为满足中国汽车工业电气化、智能化的快速进程，车规级芯片的设计、生产已经成为汽车行业和芯片行业共同关注的重点话题和努力目标。电气化引领了汽车电子电气架构的革新，催生出域控制器等集中式大算力芯片和IGBT等模拟芯片。智能化则引入了多种类的传感器和AI应用，带动了雷达、激光雷达、摄像头、5G车联网等传感器信号处理芯片或部件，智能座舱与存储芯片，以及AI计算芯片的发展。

与消费电子芯片相比，车规芯片需要满足更严苛的工作环境、更长久的质量保证、更严格功能安全的要求。

功能安全芯片是设计出来的

【资料图】

功能安全要求一个安全系统在发生随机的、系统的、常见的故障时，不会导致安全系统故障，也不会导致人的伤害或死亡、环境污染、设备或生产损失。

ISO26262是汽车行业广泛接受的电子功能安全标准，提供了规范及推荐做法，贯穿了产品从概念开发、系统、硬件及软件开发、生产到报废的整个开发过程。由于芯片在汽车系统中扮演着越来越重要的角色，ISO26262 2018版本新增加了11章节半导体指南，规范了覆盖故障模式、相关性失效分析DFA、故障注入等通用技术，以及对数字、模拟、存储、可编程器件等半导体部件的具体要求。

例如，ISO26262标准规定：以下两种方法是如何提供证据，证明在数字组件开发过程中采取了足够的措施来避免系统故障的示例：

l使用表31中报告的清单；

l使用类似产品的现场数据，这些产品使用与目标设备相同的流程开发。

此外，可考虑以下一般准则：

l功能仿真和仿真结果所用的每个设计活动、测试安排和工具的文件记录；

l每项活动及其结果的验证，例如通过仿真、等价性检查、时序分析或检查工艺限制；

l设计实施过程的再现性和自动化措施的使用（基于脚本、自动化工作和设计实施流程）；

l第三方软核和硬核的使用―已验证的宏块，并在可行的情况下遵守宏核心提供商定义的每个约束和程序。

可以看到，完整的仿真、充分的验证、自动化的过程再现等是ISO26262标准推荐的功能安全芯片设计方法的一般准则，MATLAB基于模型设计的方法学，能够帮助客户快速地自动化地实践ISO26262标准。

建立客户应用级的芯片功能模型

功能正确是功能安全的基础，智能电动汽车芯片的功能专业、新颖、复杂，例如激光雷达信号处理、ADAS视频处理、电池传感器测量与通信、高压电机驱动器等，需要在芯片设计研发阶段进行大量的功能建模仿真与分析。基于模型设计方法学的一个核心价值是建模，建模工作不仅包含芯片本体的功能算法模型，也包括功能测试环境的构建，例如ADASNCAP测试场景、被控电机模型、锂电池组模型，还包括SoC芯片的架构分析模型，例如软硬件划分、内存访问、总线竞争等等。

MathWorks在汽车行业深耕几十年，MATLAB & Simulink及各种工具箱能为各类智能电动汽车芯片开发提供功能开发与测试支持，以满足ISO26262对硅前功能测试的要求。

系统模型能够帮助芯片工程师确保用来评估设计的验证签核(signoff) 标准与客户最关心的标准一致。

“我们的客户中有相当一部分是一线汽车供应商，他们最关心的就是规格书中的各项性能指标，比如信噪比 (SNR) 和总谐波失真 (THD)。他们反倒不太关心大多数 IC 验证团队会关心的一些主要指标，比如单个组件测试结果、代码覆盖率结果，以及其他硬件实现级别的指标。另外，我们的客户利用现场试验和真实驾驶场景来评估完整的雷达系统，而 IC 验证团队则使用与真实信号相去甚远的测试图形来评估单个射频、模拟和数字组件。我和所在团队定义并实现了流程前置方法学，使得我们验证 IC 设计的流程与客户评估 IC 设计的标准保持一致。我们开发用于虚拟现场试验的路试驾驶场景基于许多客户所遵循的 Euro NCAP 标准。我们生成的功能和性能指标（如 SNR）与客户评估自己产品中的 IC 组件所用的指标相同。”—NXP雷达芯片工程师。

【1】

可仿真的模型不仅有助于提升公司内部芯片的设计开发验证、下一代产品的迭代优化效率，也可以虚拟处理器（vCPU）的方式服务早期客户，抢占市场先机。

自动化功能安全验证

这是一个机器人与AI开始盛行的年代，基于模型设计的研发流程和嵌入流程之中的各种自动化工具正在越来越多的被汽车工程师和芯片工程师所采用。

ISO26262功能安全标准要求对芯片进行功能和结构覆盖率驱动的验证。而根据业内的调研结果，芯片开发过程中验证占用了50%的时间。使用自动化工具提高验证效率变得非常有意义。

芯片验证工作通常由芯片验证工程师完成，日常地挣扎于算法专家和RTL工程师的沟通洪流中。基于模型设计可以显著提高芯片验证效率，通过将验证前移，提高芯片算法的质量，从而减少算法、实现和验证的迭代次数；同时在算法、实现和验证传递可仿真的模型，也能比传递文档减少许多沟通误差。

在芯片模型上，工程师可以使用Simulink CoverageTM测量芯片模型和生成代码中的测试覆盖率，识别缺失的测试或意外的功能，并在图表上查看覆盖率结果；或者借助Simulink Design VerifierTM使用形式化方法识别芯片设计错误，发现难以发现的死逻辑和设计缺陷，自动生成测试向量以分析缺失的覆盖率，形式化地证明设计符合需求。

为加快汽车显示芯片图像处理IP核的设计和实施，瑞萨工程师采用了 MATLAB® 和 Simulink® 的基于模型的设计：“与传统的设计流程相比，采用基于模型的设计，我们能更早地验证我们的算法和系统功能，更快地适应需求指标变更，评估更多的设计替代方案。基于模型的设计帮助在算法专家和 RTL 工程师之间架起桥梁。”【2】

快速原型及RTL自动化生成

为了应对日益增加的竞争压力，芯片制造商正在缩短交货时间表，即使设计变得越来越复杂，客户对质量和性能的期望也在提高。许多制造商发现，传统的设计方法，即团队对规范进行基于文档的验证，并在最终生产版本之前生产多个原型，现在太慢了，无法跟上行业当前的步伐。

在模型充分验证之后，HDL Coder可以从模型自动生成可综合的符合行业编码标准的VHDL或Verilog代码，自动实现FPGA-in-the-loop原型验证，也可以通过自动生成SystemVerilog或UVM复用模型中的测试激励和框架，从而大大提高芯片RTL开发效率。MathWorks ASIC/FPGA工作流程支持ISO26262功能安全标准，HDL Coder是 ISO26262认证的开发工具。

“我们从2014年开始研究将Simulink MBD用于ASIC开发。硅验证已证明自动生成的代码 0 bug”来自Allegro Microsystems的经验分享。【3】Allegro为开发高完整性汽车传感器芯片采用了基于模型的混合信号IC设计流程。

确认芯片底层软件功能安全

芯片的运行还要有软件支持，车规芯片制造商需为用户提供满足功能安全的硬件和底层软件。底层软件甚至是功能安全的必要组成部分，比如避免系统硬件故障以及检测和控制随机硬件故障，例如FMEDA, clock monitoring, power monitoring, ECC protection of RAM/ROM。更多的情况下，低层软件帮助汽车OEM和开发人员构建符合安全认证的应用，比如AUTOSAR MCAL, firmware, sensor drivers, safety monitoring, safety-certified library。

PolyspaceTM可以对芯片底层软件进行符合ISO26262功能安全的验证。Polyspace是基于抽象解释原理的代码级静态分析和验证工具，使用形式化方法，无需测试用例，能对代码进行穷尽分析。把代码中有问题和没问题的计算操作通过颜色完全区分开，方便底层软件工程师聚焦问题。

Elektrobit开发AUTOSAR基础软件，帮助桥接芯片厂商和汽车厂商。确保符合道路车辆的ISO 26262功能安全标准涉及证明设计满足安全要求，架构准确反映设计，以及架构正确实施。Elektrobit工程师使用Polyspace代码验证器完成耗时的第三阶段【4】。Polyspace的形式化方法内核还帮助Elektrobit验证高度可配置软件，从耗时的数千次的边界检查方法中解脱。他们还是用并行问题证明，减少非必要的互斥锁，从而提高软件的性能。

以客户为中心

汽车行业广泛采用基于模型的设计(Model-Based Design)开发流程，汽车芯片厂商为自家芯片提供基于Simulink的高效、高性能、安全认证的硬件支持包，能更好地服务客户。典型的例如，InfineonAurix高性能MCU支持包，NXPmodel-baseddesigntoolbox。这些支持包能够将Simulink算法生成优化代码部署到微控制器上，有效地将算法裁剪为异构硬件架构，配置和生成所有必要的软件，使用处理器在环PIL进行测试，生成启动点以在Synopsys Virtualizer和硬件上测试代码等，从而帮助汽车控制工程师和软件工程师缩短项目开发周期。

小结

车规芯片需要满足汽车功能安全标准ISO26262的各项要求，MATLAB基于模型设计方法帮助芯片开发过程符合功能安全一般准则，包括完整的仿真、充分的验证、自动化的过程再现，并提供一系列工具提高芯片系统与功能建模、验证自动化、原型和RTL实现、底层软件验证等过程的质量和效率。与此同时，车规芯片未来的客户们--汽车行业工程师正在广泛使用基于模型设计方法开发智能电动汽车应用。

【1】汽车雷达 IC 设计的环境在环验证 - MATLAB & Simulink (mathworks.cn)

【2】瑞萨半导体采用基于模型的设计来设计并实现ASIC 图像处理 IP 核 - MATLAB & Simulink (mathworks.cn)

【3】A Mixed-Signal Model-Based Design Flow for Automotive Sensors Video - MATLAB (mathworks.cn)

【4】使用 Polyspace从 AUTOSAR 组件中删除运行时错误 - MATLAB & Simulink (mathworks.cn)

作者背景介绍

陈晓挺MathWorks中国

陈晓挺，MathWorks中国区通信、电子和半导体行业市场经理，主要负责CES行业市场、合作伙伴与客户开发。毕业于西安交通大学和中国科学院，获通信专业博士学位。加入MathWorks之前，曾就职于中国科学院和华为，在通信系统设计、电子系统研发以及项目管理等领域有丰富的经验。

标签：