自特斯拉HW4.0平台硬件加入4D毫米波雷达之后，又迎来一波关注热潮。但伴随着汽车行业进入“新四化”阶段，车规级SoC芯片的研发和应用面临着新的挑战。

“不同于消费级和工业级芯片产品，车规级芯片需要满足更为严格的安全和可靠性标准。”7月21日，世界半导体大会在南京举行，毫米波雷达芯片领军企业加特兰微电子科技(上海)有限公司（下称“加特兰”）CEO陈嘉澍，在大会上接受《科创板日报》的采访时表示，随着汽车行业进入以电动化、智能化、网联化和共享化为特征的“新四化”阶段，**汽车行业对汽车整车和上游芯片厂商，从开发、设计到生产，建立了日益严格的体系要求，包括零缺陷管理、功能安全、汽车软件开发、网络安全等。

“每一项符合标准的体系的建立，对SoC芯片厂商来说，都提出了巨大挑战。”

对于零缺陷管理概念，在AEC-Q004车规文件中有详细描述，所谓零缺陷管理，它的核心理念就是在芯片开发的整个周期中，通过一系列预防、监控和改进手段，最终达到产品零缺陷目标。

在陈嘉澍看来，零缺陷管理要贯穿整个芯片产品的全生命周期，从制程设计、产品设计与验证、生产管控与验证，量产放行到持续改进，每个阶段都需要落实一系列管理措施和手段。“越早期的措施手段能起到的功效越大。”

截至目前，在零缺陷管理方面，加特兰将DFMEA（Design Failure Mode and Effects Analysis，设计失效模式及后果分析）、DFM（Design for Manufacturing，面向生产的设计）、可靠性管理、Safe Launch（安全放行）等管控方式嵌入到产品的制造设计、验证、生产管控和量产放行全流程中，坚持零缺陷目标。

不过，这在陈嘉澍看来还远远不够。他认为，零缺陷管理这个理念只能尽最大可能地系统性防范设计缺陷，降低芯片出厂的故障或者是可靠性的风险，但是从每一颗芯片角度来讲，它在出厂之后，由于不可抗概率事件时有发生，仍有可能出现故障，这时就需要“功能安全”进一步保驾护航。

所谓“功能安全”，是指电器电子系统的功能异常引起的安全目标违背的风险足够低。其中，ISO26262标准对于功能安全等级，每一个等级所必须具备失效检测覆盖率有非常详细的定义。比如说对单点失效检测覆盖ASIL B需要达到90%以上，ASIL D需要达到99%以上。

经过过去5-10年的发展，功能安全已经成为整个汽车行业的共识，包括欧盟、中国、美国在内的国家和地区，都出台了一系列对车辆功能安全的准入要求。

由于汽车行业分布式开发的特点，整车厂会将功能安全的要求传导至上游芯片厂商，这时，高集成度系统级单芯片SoC就需要承担模组功能安全的重任。在生产加工等过程中，“功能安全”在芯片设计企业的实施同样会遇到一系列的难点和挑战。

“对于芯片设计中需要完成的安全等级需求，可根据终端客户需求、系统需求等进行逐级分解、追溯。”陈嘉澍对《科创板日报》记者介绍，在设计层面，一方面需要保障足够多的失效检测机制，安全机制的设计，确保达到的失效检测的覆盖率；另一方面也不能进行太过冗余的设计，因为这样会影响主体的功能，尤其是毫米波射频的功能，如果太冗余安全机制设计，它本身的失效概率就会变成不可或缺的一部分。

据悉，加特兰目前已建立了ISO 26262功能安全管理流程体系，其第二代CMOS SoC芯片Alps系列，是国内首个完全符合ISO 26262标准的芯片产品，满足ASIL-B的功能安全等级需求。

作为SoC芯片开发商，软件交付是整个产品交付中并不可缺的一环。在陈嘉澍看来，车规级软件开发需要符合一定的规范和要求。在汽车行业比较普遍被接受的、用于评价软件开发团队研发能力水平的模型框架Automotive SPICE，即ASPICE（汽车软件过程改进及能力评定），也就是汽车软件过程改进和能力测定。

对于零部件厂商、整车行业来说，ASPICE的实施是已经比较普遍，但是对于芯片厂商来讲，是比较陌生的。“我们公司在实践ASPICE上面更进一步，我们将ASPICE测试方法论上升把它应用到了芯片开发验证阶段，其实理念是非常类似的，我们根据验证的需求设计验证用例，同时用验证用例来覆盖验证的所有场景，最终对验证的结果进行审核。”陈嘉澍介绍。

需要指出的是，随着汽车智能网联不断迭代升级，网络干扰、攻击以及整车受到相应损害的风险也在逐渐增加。

与“功能安全”一样，整车厂会将网络安全需求向上游供应链传递，对于芯片厂商来说，也需要符合网络安全相关法规和流程要求。

陈嘉澍对《科创板日报》记者表示，网络安全在芯片公司实施中也面临多方面挑战。比如在设计层面，其中最大的难点在于，芯片产品在设计初期要进行网络威胁分析和风险评估。这就要求SoC芯片厂商具有网络安全专家资源储备，熟悉黑客常用攻击手段，对网络安全进行产品生命周期的持续监控，一旦有网络安全事件发生，芯片厂商需要对网络安全进行应急处理。