為了滿足諸如自動駕駛輔助系統(tǒng)和其他汽車內(nèi)部系統(tǒng)，華邦正把與安全相關的系統(tǒng)功能整合于針對車用市場開發(fā)的NOR型快閃存儲器系列，進一步符合國際ISO26262規(guī)范的汽車安全完整性標準…

長久以來， NOR型快閃存儲器(flash)一直在汽車產(chǎn)業(yè)相關零組件中扮演著一個十分值得重要且值得信賴的角色。如今，這個產(chǎn)品早已被廣泛的應用在儀表板(instrument cluster)，中央控制臺和車載資通訊系統(tǒng)(Infotainment)上(請參考圖1) 。

在這些應用中，NOR型快閃存儲器不僅僅提供了可靠的存放空間，還能讓存放于其中的應用 程式更加快速的執(zhí)行。微處理器甚至可以不需要透過額外的動態(tài)隨機儲存存儲器就能夠直接 【現(xiàn)地執(zhí)行】(XiP)。

在可見的未來幾年內(nèi)，汽車產(chǎn)業(yè)必將邁入自動駕駛的新紀元。而為了實現(xiàn)自動駕駛，先進駕駛輔助系統(tǒng)(ADAS)是不可或缺的一個重要關鍵系統(tǒng)。例如，自動巡航、自動車道維持、自動煞車系統(tǒng)等等。而在這些先進駕駛輔助系統(tǒng)中，都可以見到NOR型快閃存儲器的身影。

包含先進駕駛輔助系統(tǒng)在內(nèi)，所有跟安全性有關的系統(tǒng)，只要其中有任何一個零組件發(fā)生不可預期的故障就會提高發(fā)生事故的風險。為了降低系統(tǒng)發(fā)生故障的機率，汽車半導體零組件都要符合ISO26262國際標準。這標準規(guī)范了:

在產(chǎn)品設計階段，要求對系統(tǒng)功能失效方式進行嚴格的分析制訂非常低的系統(tǒng)最大容錯率要求系統(tǒng)能可靠并快速地偵測錯誤要求系統(tǒng)建立健全的安全保護機制，并能從可見的故障中恢復

圖1：2014年奧迪(Audio) TT的視覺化儀表板。NOR型存儲器被廣泛的應用在車子啟動后需要快速顯示的儀表板中。

正因如此，許多汽車制造廠商都開始尋求能夠滿足安全設計系統(tǒng)的新一代快閃記憶芯片。本文就是在探討加以解釋，在一般NOR型快閃存儲器芯片的操作模式中，為了要全面符合國際ISO26262標準，設計人員所必須做的努力，和新型快閃記憶芯片所必須提供的功能。

這些安全功能在NOR型快閃存儲器 (亦即當今常被應用在嵌入式系統(tǒng)用來儲存啟動程序碼的快閃存儲器)和SLC NAND型快閃存儲器中都可能會出現(xiàn)。如果不要求高數(shù)量的擦寫次數(shù)且不需要實現(xiàn)XiP【現(xiàn)地執(zhí)行】功能，Serial NAND實際上是NOR型存儲器的最佳替代方案之一。華邦的46奈米SLC NAND相較于現(xiàn)今其他Serial NAND制造商，提供了更高的品質(zhì)、更加優(yōu)化的功能安全性和更小的封裝。甚者，華邦的單層式NAND的資料保存年限跟NOR型快閃存儲器(55-65奈米)擁有相同的水準。

Serial NAND的優(yōu)勢在于他的低成本：每一存儲器位元比NOR型快閃存儲器小上四倍。華邦提供內(nèi)含錯誤糾正功能【ECC】的Serial NAND記憶芯片，它提供能連續(xù)且能跨頁(page)、區(qū)塊(block)邊界的高速讀取。事實上，越來越多的設計者都已經(jīng)考慮在車用系統(tǒng)設計中同時使用NOR型快閃記憶芯片和Serial NAND記憶芯片。

在汽車電子領域中，NOR型快閃存儲器經(jīng)由數(shù)以千萬計產(chǎn)品的長期使用下，已經(jīng)可以證明是一個具有非常高可靠度的產(chǎn)品。ISO26262規(guī)范了四個汽車安全完整性等級(ASILA~D)，其中ASIL-D最是為嚴格，要達到其規(guī)范，系統(tǒng)層級產(chǎn)品的FIT (Failure in Time)值必須小于10——以每十億產(chǎn)品/小時為基準(參考圖2)。因此，屬于獨立元件等級的NOR型快閃存儲器的FIT值就必需要遠遠地小于10。

圖2：ISO26262國際標準中規(guī)定的最小及最大容錯率

然而，時至今日，NOR型快閃存儲器對于汽車制造商來，仍然像是一個黑盒子一般，用戶并不能對儲存于其中的資料做任何的確認或保證措施。亦即，主控芯片并不能監(jiān)控或預測任何儲存于存儲器中的資料是否正確進而保障整個系統(tǒng)的運作正常。這在某方面來說，是跟ISO26262的精神是互相沖突的。

換句話說，NOR型快閃存儲器必須能提供讓主控芯片可以診斷偵測內(nèi)部資料的功能來避免發(fā)生任何可能的錯誤。

這里提供了兩個主要的方向：

錯誤偵測編碼器(ECC engine)。它能在讀取資料的時候，偵測并修正錯誤資料以保持資料的正確性使用者能隨時地檢測ECC engine做動的狀態(tài)ECC在維持功能安全上的重要性。

在傳統(tǒng)NOR型快閃存儲器上，ECC通常是在背景執(zhí)行偵測并且修正資料錯誤，并不會主動回饋主控芯片端任何的訊息。然而事實上，ECC是能透過各種方式來幫助主控芯片增進系統(tǒng)的安全性。其中之一就是透過狀態(tài)寄存器(Status Register)來告知主控端ECC運作和資料糾正的狀態(tài)與結(jié)果。以下三種狀況就是有可能會回饋的資訊之一：

資料是正確的，不需錯誤校正。經(jīng)過校正后，資料是正確的。資料錯誤且無法被校正。有了這些資訊，主控芯片能知曉目前資料完整性的程度，并且能預先做些措施。

然而，為了符合ISO26262中要求車內(nèi)系統(tǒng)要能即時偵測錯誤并且修正的精神，華邦為了車用市場所開發(fā)的新型NOR型快閃存儲器提供了一個能夠即時送出資料異常訊號的腳位。這個腳位能夠明確的提供無法被糾正的資料位置資訊。同時，也有一個選項提供給使用者，可以設定這個資料異常訊號是被可糾錯的錯誤觸發(fā)，或是被不可糾錯的錯誤觸發(fā)。

利用狀態(tài)寄存器和資料異常腳位的資訊，系統(tǒng)端就能主動的對存儲器中的資料狀態(tài)建立一個完整的輪廓。甚至系統(tǒng)端能設定一個安全闕值，一旦在某些區(qū)域發(fā)生錯誤或者整個存儲器重復發(fā)生太多次錯誤就禁用這些區(qū)域。

行文至此，大致上說明了如何去處理并符合ISO26262中針對單一錯誤的規(guī)范。但，ISO26262也規(guī)范了車內(nèi)系統(tǒng)如何去偵測即將發(fā)生的潛在錯誤。這些潛在錯誤雖然不會造成立即性的影響，但卻有可能造成往后的錯誤發(fā)生。

舉例來說，NOR型快閃存儲器理論上并不會發(fā)生位元錯誤，所以ECC運算電路并不會做動。但如果ECC電路發(fā)生了錯誤，再加上NOR本身發(fā)生了位元錯誤，這兩者的效應加在一起，整個系統(tǒng)就有可能暴露在危險之中。

為了偵測潛在的ECC電路錯誤，華邦的車用NOR型快閃存儲器提供了特殊的功能，能讓使用者輸入資料并檢查ECC電路運算是否正確。同樣地，使用者也能借由輸入資料來驗證單一位元錯誤或者是超過單位元錯誤的ECC運算結(jié)果是否正確。我們建議，在每次系統(tǒng)開機之后，都能夠做一次潛在風險的確認。

為了滿足諸如自動駕駛輔助系統(tǒng)和其他汽車內(nèi)部系統(tǒng)，華邦現(xiàn)正把以上所提到關于安全系統(tǒng)的功能整合進針對車用市場開發(fā)的NOR型快閃存儲器系列中。華邦車用3V四通道 NOR型快閃存儲器產(chǎn)品系列已經(jīng)能提供高達80MB/s的資料傳輸速率的，其中256Mb與512Mb產(chǎn)品已經(jīng)開始提供測試樣品。未來，容量更會再往上提升到1Gb。

在華邦1.8V八通道NOR型快閃存儲器產(chǎn)品系列，擁有高達300MB/s資料傳輸率的產(chǎn)品會在2018年問世并且會將容量擴展到整個系列。

華邦也提供了整個包含了512Mb、1Gb和2Gb的Serial NAND產(chǎn)品系列。華邦的Serial NAND產(chǎn)品系列都擁有了狀態(tài)寄存器可以讓系統(tǒng)知道目前資料是否已經(jīng)被ECC糾正、ECC做動的狀況以及資料是否不能被糾錯(如圖3所示)。

圖3：華邦的串列NAND可以從status register得知ECC的狀態(tài)

華邦，做為一家專業(yè)的存儲器供應商，讓系統(tǒng)研發(fā)者都能在華邦所提供的SPI NOR或Serial NAND存儲器中，很容易的選用到一個具有提升系統(tǒng)安全功能的產(chǎn)品。