中文 英语

汽车测试在系统中移动

确保关键安全系统继续运行是复杂但必要的。

人气

随着汽车的电气化,在制造过程的最后彻底测试新电子产品是不够的。安全标准现在要求在现场现场进行测试,并在测试失败时制定应急计划。

“我们看到了汽车半导体供应链的清晰需求,用于专门针对系统内监控的设计功能,”先进解决方案副总裁Dennis Ciplickas说PDF解决方案。这种监视可以包括结构测试和性能监视。

安全机制必须包括在操作期间运行测试的计划。虽然启动和关闭是触发测试的重要事件,但有些必须在车辆运行时运行。在任何标准中都没有明确规定什么时候运行,但是这样的计划必须成为安全机制的一部分,成为认证过程的一部分。

为什么需要测试和监控
每当车辆撞到道路时,生活都是赌注。这ISO 26262.标准阐述了必须保证安全性的一般要求,与大多数电子系统不同,包括用于车辆寿命的定期芯片测试。“如果您浏览频谱,我们有多年来一直在做的结构测试,”汽车IC测试解决方案经理Lee Harrison说西门子eda.。“最近,我们已经搬进了系统。”

对于车辆中的某些系统来说,这是必不可少的。该公司汽车业务发展经理Fabio Pizza表示:“ISO 26262标准要求,在汽车的整个生命周期内,对批量生产道路车辆中的电气和/或电子系统的功能安全性进行定期自检。效果显著

进行这种测试有三个主要原因:

  • 试验逃生是一个生命的事实,而且数字回来了。“如果您的收益率在70年代,80年代,90年代,而且您的测试覆盖率为98%,那么您将获得百万的零件数量不可接受,”战略合作高级总监Jay Sidentt说:克拉。“在1500到2500 ppm之间的数值可以逃避数学测试。”
  • 需要经常保证,自上次测试运行以来,车内没有任何改变。
  • 即使没有任何破坏性的事件,老化也会影响汽车中的电子产品。因此,测试机制需要密切关注性能以适应任何芯片老化,并确保继续安全操作。

究竟如何在最低水平下执行或年龄是如何在设备之间发生的变化的函数。不同的设备将不同地运行,测试和可靠性统计数据可能或可能无法准确反映特定设备。

单独拥有的汽车时代,停放长时间,否则通勤,跑腿,出去了一些夜晚,正在发生变化。“我们正在向一辆被用于乘车共享的全天候驾驶,这将完全改变磨损范式,”相当。

跑的什么样的测试
ISO 26262不命名必须运行的特定测试。相反,它更普遍地讲述了由开发团队,第1级供应商和OEM达成一致的“安全机制”。这使他们能够灵活地使用他们认为最有效的任何工具并将新想法纳入他们的出现。“[有]逻辑测试和内存测试,但它可以是其他类型的标准逻辑,看门狗,传感器或监视器,”罗伯特鲁斯,产品营销总监,功能安全从业者,数字设计群体Synopsys对此

操作期间安全检查的两个主要机制是测试和监控。测试反映了制造流程中使用的相同测试,具有一些可能的修改或添加。它寻找结构问题。另一方面,监测措施不断关注性能,寻找任何异常或其他迹象,即在不久的将来可能存在风险。

测试和监视器都可以将它们的结果传达给云。但通常,测试失败将导致汽车内的立即采取的,而不会在云的帮助下。同时,监视数据可能会传输到云以进行分析和跟踪。虽然这款车将有许多其他专用传感器组件将数据发送到云端,但这些组件将观察特定的更高级别的汽车参数。相比之下,芯片内监视器监视电路。两者都很重要,但它们的处理和管理方式可能不同。

“监控允许车辆与云之间的计算协同作用,从而实现云的实时决策和数据分析,”汽车总经理Gal Carmel说Proteantecs.。“我们的系统评估了EDGE中的电子设备完整性,并相应地将相关数据发送到云以进行预测,以及规定的诊断。这不仅延长了系统的寿命,还允许快速根本原因分析和OTA调试。“

虽然这款车将有许多其他专用传感器组件将数据发送到云端,但这些组件将观察特定的更高级别的汽车参数。相比之下,芯片内监视器监视电路。两者都很重要,但它们的处理和管理方式可能不同。


图1:涉及系统内反应和云分析的监控架构。来源:西门子

并非所有监视器都是相似的。“我们有两种类型的监视器,”哈里森解释道。“我们拥有被动监视器,我们只需收集数据。然后我们有反应监视器在哪里,如果我们确实发现了意外的东西,那么像公共汽车哨兵就可以完全关闭公共汽车。“

何时运行测试
当需要执行测试时,有三个事件或时间:键打开、操作期间的系统内和键关闭。

Synopsys数字设计团队产品营销总监吉里•波迪切蒂表示:“一旦启动,就可以开始测试,看看系统是否正常。”“在运行期间,我们可以做定期测试,以检查设备的实际状态。最后,我们已经断电了,然后我们有更多的时间去做更多的(测试)。”

汽车已经在发动机启动时进行一些测试。Ruiz表示:“当你在一开始看到仪表盘上的灯时,就是进行大量初始测试的时候。”虽然额外的测试可能需要一些时间,但可用的时间并不多,因为司机希望在几秒钟后就开始驾驶。所以对于芯片测试本身,可用的时间可能是200毫秒左右。

当汽车关闭时,更多的时间就可以了。从理论上讲,开发人员谈论具有无限时间。虽然这显然没有真实的真实 - 有人可以在几秒钟内重新启动汽车 - 关键试验的时序预算是约秒的。“当你关掉汽车时,你可能会再等10秒钟,”鲁斯说。“当然,秒是半导体世界的大量时间。”

在此键关闭阶段可以运行更广泛的测试集。哈里森指出:“这是在你的记忆中运行一个基本的棋盘算法来进行关键操作,或在你的记忆中进行一个功能全面的压力测试来进行关键操作之间的区别。”

在键盘上测试的电路可能或可能不需要进一步测试系统。这是ASIL评级事项的地方。“对于像你的信息娱乐系统这样的东西,你对你的钥匙测试很好,”哈里森说。“但是,当您开始查看高级ABS系统时,那么这变得更加重要。”

此外,凭借Robo-Taxis和其他类似的车辆,可以几乎没有机会接通和关键测试。“关键可能每10小时只发生一次,”哈里森解释道。“所以你需要能够运行这些在线测试,以确保一切仍然是安全的。”

然后,挑战是如何在这些电路运行时在电路上实现测试。测试的内容和时序部分地取决于安全水平。当然,最坏的情况是用于ASIL-D,最严格的车辆最安全关键部分的额定值。无论车辆正在做什么,都需要按规则进行关键测试。

监测与车辆的运营状态没有如此紧密相关。“无论车辆的关键或击键状态如何,深度数据监控允许24/7可用性,”Proteantecs的Carmel说。“它在线和非侵入性地运营,而不会中断功能操作 - 例如与BIST相反。在关键时,它识别和警报可靠性退化和安全威胁,实现规范维护。在按关键处,在预定维护时间期间,OEM可以物理地连接和调试问题以维护服务可用性并扩展操作寿命。“

同时处理测试和操作
如果没有正确管理,大多数测试可能是破坏性的。这并不一定可以安排测试,说汽车在停止光线时等待,因为没有保证将发生或发生这种停止持续多久。因此,必须对无论车辆在当时正在发生的事情进行的测试,都必须进行安排。

处理这个问题的一种方法是通过冗余。这个核心和内存可以被复制,而不是一个单独的核心用它自己的内存操作。控制可以在它们之间来回传递,这样,当一个核心被测试时,另一个将处理驾驶任务。然后,它可以逆转,以确保两组保持在工作秩序。

这类似于 - 但不同于 - 双核锁阶段操作。在这种情况下,两个核心始终相同地运行,目标是将两者之间的任何分歧识别为一个问题的指标。但是,对于测试,这两组将不在锁定步骤中。相反,它们将是标签组合,以便测试和操作都可以无缝地进行。

该冗余提供了用于测试的操作边际。“有些建筑师可能会决定,”我有四个处理器,所以通过循环时尚,我可以脱机并测试它。我还有三个跑步,我仍然能够很好地运作,“Tensilica IP集团的产品营销总监Ted Chua说,”韵律

对冗余的需求不限于功能电路。还需要测试测试电路。“测试也需要冗余,”Chua指出。

可以在访问之间部分测试存储器 - 所谓的“透明”测试。“我们以时间切片形式进行了非破坏性的记忆试验,以便不占用太多时间,”Synopsys的Podichetty说。更广阔内置内置自检(MBist)如果脱机存储器,则可以执行测试。

对于对SOC的逻辑测试,测试能力在很大程度上利用了设计设计(DFT)基础设施已经在芯片上用于制造测试的目的。一些电路的修改可能是必要的,以增加更多的通道以获得更好的可见性,但这些改变通常是为了减少测试时间,帮助弥补所需的额外硅面积。

在系统内逻辑测试通常涉及逻辑内置自检或LBIST。这包括使用通过测试进行的种子矢量,其结果组合成签名。该签名的验证构成该部分系统的通过/失败信号。Lbist域的域如何取决于可用于测试的时间。


图2:与嵌入式确定性测试(EDT)共享的示例Lbist块。来源:西门子

Cadence公司产品管理总监、数字和信号组Rob Knoth指出:“当你在路上行驶时,一个紧密的环路可以非常快速地测试某些东西,而LBiST可以在电路的更大部分上进行测试,而LBiST可以在钥匙打开或关闭时完成。”

还可以调用软件以运行硬件测试。“This can include a portion intended to check that the device booting sequence and self-test work properly, and to detect possible issues in the interaction with the application circuitry (sensors, interfaces, cameras, buses, etc.),” said Advantest’s Pizza. That testing may be intrusive, however, and its timing must be carefully planned.

测试需要多长时间
总的来说,将由每个应用程序的功能安全管理器设置三个阶段的三个阶段的时序。“这大部分来自功能安全要求,以便我们为每一个测试提供了多少时间,”Godichetty说。

添加哈里森:“我们与客户进行了大量的工作,以最大限度地减少我们使用的内部测试的时间。由于一些测试的持续时间和一些SOC的功能,它确实有意义地将该测试分为块。所以你可以将其分成10件并运行每亿亿次。“

当然,测试时间可以成为提供测试IP的公司之间的竞争性指标。“我们已经能够将BIST测试的运行时间降低了10或20倍,这真的有助于在单个时间间隔内实现完整的测试,而不是必须将该测试分开,”哈里森说。

通过更好的压缩来减少制造测试时间的努力也可以积累到系统内测试中。Knoth说:“你们的生产测试时间要短得多,但由于我们在lbis中复制和使用相同的结构,突然之间,你们的lbis在现场运行得更快了。”

何时测试也可以是动态考虑而不是紧密的时间表。“如果你处于紧急制动的中间,你甚至没有参加考验,即使是分裂的第二个,”Chua指出。如果测试时间在紧急情况下,这并不难。“但是如果你在测试中间,那么你就是来到这个紧急或危险的情况?你关心安全,这就是你去测试的原因,但你不想做测试,然后危害安全。“

响应失败的测试
测试时序还必须考虑如果测试失败可能需要的响应类型。如果测试通过,则操作继续如以前继续。但如果测试失败,那么安全计划必须考虑响应。无论触发是什么,响应意味着将汽车移动到安全状态。正是该状态成为安全计划的一部分。

如果检测到故障,则允许将车辆移动到该安全状态的时间预算中。“规格说,如果存在过错,有一定程度的时间检测到它,一定的时间来记录它,然后做一些关于它的事情”鲁斯说。检查一个故障的时间和另一个故障之间的时间被称为容错时间间隔(FTTI)。

在检测到测试失败时,FTTI开始,并且包括将系统放入安全状态之前所需的任何响应,然后返回检测下一个故障。在这个级别,假设这种测试失败不会是灾难性的,但将允许一些能力来修复这种情况。


图3:FTTI包括用于检测故障的三个间隔,如果检测到,则对故障反应,然后在执行下一次测试之前进入安全状态。资料来源:Cadence.

它类似于在“检查引擎”光线上发生的事情。“你在仪表板上发出警告灯,你的制动ECU是出来的,”解释说。“这是一个好消息,你有一个警告灯,而且在你需要的时候它并没有失败。但是你仍然在你的车里有一个糟糕的部分,你将在未来的服务中心旅行。“

knoth把它放在不同的方式。“所以你检测到”核心两个“是坏事。现在我要告诉运行我系统的软件,“不要再使用核心。您只能使用一个,三和四个。“系统注册并进入新的安全状态。也许它不再让你使用完整的Adas了,也许它将使用只是避免的车道或类似的东西。“

整个车辆没有任何强制性的FTTI。“取决于设备应用程序的内容,可能存在不同的模块的不同FTTI,”Chua说。

芯片内必须有一个中央控制点来管理所有安全和测试相关事件。这可以称为“安全岛”或“安全经理”。前一个术语有时与另一个概念混淆,该概念将安全群岛识别为物理布局的隔离区域。

安全岛是一个处理器子系统,任务,用于管理车辆中的各种安全机制。测试必须遵循的时间表成为测试和安全架构的一部分,并提前建立。但是,执行该计划调度测试和处理结果 - 由安全经理实时完成。“那个安全经理可以寻找红旗,然后它可以快速将设备放入安全状态,”哈里森说。它可以在芯片或子系统级别运行。


图4:连接汽车集成电路的安全岛。来源:西门子

测试和监控只是确保安全操作的一部分
虽然系统内测试是安全计划的一个新组成部分,但它实际上是在设计和制造早期开始的过程的最后一个支撑。

EDA工具必须意识到功能安全。测试和安全电路通常不适合可能预期的优化工具,因此工具必须根据安全计划的指导下津贴。“你不想做修改,让车辆更安全,然后随后有一个随后的优化看,并说,”好吧,我知道如何在这里节省一堆区域。我会摆脱这个冗余,'“谈话。

拥有EDA工具和IP预认证 - 特别是测试IP,如设计设计设计(DFT) - 可以平滑这些工具和IP用户的认证过程。“如果我们已经拥有了ISO认证,那么它真的有助于采用这些技术,”哈里森指出。

生产检查,以及从观察到的操作返回到生产的长回路反馈,是另一种随着时间推移提高安全性的重要方法。fab和封装操作的质量越高,系统测试失败的可能性就越小。如果物理特性可以与加速衰老相关,那么衰老也可以减轻。所有东西都会老化,但老化速度更快的芯片可以从供应链中被淘汰。

拉瑟特说:“我们(检查行业)正努力提高产量,让更少的东西作为最后一道防线进行测试。”测试人员专注于如何完善测试游戏。当我们剥开这个洋葱,看看这个问题时,第一是阻止缺陷的发生。第二个是逃逸,逃逸的一部分是测试覆盖问题,一部分是我们所说的潜在缺陷。”

后者直到后来才暴露出来,可能是在暴露于某些环境条件之后。根据定义,它们不会在制造测试中被发现。

“我们有两种方式处理这一点,”宁愿说。“一个是过程控制,我们停止缺陷。二号是筛选 - 寻找晶圆或单独的死亡,看起来有哇哇哇哇哇哇哇哇哇哇哇哇哇哇哇哇哇哇然后,在晶圆水平探针上,然后分割和最终测试。我们正试图将所有这些机会插入到上游,因为我们可以阻止那些坏死从出门,以便您的内置自检总是清洁。“

蒂姆·斯库内斯,公司研发副总裁讯连丝器表示同意。他说:“对于安全关键的应用,如汽车,零缺陷是至关重要的,重要的是对SMT/电子组装、晶片级和先进封装的有效检查和计量过程的实施,以控制过程和产量。”“所以这些100%的检查流程需要在到达车辆之前就到位。”

端到端,从规划到认证
如何实施该测试取决于必须在开发工作的早期建筑阶段建立的策略。在此早期阶段涉及安全团队有助于确保测试计划将满足安全计划的需求。

还有许多利益相关者涉及。它们包括芯片开发,系统开发和软件团队。这种协调是必要的,不仅要确保所有的考虑因素和方案都已考虑,而且还没有在不同团队执行的测试之间没有重叠或冗余。鉴于一系列测试,谁执行哪些测试,何时可以通过所有涉及的人员决定。

“无论是制造测试还是现场测试,它需要更多多学科,大帐篷方法来决定您正在测试的内容以及如何测试它,”注册。

结论
认证与大多数安全关键系统一样。你在安全专家的监督下制定一个计划,然后证明你最终达到了既定的目标。在审查了所有测试、监控和其他安全机制的处理后,没有任何官方机构对这款车予以批准。在一天结束的时候,是OEM做认证。我们的期望是,OEM有动力生产一款安全的汽车,这样它的声誉就不会受到损害,召回也就没有必要了。鲁伊斯称之为“基于市场的安全”。

总而言之,系统内测试将其他功能安全性和安全性的考虑因素作为这些轧制系统的新要求。与任何设计一样,随着汽车制造商竞争最佳和最安全的经验,将有以下内部和这些考虑因素之间的权衡。

Knoth总结了系统内测试的整体方法的好处:“市场最成功的团队利用所有的输入来自不同利益相关者提出优雅的解决方案,允许他们开销较低,高质量的测试,并达到最终产品比如果他们呆在自己的仓库和当掉问题在墙上,说,“好吧,让测试人员自己解决吧。’”



1评论

阿乔 说:

我明白你的意思。我是墙上另一侧的测试工程师。好点子。

留下一个回复


(注意:此名称将被公开显示)