■

測(cè)試失敗的響應(yīng)

測(cè)試時(shí)間還必須考慮測(cè)試失敗時(shí)可能需要的各種響應(yīng)。如果測(cè)試通過(guò)，那么操作將一如既往地繼續(xù)。但如果測(cè)試失敗，那么安全計(jì)劃必須考慮到響應(yīng)。不管觸發(fā)因素是什么，響應(yīng)意味著讓汽車進(jìn)入到安全狀態(tài)。確切地說(shuō)，這種狀態(tài)將是安全計(jì)劃的一部分。

如果檢測(cè)到故障，則允許車輛進(jìn)入安全狀態(tài)的時(shí)間預(yù)算。Ruiz說(shuō)：“說(shuō)明書(shū)上說(shuō)，如果有故障，要有一定的時(shí)間來(lái)檢測(cè)，有一定的時(shí)間來(lái)記錄，然后再做點(diǎn)什么�！盜SO 26262將檢查一個(gè)故障和另一個(gè)故障之間的時(shí)間稱為容錯(cuò)時(shí)間間隔（FTTI）。FTTI包括三個(gè)間隔，用于檢測(cè)故障，如果檢測(cè)到故障，則對(duì)故障作出反應(yīng)，然后在執(zhí)行下一個(gè)測(cè)試之前進(jìn)入安全狀態(tài)。

FTTI的三個(gè)間隔

在檢測(cè)到測(cè)試失敗時(shí)FTTI啟動(dòng)，包括在返回檢測(cè)下一個(gè)故障之前將系統(tǒng)置于安全狀態(tài)所需的所有響應(yīng)。在這個(gè)級(jí)別上，假設(shè)這樣的測(cè)試失敗不是災(zāi)難性的，但要允許一些功能來(lái)補(bǔ)救這種情況。

這與“檢查引擎”燈亮起時(shí)的情況類似�！皟x表盤上出現(xiàn)一個(gè)警告燈，說(shuō)明剎車ECU壞了，”Rathert解釋道。“這是一個(gè)好消息，警告燈沒(méi)有失效，但車?yán)镞�是有一個(gè)不好的部件，還是要去一趟服務(wù)中心�！�

Knoth換了一種說(shuō)法�！澳惆l(fā)現(xiàn)‘二號(hào)核’不好，現(xiàn)在需要運(yùn)行系統(tǒng)軟件，‘不要再使用二號(hào)核，只能使用一號(hào)核、三號(hào)核和四號(hào)核。＇系統(tǒng)注冊(cè)后進(jìn)入新的安全狀態(tài)。也許它不再允許你使用完整的ADAS功能，也許它只會(huì)使用車道偏離避讓之類的功能�！�

沒(méi)有人要求對(duì)整個(gè)車輛進(jìn)行FTTI測(cè)試。Chua說(shuō)：“根據(jù)器件應(yīng)用的不同，不同的模塊可能會(huì)有不同的FTTI。”芯片內(nèi)部必須有一個(gè)中心控制點(diǎn)來(lái)管理所有與安全和測(cè)試相關(guān)的事件。它被稱為“安全島”或“安全管理器”，即物理布局的隔離區(qū)域。

連接到汽車IC的安全島

安全島是一個(gè)處理器子系統(tǒng)，負(fù)責(zé)管理車輛中的各種安全機(jī)制。早期建立的測(cè)試時(shí)間表是必須遵循的測(cè)試和安全架構(gòu)的一部分。但該計(jì)劃的執(zhí)行——安排測(cè)試和處理結(jié)果——是由安全管理器實(shí)時(shí)完成的。Harrison說(shuō)：“安全管理器可以發(fā)現(xiàn)危險(xiǎn)信號(hào)，然后迅速將器件置于安全狀態(tài)。”它可以在芯片級(jí)或子系統(tǒng)級(jí)運(yùn)行。

■

鋰電池細(xì)節(jié)改進(jìn)一刻未停

雖然系統(tǒng)內(nèi)測(cè)試是安全計(jì)劃的一個(gè)新組成部分，但它實(shí)際上是在設(shè)計(jì)和制造的早期已開(kāi)始流程的最后一個(gè)后盾。

EDA工具必須關(guān)注功能安全。測(cè)試和安全電路通常不符合優(yōu)化工具的預(yù)期，因此這些工具必須在安全計(jì)劃的指導(dǎo)下做出讓步。擁有EDA工具和IP預(yù)認(rèn)證——特別是類似測(cè)試IP的測(cè)試設(shè)計(jì)（DFT）——可以簡(jiǎn)化這些工具和IP的用戶的認(rèn)證過(guò)程。Harrison說(shuō)：“如果我們已經(jīng)獲得了ISO認(rèn)證，那么這些技術(shù)的采用將非常有幫助�！�

制造檢查以及從操作反饋到制造的長(zhǎng)循環(huán)反饋，是隨著時(shí)間推移提高安全性的另一個(gè)重要方法。制造和封裝操作的質(zhì)量越高，系統(tǒng)內(nèi)測(cè)試失敗的可能性就越小。如果物理特性與加速老化相關(guān)，甚至也可以減輕老化。所有東西都會(huì)老化，但老化較快的芯片可以從供應(yīng)鏈中淘汰。

Rathert說(shuō)：“測(cè)試行業(yè)正試圖提高良率，讓作為最后一道防線進(jìn)行測(cè)試東西更少。測(cè)試人員正在關(guān)注如何改進(jìn)他們的測(cè)試游戲。當(dāng)我們剝開(kāi)洋蔥皮并研究這個(gè)問(wèn)題時(shí)，首要的是阻止缺陷的發(fā)生。第二個(gè)是逃逸，其中一部分是測(cè)試覆蓋率，另一部分是我們所說(shuō)的潛在缺陷。”

潛在缺陷直到稍后才顯露出來(lái)，可能是在暴露于某些環(huán)境條件之后。根據(jù)定義，不會(huì)在制造測(cè)試中發(fā)現(xiàn)它們。

“我們有兩種方法來(lái)處理這個(gè)問(wèn)題，”Rather說(shuō)�！耙粋�(gè)是工藝控制，我們停止制造缺陷的芯片。第二個(gè)是篩選——尋找那些看起來(lái)不正常的晶圓或單個(gè)芯片，不讓它們進(jìn)入供應(yīng)鏈。然后，用晶圓級(jí)探針進(jìn)行單次和最終測(cè)試。我們正試圖將所有這些機(jī)會(huì)盡可能地放在上游，以阻止那些壞的片芯流出，這樣之后的內(nèi)置自檢就永遠(yuǎn)是干凈的�！�

CyberOptics負(fù)責(zé)研發(fā)的副總裁Tim Skunes對(duì)此表示贊同。他說(shuō)：“對(duì)于汽車等安全關(guān)鍵型應(yīng)用，零缺陷至關(guān)重要，因此實(shí)施有效的SMT／電子組裝、晶圓級(jí)和先進(jìn)封裝的檢驗(yàn)和計(jì)量過(guò)程來(lái)控制工藝和良率非常重要。”

■

從規(guī)劃到認(rèn)證

如何實(shí)現(xiàn)測(cè)試取決于開(kāi)發(fā)工作早期的架構(gòu)階段實(shí)施策略。在早期階段讓安全團(tuán)隊(duì)參與有助于確保測(cè)試計(jì)劃滿足安全計(jì)劃的需要。

還有許多利益相關(guān)者需要參與，包括芯片開(kāi)發(fā)、系統(tǒng)開(kāi)發(fā)和軟件團(tuán)隊(duì)。這種協(xié)調(diào)是必要的，不僅是為了確保所有考慮因素和情景都已考慮在內(nèi)，而且是為了確保不同團(tuán)隊(duì)執(zhí)行的測(cè)試之間沒(méi)有重疊或冗余。給定一組測(cè)試，誰(shuí)執(zhí)行哪些測(cè)試可以由所有相關(guān)人員在早期決定。

Knoth指出：“無(wú)論是制造測(cè)試還是現(xiàn)場(chǎng)測(cè)試，都需要一種更加多學(xué)科、‘大帳篷’的方法來(lái)決定測(cè)試內(nèi)容和測(cè)試方式�！�

■

結(jié)論

認(rèn)證與大多數(shù)安全關(guān)鍵系統(tǒng)一樣，要在安全專家的監(jiān)督下制定一個(gè)計(jì)劃，然后證明最后達(dá)到了既定目標(biāo)。在審查了所有測(cè)試、監(jiān)控和其他安全機(jī)制的處理方式之后，并沒(méi)有官方機(jī)構(gòu)對(duì)車輛進(jìn)行批準(zhǔn)。最后，還是由主機(jī)廠進(jìn)行認(rèn)證。人們的期望是，主機(jī)廠有動(dòng)力和能力擁有一輛安全的汽車，這樣它的聲譽(yù)就不會(huì)受損，召回也就沒(méi)有必要了，這就是“基于市場(chǎng)的安全”。

總而言之，系統(tǒng)內(nèi)測(cè)試結(jié)合了其他功能安全性和安全性考慮，已成為這些輪子上系統(tǒng)的新要求。與任何設(shè)計(jì)一樣，隨著汽車制造商競(jìng)相為客戶提供最佳和最安全的體驗(yàn)，這些考慮因素之間也會(huì)存在權(quán)衡。

系統(tǒng)內(nèi)測(cè)試整體方法的好處在于：市場(chǎng)上最成功的團(tuán)隊(duì)利用來(lái)自不同利益相關(guān)者的所有投入，提出優(yōu)雅的解決方案，使他們能夠擁有更低的開(kāi)銷和更高質(zhì)量的測(cè)試，而不是各自呆在自己的筒倉(cāng)（silos）里，把問(wèn)題拋諸腦后，然后說(shuō)：“好吧，讓測(cè)試人員來(lái)解決這個(gè)問(wèn)題�！�