更改通常是為了縮短測試時間，幫助補償所需的額外硅面積。

系統(tǒng)內(nèi)邏輯測試通常涉及邏輯內(nèi)建自測（LBiST），包括通過測試運行使用的種子向量，這些測試的結(jié)果被組合成一個簽名。對該簽名的驗證構(gòu)成系統(tǒng)該部分的通過/失敗信號。LBiST域的大小取決于可用于測試的時間。

示例LBiST塊與嵌入式確定性測試（EDT）共享

Cadence產(chǎn)品管理總監(jiān)、數(shù)字和簽準部門的Rob Knoth指出：“開車上路時，可以有一個非?？焖俚臏y試循環(huán)，而不是執(zhí)行電路的LBiST，這將在鑰匙打開或關(guān)閉時完成。”

也可以調(diào)用軟件在硬件上運行測試。Advantest的Pizza說：“這可能包括用于檢查器件引導(dǎo)序列和自檢是否正常工作，以及檢測與應(yīng)用電路（傳感器、接口、攝像頭、總線等）交互中可能出現(xiàn)的問題。然而，這種測試可能是侵入性的，其時間安排必須仔細規(guī)劃。”