?特斯拉又雙叒降價(jià)了，卻是在日本和美國(guó)；如特斯拉大中華區(qū)總裁朱曉彤所說：在中國(guó)，“隨著技術(shù)的發(fā)展，特斯拉的價(jià)格還會(huì)越來越低?！辈贿^，特斯拉質(zhì)量問題頻發(fā)，也是不爭(zhēng)的事實(shí)。如新華網(wǎng)所云：“車輛安全始終是第一位的，產(chǎn)品質(zhì)量終究是前提?！?/span>

造車新勢(shì)力所缺少的或許正是百多年來經(jīng)過歷史檢驗(yàn)的漫長(zhǎng)的系統(tǒng)工程——測(cè)試和驗(yàn)證。今天的汽車電氣／電子系統(tǒng)越來越多，而元件小型化導(dǎo)致對(duì)電應(yīng)力的敏感性不斷增加，防止器件中斷和潛在或?yàn)?zāi)難性的故障已成為汽車應(yīng)用的一大挑戰(zhàn)。因此，除了傳統(tǒng)的測(cè)試，一些新的測(cè)試方法也應(yīng)運(yùn)而生。

我們期望，主機(jī)廠有動(dòng)力和能力制造一輛安全的汽車，以致其聲譽(yù)不會(huì)受損，召回也就沒有必要了。

隨著汽車電氣化進(jìn)程，在制造過程的最后階段對(duì)新車進(jìn)行徹底的測(cè)試已經(jīng)不夠。安全標(biāo)準(zhǔn)現(xiàn)在要求在現(xiàn)場(chǎng)進(jìn)行測(cè)試，如果測(cè)試失敗，應(yīng)制定應(yīng)急計(jì)劃。事實(shí)上，汽車半導(dǎo)體供應(yīng)鏈對(duì)專門針對(duì)系統(tǒng)內(nèi)（in－system）監(jiān)控的設(shè)計(jì)功能有明確要求。而所謂監(jiān)控包括結(jié)構(gòu)測(cè)試和性能監(jiān)控兩部分。

安全機(jī)制必須包括汽車運(yùn)行期間執(zhí)行測(cè)試的計(jì)劃。雖然啟動(dòng)和關(guān)閉是觸發(fā)測(cè)試的重要事件，但有些必須在車輛運(yùn)行時(shí)進(jìn)行。在任何標(biāo)準(zhǔn)中都沒有明確規(guī)定執(zhí)行什么，但這樣的計(jì)劃必須是安全機(jī)制的一部分，也是認(rèn)證過程的一部分。

為什么需要測(cè)試和監(jiān)控？

每次有車輛上路，都有發(fā)生危險(xiǎn)的可能。ISO 26262標(biāo)準(zhǔn)規(guī)定了如何確保安全的一般要求，與大多數(shù)電子系統(tǒng)不同的是，它包括對(duì)車輛壽命進(jìn)行定期芯片測(cè)試。西門子EDA汽車IC測(cè)試解決方案經(jīng)理Lee Harrison說：“縱觀整個(gè)領(lǐng)域，我們已經(jīng)進(jìn)行了多年的結(jié)構(gòu)測(cè)試。最近，我們開始在系統(tǒng)內(nèi)這樣做?！?/p>

對(duì)于車輛中的某些系統(tǒng)，這一點(diǎn)至關(guān)重要。Advantest汽車業(yè)務(wù)開發(fā)經(jīng)理Fabio Pizza說：“ISO 26262標(biāo)準(zhǔn)要求在汽車的整個(gè)生命周期內(nèi)，通過自檢定期檢查批量生產(chǎn)的車輛中電氣和／或電子系統(tǒng)的功能安全性?！?/p>

進(jìn)行這種測(cè)試的三個(gè)主要理由是：

測(cè)試遺漏是一個(gè)事實(shí)?！霸?0年代、80年代和90年代，如果你的良率是98％，就會(huì)有百萬分之一的器件是不可接受的，”KLA戰(zhàn)略合作高級(jí)主管Jay Rathert說。

需要定期確保自上次運(yùn)行測(cè)試以來，車輛沒有任何變化。

即使沒有任何破壞性事件，老化也會(huì)影響車內(nèi)的電子設(shè)備。因此，測(cè)試機(jī)制需要關(guān)注性能，以發(fā)現(xiàn)任何芯片老化，并確保持續(xù)安全運(yùn)行。

一個(gè)器件最低水平的具體性能或老化程度取決于器件之間可能發(fā)生的變化。不同的器件會(huì)有不同的操作，測(cè)試和可靠性統(tǒng)計(jì)數(shù)據(jù)可能會(huì)，也可能不會(huì)準(zhǔn)確地反映特定的器件。

個(gè)人擁有汽車的時(shí)代——長(zhǎng)時(shí)間停放、上下班用、臨時(shí)外出——行將結(jié)束。Rathert說：“我們正朝著24／7汽車的方向發(fā)展，汽車將被用于共享，這將徹底改變汽車的磨損模式?！?/p>

應(yīng)該運(yùn)行什么類型測(cè)試？

ISO 26262沒有規(guī)定必須運(yùn)行的特定測(cè)試。相反，它更籠統(tǒng)地談到“安全機(jī)制”，由開發(fā)團(tuán)隊(duì)、Tier 1和主機(jī)廠來商定。這使他們能夠靈活地使用其認(rèn)為最有效的工具，并在出現(xiàn)新想法時(shí)融入其中。Synopsys數(shù)字設(shè)計(jì)部門產(chǎn)品營(yíng)銷總監(jiān)、功能安全從業(yè)者Robert Ruiz說：“有邏輯測(cè)試和內(nèi)存測(cè)試，但也可能是其他類型的標(biāo)準(zhǔn)邏輯、看門狗、傳感器或監(jiān)視器。”

運(yùn)行期間安全檢查的兩個(gè)主要機(jī)制是測(cè)試和監(jiān)控。測(cè)試與制造流程中的測(cè)試基本相同，可能有一些修改或添加。其目的是尋找結(jié)構(gòu)性問題。另一方面，監(jiān)控關(guān)注的是性能，旨在尋找安全可能在不久的將來受到威脅的任何異常或其他跡象。

測(cè)試和監(jiān)控都可以將結(jié)果傳送到云。但通常情況下，測(cè)試失敗會(huì)導(dǎo)致在沒有云幫助時(shí)在車內(nèi)立即采取行動(dòng)。與此同時(shí)，監(jiān)控?cái)?shù)據(jù)可能會(huì)被傳輸?shù)皆贫诉M(jìn)行分析和跟蹤。雖然該車將有許多其他專用傳感器組件向云端發(fā)送數(shù)據(jù)，但這些組件正在監(jiān)視特定的更高級(jí)別的汽車參數(shù)。相比之下，片內(nèi)監(jiān)視器可監(jiān)視電路。兩者都很重要，但處理和管理方式可能不同。

proteanTecs汽車總經(jīng)理Gal Carmel說：“監(jiān)控允許車輛和云之間的計(jì)算協(xié)同作用，實(shí)現(xiàn)云上的實(shí)時(shí)決策和數(shù)據(jù)分析。系統(tǒng)評(píng)估邊緣電子設(shè)備的完整性，并相應(yīng)地將相關(guān)數(shù)據(jù)傳輸?shù)皆贫耍员氵M(jìn)行預(yù)測(cè)性和規(guī)范性診斷。這不僅可以延長(zhǎng)系統(tǒng)的使用壽命，還允許快速進(jìn)行根本原因分析和OTA調(diào)試。”何時(shí)運(yùn)行測(cè)試？

有三個(gè)事件或時(shí)間需要執(zhí)行測(cè)試：鑰匙打開、操作期間進(jìn)入系統(tǒng)和鑰匙關(guān)閉。

Synopsys數(shù)字設(shè)計(jì)部門產(chǎn)品營(yíng)銷總監(jiān)Giri Podichetty說：“當(dāng)你開始測(cè)試系統(tǒng)是否正常時(shí)，就會(huì)打開電源。在操作過程中，我們可以做定期測(cè)試，去檢查設(shè)備的實(shí)際狀態(tài)。最后，我們關(guān)閉電源，然后我們有更多的時(shí)間做更多的測(cè)試。”

汽車在發(fā)動(dòng)機(jī)啟動(dòng)時(shí)已經(jīng)進(jìn)行了一些測(cè)試。Ruiz說：“當(dāng)你一開始看到儀表盤上的燈時(shí)，就在進(jìn)行很多初始測(cè)試。雖然額外的測(cè)試可能需要一些時(shí)間，但沒有太多的時(shí)間，因?yàn)轳{駛員期望在幾秒鐘后開始駕駛。因此，對(duì)于芯片測(cè)試本身，可用的時(shí)間可能是200毫秒左右。”

當(dāng)汽車熄火時(shí)，還有更多的時(shí)間測(cè)試。從理論上講，雖然開發(fā)人員說有無限的時(shí)間，但顯然不是這樣。時(shí)間預(yù)算的關(guān)鍵是重新啟動(dòng)汽車之前的幾秒測(cè)試時(shí)間。Ruiz說：“當(dāng)你把車熄火時(shí)，你大概可以再等10秒鐘。當(dāng)然，在半導(dǎo)體界，秒是一個(gè)巨大的時(shí)間量。”

在這個(gè)關(guān)鍵關(guān)閉階段可以運(yùn)行更廣泛的測(cè)試集。Harrison指出：“在內(nèi)存上運(yùn)行一個(gè)基本棋盤算法然后打開鑰匙，或在內(nèi)存上運(yùn)行一個(gè)功能齊全的應(yīng)力測(cè)試然后關(guān)閉鑰匙，兩者區(qū)別很大?！?/p>

在鑰匙打開時(shí)測(cè)試的電路可能需要也可能不需要在系統(tǒng)中進(jìn)一步測(cè)試。這就是ASIL評(píng)級(jí)的重要性所在。Harrison說：“對(duì)于信息娛樂系統(tǒng)，鑰匙開著測(cè)試就可以了。但是研究先進(jìn)防抱死制動(dòng)系統(tǒng)時(shí)，情況就不同了。”

此外，對(duì)于無人出租車和其他類似車輛，鑰匙開啟和關(guān)閉測(cè)試的可能性很小。Harrison解釋說：“鑰匙每10小時(shí)才開一次。所以你需要能夠運(yùn)行在線測(cè)試，以確保一切都是安全的?！?/p>

因此，面臨的挑戰(zhàn)是如何在電路運(yùn)行時(shí)對(duì)其進(jìn)行測(cè)試。測(cè)試的內(nèi)容和時(shí)間在一定程度上取決于安全級(jí)別。當(dāng)然，最嚴(yán)苛的是ASIL－D，它是對(duì)車輛最安全關(guān)鍵部件最嚴(yán)格的評(píng)級(jí)。無論車輛在做什么，都需要定期進(jìn)行關(guān)鍵測(cè)試。

監(jiān)控與車輛的運(yùn)行狀態(tài)沒有那么緊密的聯(lián)系。proteanTecs的Carmel說：“深度數(shù)據(jù)監(jiān)控允許24／7使用，無論車輛的鑰匙處于打開或關(guān)閉狀態(tài)。與BiST（Built－in Self Test，內(nèi)建自測(cè)）相反，其在線、非侵入性的運(yùn)行不會(huì)中斷功能運(yùn)行。在鑰匙打開時(shí)，它可以識(shí)別可靠性降低和安全威脅并發(fā)出警報(bào)，從而實(shí)現(xiàn)規(guī)定的維護(hù)。在鑰匙關(guān)閉時(shí)，在預(yù)定的維護(hù)時(shí)間內(nèi)，主機(jī)廠可以物理連接和調(diào)試問題，以保持服務(wù)可用性并延長(zhǎng)操作壽命?！?/p>

何時(shí)運(yùn)行測(cè)試？

如果管理不當(dāng)，大多數(shù)測(cè)試可能會(huì)中斷。例如，當(dāng)汽車在紅綠燈處時(shí)，不一定能安排測(cè)試，因?yàn)闊o法保證何時(shí)會(huì)遇到這種情況，也無法保證停車會(huì)持續(xù)多久。因此，無論車輛當(dāng)時(shí)在做什么，都必須安排進(jìn)行測(cè)試。

處理這個(gè)問題的一種方法是冗余。而不是單核運(yùn)行自己的內(nèi)存，核和內(nèi)存可以復(fù)制?？刂瓶梢栽谒鼈冎g來回傳遞，這樣，當(dāng)一個(gè)核正在測(cè)試時(shí)，另一個(gè)將處理駕駛?cè)蝿?wù)。然后，可以將其反轉(zhuǎn)，以確保兩組都在工作狀態(tài)。

這類似于但不同于雙核鎖步操作。在這種情況下，兩個(gè)核的運(yùn)行方式總是相同的，其目標(biāo)是識(shí)別兩個(gè)內(nèi)核之間的任何分歧。但是，對(duì)于測(cè)試，兩組將不處于鎖定階段。相反，它們各自為戰(zhàn)，以便測(cè)試和操作可以無縫地進(jìn)行。

這種冗余為測(cè)試提供了操作裕度。一些架構(gòu)師可能會(huì)認(rèn)為，我有四個(gè)處理器，所以以循環(huán)方式，可以離線測(cè)試一個(gè)。Cadence的Tensilica IP部門產(chǎn)品營(yíng)銷總監(jiān)Ted Chua說：“冗余的需求并不局限于功能電路，測(cè)試電路也很有必要。測(cè)試還需要冗余。”

內(nèi)存可以在訪問之間進(jìn)行部分測(cè)試，這就是所謂的“透明”測(cè)試。Synopsys的Podichetty說：“為了不占用太多時(shí)間，我們以時(shí)間切片的形式進(jìn)行無損內(nèi)存測(cè)試。如果內(nèi)存離線（taken offline），則可以執(zhí)行擴(kuò)展的內(nèi)存內(nèi)建自測(cè)（MBiST）測(cè)試。

對(duì)于SoC上的邏輯測(cè)試，測(cè)試能力主要利用芯片上已經(jīng)存在的用于制造測(cè)試的可測(cè)試設(shè)計(jì)（DFT）基礎(chǔ)設(shè)施。為了增加更多的通道以獲得更好的可視性，可能需要對(duì)電路進(jìn)行一些修改，但這種更改通常是為了縮短測(cè)試時(shí)間，幫助補(bǔ)償所需的額外硅面積。

系統(tǒng)內(nèi)邏輯測(cè)試通常涉及邏輯內(nèi)建自測(cè)（LBiST），包括通過測(cè)試運(yùn)行使用的種子向量，這些測(cè)試的結(jié)果被組合成一個(gè)簽名。對(duì)該簽名的驗(yàn)證構(gòu)成系統(tǒng)該部分的通過／失敗信號(hào)。LBiST域的大小取決于可用于測(cè)試的時(shí)間。

Cadence產(chǎn)品管理總監(jiān)、數(shù)字和簽準(zhǔn)部門的Rob Knoth指出：“開車上路時(shí)，可以有一個(gè)非常快速的測(cè)試循環(huán)，而不是執(zhí)行電路的LBiST，這將在鑰匙打開或關(guān)閉時(shí)完成?！?/p>

也可以調(diào)用軟件在硬件上運(yùn)行測(cè)試。Advantest的Pizza說：“這可能包括用于檢查器件引導(dǎo)序列和自檢是否正常工作，以及檢測(cè)與應(yīng)用電路（傳感器、接口、攝像頭、總線等）交互中可能出現(xiàn)的問題。然而，這種測(cè)試可能是侵入性的，其時(shí)間安排必須仔細(xì)規(guī)劃。”

測(cè)試需要多長(zhǎng)時(shí)間？

總的來說，三個(gè)測(cè)試階段的時(shí)間，包括系統(tǒng)內(nèi)時(shí)間間隔，將由功能安全管理器針對(duì)每個(gè)應(yīng)用設(shè)置。Podichetty說：“這大部分來自于功能安全要求，即我們每項(xiàng)測(cè)試所需的時(shí)間?！?/p>

Harrison補(bǔ)充道：“我們與客戶一起做了大量工作，以盡量減少系統(tǒng)內(nèi)測(cè)試的時(shí)間。由于一些測(cè)試的持續(xù)時(shí)間和一些SoC功能，將測(cè)試劃分為塊是有意義的。所以你可以把它分成10段，每幾百毫秒運(yùn)行一段。”

當(dāng)然，測(cè)試時(shí)間可以成為提供測(cè)試IP的公司之間的競(jìng)爭(zhēng)指標(biāo)。Harrison說：“我們已經(jīng)能夠?qū)iST測(cè)試的運(yùn)行時(shí)間降低10到20倍，這確實(shí)有助于在一個(gè)時(shí)間間隔內(nèi)完成一個(gè)完整的測(cè)試，而不是將測(cè)試拆分。”

何時(shí)測(cè)試也是一個(gè)動(dòng)態(tài)考量。Chua說：“如果你正處于緊急剎車狀態(tài)，哪怕是一秒鐘，你都不會(huì)進(jìn)行測(cè)試。但是，如果你在測(cè)試中，然后你遇到這個(gè)緊急或危險(xiǎn)情況呢？重要的是安全，做測(cè)試是為了安全，沒有人想做測(cè)試而危及安全?！睖y(cè)試失敗的響應(yīng)

測(cè)試時(shí)間還必須考慮測(cè)試失敗時(shí)可能需要的各種響應(yīng)。如果測(cè)試通過，那么操作將一如既往地繼續(xù)。但如果測(cè)試失敗，那么安全計(jì)劃必須考慮到響應(yīng)。不管觸發(fā)因素是什么，響應(yīng)意味著讓汽車進(jìn)入到安全狀態(tài)。確切地說，這種狀態(tài)將是安全計(jì)劃的一部分。

如果檢測(cè)到故障，則允許車輛進(jìn)入安全狀態(tài)的時(shí)間預(yù)算。Ruiz說：“說明書上說，如果有故障，要有一定的時(shí)間來檢測(cè)，有一定的時(shí)間來記錄，然后再做點(diǎn)什么?！盜SO 26262將檢查一個(gè)故障和另一個(gè)故障之間的時(shí)間稱為容錯(cuò)時(shí)間間隔（FTTI）。FTTI包括三個(gè)間隔，用于檢測(cè)故障，如果檢測(cè)到故障，則對(duì)故障作出反應(yīng)，然后在執(zhí)行下一個(gè)測(cè)試之前進(jìn)入安全狀態(tài)。

FTTI的三個(gè)間隔

在檢測(cè)到測(cè)試失敗時(shí)FTTI啟動(dòng)，包括在返回檢測(cè)下一個(gè)故障之前將系統(tǒng)置于安全狀態(tài)所需的所有響應(yīng)。在這個(gè)級(jí)別上，假設(shè)這樣的測(cè)試失敗不是災(zāi)難性的，但要允許一些功能來補(bǔ)救這種情況。

這與“檢查引擎”燈亮起時(shí)的情況類似?！皟x表盤上出現(xiàn)一個(gè)警告燈，說明剎車ECU壞了，”Rathert解釋道?！斑@是一個(gè)好消息，警告燈沒有失效，但車?yán)镞€是有一個(gè)不好的部件，還是要去一趟服務(wù)中心。”

Knoth換了一種說法。“你發(fā)現(xiàn)‘二號(hào)核’不好，現(xiàn)在需要運(yùn)行系統(tǒng)軟件，‘不要再使用二號(hào)核，只能使用一號(hào)核、三號(hào)核和四號(hào)核。＇系統(tǒng)注冊(cè)后進(jìn)入新的安全狀態(tài)。也許它不再允許你使用完整的ADAS功能，也許它只會(huì)使用車道偏離避讓之類的功能?！?/p>

沒有人要求對(duì)整個(gè)車輛進(jìn)行FTTI測(cè)試。Chua說：“根據(jù)器件應(yīng)用的不同，不同的模塊可能會(huì)有不同的FTTI。”芯片內(nèi)部必須有一個(gè)中心控制點(diǎn)來管理所有與安全和測(cè)試相關(guān)的事件。它被稱為“安全島”或“安全管理器”，即物理布局的隔離區(qū)域。

連接到汽車IC的安全島

安全島是一個(gè)處理器子系統(tǒng)，負(fù)責(zé)管理車輛中的各種安全機(jī)制。早期建立的測(cè)試時(shí)間表是必須遵循的測(cè)試和安全架構(gòu)的一部分。但該計(jì)劃的執(zhí)行——安排測(cè)試和處理結(jié)果——是由安全管理器實(shí)時(shí)完成的。Harrison說：“安全管理器可以發(fā)現(xiàn)危險(xiǎn)信號(hào)，然后迅速將器件置于安全狀態(tài)。”它可以在芯片級(jí)或子系統(tǒng)級(jí)運(yùn)行。

鋰電池細(xì)節(jié)改進(jìn)一刻未停

雖然系統(tǒng)內(nèi)測(cè)試是安全計(jì)劃的一個(gè)新組成部分，但它實(shí)際上是在設(shè)計(jì)和制造的早期已開始流程的最后一個(gè)后盾。

EDA工具必須關(guān)注功能安全。測(cè)試和安全電路通常不符合優(yōu)化工具的預(yù)期，因此這些工具必須在安全計(jì)劃的指導(dǎo)下做出讓步。擁有EDA工具和IP預(yù)認(rèn)證——特別是類似測(cè)試IP的測(cè)試設(shè)計(jì)（DFT）——可以簡(jiǎn)化這些工具和IP的用戶的認(rèn)證過程。Harrison說：“如果我們已經(jīng)獲得了ISO認(rèn)證，那么這些技術(shù)的采用將非常有幫助?！?/p>

制造檢查以及從操作反饋到制造的長(zhǎng)循環(huán)反饋，是隨著時(shí)間推移提高安全性的另一個(gè)重要方法。制造和封裝操作的質(zhì)量越高，系統(tǒng)內(nèi)測(cè)試失敗的可能性就越小。如果物理特性與加速老化相關(guān)，甚至也可以減輕老化。所有東西都會(huì)老化，但老化較快的芯片可以從供應(yīng)鏈中淘汰。

Rathert說：“測(cè)試行業(yè)正試圖提高良率，讓作為最后一道防線進(jìn)行測(cè)試東西更少。測(cè)試人員正在關(guān)注如何改進(jìn)他們的測(cè)試游戲。當(dāng)我們剝開洋蔥皮并研究這個(gè)問題時(shí)，首要的是阻止缺陷的發(fā)生。第二個(gè)是逃逸，其中一部分是測(cè)試覆蓋率，另一部分是我們所說的潛在缺陷?！?/p>

潛在缺陷直到稍后才顯露出來，可能是在暴露于某些環(huán)境條件之后。根據(jù)定義，不會(huì)在制造測(cè)試中發(fā)現(xiàn)它們。

“我們有兩種方法來處理這個(gè)問題，”Rather說。“一個(gè)是工藝控制，我們停止制造缺陷的芯片。第二個(gè)是篩選——尋找那些看起來不正常的晶圓或單個(gè)芯片，不讓它們進(jìn)入供應(yīng)鏈。然后，用晶圓級(jí)探針進(jìn)行單次和最終測(cè)試。我們正試圖將所有這些機(jī)會(huì)盡可能地放在上游，以阻止那些壞的片芯流出，這樣之后的內(nèi)置自檢就永遠(yuǎn)是干凈的?！?/p>

CyberOptics負(fù)責(zé)研發(fā)的副總裁Tim Skunes對(duì)此表示贊同。他說：“對(duì)于汽車等安全關(guān)鍵型應(yīng)用，零缺陷至關(guān)重要，因此實(shí)施有效的SMT／電子組裝、晶圓級(jí)和先進(jìn)封裝的檢驗(yàn)和計(jì)量過程來控制工藝和良率非常重要?！?/p>

從規(guī)劃到認(rèn)證

如何實(shí)現(xiàn)測(cè)試取決于開發(fā)工作早期的架構(gòu)階段實(shí)施策略。在早期階段讓安全團(tuán)隊(duì)參與有助于確保測(cè)試計(jì)劃滿足安全計(jì)劃的需要。

還有許多利益相關(guān)者需要參與，包括芯片開發(fā)、系統(tǒng)開發(fā)和軟件團(tuán)隊(duì)。這種協(xié)調(diào)是必要的，不僅是為了確保所有考慮因素和情景都已考慮在內(nèi)，而且是為了確保不同團(tuán)隊(duì)執(zhí)行的測(cè)試之間沒有重疊或冗余。給定一組測(cè)試，誰執(zhí)行哪些測(cè)試可以由所有相關(guān)人員在早期決定。

Knoth指出：“無論是制造測(cè)試還是現(xiàn)場(chǎng)測(cè)試，都需要一種更加多學(xué)科、‘大帳篷’的方法來決定測(cè)試內(nèi)容和測(cè)試方式?！?/p>

結(jié)論

認(rèn)證與大多數(shù)安全關(guān)鍵系統(tǒng)一樣，要在安全專家的監(jiān)督下制定一個(gè)計(jì)劃，然后證明最后達(dá)到了既定目標(biāo)。在審查了所有測(cè)試、監(jiān)控和其他安全機(jī)制的處理方式之后，并沒有官方機(jī)構(gòu)對(duì)車輛進(jìn)行批準(zhǔn)。最后，還是由主機(jī)廠進(jìn)行認(rèn)證。人們的期望是，主機(jī)廠有動(dòng)力和能力擁有一輛安全的汽車，這樣它的聲譽(yù)就不會(huì)受損，召回也就沒有必要了，這就是“基于市場(chǎng)的安全”。

總而言之，系統(tǒng)內(nèi)測(cè)試結(jié)合了其他功能安全性和安全性考慮，已成為這些輪子上系統(tǒng)的新要求。與任何設(shè)計(jì)一樣，隨著汽車制造商競(jìng)相為客戶提供最佳和最安全的體驗(yàn)，這些考慮因素之間也會(huì)存在權(quán)衡。

系統(tǒng)內(nèi)測(cè)試整體方法的好處在于：市場(chǎng)上最成功的團(tuán)隊(duì)利用來自不同利益相關(guān)者的所有投入，提出優(yōu)雅的解決方案，使他們能夠擁有更低的開銷和更高質(zhì)量的測(cè)試，而不是各自呆在自己的筒倉(cāng)（silos）里，把問題拋諸腦后，然后說：“好吧，讓測(cè)試人員來解決這個(gè)問題?！?/p>

系統(tǒng)反應(yīng)和云分析監(jiān)控架構(gòu)

不是所有的監(jiān)視器都一樣?！拔覀冇袃煞N顯示器，”Harrison解釋說?！拔覀冇斜粍?dòng)監(jiān)視器，只是用來收集數(shù)據(jù)。還有反應(yīng)監(jiān)視器，如果我們真的發(fā)現(xiàn)了一些意想不到的事情，那么像巴士哨兵這樣的東西可以完全關(guān)閉車輛?！?/p>