闪存如何进化以符合车用电子的功能安全需求？

长久以来， NOR型闪存一直在汽车产业相关零组件中扮演着一个十分值得重要且值得信赖的角色。如今，这个产品早已被广泛的应用在仪表盘 (instrument cluster)，中央控制台(Infotainment) 和车载通讯系统上 (请参考图1) 。

在这些应用中，NOR型闪存不仅仅提供了可靠的存放空间，还能让存放于其中的应用程序更加快速的执行。微处理器甚至可以不需要透过额外的动态随机储存内存就能够直接【片上执行】 (XiP)。

在可见的未来几年内，汽车产业必将迈入自动驾驶的新纪元。而为了实现自动驾驶，先进驾驶辅助系统 (ADAS) 是不可或缺的一个重要关键系统。例如，自动巡航、自动车道维持、自动煞刹车系统等等。而在这些先进驾驶辅助系统中，都可以见到NOR型闪存的身影。

包含先进驾驶辅助系统在内，所有跟安全性有关的系统，只要其中有任何一个零组件发生不可预期的故障就会提高发生事故的风险。为了降低系统发生故障的机率，汽车半导体零组件都要符合ISO26262国际标准。这标准规范了：

• 在产品设计时间，要求对系统功能失效方式进行严格的分析

• 制订非常低的系统最大容错率

• 要求系统能可靠并快速地侦测错误

• 要求系统建立健全的安全保护机制，并能从可见的故障中恢复

图1: 2014年奥迪TT的可视化仪表盘。NOR型内存被广泛的应用在车子启动后需要快速显示的仪表盘中。(版权所有: 罗伯特 贝希克 / 根据基本创用授权)

正因如此，许多汽车制造厂商都开始寻求能够满足安全设计系统的新一代快闪记忆芯片。本文就是在探讨加以解释，在一般NOR型闪存芯片的操作模式中，为了要全面符合国际ISO26262标准，设计人员所必须做的努力，和新型快闪记忆芯片所必须提供的功能。

这些安全功能在NOR型闪存 (亦即当今常被应用在嵌入式系统用来储存启动代码的闪存) 和SLC NAND型闪存中都可能会出现。如果不要求高数量的擦写次数且不需要实现XiP【片上执行】功能，Serial NAND实际上是NOR型内存的最佳替代方案之一。华邦的46纳米SLC NAND相较于现今其他Serial NAND制造商，提供了更高的质量、更加优化的功能安全性和更小的封装。甚者，华邦的单层式NAND的资料保存年限跟NOR型闪存(55-65纳米)拥有相同的水平。

Serial NAND的优势在于它的低成本­：每一记忆单位元比NOR型闪存小上四倍。华邦提供内含错误纠正功能【ECC】的Serial NAND记忆芯片，它提供能连续且能跨页 (page)、区块(block) 边界的高速读取。事实上，越来越多的设计者都已经考虑在车用系统设计中同时使用NOR型快闪记忆芯片和Serial NAND记忆芯片。

在汽车电子领域中，NOR型闪存经由数以千万计产品的长期使用下，已经可以证明是一个具有非常高可靠度的产品。ISO26262规范了四个汽车安全完整性等级 (ASILA~D)，其中ASIL-D最是为严格，要达到其规范，系统层级产品的 FIT (Failure in Time) 值必须小于10 ­‑ 以每十亿产品-小时为基准 (参考图2)。因此，属于独立组件等级的NOR型闪存的FIT值就必需要远远地小于10。

图 2: ISO26262国际标准中规定的最小及最大容错率

然而，时至今日，NOR型闪存对于汽车制造商来，仍然像是一个黑盒子一般，用户并不能对储存于其中的数据做任何的确认或保证措施。亦即，主控芯片并不能监控或预测任何储存于内存中的数据是否正确进而保障整个系统的运作正常。这在某方面来说，是跟ISO26262的精神是互相冲突的。

换句话说，NOR型闪存必须能提供让主控芯片可以诊断侦测内部数据的功能来避免发生任何可能的错误。

这里提供了两个主要的方向：

• 错误侦测编码器 (ECC engine)。它能在读取数据的时候，侦测并修正错误数据以保持数据的正确性

• 使用者能随时地检测ECC engine做动的状态

ECC在维持功能安全上的重要性

在传统NOR型闪存上，ECC通常是在背景执行侦测并且修正数据错误，并不会主动回馈主控芯片端任何的讯息。

然而事实上，ECC是能透过各种方式来帮助主控芯片增进系统的安全性。其中之一就是透过状态寄存器 (Status Register) 来告知主控端ECC运作和数据纠正的状态与结果。以下三种状况就是有可能会回馈的信息之一。

• 数据是正确的，不需错误校正。

• 经过校正后，数据是正确的。

• 数据错误且无法被校正。

有了这些信息，主控芯片能知晓目前资料完整性的程度，并且能预先做些措施。

然而，为了符合ISO26262中要求车内系统要能实时侦测错误并且修正的精神，华邦为了车用市场所开发的新型NOR型闪存提供了一个能够实时送出数据异常讯号的脚位。这个脚位能够明确的提供无法被纠正的数据位置信息。同时，也有一个选项提供给用户，可以设定这个数据异常讯号是被可纠错的错误触发，或是被不可纠错的错误触发。

利用状态寄存器和数据异常脚位的信息，系统端就能主动的对内存中的数据状态建立一个完整的轮廓。甚至系统端能设定一个安全阙值，一旦在某些区域发生错误或者整个内存重复发生太多次错误就禁用这些区域。

行文至此，大致上说明了如何去处理并符合ISO26262中针对单一错误的规范。但，ISO26262也规范了车内系统如何去侦测即将发生的潜在错误。这些潜在错误虽然不会造成立即性的影响，但却有可能造成往后的错误发生。

举例来说，NOR型闪存理论上并不会发生位错误，所以不需要错误纠正动作。但如果ECC电路发生了错误，再加上NOR本身发生了位错误，这两者的效应加在一起，整个系统就有可能暴露在危险之中。

为了侦测潜在的ECC电路错误，华邦的车用NOR型闪存提供了特殊的功能，能让用户输入数据并检查ECC电路运算是否正确。同样地，用户也能藉由输入数据来验证单一位错误或者是超过单位元错误的ECC运算结果是否正确。我们建议，在每次系统开机之后，都能够做一次潜在风险的确认。

为了满足诸如自动驾驶辅助系统和其他汽车内部系统，华邦现正把以上所提到关于安全系统的功能整合进针对车用市场开发的NOR型闪存系列中。华邦车用3V四信道 NOR型闪存产品系列已经能提供高达80MB/s的数据传输速率的，其中256Mb与512Mb产品已经开始提供测试样品。未来，容量更会再往上提升到1Gb。

在华邦1.8V 八信道NOR型闪存产品系列，拥有高达300MB/s数据传输率的产品会在2018年问世并且会将容量扩展到整个系列。

华邦也提供了整个包含了512Mb、1Gb和2Gb的Serial NAND产品系列。
华邦的Serial NAND产品系列都拥有了状态寄存器可以让系统知道目前数据是否已经被ECC纠正、ECC做动的状况以及数据是否不能被纠错 (如图3所示)。

图 3: 华邦的串行NAND可以从status register得知ECC的状态

华邦，做为一个专业的内存供应商，让系统研发者都能在华邦所提供的SPI NOR或Serial NAND内存中，很容易的选用到一个具有提升系统安全功能的产品。

更多相关产品讯息请造访华邦闪存

更多电子工程专辑文章请参考

迎接低功耗世代：采用低电压内存IC为致胜关键

安全认证闪存：提供闪存芯片之安全认证功能

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。