汽车为什么需要测试和监控?

来源:智汇工业

点击:3446

A+ A-

所属频道:新闻中心

关键词:测试 监控 造车

    特斯拉又双叒降价了,却是在日本和美国;如特斯拉大中华区总裁朱晓彤所说:在中国,“随着技术的发展,特斯拉的价格还会越来越低。”不过,特斯拉质量问题频发,也是不争的事实。如新华网所云:“车辆安全始终是第一位的,产品质量终究是前提。”


    造车新势力所缺少的或许正是百多年来经过历史检验的漫长的系统工程——测试和验证。今天的汽车电气/电子系统越来越多,而元件小型化导致对电应力的敏感性不断增加,防止器件中断和潜在或灾难性的故障已成为汽车应用的一大挑战。因此,除了传统的测试,一些新的测试方法也应运而生。


    我们期望,主机厂有动力和能力制造一辆安全的汽车,以致其声誉不会受损,召回也就没有必要了。



    随着汽车电气化进程,在制造过程的最后阶段对新车进行彻底的测试已经不够。安全标准现在要求在现场进行测试,如果测试失败,应制定应急计划。事实上,汽车半导体供应链对专门针对系统内(in-system)监控的设计功能有明确要求。而所谓监控包括结构测试和性能监控两部分。


    安全机制必须包括汽车运行期间执行测试的计划。虽然启动和关闭是触发测试的重要事件,但有些必须在车辆运行时进行。在任何标准中都没有明确规定执行什么,但这样的计划必须是安全机制的一部分,也是认证过程的一部分。


    为什么需要测试和监控?


    每次有车辆上路,都有发生危险的可能。ISO 26262标准规定了如何确保安全的一般要求,与大多数电子系统不同的是,它包括对车辆寿命进行定期芯片测试。西门子EDA汽车IC测试解决方案经理Lee Harrison说:“纵观整个领域,我们已经进行了多年的结构测试。最近,我们开始在系统内这样做。”


    对于车辆中的某些系统,这一点至关重要。Advantest汽车业务开发经理Fabio Pizza说:“ISO 26262标准要求在汽车的整个生命周期内,通过自检定期检查批量生产的车辆中电气和/或电子系统的功能安全性。”


    进行这种测试的三个主要理由是:


    测试遗漏是一个事实。“在70年代、80年代和90年代,如果你的良率是98%,就会有百万分之一的器件是不可接受的,”KLA战略合作高级主管Jay Rathert说。


    需要定期确保自上次运行测试以来,车辆没有任何变化。


    即使没有任何破坏性事件,老化也会影响车内的电子设备。因此,测试机制需要关注性能,以发现任何芯片老化,并确保持续安全运行。


    一个器件最低水平的具体性能或老化程度取决于器件之间可能发生的变化。不同的器件会有不同的操作,测试和可靠性统计数据可能会,也可能不会准确地反映特定的器件。


    个人拥有汽车的时代——长时间停放、上下班用、临时外出——行将结束。Rathert说:“我们正朝着24/7汽车的方向发展,汽车将被用于共享,这将彻底改变汽车的磨损模式。”


    应该运行什么类型测试?


    ISO 26262没有规定必须运行的特定测试。相反,它更笼统地谈到“安全机制”,由开发团队、Tier 1和主机厂来商定。这使他们能够灵活地使用其认为最有效的工具,并在出现新想法时融入其中。Synopsys数字设计部门产品营销总监、功能安全从业者Robert Ruiz说:“有逻辑测试和内存测试,但也可能是其他类型的标准逻辑、看门狗、传感器或监视器。”


    运行期间安全检查的两个主要机制是测试和监控。测试与制造流程中的测试基本相同,可能有一些修改或添加。其目的是寻找结构性问题。另一方面,监控关注的是性能,旨在寻找安全可能在不久的将来受到威胁的任何异常或其他迹象。


    测试和监控都可以将结果传送到云。但通常情况下,测试失败会导致在没有云帮助时在车内立即采取行动。与此同时,监控数据可能会被传输到云端进行分析和跟踪。虽然该车将有许多其他专用传感器组件向云端发送数据,但这些组件正在监视特定的更高级别的汽车参数。相比之下,片内监视器可监视电路。两者都很重要,但处理和管理方式可能不同。


    proteanTecs汽车总经理Gal Carmel说:“监控允许车辆和云之间的计算协同作用,实现云上的实时决策和数据分析。系统评估边缘电子设备的完整性,并相应地将相关数据传输到云端,以便进行预测性和规范性诊断。这不仅可以延长系统的使用寿命,还允许快速进行根本原因分析和OTA调试。”何时运行测试?


    有三个事件或时间需要执行测试:钥匙打开、操作期间进入系统和钥匙关闭。


    Synopsys数字设计部门产品营销总监Giri Podichetty说:“当你开始测试系统是否正常时,就会打开电源。在操作过程中,我们可以做定期测试,去检查设备的实际状态。最后,我们关闭电源,然后我们有更多的时间做更多的测试。”


    汽车在发动机启动时已经进行了一些测试。Ruiz说:“当你一开始看到仪表盘上的灯时,就在进行很多初始测试。虽然额外的测试可能需要一些时间,但没有太多的时间,因为驾驶员期望在几秒钟后开始驾驶。因此,对于芯片测试本身,可用的时间可能是200毫秒左右。”


    当汽车熄火时,还有更多的时间测试。从理论上讲,虽然开发人员说有无限的时间,但显然不是这样。时间预算的关键是重新启动汽车之前的几秒测试时间。Ruiz说:“当你把车熄火时,你大概可以再等10秒钟。当然,在半导体界,秒是一个巨大的时间量。”


    在这个关键关闭阶段可以运行更广泛的测试集。Harrison指出:“在内存上运行一个基本棋盘算法然后打开钥匙,或在内存上运行一个功能齐全的应力测试然后关闭钥匙,两者区别很大。”


    在钥匙打开时测试的电路可能需要也可能不需要在系统中进一步测试。这就是ASIL评级的重要性所在。Harrison说:“对于信息娱乐系统,钥匙开着测试就可以了。但是研究先进防抱死制动系统时,情况就不同了。”


    此外,对于无人出租车和其他类似车辆,钥匙开启和关闭测试的可能性很小。Harrison解释说:“钥匙每10小时才开一次。所以你需要能够运行在线测试,以确保一切都是安全的。”


    因此,面临的挑战是如何在电路运行时对其进行测试。测试的内容和时间在一定程度上取决于安全级别。当然,最严苛的是ASIL-D,它是对车辆最安全关键部件最严格的评级。无论车辆在做什么,都需要定期进行关键测试。


    监控与车辆的运行状态没有那么紧密的联系。proteanTecs的Carmel说:“深度数据监控允许24/7使用,无论车辆的钥匙处于打开或关闭状态。与BiST(Built-in Self Test,内建自测)相反,其在线、非侵入性的运行不会中断功能运行。在钥匙打开时,它可以识别可靠性降低和安全威胁并发出警报,从而实现规定的维护。在钥匙关闭时,在预定的维护时间内,主机厂可以物理连接和调试问题,以保持服务可用性并延长操作寿命。”


    何时运行测试?


    如果管理不当,大多数测试可能会中断。例如,当汽车在红绿灯处时,不一定能安排测试,因为无法保证何时会遇到这种情况,也无法保证停车会持续多久。因此,无论车辆当时在做什么,都必须安排进行测试。


    处理这个问题的一种方法是冗余。而不是单核运行自己的内存,核和内存可以复制。控制可以在它们之间来回传递,这样,当一个核正在测试时,另一个将处理驾驶任务。然后,可以将其反转,以确保两组都在工作状态。


    这类似于但不同于双核锁步操作。在这种情况下,两个核的运行方式总是相同的,其目标是识别两个内核之间的任何分歧。但是,对于测试,两组将不处于锁定阶段。相反,它们各自为战,以便测试和操作可以无缝地进行。


    这种冗余为测试提供了操作裕度。一些架构师可能会认为,我有四个处理器,所以以循环方式,可以离线测试一个。Cadence的Tensilica IP部门产品营销总监Ted Chua说:“冗余的需求并不局限于功能电路,测试电路也很有必要。测试还需要冗余。”


    内存可以在访问之间进行部分测试,这就是所谓的“透明”测试。Synopsys的Podichetty说:“为了不占用太多时间,我们以时间切片的形式进行无损内存测试。如果内存离线(taken offline),则可以执行扩展的内存内建自测(MBiST)测试。


    对于SoC上的逻辑测试,测试能力主要利用芯片上已经存在的用于制造测试的可测试设计(DFT)基础设施。为了增加更多的通道以获得更好的可视性,可能需要对电路进行一些修改,但这种更改通常是为了缩短测试时间,帮助补偿所需的额外硅面积。


    系统内逻辑测试通常涉及逻辑内建自测(LBiST),包括通过测试运行使用的种子向量,这些测试的结果被组合成一个签名。对该签名的验证构成系统该部分的通过/失败信号。LBiST域的大小取决于可用于测试的时间。


    Cadence产品管理总监、数字和签准部门的Rob Knoth指出:“开车上路时,可以有一个非常快速的测试循环,而不是执行电路的LBiST,这将在钥匙打开或关闭时完成。”


    也可以调用软件在硬件上运行测试。Advantest的Pizza说:“这可能包括用于检查器件引导序列和自检是否正常工作,以及检测与应用电路(传感器、接口、摄像头、总线等)交互中可能出现的问题。然而,这种测试可能是侵入性的,其时间安排必须仔细规划。”


    测试需要多长时间?


    总的来说,三个测试阶段的时间,包括系统内时间间隔,将由功能安全管理器针对每个应用设置。Podichetty说:“这大部分来自于功能安全要求,即我们每项测试所需的时间。”


    Harrison补充道:“我们与客户一起做了大量工作,以尽量减少系统内测试的时间。由于一些测试的持续时间和一些SoC功能,将测试划分为块是有意义的。所以你可以把它分成10段,每几百毫秒运行一段。”


    当然,测试时间可以成为提供测试IP的公司之间的竞争指标。Harrison说:“我们已经能够将BiST测试的运行时间降低10到20倍,这确实有助于在一个时间间隔内完成一个完整的测试,而不是将测试拆分。”


    何时测试也是一个动态考量。Chua说:“如果你正处于紧急刹车状态,哪怕是一秒钟,你都不会进行测试。但是,如果你在测试中,然后你遇到这个紧急或危险情况呢?重要的是安全,做测试是为了安全,没有人想做测试而危及安全。”测试失败的响应


    测试时间还必须考虑测试失败时可能需要的各种响应。如果测试通过,那么操作将一如既往地继续。但如果测试失败,那么安全计划必须考虑到响应。不管触发因素是什么,响应意味着让汽车进入到安全状态。确切地说,这种状态将是安全计划的一部分。


    如果检测到故障,则允许车辆进入安全状态的时间预算。Ruiz说:“说明书上说,如果有故障,要有一定的时间来检测,有一定的时间来记录,然后再做点什么。”ISO 26262将检查一个故障和另一个故障之间的时间称为容错时间间隔(FTTI)。FTTI包括三个间隔,用于检测故障,如果检测到故障,则对故障作出反应,然后在执行下一个测试之前进入安全状态。


    FTTI的三个间隔


    在检测到测试失败时FTTI启动,包括在返回检测下一个故障之前将系统置于安全状态所需的所有响应。在这个级别上,假设这样的测试失败不是灾难性的,但要允许一些功能来补救这种情况。


    这与“检查引擎”灯亮起时的情况类似。“仪表盘上出现一个警告灯,说明刹车ECU坏了,”Rathert解释道。“这是一个好消息,警告灯没有失效,但车里还是有一个不好的部件,还是要去一趟服务中心。”


    Knoth换了一种说法。“你发现‘二号核’不好,现在需要运行系统软件,‘不要再使用二号核,只能使用一号核、三号核和四号核。'系统注册后进入新的安全状态。也许它不再允许你使用完整的ADAS功能,也许它只会使用车道偏离避让之类的功能。”


    没有人要求对整个车辆进行FTTI测试。Chua说:“根据器件应用的不同,不同的模块可能会有不同的FTTI。”芯片内部必须有一个中心控制点来管理所有与安全和测试相关的事件。它被称为“安全岛”或“安全管理器”,即物理布局的隔离区域。


    连接到汽车IC的安全岛


    安全岛是一个处理器子系统,负责管理车辆中的各种安全机制。早期建立的测试时间表是必须遵循的测试和安全架构的一部分。但该计划的执行——安排测试和处理结果——是由安全管理器实时完成的。Harrison说:“安全管理器可以发现危险信号,然后迅速将器件置于安全状态。”它可以在芯片级或子系统级运行。


    锂电池细节改进一刻未停


    虽然系统内测试是安全计划的一个新组成部分,但它实际上是在设计和制造的早期已开始流程的最后一个后盾。


    EDA工具必须关注功能安全。测试和安全电路通常不符合优化工具的预期,因此这些工具必须在安全计划的指导下做出让步。拥有EDA工具和IP预认证——特别是类似测试IP的测试设计(DFT)——可以简化这些工具和IP的用户的认证过程。Harrison说:“如果我们已经获得了ISO认证,那么这些技术的采用将非常有帮助。”


    制造检查以及从操作反馈到制造的长循环反馈,是随着时间推移提高安全性的另一个重要方法。制造和封装操作的质量越高,系统内测试失败的可能性就越小。如果物理特性与加速老化相关,甚至也可以减轻老化。所有东西都会老化,但老化较快的芯片可以从供应链中淘汰。


    Rathert说:“测试行业正试图提高良率,让作为最后一道防线进行测试东西更少。测试人员正在关注如何改进他们的测试游戏。当我们剥开洋葱皮并研究这个问题时,首要的是阻止缺陷的发生。第二个是逃逸,其中一部分是测试覆盖率,另一部分是我们所说的潜在缺陷。”


    潜在缺陷直到稍后才显露出来,可能是在暴露于某些环境条件之后。根据定义,不会在制造测试中发现它们。


    “我们有两种方法来处理这个问题,”Rather说。“一个是工艺控制,我们停止制造缺陷的芯片。第二个是筛选——寻找那些看起来不正常的晶圆或单个芯片,不让它们进入供应链。然后,用晶圆级探针进行单次和最终测试。我们正试图将所有这些机会尽可能地放在上游,以阻止那些坏的片芯流出,这样之后的内置自检就永远是干净的。”


    CyberOptics负责研发的副总裁Tim Skunes对此表示赞同。他说:“对于汽车等安全关键型应用,零缺陷至关重要,因此实施有效的SMT/电子组装、晶圆级和先进封装的检验和计量过程来控制工艺和良率非常重要。”


    从规划到认证


    如何实现测试取决于开发工作早期的架构阶段实施策略。在早期阶段让安全团队参与有助于确保测试计划满足安全计划的需要。


    还有许多利益相关者需要参与,包括芯片开发、系统开发和软件团队。这种协调是必要的,不仅是为了确保所有考虑因素和情景都已考虑在内,而且是为了确保不同团队执行的测试之间没有重叠或冗余。给定一组测试,谁执行哪些测试可以由所有相关人员在早期决定。


    Knoth指出:“无论是制造测试还是现场测试,都需要一种更加多学科、‘大帐篷’的方法来决定测试内容和测试方式。”


    结论


    认证与大多数安全关键系统一样,要在安全专家的监督下制定一个计划,然后证明最后达到了既定目标。在审查了所有测试、监控和其他安全机制的处理方式之后,并没有官方机构对车辆进行批准。最后,还是由主机厂进行认证。人们的期望是,主机厂有动力和能力拥有一辆安全的汽车,这样它的声誉就不会受损,召回也就没有必要了,这就是“基于市场的安全”。


    总而言之,系统内测试结合了其他功能安全性和安全性考虑,已成为这些轮子上系统的新要求。与任何设计一样,随着汽车制造商竞相为客户提供最佳和最安全的体验,这些考虑因素之间也会存在权衡。


    系统内测试整体方法的好处在于:市场上最成功的团队利用来自不同利益相关者的所有投入,提出优雅的解决方案,使他们能够拥有更低的开销和更高质量的测试,而不是各自呆在自己的筒仓(silos)里,把问题抛诸脑后,然后说:“好吧,让测试人员来解决这个问题。”


    系统反应和云分析监控架构


    不是所有的监视器都一样。“我们有两种显示器,”Harrison解释说。“我们有被动监视器,只是用来收集数据。还有反应监视器,如果我们真的发现了一些意想不到的事情,那么像巴士哨兵这样的东西可以完全关闭车辆。”


    (审核编辑: 智汇小新)