內容提要：本文提出了一種符合功能安全標準的BIST基礎設施概念，有助于確保在整個片上系統(SoC)生命周期內安全執行測試，同時保持高測試質量。

摘要

安全關鍵系統在多個領域（尤其是在汽車行業）的電子電氣(E/E)設備中的份額正在不斷增長。系統內任何組件的未處理失效都可能危及整個生態系統的安全。因此，無論使用環境和層次結構級別如何，所有系統組件都必須遵循開發過程和現場運行的適當安全標準的要求。在這種情況下，傳統的內置自測試(BIST)方案也必須滿足ISO 26262中定義的安全要求才能獲得汽車應用的批準。本文提出了一種符合功能安全標準的BIST基礎設施概念，有助于確保在整個片上系統(SoC)生命周期內安全執行測試，同時保持高測試質量。

1.簡介

汽車行業目前是半導體行業增長最快的行業之一。消費者對安全性、可靠性和更高安全性要求的不斷增長繼續推動汽車市場的增長。追求更高安全性和更好駕駛體驗的趨勢迫使汽車制造商不斷將大量電子和電氣元件集成到他們的車輛中，例如高級駕駛輔助系統(ADAS)和車載信息娛樂系統(IVI)。包括自適應巡航控制、停車輔助、緊急車輛制動、車道變換輔助等，而且列表還在不斷增加。

功能安全敏感系統傳統上傾向于使用成熟的技術，這些技術在系統生命周期內提供高性能、可靠性和更低的生產成本。然而，鑒于需求不斷增長，汽車制造商不得不采用具有更高處理能力和通信性能的解決方案，這需要使用相對較新的技術節點，例如3D晶體管。特別是近年來，隨著消費市場壓力的增加和競爭的激烈，上市時間利潤率急劇下降。這一趨勢為汽車應用開發商和原始設備制造商(OEM)帶來了更多挑戰，他們需要滿足對更高性能和能效的需求，以及對安全性、可靠性和質量的自然要求。因此，現代汽車行業面臨著許多需要解決的挑戰，包括功能安全性和可靠性、生產過程中的測試質量以及網絡安全性和穩健性。這些不同的要求有時會相互沖突，甚至相互排斥，因此很難完全滿足。

汽車行業需要考慮的最重要的方面之一是對高質量測試的要求。在這里，應特別注意開發可靠的測試和維修解決方案，不僅適用于生產階段，而且適用于產品的整個生命周期，從設計階段到流片啟動和批量生產，再到現場運行。這尤其與嵌入式存儲器有關，它覆蓋了大部分片上系統(SoC)區域，并為實現高性能和十億分之一缺陷率(DPPB)發揮重要作用。傳統上，BIST是測試和修復嵌入式存儲器的首選方法，可在成本和可實現產量之間提供合理的權衡。直到最近，現有的BIST解決方案還完全專注于SoC生產階段，以提供高故障覆蓋率和最佳產量。然而，如今的情況發生了巨大變化，尤其是在汽車行業，鑒于市場最近的突破。目前，任務模式下的功能安全和網絡安全被視為車輛的最高優先級要求，因此，不僅在生產階段，而且在現場也需要全面的測試能力。

文獻中已經提出了許多技術和新方法來解決生產后測試問題，這些問題涉及測試的特定方面。描述了透明內存BIST的概念，其中的關鍵思想是使測試執行對系統透明，同時保持內存內容完好無損。還介紹了具有改進覆蓋率和測試時間的其他版本的透明BIST架構。描述的汽車SoC的內存和邏輯BIST實現引入了幾個專為現場測試設計的新功能。例如，提出了非破壞性和破壞性自檢的理念。在前一種情況下，測試控制單元不包括在測試中，從而允許在現場進行更多控制并規劃測試程序。在后一種情況下，整個設備都經過測試，測試后，由于系統狀態丟失，需要硬重置或系統重啟。還有一種基于短沖擊的BIST技術，其理念是將內存劃分為更小的塊，并將BIST執行劃分為一系列短沖擊，每次測試一個內存塊。

關于這個主題的其他研究也展示了使用結構測試（大部分是內置的）進行現場測試和診斷的好處。例如，汽車領域通過重用生產測試方法進行系統內測試可以獲得的權衡和好處。除了結構測試之外，還有最近提出的其他替代方法也可以用于現場測試。這包括基于軟件的自測方法和功能測試方法。

與現場測試相關的另外兩個方面是任務模式下集成電路老化的問題和壽命測試的重要性。關于老化，提出了幾種在線老化監測方法。所提出的內置傳感器僅在汽車啟動時工作，因此它們可以抵抗老化和閾值電壓波動。老化監測是通過觀察鏈中關鍵部分的傳播延遲來完成的。還有研究人員開展了一項關于現場老化故障調查的研究，并提出了一種在SoC壽命早期階段檢測老化引起的故障的算法方法。同時，還討論了采用功能方法來表征SoC的可靠性和工作壽命的重要性。提出了一種自動生成適合任務模式的測試模式的新方法，實驗結果證明了該方法的優勢。

本文的目的是結合現有的最佳實踐，并借助所提出的通用BIST引擎，提出一種全面的功能安全兼容解決方案的概念，用于測試汽車SoC中的嵌入式存儲器。換句話說，所提出的BIST概念代表了從生產到現場測試的一站式測試解決方案。本文的下一節介紹了ISO 26262標準和汽車認證流程。第3節將仔細研究汽車現場測試的各個階段及其施加的各種要求。第4節描述了針對汽車SoC提出的解決方案的細節。最后，第5節得出結論。

2. 功能安全和ISO 26262

在開發汽車SoC的任何應用時，需要考慮的關鍵要求之一是功能安全性和可靠性。軍事、核能和航空航天等行業中建立的功能安全性要求，現在正廣泛轉移到汽車行業。安全性和可靠性的主要目標是承受人身傷害或損害人體健康的風險。安全性主要旨在降低制造或現場運行過程中系統和隨機硬件失效的風險。同時，可靠性決定了系統在給定時間段內執行分配給它的功能的概率。

汽車行業對安全性和可靠性方面的關注度不斷提高，導致需要制定通用標準來衡量其在系統中的合規性水平。這就是ISO 26262標準“道路車輛：功能安全”出現的原因，該標準制定了汽車設備功能安全的定義和要求，適用于所有安全導向的汽車E/E系統的整個生命周期。ISO 26262規定了用于車輛的電氣和/或電子系統達到可接受的功能安全水平的要求。根據滿足這些要求的情況，最終產品可以通過四個可用的汽車安全完整性等級(ASIL) A到D之一獲得認證。

ASIL是指汽車系統或此類系統元素中固有安全風險的抽象分類。ISO 26262使用ASIL分類來表示避免特定危害所需的風險降低水平，其中ASIL-D為最高級別，ASIL-A為最低級別。然后，將針對該危害評估的ASIL分配給為消除該危害而設立的安全目標，然后由該目標產生的安全要求繼承。ASIL是根據暴露概率、駕駛員可能控制的能力以及發生危急事件時可能造成的后果的嚴重程度綜合確定的。

汽車產品隨機硬件故障的一般ASIL認證流程包括以下主要步驟：

1. 將產品交給認證機構。

2. 確定產品的安全目標違反(SGV)：

·安全目標(SG)是對產品施加的安全要求，目的是將一個或多個危害事件的風險降低到可接受的水平；

·安全目標違反(SGV)是由于產品故障而導致的安全目標違背。

3. 定義產品的失效模式(FM)：

·直接導致違反安全目標的故障稱為單點故障(SPF)；

·MPF（多點故障）是兩個或多個獨立故障的組合，直接導致違反安全目標。

4. 計算每個FM和SGV的診斷覆蓋率(DC)：

·在此階段，認證機構確定每個FM對每個SGV的影響，并計算能夠檢測到該影響的產品的相應DC。

5. 根據DC編號定義ASIL-X等級：

·根據獲得的DC編號，從表1中確定產品的ASIL等級。

6. 計算產品的FIT率：

·使用已知公式，認證機構計算產品的FIT率。

7. 準備FMEDA報告：

·FMEDA報告包含認證過程中獲得的所有信息，包括SGV、FM、DC、ASIL和FIT編號。

8. 認證機構提供ASIL-X等級合規證書。

表1. ASIL和FIT要求

隨機硬件失效概率度量(PMHF)是ISO 26262范圍內使用的另一種定量分析方法，它定義了產品在使用壽命內每小時的平均失效概率。PMHF估算公式如下：

其中

λSPF 為單點失效率；

λRF 為殘余失效率；

λDPF_detected 為已檢測并已通知的雙點失效率；

λDPF_latent 為潛在雙點失效率（已緩解但未通知）；

TLifetime  為車輛使用壽命。

3. 硅片生命周期測試要求

ISO 26262對所有產品在用于車輛之前都定義了明確的要求，負責內置自檢和修復的組件也不例外。過去，主要要求是測試質量和及時發現制造缺陷。在汽車行業，情況有所不同，因為安全性進入了現場。為了更好地理解汽車要求，我們需要仔細研究SoC生命周期的各個階段以及每個階段需要考慮的關鍵測試要求。事實上，SoC生命周期可以分為三種主要模式：生產、上電和任務模式。

A. 生產模式

在汽車行業，與任何其他高科技行業一樣，實現高良率是一項至關重要的要求。因此，擁有具有所有必要功能的全面測試和修復機制至關重要。為此，在設計階段，測試結構通常內置在芯片中，用于測試、修復和診斷目的。內置結構使芯片能夠進行自我測試，從而降低了測試設置的復雜性和使用復雜測試設備的成本，并縮短了上市時間。

構建全面的測試BIST基礎設施的第一步，是了解芯片上將使用的各種內存架構和技術的全部實際故障模型。內存故障是芯片生產階段可能發生的物理缺陷的抽象表示。然而，不僅需要考慮發生在內存陣列中的故障，還必須考慮發生在內存陣列周圍塊中的故障，包括地址解碼器、寫入驅動器、感測放大器等。一旦確定了一組目標故障，就需要開發測試算法以確保完整的故障覆蓋率和最佳產量。

B. 上電模式

即使在生產階段之后，也要保持SoC中的測試結構處于活動狀態，這對于專注于功能安全的應用來說是一項特殊要求。隨著時間的推移，電路會磨損，負面影響可能會在生產后的幾年內開始出現，在最壞的情況下甚至幾個月內就會出現。老化效應是最常見的問題，通常定義為電路性能隨時間的下降。老化的影響可能包括功耗增加、速度降低、時序延遲，最終可能導致系統故障和失效。隨著技術節點的快速減少，老化的影響顯著增加，不再能被忽視，尤其是在汽車等應用中。老化的主要原因是負偏置溫度不穩定性(NBTI)和熱載流子注入(HCI)的影響，但最近正偏置溫度不穩定性(PBTI)效應也變得越來越重要。

與生產階段不同，由于空間、功率和時間限制，現場測試要求更加嚴格。因此，生產模式的測試解決方案無法完全滿足這些標準，因此通常會提供替代解決方案。在上電測試期間沒有必要考慮所有的制造缺陷，由于老化或電遷移，可能只會出現其中一小部分缺陷。上電測試在ECU啟動時開始，主要目的是在系統進入任務模式之前快速檢查所有設備是否正常工作，或者在檢測到任何問題時報告。對于上電測試，似乎唯一已知的限制是測試時間，它必須保持在一定范圍內。因此，與生產測試不同，此模式使用復雜度較低的測試算法，僅針對最常見的永久性故障類型。有時，根據應用情況，還會使用關機或鑰匙關閉模式來在關閉發動機之前執行額外檢查。

C. 任務模式

成功完成上電階段后，系統進入任務模式。任務模式是最關鍵的模式，因為如果出現問題，反應時間極其有限，否則可能導致致命后果。在任務模式下，失效通常由于軟錯誤或老化導致的永久性故障而發生。因此，在此模式下，可以區分兩類測試機制，具體取決于它們是始終處于活動狀態還是定期激活。

第一類包括糾錯碼(ECC)等機制，這些機制不斷檢查現場運行期間是否保持數據或地址完整性。在這種情況下，主要要求是盡量縮短從檢測到問題到向系統發送警告消息的時間。此類測試機制的主要目標是檢測軟錯誤，這些軟錯誤通常是由阿爾法粒子和宇宙射線撞擊集成電路引起的。與硬錯誤相比，軟錯誤是暫時的，不會造成永久性損壞。然而，隨著汽車行業對安全性和可靠性的日益關注，在任務模式下檢測和糾正這些類型的錯誤至關重要。

第二類包括定期激活的測試機制，用于測試并非始終可用的系統組件。例如，內存和邏輯BIST無法連續運行，因為內存和其他邏輯塊可能被系統占用。只有當內存或其他塊被系統釋放時，才能檢查它們是否有故障。此類別中的測試稱為任務定期測試。定期檢查在安全間隔內運行一次，安全間隔在系統規范中定義為可能發生失效的時間段。定期內存測試需要解決許多挑戰：

1. 只有在空閑狀態下才能測試特定的內存實例

2. 內存測試的分配時間通常不足以測試整個內存宏

3. 測試必須保持被測試內存的內容完好無損

4. 當從系統收到中斷命令時，應停止內存測試，并在釋放內存后重新啟動。

圖1.現場定期測試：藍色塊處于空閑狀態，綠色塊處于任務狀態，橙色塊處于測試模式

因此，采用先進的方法將測試分成幾個部分，每次執行整個測試的一部分。這意味著在每個測試會話期間只測試預定義的內存單元子集。需要注意的是，每次測試會話后的狀態必須保存在系統中，以便在開始下一個會話時從完全相同的位置繼續測試。圖1顯示了在不同時間點進行定期現場測試的示例。在第一種情況下，所有內存塊都處于空閑狀態，既未被系統使用，也未被測試。在第二種情況下，內存塊M1、M2、M8、M9和M12處于任務模式，而M3、M5、M10、M14和M16處于測試模式。最后，在第三種情況下，內存塊M8、M12、M13和M15已被系統釋放并可進入測試模式，而M3和M5已完全測試并被系統調用進入任務。

4. 汽車SoC的BIST架構

圖2顯示了針對汽車SoC提出的BIST內存架構。它由以下模塊組成：

圖2. 提出的汽車BIST架構

? 測試算法寄存器—所提出的BIST架構包含一組預定義的測試算法，旨在測試并為不同的內存技術提供高故障覆蓋率。具體來說，故障覆蓋率包括：

o 靜態單單元和耦合故障

o 動態單單元和耦合故障

o 靜態和動態故障之間的聯系

o 工藝變化故障

o 其他特定技術的故障

除了全面的預定義測試算法集之外，還可以編寫新的測試算法或在必要時修改現有算法。為此，不僅提供了一個編程接口用于添加新的測試算法，還提供了用于新測試操作、尋址類型和背景數據模式的編程接口。在汽車的情況下，在生產模式下，通常會犧牲運行時間和性能要求以換取更高的故障覆蓋率，這意味著通常建議使用復雜但強大的測試算法。

? 測試算法容器—允許在設計階段存儲測試算法，然后選擇合適的算法在上電和任務周期模式下啟動。因此，默認情況下，除了預定義的復雜生產模式測試算法外，測試套件中還包含兩個或更多個較短的測試算法，這些算法的長度較短，專為上電和任務模式而設計。與生產模式不同，在這些模式下，可以通過專用測試接口授予對內置測試的訪問權，因為出于安全原因，生產后通常禁止通過JTAG測試訪問端口(TAP)進行訪問。除了自檢功能外，還通過同一接口提供快速自修復機制，以便在測試完成后快速啟動修復程序。

? BIST控制器—將選定的測試算法應用于內存，還提供測試汽車SoC所需的許多功能：

o 正確“自檢”。這項特殊功能允許檢查BIST電路本身是否與邏輯單元有關，邏輯單元負責收集和向外界發送SoC狀態信息。進行此類測試的原因是，如果出現任何問題，可能會捕獲不正確的系統狀態信息，從而危及車輛和駕駛員的整體安全。為此，提供了一種靈活的錯誤注入機制，允許將錯誤注入內存陣列和周圍的塊。

o 提出的解決方案還有助于解決與定期測試相關的挑戰。由于嚴格的時間限制，復雜的測試算法不能用于現場測試，但是，定期運行更簡單的測試算法可以在一定程度上彌補這一缺陷，并最大限度地降低可能的故障逃逸風險。根據指定的間隔長度，可以使用“地址范圍選擇”功能在整個內存空間或一系列內存地址上執行測試。

o 另一個更高級的功能是使測試算法透明的能力。這對于在定期測試期間存儲包含敏感數據的內存內容尤其重要。定期測試執行的調度由系統的主處理器決定，因為它取決于許多因素，包括可用測試間隔的長度、內存可用性、功率限制等。為此，還提供了對選定內存塊運行定期測試的能力。

? 最后，提供了“測試中止”功能，該功能允許在系統發出請求時停止測試執行并將內存返回到任務模式。

所提出的BIST架構不僅可以測試，還可以修復有故障的內存。在測試階段，一組檢測到的故障及其位置信息存儲在頂部控制單元的專用區域中。為此，通常使用一次性或可重新編程的電保險絲陣列來存儲這些數據。BIST運行完成后，將根據存儲的信息啟動自修復程序。在此過程開始時，執行冗余分析以讀取冗余元素（行和列）的配置和故障位置，然后確定最佳冗余分配方案進行修復。如果找到這樣的方案，則啟動修復程序，并將內存陣列中的所有故障行和列替換為冗余對應項。只有在成功修復后，內存才宣布可以運行。

如果需要調試和了解檢測到的故障的根本原因，則強大的診斷功能也是所提解決方案的一部分。開發的測試算法將檢測到的故障列表作為輸入，確定故障類型并嘗試識別常見的物理缺陷模式，無論是單單元缺陷、雙單元缺陷、四重缺陷、行/列缺陷等等。診斷完成后，將生成一份詳細報告，其中包含有關發現的故障類型和觀察到的物理缺陷模式的信息。

5. 結論

在過去十年中，功能安全變得越來越重要，尤其是隨著ISO 26262標準的推出，對汽車SoC以及最終對其所包含的所有組件提出了新的要求。本文介紹了嵌入式存儲器自檢和修復解決方案的概念，該解決方案可滿足SoC整個生命周期（包括生產、上電和任務模式）的所有功能安全要求。

詳詢“牛小喀”微信：NewCarRen

作者：?？W專欄作者
牛喀網文章，未經授權不得轉載！