■

測試失敗的響應

測試時間還必須考慮測試失敗時可能需要的各種響應。如果測試通過，那么操作將一如既往地繼續。但如果測試失敗，那么安全計劃必須考慮到響應。不管觸發因素是什么，響應意味著讓汽車進入到安全狀態。確切地說，這種狀態將是安全計劃的一部分。

如果檢測到故障，則允許車輛進入安全狀態的時間預算。Ruiz說：“說明書上說，如果有故障，要有一定的時間來檢測，有一定的時間來記錄，然后再做點什么。”ISO 26262將檢查一個故障和另一個故障之間的時間稱為容錯時間間隔（FTTI）。FTTI包括三個間隔，用于檢測故障，如果檢測到故障，則對故障作出反應，然后在執行下一個測試之前進入安全狀態。

FTTI的三個間隔

在檢測到測試失敗時FTTI啟動，包括在返回檢測下一個故障之前將系統置于安全狀態所需的所有響應。在這個級別上，假設這樣的測試失敗不是災難性的，但要允許一些功能來補救這種情況。

這與“檢查引擎”燈亮起時的情況類似。“儀表盤上出現一個警告燈，說明剎車ECU壞了，”Rathert解釋道。“這是一個好消息，警告燈沒有失效，但車里還是有一個不好的部件，還是要去一趟服務中心。”

Knoth換了一種說法。“你發現‘二號核’不好，現在需要運行系統軟件，‘不要再使用二號核，只能使用一號核、三號核和四號核。＇系統注冊后進入新的安全狀態。也許它不再允許你使用完整的ADAS功能，也許它只會使用車道偏離避讓之類的功能。”

沒有人要求對整個車輛進行FTTI測試。Chua說：“根據器件應用的不同，不同的模塊可能會有不同的FTTI。”芯片內部必須有一個中心控制點來管理所有與安全和測試相關的事件。它被稱為“安全島”或“安全管理器”，即物理布局的隔離區域。

連接到汽車IC的安全島

安全島是一個處理器子系統，負責管理車輛中的各種安全機制。早期建立的測試時間表是必須遵循的測試和安全架構的一部分。但該計劃的執行——安排測試和處理結果——是由安全管理器實時完成的。Harrison說：“安全管理器可以發現危險信號，然后迅速將器件置于安全狀態。”它可以在芯片級或子系統級運行。

■

鋰電池細節改進一刻未停

雖然系統內測試是安全計劃的一個新組成部分，但它實際上是在設計和制造的早期已開始流程的最后一個后盾。

EDA工具必須關注功能安全。測試和安全電路通常不符合優化工具的預期，因此這些工具必須在安全計劃的指導下做出讓步。擁有EDA工具和IP預認證——特別是類似測試IP的測試設計（DFT）——可以簡化這些工具和IP的用戶的認證過程。Harrison說：“如果我們已經獲得了ISO認證，那么這些技術的采用將非常有幫助。”

制造檢查以及從操作反饋到制造的長循環反饋，是隨著時間推移提高安全性的另一個重要方法。制造和封裝操作的質量越高，系統內測試失敗的可能性就越小。如果物理特性與加速老化相關，甚至也可以減輕老化。所有東西都會老化，但老化較快的芯片可以從供應鏈中淘汰。

Rathert說：“測試行業正試圖提高良率，讓作為最后一道防線進行測試東西更少。測試人員正在關注如何改進他們的測試游戲。當我們剝開洋蔥皮并研究這個問題時，首要的是阻止缺陷的發生。第二個是逃逸，其中一部分是測試覆蓋率，另一部分是我們所說的潛在缺陷。”

潛在缺陷直到稍后才顯露出來，可能是在暴露于某些環境條件之后。根據定義，不會在制造測試中發現它們。

“我們有兩種方法來處理這個問題，”Rather說。“一個是工藝控制，我們停止制造缺陷的芯片。第二個是篩選——尋找那些看起來不正常的晶圓或單個芯片，不讓它們進入供應鏈。然后，用晶圓級探針進行單次和最終測試。我們正試圖將所有這些機會盡可能地放在上游，以阻止那些壞的片芯流出，這樣之后的內置自檢就永遠是干凈的。”

CyberOptics負責研發的副總裁Tim Skunes對此表示贊同。他說：“對于汽車等安全關鍵型應用，零缺陷至關重要，因此實施有效的SMT／電子組裝、晶圓級和先進封裝的檢驗和計量過程來控制工藝和良率非常重要。”

■

從規劃到認證

如何實現測試取決于開發工作早期的架構階段實施策略。在早期階段讓安全團隊參與有助于確保測試計劃滿足安全計劃的需要。

還有許多利益相關者需要參與，包括芯片開發、系統開發和軟件團隊。這種協調是必要的，不僅是為了確保所有考慮因素和情景都已考慮在內，而且是為了確保不同團隊執行的測試之間沒有重疊或冗余。給定一組測試，誰執行哪些測試可以由所有相關人員在早期決定。

Knoth指出：“無論是制造測試還是現場測試，都需要一種更加多學科、‘大帳篷’的方法來決定測試內容和測試方式。”

■

結論

認證與大多數安全關鍵系統一樣，要在安全專家的監督下制定一個計劃，然后證明最后達到了既定目標。在審查了所有測試、監控和其他安全機制的處理方式之后，并沒有官方機構對車輛進行批準。最后，還是由主機廠進行認證。人們的期望是，主機廠有動力和能力擁有一輛安全的汽車，這樣它的聲譽就不會受損，召回也就沒有必要了，這就是“基于市場的安全”。

總而言之，系統內測試結合了其他功能安全性和安全性考慮，已成為這些輪子上系統的新要求。與任何設計一樣，隨著汽車制造商競相為客戶提供最佳和最安全的體驗，這些考慮因素之間也會存在權衡。

系統內測試整體方法的好處在于：市場上最成功的團隊利用來自不同利益相關者的所有投入，提出優雅的解決方案，使他們能夠擁有更低的開銷和更高質量的測試，而不是各自呆在自己的筒倉（silos）里，把問題拋諸腦后，然后說：“好吧，讓測試人員來解決這個問題。”