本文由慧榮科技車用與嵌入式產品經理史繼宇發表，原刊登於《 Electronic Design 》

新世代車輛對數位電子與軟體的依賴日益增加，因此亟需符合嚴格功能安全與資安標準的高可靠記憶體產品。

本文將帶您了解：

• 軟體定義車輛（Software-Defined Vehicles，簡稱 SDV）對可靠、安全的記憶體與儲存解決方案需求日益增長。
• 在現代汽車設計中，功能安全與資安防護必須同步考量。
• 遵循 ISO 26262、AEC-Q100 和 ASPICE 等產業標準，對於滿足車用等級記憶體嚴苛要求的關鍵。

汽車功能安全早在自動駕駛與軟體定義車輛 (SDV) 問世之前便已存在。隨著各類車輛日趨數位化，越來越先進的功能推動了對更多記憶體與儲存裝置的需求，且必須符合嚴格的可靠性與安全性標準。

而今，半導體技術在車用系統中的應用日益普及，這些要求已成為汽車系統設計人員不可忽視的重要考量。他們必須因應車用系統架構的變革，在提供更多功能性的同時，也需兼顧功能安全、可靠性與資安防護。應用於關鍵任務的記憶體與儲存裝置更是不容出錯。

軟體定義車輛 (SDV) 推動半導體搭載量增加

車用電子的演進越來越受到軟體定義車輛 (SDV) 的驅動，這類車型現已配備了更先進的資訊娛樂系統、先進駕駛輔助系統 (ADAS)、電動車 (EV) 動力系統，以及無線更新 (OTA) 功能。車聯網 (V2X) 技術使車輛軟體可於夜間自動升級，並支援下載更詳細且即時的導航資訊。系統也能從車輛端收集資料，用於診斷特定問題或長期蒐集系統效能資料。

在系統架構方面，軟體定義車輛 (SDV) 採用更「區域化」的設計思維，將各項功能模組化並集中運算，即使感測器與周邊網路收集的資料持續增加（見圖 1）。隨著資料成長加上新功能與服務持續導入，促使電子控制單元 (ECU) 大量擴增，並透過複雜的網路架構相互連接。

轉向區域化架構使車輛更具可程式化能力，但也對硬體提出更高要求。即使電子控制單元 (ECU) 和其他運算裝置的數量有所整合，更多的運算仍代表需要更多的半導體搭載量。

除了促使資料儲存更集中並增加內部連接需求外，軟體定義車輛 (SDV) 也突顯了功能安全、可靠性與資訊安全的需求。

功能安全與資安防護的交集

長期以來，功能安全與可靠性密不可分。然而，隨著車聯網 (V2X) 功能的出現，資安防護也成為不可或缺的一環。

惡意攻擊者可能會對連網車輛發動攻擊，因為每輛車都潛藏多個攻擊點（見圖 2）。每一個網路節點、記憶體與儲存裝置皆可能成為攻擊面，而車聯網 (V2X) 技術更帶來獨特的資安挑戰。車用網路由異質節點、多種傳輸速率與間歇性連線所構成，傳統資安防護方法未必足以因應。

由於資安與功能安全息息相關，軟體定義車輛 (SDV) 可能會在許多看似平常的情境下暴露於風險之中。例如，在汽車產業中採用開源軟體，可能讓駭客藉由共用的系統程式碼，對多款車型發動攻擊。

不過，就如同所有運算系統一樣，軟體並非現代車輛中威脅攻擊者破壞系統的唯一途徑。硬體也越來越常成為篡改目標，唯有具備內建安全性，才能有效強化整體功能安全。因此，設計人員在考量功能安全與可靠性的同時，也必須同步納入資安相關規範。

數位化提高安全標準要求

隨著車輛日趨數位化並愈加倚賴電子系統，多項關鍵的汽車功能安全標準也應運而生。自駕車的興起與電動車市場的蓬勃成長，促使這些標準必須持續精進與擴充。

功能安全自開發階段即納入考量，涵蓋產品規格擬定、製造執行、系統整合、驗證與確認，直至最終發布。針對潛在危害與各種風險情境進行評估，是每一項汽車功能安全計畫中不可或缺之核心要務。

汽車原廠通常會針對任一車輛層級的功能進行危害分析與風險評估 (HARA)，以判定每項潛在危害所需採取的風險降低等級。評估內容包括在特定駕駛場景中危害發生的可能性和持續時間，以及發生故障或失效時可能導致的後果。

危害分析與風險評估 (HARA) 並未深入至元件層級。然而，由於半導體已成為現代車輛的核心基礎組件，記憶體與儲存裝置必須符合汽車等級規範，能耐受高溫、低溫與行駛過程中的震動等極端環境。

半導體產業本身即有其專屬的安全標準需優先遵循，方能納入其他專為汽車產業設計的安全規範。此概念稱為「獨立安全單元」（Safety Element out of Context，簡稱 SEooC），乃一種由下而上的開發方法，適用於軟體、硬體或系統元件開發，並可跨應用於不同產品或車輛平台。

此外，「失效模式、影響與診斷分析」（Failure Modes, Effects, and Diagnostic Analysis，簡稱 FMEDA）是一種系統性分析技術，用於評估子系統或裝置層級的失效率、失效模式及診斷能力。FMEDA 會全面檢視各項設計元件，包括其功能、潛在失效模式、各失效模式對裝置功能的影響，以及自動診斷機制的偵測能力。透過預測特定失效模式下的失效率，FMEDA 可用於驗證設計是否符合車用功能安全標準。

汽車安全標準擴及記憶體與運算領域

針對汽車功能安全，已有多項標準同時規範軟體與硬體層面。

其中最關鍵的標準之一是 ISO 26262。該標準制定了一系列準則，旨在降低事故風險，並確保汽車組件能在正確的時間執行其預定功能。ISO 26262 還定義了車輛安全完整性等級（Automotive Safety Integrity Level，簡稱 ASIL），風險等級從低「A 級」到高「D 級」不等。例如，若行駛過程中方向控制系統發生故障，即屬高風險情境。

隨著車輛自動化程度提高，ASIL 等級的重要性也日益提升。符合 ASIL D 標準是實現Level 5 全自動駕駛的關鍵。

另一項相關的功能安全標準則是 AEC-Q100。該標準透過注重可靠性來確保電子零件的安全性，包括對汽車應用中的積體電路進行壓力測試。

由於 ISO 26262 並未涵蓋像軟體缺陷等系統性錯誤，車用軟體過程改進的能力和測定（Automotive Software Process Improvement and Capability Determination，簡稱 ASPICE）已成為目前汽車軟體最佳實務的重要標準。然而，該標準尚未在全球被廣泛採用。軟體過程改進的能力和測定（Software Process Improvement and Capability Determination，簡稱 SPICE 或 ISO/IEC 15504），是一套軟體流程評估架構，設計為用來評估開發因素，協助評估人員判斷組織是否具備有效且可靠交付軟體產品的能力。

ASPICE 將此架構應用於汽車產業，並針對汽車嵌入式軟體的開發制定最佳實務準則。與 ISO 26262 等功能安全標準不同的是，ASPICE 涵蓋了在不考慮安全性的情況下的設計流程。汽車設計人員應同時參考 ASPICE 與 ISO 26262 準則，以確保有效益之安全實作。

與此同時，ISO/SAE 21434 的推出，則反映了車輛設計需抵禦網路安全威脅的新興需求。該標準涵蓋硬體如車用系統單晶片 (SoC)、軟體，以及用於開發現代車輛的設計工具。

隨著 NAND 快閃記憶體成為車用應用的主力技術，並以多種形式展現，其必須具備高度可靠性，才能滿足關鍵任務應用的需求。這也意味著其亦須符合如 AEC-Q100 等標準，方能承受極端環境條件，並在發生碰撞等突發故障時能保有資料。

鑑於軟體定義車輛 (SDV) 的連網特性，車用 NAND 裝置本身也必須具備內建安全保護，因為任何篡改都可能影響行車安全。因此，採用 AES-256 位元全磁碟加密技術，以確保資料儲存及無線更新 (OTA) 的安全性。

NAND 快閃記憶體效能與可靠性同步精進

慧榮科技車用級控制晶片符合 AEC-Q100、IATF 16949、ISO 26262 以及 ASPICE 等多項國際功能安全與可靠性標準（見圖 3）。遵循這些標準，展現出設計團隊致力於打造全面連網、資料驅動且操作直覺的車內資訊娛樂系統體驗，包括沉浸式娛樂與資訊娛樂系統，以及透過車聯網 (V2X) 技術支援的先進駕駛輔助系統 (ADAS)，而這些應用均仰賴強固且高效的資料儲存解決方案。

慧榮科技開發之車用級 eMMC、UFS 及 SSD 控制晶片，具備與其他應用方案相同的多項功能，同時支援寬溫範圍，展現極低的百萬分之缺陷率 (DPPM)，並以符合 ASPICE 標準設計而成。

這些控制晶片皆通過嚴格測試，符合 AEC-Q100 第 2/3 級、ISO 26262、ISO 21434及 IATF 16949 等國際認證標準。

慧榮最新 SSD 控制晶片 SM2264XT-AT 專為車用應用設計，支援單根 I/O 虛擬化 (SR-IOV) 技術。得益於此功能，它特別適合於未來需要採用集中式架構的車輛。

SM2264XT-AT 亦支援多達八個虛擬功能，能有效管理多個同時存取 SSD 的虛擬器，進而減輕 CPU 負擔。此功能對軟體定義車輛 (SDV) 尤為關鍵，因為降低延遲並確保各應用程式快速回應時間是首要任務。

該控制晶片經過嚴格測試，並遵循多項汽車產業流程及認證，包括 AEC-Q100、ISO 26262 ASIL-B Ready 認證、IATF 16949 供應鏈合規認證，以及 ASPICE CL3 認證。

隨著連網車輛因支援車載智慧與完全自動駕駛的車聯網 (V2X) 功能而日益複雜，對記憶體與儲存裝置的需求勢將持續攀升。這也意味著，設計人員需採用將功能安全納入設計的解決方案，包括儲存裝置與控制晶片等。