笔趣阁(biquge321.com)更新快,无弹窗!
的百分之八缩小到百分之二点三。安全阈值本身保留了百分之十五的设计余量,因此实际风险为零。」
评审组没有立刻表态,而是把第三轮路测的原始数据调出来自己看了一遍。
房间里安静了几分钟。
秦峥没有催促,也没有补充。他知道,在功能安全评审中,专家们自己看到的数据比他说一百句话都管用。
第二轮评审转入更细粒度的时序分析和细抖问题。
这是天权5车规版在实车路测中暴露的另一个薄弱环节。在某些工况切换的瞬态过程中,控制信号的时序会出现微秒级的细抖动,虽然幅度远低于功能安全标准规定的最大允许偏差,但专家组关心的是这种细抖动的根本原因和长期稳定性。
负责时序分析模块的工程师被叫到台前。他是车规晶片团队里最年轻的成员,只有三年工作经验,但天权5的时序收敛工作有一半是他完成的。他站在屏幕前,声音有一点紧,但技术表述非常精准。
「细抖动的根源有三类。第一类,时钟路径上的电源噪声耦合,已经通过增加本地去耦电容和优化供电网络解决。第二类,异步时钟域之间的握手信号在不同工况下的延迟变化,这部分通过调整握手协议和增加弹性缓冲解决。第三类,也是唯一还有残余的,是晶片内部某些共享资源的总线仲裁在不同负载下的时间不确定性。目前残余细抖动的幅度在最坏情况下为六百纳秒,而功能安全标准对该类信号的最大允许偏差为十微秒。我们有十倍的余量。」
评审组一位专攻硬体安全的专家追问:「六百纳秒是实测值还是仿真值?」
「实测。第三轮路测中,我们在最恶劣的电磁兼容环境下重复测量了一千次,最大值六百三十纳秒,最小值四百一十纳秒,分布稳定。」
「有没有考虑晶片老化后的时序漂移?」
「考虑了。我们在加速老化测试后的样本上重复了相同测量,老化后的细抖动幅度增加了约百分之十二,最坏情况接近七百纳秒。仍然在十微秒的允许范围内,且老化后的时序余量经过重新计算,确认不会在标称寿命期内触及功能安全红线。」
评审组没有再追问。
上午的评审持续了三个半小时,中间只休息了一次十五分钟。秦峥在休息时走到走廊尽头,给陈醒发了一条极其简短的信息:「评审进行中,问题都在预期范围内。」
陈醒没有回覆。秦峥知道,陈醒不看过程,只看结果。不回复本身就是一种态度——相信他能把评审撑住。
下午的评审更深入,开始触及晶片内部的随机硬体故障度量。
这是功能安全ISO26262中最硬核的部分之一。单点故障度量丶潜在故障度量丶随机硬体失效概率——每一个数字都必须有完整的数据链支撑,从电晶体级故障率模型到系统级安全机制覆盖率的定量分析,不能有任何模糊地带。
秦峥把天权5车规版的故障度量数据表投到主屏上。
单点故障度量,ASILD要求大于百分之九十九,天权5的实测值为百分之九十九点三七。潜在故障度量,要求大于百分之九十,实测值为百分之九十四点二。随机硬体失效概率,要求在十年内每颗晶片的失效率低于十的负八次方量级,天权5的加速老化测试和故障注入联合推演结果为每千万小时约零点三二次失效。
领衔专家看完这些数字,问了一个更刁钻的问题:「故障度量用的是标准模型还是你们自己的修正模型?」
这个问题问到了关键。标准模型基于行业通用的故障率资料库,但那些资料库里的基础失效率数据主要来自非车规或成熟工艺节点。天权5用的是先进工艺,底层电晶体的物理特性和失效模式与旧数据有差异。如果直接套用标准模型,要么过于保守,要么不够准确。
秦峥深吸了一口气,调出了另一份文档。
「我们用了自己的修正模型。基础失效率数据来自天权晶片系列在过去三年里超过两百万颗工业级和消费级晶片的实际失效统计,结合加速老化和工艺特性曲线进行了至少两轮校准。这个修正模型已经提交给第三方认证机构独立评估,初步结论是『方法学合理,数据链完整』。」
评审组里有人皱眉,有人点头。
皱眉是因为用自建模型替代行业标准模型,在功能安全评审中是一件非常敏感的事。点头是因为秦峥敢把这件事拿到台面上说,说明他对数据链的完整性有足够信心。
领衔专家沉默了几秒,然后说了一句话:「修正模型的使用需要更长的评审周期。我们不会在今天给出结论,但会在两周内组织一次专题评审,专门讨论模型本身的合理性和数据链的完整性。」
秦峥心里微微一紧,但面上没有露出任何变化。
两周,比预期的评审周期多了一周。对面火龙联盟的全面制裁框架在四到六周内就可能落