1、背景

        安全性是自动驾驶平台的关键特性之一，而这些架构中使用的半导体芯片必须保证ISO 26262标准所要求的功能安全方面。为了监控由于现场缺陷导致的故障，在启动和/或关闭期间会自动运行系统内结构测试。当系统内测试（IST，In-System-Test）架构检测到任何永久性缺陷时，驾驶平台会做出响应，以实现系统的故障安全状态。

        汽车IC采用高质量测试方法进行筛选，以实现接近零的DPPM（每百万缺陷部件）。即使在这样的高测试标准下，由于环境或操作条件的影响，在系统现场运行过程中仍可能出现可靠性缺陷。IST补充这些安全机制，以实现永久性故障覆盖目标的最高可能ASIL等级。IST涉及执行结构化的ATPG（自动测试模式生成）向量，即确定性扫描压缩和逻辑内建自测试（LBIST），以及在钥匙开启和/或关闭期间执行一组全面的MBIST（存储器内建自测试）算法，以确定通过或失败状态。IST可以覆盖适用于较低几何FinFET技术的所有故障模型。挑战在于将这些向量的执行转化为一个完全独立的功能特性，该特性可以在汽车系统的整个使用寿命中反复使用，同时满足测试时间和功率预算的要求。

2、IST目标

IST架构的主要目标可以分为以下几类：

• 高品质测试：为了达到最高的ASIL安全级别，被测设计（DUT）需要具有非常高的永久性测试覆盖率。期望测试支持一套全面的故障模型，以便检测较低几何FinFET设计中的缺陷。

• 低延迟：高品质测试模式是通过最短可能的测试时间和小巧的测试数据量实现的最高测试覆盖率来衡量的。

• 架构灵活性：架构应完全可扩展，以适应不同的时钟频率和数据速率，满足功率、存储和延迟要求。它还应该支持不同的设计配置。

• TDP（热设计功率）预算：需要确保在IST执行过程中保持在功能性TDP的限制范围内。

• 调试和诊断：架构应支持所有模式的调试和诊断，并为现场返回提供可追溯性。

3、IST架构

        IST架构使得复杂的SOC系统的结构测试成为可能，以检测现场永久性故障。它可以补充ISO 26262中规定的永久性故障覆盖目标的功能性安全机制。该架构完全可扩展，可以满足产品生命周期内的各种要求。IST支持开机测试和关机测试，更新测试配置及其应用序列，以及针对不同测试条件（如电压和时钟频率）下的全面故障模型进行靶向测试。该方案还保持了扫描和MBIST测试模式的高级别现场诊断粒度。此架构不仅限于现场应用测试模式。它还可以用于系统级测试（SLT），以筛选缺陷，从而进一步提高测试质量。例如，它可以帮助弥补ATE环境与平台特定操作条件之间的差距。

        IST使用硬件和软件组件的组合来测试Xavier SOC独立版本和/或与Xavier SOC配对的可分立Turing GPU。图2显示了IST架构的概览，其中测试数据和结果存储在平台上的eMMC（嵌入式多媒体卡）闪存中。eMMC内存大小要求基于所需的测试质量和平台成本。对于DRIVE-AGX平台，Turing dGPU的测试数据也将存储在与Xavier SOC连接的eMMC闪存中。数据将通过PCIe从Xavier SOC传输到Turing。硬件（HW）控制器与闪存之间有直接的通信路径。

        在生产测试中，IST（In-System Testing）的ATE（自动测试设备）测试模式需要被转换成一种可以存储在eMMC（嵌入式多媒体卡）内存中的数据包格式。然后这些数据包可以被芯片上的硬件控制器读取和解析。在生产测试过程中，测试数据的施加是通过使用ATE平台从SOC（系统级芯片）和/或GPU（图形处理器）的主引脚进行的。通过拦截正在测试的IP内部的复用器，实现了IST过程中的测试数据应用。

        为了创建和存储IST测试程序到eMMC内存，开发了定制化的软件工具。Xavier和Turing上的IST硬件控制器与各种片上以及平台组件进行通信，以执行利用IEEE 1500、扫描压缩、XLBIST以及在芯片上的MBIST（内建自测试）系统的测试。这些硬件控制器可以通过IEEE 1500以及软件寄存器进行编程。它们能够处理平台中断，例如热中断和电源循环，以满足特定系统的性能和延迟要求。

        根据要求在车辆启动（key-on）或关闭（key-off）时执行IST，系统软件会配置芯片以达到特定于平台的操作条件，如时钟频率、电源和电压设置、覆盖目标等。测试条件和测试应用的序列是灵活的，并且可以在产品生命周期中进行更新。

        下图展示了IST操作序列的高级视图。自定义设计的硬件控制器基于从eMMC获取的测试数据包执行MBIST、ATPG/XLBIST测试，并将结果存储回eMMC供系统软件处理。一旦IST完成，硬件控制器将触发整个平台的关机。系统软件在下次平台启动时从eMMC读取结果并采取必要的行动。如果计划执行的芯片上测试失败，硬件控制器会被设计为提供足够的信息，以便使用调试和诊断软件确定故障原因，这是生产后支持的一部分。