汽車設(shè)計(jì)中的BIST基礎(chǔ)設(shè)施

01

介紹

隨著當(dāng)今汽車中芯片數(shù)量的快速增長(zhǎng)，IC設(shè)計(jì)人員需要改進(jìn)流程以滿足ISO 26262標(biāo)準(zhǔn)定義的功能安全(FuSa: Function Safety)要求。

ISO 26262標(biāo)準(zhǔn)定義了功能安全級(jí)別，稱為ASIL(Automotive Safety Integrity Level汽車安全完整性等級(jí))，是汽車系統(tǒng)設(shè)計(jì)過程的強(qiáng)制性組成部分。ASIL類別的范圍從A（用于最不安全關(guān)鍵的應(yīng)用）到D（用于最關(guān)鍵的應(yīng)用）。例如，車載信息娛樂系統(tǒng)與自動(dòng)制動(dòng)系統(tǒng)相比，對(duì)ISO 26262 認(rèn)證的ASIL要求不同。圖1展示了車輛內(nèi)不同功能以及對(duì)應(yīng)的ASIL要求的一些示例：

要達(dá)到所需的ASIL水平，需要進(jìn)行廣泛的仿真，以分析設(shè)計(jì)中可能發(fā)生的影響安全功能的潛在隨機(jī)故障。此過程類似于DFT(Design For Test)中常用的故障仿真過程。然而，在FuSa方面，并非所有故障都是平等的，這會(huì)導(dǎo)致我們的DFT指標(biāo)(DFT Metrics)和功能安全指標(biāo)(FuSa Metrics)之間存在差異。沒有簡(jiǎn)單的方法可以將這兩個(gè)不同的指標(biāo)關(guān)聯(lián)起來。本文介紹了如何利用傳統(tǒng) DFT 技術(shù)來滿足 ISO 26262 功能安全要求。

02

功能安全概述

功能安全的目標(biāo)是防止關(guān)鍵安全系統(tǒng)的故障對(duì)人員造成傷害。功能安全機(jī)制通過檢測(cè)兩種不同類型的隨機(jī)硬件故障來保護(hù)設(shè)計(jì)免受故障。LBIST 是一種安全機(jī)制，也用于制造測(cè)試和系統(tǒng)內(nèi)測(cè)試。

設(shè)計(jì)上的安全保障

為了滿足 ISO 26262 汽車標(biāo)準(zhǔn)規(guī)定的功能安全要求，汽車 IC 設(shè)計(jì)人員需要在其設(shè)計(jì)中添加稱為安全機(jī)制的特定電路。這些安全機(jī)制電路是在設(shè)計(jì)的基礎(chǔ)功能之上額外添加的，純粹是為了確保 IC 能夠安全運(yùn)行。安全機(jī)制將檢測(cè)設(shè)備使用壽命期間可能發(fā)生的靜態(tài)和瞬態(tài)故障。一旦檢測(cè)到缺陷，設(shè)備就可以做出響應(yīng)或安全關(guān)閉，通常稱為返回到安全狀態(tài)。根據(jù)應(yīng)用的不同，安全機(jī)制可以采取多種形式。

圖 2 顯示了一個(gè)示例設(shè)計(jì)，其中包含一系列實(shí)現(xiàn)安全機(jī)制的方法，以及為特定功能添加的安全監(jiān)控。Mentor Austemper SafetyScope EDA工具可以執(zhí)行此分析，以提供有關(guān)安全合規(guī)性的初步反饋。

圖 2：不同功能安全機(jī)制的芯片級(jí)實(shí)現(xiàn)

安全機(jī)制的選擇很大程度上取決于需要確保安全的結(jié)構(gòu)上的要求。一般來說，需要良好的設(shè)計(jì)知識(shí)來準(zhǔn)確評(píng)估哪種安全機(jī)制適合哪種場(chǎng)景。然而，設(shè)計(jì)人員可以通過使用EDA?具和自動(dòng)化分析來幫助選擇最佳安全機(jī)制。作為安全設(shè)計(jì)過程和功能安全設(shè)計(jì)流程的一部分，EDA軟件的使用正變得越來越廣泛。

ISO 26262 標(biāo)準(zhǔn)為許多常見安全機(jī)制的有效性提供了指導(dǎo)。安全機(jī)制的選擇需要在幾個(gè)因素之間進(jìn)行權(quán)衡，如表1所示：

Coverage覆蓋范圍 – 檢測(cè)缺陷/故障的有效性

Test Time測(cè)試時(shí)間 – 執(zhí)行測(cè)試以檢測(cè)缺陷/故障所需的時(shí)間

Silicon Area硅面積 – 實(shí)施測(cè)試所需的對(duì)芯片面積的影響

Distruption干擾–測(cè)試對(duì)正常操作造成的干擾程度

糾正 – 檢測(cè)和/或檢測(cè) + 糾正故障的能力

表1：功能安全機(jī)制關(guān)鍵參數(shù)比較

基于硬件的安全機(jī)制對(duì)硅片面積、功耗和成本的影響可能是巨大的。因此，設(shè)計(jì)人員經(jīng)常尋找既可用于功能安全又可以用于制造測(cè)試的電路，比如LBIST和MBIST等結(jié)構(gòu)化的方法。

這些技術(shù)通常已經(jīng)作為制造測(cè)試要求的一部分在芯片上實(shí)現(xiàn)，因此任何額外的開銷都保持在最低限度。圖 3 顯示了典型的 BIST 實(shí)現(xiàn)，該實(shí)現(xiàn)允許自動(dòng)測(cè)試設(shè)備 (ATE) 通過 IEEE 1149.1 TAP 控制器進(jìn)行訪問，從而可以運(yùn)行和監(jiān)控測(cè)試。

圖 3：汽車設(shè)計(jì)中的 BIST 基礎(chǔ)設(shè)施

隨機(jī)故障類型

ISO 26262 標(biāo)準(zhǔn)將故障分為兩種類型，必須檢測(cè)和控制這兩種類型，以證明功能安全的正確實(shí)現(xiàn)。

第一類包括單點(diǎn)故障和殘余故障，如圖4所示

單點(diǎn)故障是安全關(guān)鍵邏輯中的故障，可能對(duì)硬件功能產(chǎn)生不利影響并且不受安全機(jī)制的保護(hù)。

殘余故障是安全關(guān)鍵邏輯中的故障，可能對(duì)硬件和設(shè)備的功能產(chǎn)生不利影響。保護(hù)該功能的安全機(jī)制無法有效的檢測(cè)到這類故障。

圖 4：?jiǎn)吸c(diǎn)和殘余故障圖

無論哪種情況，故障都會(huì)直接影響功能。為簡(jiǎn)單起見，將使用術(shù)語“單點(diǎn)故障”來表示兩者。用于描述單點(diǎn)故障的度量是單點(diǎn)故障度量 （SPFM）。

第二類故障是多點(diǎn)故障，如圖5所示。多點(diǎn)故障是指與其他故障結(jié)合可能對(duì)安全關(guān)鍵功能產(chǎn)生不利影響的故障。最常見的例子是安全機(jī)制發(fā)生故障，導(dǎo)致安全機(jī)制無法運(yùn)行，隨后關(guān)鍵安全功能出現(xiàn)故障，但未被檢測(cè)到。

圖 5：多點(diǎn)故障

多點(diǎn)故障可分為兩類：潛在的多點(diǎn)故障和檢測(cè)到的多點(diǎn)故障。利用上面的示例，潛在故障是安全機(jī)制內(nèi)的故障，其中不存在附加安全機(jī)制來捕獲該故障。檢測(cè)到/感知到的故障是安全機(jī)制中的故障，該安全機(jī)制受到附加安全機(jī)制（通常稱為輔助安全機(jī)制）的保護(hù)。

用于測(cè)試和功能安全的LBIST

LBIST 是一項(xiàng)在半導(dǎo)體行業(yè)已使用多年的技術(shù)。從歷史上看，它一直被用作 SoC 制造測(cè)試解決方案的一部分，與掃描 ATPG 結(jié)合使用或代替掃描 ATPG。

對(duì)于汽車設(shè)計(jì)，混合使用LBIST/ATPG 方法已被證明是一種流行的方法。Mentor Tesssent TK/LBIST 混合 IP 使LBIST和 ATPG 能夠共享許多相同的邏輯結(jié)構(gòu)，從而減少了測(cè)試電路所需的硅面積。

圖6展示了ATPG壓縮電路（Tessent TestKompress）和LBIST 是如何互補(bǔ)的。他們還可以使用在設(shè)計(jì)中實(shí)現(xiàn)的相同掃描鏈結(jié)構(gòu)進(jìn)行制造測(cè)試。LBIST的優(yōu)點(diǎn)是能夠在內(nèi)部生成測(cè)試模式，使其成為一種基于系統(tǒng)內(nèi)測(cè)試的良好的功能安全解決方案。

圖 6：混合 ATPG/LBIST 控制器架構(gòu)

使用LBIST 作為制造測(cè)試解決方案的一個(gè)挑戰(zhàn)是，由于生成模式的隨機(jī)性，如果不在設(shè)計(jì)中添加測(cè)試點(diǎn)來幫助檢測(cè)，它就無法達(dá)到與ATPG相同的測(cè)試質(zhì)量和覆蓋范圍。

然而，對(duì)于功能安全的應(yīng)用和功能安全機(jī)制的實(shí)現(xiàn)，LBIST提供了極其有效的安全機(jī)制，能夠?yàn)楸粶y(cè)邏輯提供非常?的診斷覆蓋率（DC）。這可以為設(shè)計(jì)人員提供一種自動(dòng)化解決方案，即使不是更好，也可以與定制安全機(jī)制相媲美。

表 2 顯示了不同類型的安全機(jī)制及其對(duì)設(shè)計(jì)不同方面的適用性之間的比較。其中許多安全機(jī)制可以使用Austemper安全設(shè)計(jì)?具或Tessent 的BIST ?具自動(dòng)插入或?qū)嵤?/p>

表 2：安全機(jī)制在測(cè)試覆蓋范圍、測(cè)試時(shí)間、芯片面積以及它們對(duì)設(shè)計(jì)功能操作的破壞程度之間提供了不同的權(quán)衡

使用LBIST 作為安全機(jī)制的缺點(diǎn)是功能操作的干擾或中斷。對(duì)于潛在故障診斷，功能操作的干擾或中斷不是問題，因?yàn)檫@些診斷通常在Key-On/Key-Off期間執(zhí)行。但對(duì)于檢測(cè)到/感知到的故障，對(duì)功能操作的干擾越少越好。LBIST 在啟用時(shí)是一種破壞性技術(shù)，必須更改電路的操作才能使掃描鏈變?yōu)榛顒?dòng)狀態(tài)，從而破壞設(shè)計(jì)存儲(chǔ)元件中存儲(chǔ)的數(shù)據(jù)。因此，LBIST 運(yùn)行后必須重置電路。

設(shè)計(jì)人員越來越多地使用LBIST 作為檢查單點(diǎn)故障的機(jī)制。雖然具有破壞性，但越來越多的應(yīng)用程序在運(yùn)行操作期間存在執(zhí)行BIST的時(shí)間窗口。安全架構(gòu)師或安全經(jīng)理有責(zé)任確定LBIST是否可以重復(fù)使用來檢測(cè)單點(diǎn)故障。

03

計(jì)算覆蓋率指標(biāo)

使用LBIST 實(shí)現(xiàn)功能安全對(duì)指標(biāo)提出了挑戰(zhàn)。目前還沒有好的方法將 DFT測(cè)試覆蓋率(TC)和故障覆蓋率(FC)指標(biāo)與功能安全指標(biāo)，例如診斷覆蓋率、單點(diǎn)故障指標(biāo)(SPFM)和潛在故障指標(biāo)(LFM)相關(guān)聯(lián)。

然而，設(shè)計(jì)人員可以使用現(xiàn)有的DFT和分析軟件來生成FMEDA (Failure Mode Effects and Diagnostics Analysis)所需的指標(biāo)，以確定準(zhǔn)確的故障率、故障模式和診斷功能。

DFT覆蓋率指標(biāo)

為了計(jì)算LBIST 實(shí)現(xiàn)的測(cè)試和故障覆蓋率，采用與使用 ATPG 時(shí)相同的方法進(jìn)行故障統(tǒng)計(jì)。LBIST的目標(biāo)故障是基于特定的目標(biāo)故障模型，是被測(cè)試的IC對(duì)象或組件的所有可能的故障。

在LBIST模式的故障模擬過程中，對(duì)完整的故障列表進(jìn)行分析和模擬，以便為每個(gè)潛在故障給出特定的故障分類。這些分類推動(dòng)了整體測(cè)試覆蓋率和故障覆蓋率計(jì)算。

功能安全診斷覆蓋率指標(biāo)

功能安全診斷覆蓋率 (DC) 指標(biāo)與 DFT 指標(biāo)的不同之處在于，功能安全僅僅考慮那些可能直接影響應(yīng)用程序安全目標(biāo)的故障。因此，第一步是將設(shè)計(jì)中的故障分類為安全關(guān)鍵型故障和非安全關(guān)鍵型故障。

安全關(guān)鍵 – 可能違反安全目標(biāo)并導(dǎo)致不安全操作的故障

非安全關(guān)鍵–不會(huì)導(dǎo)致設(shè)計(jì)不安全運(yùn)行的故障

一旦我們有了這些分類，就可以進(jìn)行故障模擬，以確定安全機(jī)制是否已成功實(shí)施并檢測(cè)到安全關(guān)鍵故障。

LBIST的診斷范圍

通過結(jié)合不同的技術(shù)，可以從成功實(shí)施的LBIST中準(zhǔn)確計(jì)算單點(diǎn)故障度量診斷覆蓋率。采用LBIST的故障模擬流程來計(jì)算圖7a所示的DFT測(cè)試和故障覆蓋率指標(biāo)，初始故障列表中的每個(gè)故障都被同等對(duì)待，無論它是否應(yīng)該被分類為安全關(guān)鍵或非安全關(guān)鍵。

圖 7b 說明了添加安全分析如何對(duì)故障進(jìn)行預(yù)分類：分為不同的功能安全類別。通過這種預(yù)分類，安全關(guān)鍵故障列表隨后可應(yīng)用于LBIST故障模擬。

圖 7：(a) 標(biāo)準(zhǔn) DFT LBIST仿真流程。(b) FuSa LBIST故障模擬流程

由此產(chǎn)生的診斷覆蓋率根據(jù)以下公式計(jì)算：

例子

以下示例展示了如何使用圖7b中的流程將功能安全故障分類添加到設(shè)計(jì)中的不同結(jié)構(gòu)，以實(shí)現(xiàn)功能安全指標(biāo)的正確計(jì)算。

圖 8：具有通信接口、MCU 和傳感器的示例設(shè)計(jì)

圖 8 所示的設(shè)計(jì)顯示了具有三個(gè) IP 的示例設(shè)計(jì)：

UART ——僅在車輛維護(hù)期間使用，正常運(yùn)行時(shí)候不使用。

MCU ——功能的關(guān)鍵處理器，但是沒有內(nèi)置的安全機(jī)制。

Sensor + SM ——傳感器IP，其中包括內(nèi)置的專用安全機(jī)制，可以檢測(cè)傳感器在運(yùn)行時(shí)候發(fā)生的故障。

然后添加LBIST 作為完整設(shè)計(jì)的附加安全機(jī)制。它被實(shí)現(xiàn)為定期運(yùn)行，具有足夠短的診斷測(cè)試間隔（DTI），使得整體容錯(cuò)時(shí)間間隔(FTTI)可以滿足，如圖9所示。

圖9：故障反應(yīng)時(shí)間和容忍時(shí)間間隔

在添加LBIST之前，進(jìn)行了全面的設(shè)計(jì)安全分析，并將故障分為以下幾類：

λSPF（危險(xiǎn)故障）–在MCU 中，這些是單點(diǎn)故障，沒有任何安全機(jī)制覆蓋。

λMPF（多點(diǎn)故障） – 專用安全機(jī)制已涵蓋傳感器中的故障。

一旦對(duì)故障進(jìn)行分類，就可以看到我們可以為 DFT 和功能安全提取不同的覆蓋率指標(biāo)。例如：

LBIST DFT 故障覆蓋率：= 87%

單點(diǎn)診斷覆蓋率：= 95%

多點(diǎn)診斷覆蓋率：= 80%

04

結(jié)論

由于需要滿足 ISO 26262 對(duì)隨機(jī)硬件容差的要求，因此功能安全機(jī)制的實(shí)施成為任何汽車 IC 安全設(shè)計(jì)階段的關(guān)鍵部分。選擇最合適的安全機(jī)制對(duì)于實(shí)現(xiàn)所需的正確安全認(rèn)證級(jí)別非常重要。LBIST是一種非常有效的安全機(jī)制，為基于數(shù)字邏輯的IP提供高覆蓋率。由于它可以將部分制造測(cè)試解決方案翻倍，因此使用LBIST作為安全機(jī)制還可以減少面積開銷。集成功能安全分析工具和 DFT 技術(shù)，使設(shè)計(jì)人員能夠準(zhǔn)確提取診斷指標(biāo)，從而改進(jìn)了ISO 26262認(rèn)證流程。

審核編輯：黃飛