本文由慧荣科技汽车与嵌入式产品经理史继宇发表于 Electronic Design

随着新一代车辆对数字电子和软件依赖程度的不断提升，需要符合严格功能安全与信息安全标准的可靠内存和存储。

本文将带您了解：

• 软件定义汽车的发展，进一步推动了对可靠、安全的内存与存储解决方案的需求。
• 在现代汽车设计中，同时解决功能安全和网络安全非常重要。
• 符合 ISO 26262、AEC-Q100 和 ASPICE 等行业标准，是实现汽车级内存和存储高可靠性和安全性的关键。

早在自动驾驶和软件定义汽车 (SDV) 兴起之前，汽车功能安全就已是关键考量。随着各类车辆加速数字化，日益复杂的先进功能推动了对更多内存和存储设备的需求，同时也对其可靠性和安全性提出了更严苛的要求。

随着半导体含量在汽车中的应用日益增加，这些要求已成为汽车系统设计人员必须重点考虑的关键因素。他们需要适应汽车系统架构的变革，在提供更多功能的同时，兼顾功能安全、可靠性和信息安全。用于关键任务的内存和存储设备绝不能发生故障，可靠性是首要前提。

软件定义汽车 (SDV) 加速推动半导体含量

随着软件定义汽车 (SDV) 的快速发展，汽车电子技术的演进正越来越多地受到其驱动，SDV 集成了更先进的信息娱乐系统、先进驾驶辅助系统 (ADAS)、电动汽车 (EV) 电力系统和无线更新 (OTA) 功能。车联网 (V2X) 功能支持汽车软件在夜间自动升级，提供下载更详细和最新导航信息的能力。同时还可回传车辆数据，以诊断特定问题或长期监控系统性能。

在架构方面，软件定义汽车 (SDV) 正逐步转向更具"区域性"的设计方法，通过对功能模块进行分区整合与集中计算处理，以应对来自传感器和周边网络日益增长的数据量（见图 1）。随着数据规模持续扩大，以及新功能与服务不断推出，电子控制单元 (ECU) 的数量快速增加，并通过复杂的网络系统相互连接。

转向区域架构使车辆更具可编程性，但这种通过软件实现的灵活性也对硬件提出了更高要求。计算能力的提升意味着半导体含量的增加，即使 ECU 和其他计算设备的数量正在整合。

除了带来更集中化的数据存储方式，并提升对内部连接性的要求之外，软件定义汽车 (SDV) 还凸显了对功能安全性、可靠性和网络安全的需求。

功能安全性与网络安全的交织

功能安全性与可靠性早已密不可分。如今，随着 V2X 功能的兴起，网络安全也成为不可忽视的关键要素。

联网汽车面临着来自恶意攻击者的威胁，因为每辆车都存在潜在的接入点（见图 2）。每个网络、内存和存储设备都构成了攻击面，而 V2X 所引入的功能更带来了独特的安全挑战。车载网络由异构节点组成，传输速度各异、连接状态不稳定，传统的安全防护机制往往难以应对。

由于网络安全与功能安全密切相关，软件定义汽车 (SDV) 在许多日常场景中都可能面临安全漏洞。例如，汽车行业中使用开源软件，可能使黑客得以利用针对多款车型的共享系统代码发起攻击。

但与所有计算系统一样，软件并不是现代汽车中威胁行为者发动攻击的唯一入口。硬件也正日益成为篡改的目标，必须具备内建的安全性，才能有效支撑整体功能安全。因此，设计人员在考量功能安全性与可靠性标准的同时，也必须纳入网络安全标准的要求。

数字化提升了安全挑战

随着汽车日益数字化并更加依赖电子设备，行业也引入了多个关键标准来规范汽车功能安全。而自动驾驶技术的兴起与电动汽车市场的增长，则对这些标准提出了进一步完善与扩展的要求。

功能安全从开发阶段即开始，涵盖产品规范、生产实施、整合、验证、确认和最终发布。评估各类风险（包括潜在危害及其情境）是所有汽车功能安全计划中的关键环节。

通常，汽车 OEM 会针对任何车辆级功能进行危险分析与风险评估 (HARA)，以确定各潜在危险所需的风险降低等级。评估内容包括特定驾驶场景下危险发生的可能性和持续时间，以及故障或失效时可能带来的后果。

HARA 分析不会深入到组件级别。但由于半导体已成为现代汽车的核心构件，内存和存储设备必须达到汽车级标准，能够适应从高温到低温以及振动等严苛环境。

半导体行业有自身的安全标准，即便在应用其他汽车相关标准之前，也必须优先遵循。这一要求通过"独立安全元件"(SEooC) 概念得以实现。它是一种自下而上的开发方法，适用于软件、硬件或系统元件的设计，并可跨多个项目和车型使用。

此外，一种称为失效模式、效应和诊断分析 (FMEDA) 的系统分析技术可用于评估子系统或设备级的失效率、失效模式及诊断能力。FMEDA 会全面分析设计中的所有组件，包括其功能、各组件的失效模式、失效对设备功能的影响，以及自动诊断机制的故障检测能力。该技术可根据定义的失效模式预测失效率，从而用于验证是否符合汽车功能安全标准。

汽车安全标准扩展至存储与计算

有多项涉及软硬件的标准用于规范汽车功能安全。

其中最关键的标准是 ISO 26262，该标准制定了一系列指导方针，旨在最大程度降低事故风险，并确保汽车组件在正确的时间准确执行其预期功能。ISO 26262 还定义了汽车安全完整性等级 (ASIL)，从低风险的"A"到高风险的"D"不等 —— 例如，行驶过程中转向控制系统发生故障即属于高风险情况。

随着汽车自动驾驶技术的快速发展，ASIL 评级变得日益重要。符合 ASIL D 标准对于实现 5 级自动驾驶至关重要。

另一个相关的功能安全标准是 AEC-Q100。该标准通过强调可靠性，涵盖对汽车应用中集成电路的压力测试，确保电子元件的安全性能。

由于 ISO 26262 并未涵盖软件缺陷等系统性错误，汽车软件过程改进与能力评定模型 (ASPICE) 已成为当前汽车软件最佳实践的标准。不过，该标准尚未被全球广泛采纳。软件过程改进及能力评定（即 ISO/IEC 15504 或简称 SPICE）是一套用于软件过程评估的架构，旨在评估开发中的关键因素，帮助评估人员判定组织有效且可靠交付软件产品的能力。

ASPICE 将此架构应用到汽车行业，定义了嵌入式软件开发的最佳实践标准。与 ISO 26262 等功能安全标准不同，ASPICE 还涵盖了在非安全相关情境下的设计流程。汽车设计人员应同时遵循 ASPICE 与 ISO 26262 标准，以确保有效的安全实践。

同时，ISO/SAE 21434 的推出，反映出汽车设计对网络安全防护能力日益增长的需求。该标准适用于包括汽车系统级芯片 (SoC)、软件，以及用于开发现代车辆的设计工具。

随着 NAND 闪存成为汽车应用的核心组件，并以多种形式广泛应用，其在关键任务场景下的高度可靠性变得至关重要。为此，它还需符合 AEC-Q100 等标准，以承受极端环境条件，并在突发故障（如碰撞）时仍能有效保留数据。

鉴于软件定义汽车 (SDV) 的互联特性，车用 NAND 设备必须具备内建的安全机制，因为任何数据篡改都可能对行车安全造成影响。因此，为保障数据存储与无线更新 (OTA) 的安全性，系统需采用 AES-256 位全盘加密方案。

NAND 闪存在性能与可靠性方面同步提升

NAND 闪存设备在汽车应用中的功能性、安全性、可靠性及信息安全，依赖于包括主控芯片在内的多种系统组件。

慧荣科技的汽车级主控芯片符合多项国际功能安全与可靠性标准，包括 AEC-Q100、IATF 16949、ISO 26262 和 ASPICE（见图 3）。这些标准的遵循体现出设计人员正在打造面向"全连接、数据驱动、直观体验"的新一代车载信息娱乐系统，涵盖沉浸式娱乐、沉浸式信息娱乐，以及由车联网 (V2X) 技术支持的先进驾驶辅助系统 (ADAS) 等功能，这些都依赖于强大且高性能的数据存储解决方案。

由慧荣科技开发的汽车级 eMMC、UFS 和 SSD 主控芯片具备与其他应用类似的多项功能。此外，它们支持宽温范围，拥有极低的百万分之缺陷率 (DPPM)，且设计符合 ASPICE 标准。

以上主控芯片均经过严格测试，并通过了 AEC-Q100 2/3 级、ISO 26262、ISO 21434 和 IATF 16949 等认证。

慧荣最新的 SSD 主控芯片 SM2264XT-AT 专为汽车应用打造，支持单根 I/O 虚拟化 (SR-IOV) 技术。凭借这一特性，使其非常适合未来采用集中式架构的车辆。

SM2264XT-AT 还支持多达 8 个虚拟功能，能够高效管理多个同时访问 SSD 的虚拟机，从而有效降低 CPU 负载。该功能对软件定义车辆尤为关键，因为降低延迟并确保各类应用的快速响应至关重要。

主控芯片经过严格测试，符合多项汽车制程和认证，包括 AEC-Q100、ISO 26262 ASIL-B Ready 认证、IATF 16949 供应链合规性认证和 ASPICE CL3 认证。

随着支持车载智能和全自动驾驶的车联网 (V2X) 功能不断增强，联网汽车变得更加复杂，对内存和存储设备的需求也将持续增长。这意味着设计人员需要在设计时考虑到功能安全的解决方案，包括存储设备和主控芯片。