第317章 車規晶片的功能安全評審
評審室設在研究院南側樓三層,一間原本用於對外技術交流的會議室。陳醒讓人把那些展示企業形象的宣傳板全部撤掉,只留下長桌、屏幕、加密通信終端和一面可以寫滿整牆的白板。房間裡的光線被調到最均勻的色溫,不刺眼也不昏暗,像手術室里的無影燈——在這種光線下,任何細節都藏不住。
秦崢提前二十分鐘到了。他把天權5車規版的技術文檔按照功能安全標準ISO 26262的章節順序重新排過三遍,又在腦子裡把所有可能被挑戰的節點過了一遍。熱管理邊界、時序細抖、傳感器協同、故障檢測覆蓋率、隨機硬體失效概率、系統性失效的避免措施——每一個參數背後都對應著至少三輪實車路測的數據支撐。
評審專家組八點整進入會議室。領銜的是華夏汽車技術研究中心的功能安全首席專家,其餘七人分別來自國家級檢測機構、高校汽車學院、第三方認證平台和兩家已經與未來科技簽署合作意向的整車企業。沒有人帶著敵意來,但也絕沒有人準備放水。功能安全評審不是走過場,在車規晶片這個領域,任何一個被忽略的失效模式都可能在路上變成真實事故。
陳醒沒有到場。這是秦崢主動要求的。他說,如果陳醒坐在後面,專家組會有兩種反應——要麼因為陳醒在場而不敢把問題問透,要麼為了顯示獨立性而故意吹毛求疵。無論哪種,對評審本身都沒有好處。
周明坐在旁聽席最後一排,面前擺著一台只連接內部網絡的終端。他的任務不是幫秦崢回答問題,而是在評審過程中捕捉任何可能演化成法律或合規風險的技術表述,第一時間記錄,會後同步給相關團隊。
評審正式開始前,專家組領銜專家看了秦崢一眼,說了一句讓房間裡所有人安靜下來的話:「天權5車規版是我們評審過的第一顆從架構到實現完全自主的車規晶片。這不是加分項,也不是減分項,而是意味著我們沒有現成的對標資料庫。評審標準會比國際主流認證平台更嚴,因為我們需要用自己的判斷來填補那些空白。」
秦崢點了點頭:「這是應該的。」
他沒有說「我們很榮幸」之類的客套話。在這種場合,任何多餘的語言都會被理解為心虛。
第一輪評審聚焦在功能安全概念層面。
秦崢打開天權5車規版的頂層安全架構圖,一條一條地拆解。ASIL等級分配、安全目標分解、失效模式與影響分析、故障樹分析、相關失效分析——每一個標準要求的輸出文檔都已經被壓縮成可交互的電子版,專家組可以隨時調取原始數據和設計文件。
「天權5車規版的安全目標定了三條不可妥協的底線。」秦崢指著圖上被標成深紅色的三個節點,「第一,任何單點故障不得導致整車動力系統失控。第二,熱管理失效必須在晶片可檢測範圍內觸發降級或關斷,不允許出現熱失控擴散。第三,所有與車輛縱向和橫向控制相關的輸出信號,必須支持實時回讀和對比校驗。」
領銜專家沒有立刻評價,而是翻到測試與驗證章節。
「實車路測的總里程和覆蓋場景請說明。」
秦崢調出天權5車規版過去三個月的路測匯總表。七台測試車,累計實車行駛里程超過六萬公里,覆蓋城市道路、高速公路、山區公路、極寒環境、高溫環境、高濕度環境以及部分非鋪裝路面。每台測試車的數據採集頻率是主控通道每毫秒一次,安全監控通道每百微秒一次,兩通道獨立記錄、獨立存儲、獨立對比。
「故障注入測試做了多少?」
「一千二百三十七個注入點,覆蓋安全目標相關的所有關鍵信號路徑和計算單元。」秦崢把故障注入測試的覆蓋率矩陣投到副屏上,「隨機硬體故障的覆蓋率按ISO 26262-5的要求做到了ASIL D級別的百分之九十九以上。系統性失效的避免措施通過了獨立的功能安全評估。」
評審組裡最年輕的一名專家舉起手:「熱管理邊界的實車驗證數據,請單獨展示。」
這是秦崢預料之中的問題。天權5車規版在第二輪實車路測中暴露過局部熱管理問題——在某些極限工況下,晶片內部某個計算單元的溫升速度比預設模型快了約百分之八。雖然這個溫升沒有觸及安全閾值,但它說明熱模型在極端工況下的精度還有提升空間。
秦崢沒有迴避,直接把那組問題數據調了出來。
「第二輪路測中發現的局部熱管理偏差,根因已經定位。封裝內部的局部熱點分布與仿真模型的差異主要來自基板材料的熱導率實際批次偏差。我們在第三輪路測前更換了封裝基板的來料檢驗標準,同時調整了熱管理策略中的降級觸發閾值。第三輪路測數據表明,問題已經收斂到可接受範圍內。」
「可接受的範圍是多少?」領銜專家追問。
「最極限工況下,熱管理策略啟動前,晶片結溫與安全閾值的差距從原來的百分之八縮小到百分之二點三。安全閾值本身保留了百分之十五的設計餘量,因此實際風險為零。」
評審組沒有立刻表態,而是把第三輪路測的原始數據調出來自己看了一遍。
房間裡安靜了幾分鐘。
秦崢沒有催促,也沒有補充。他知道,在功能安全評審中,專家們自己看到的數據比他說一百句話都管用。
第二輪評審轉入更細粒度的時序分析和細抖問題。
這是天權5車規版在實車路測中暴露的另一個薄弱環節。在某些工況切換的瞬態過程中,控制信號的時序會出現微秒級的細抖動,雖然幅度遠低於功能安全標準規定的最大允許偏差,但專家組關心的是這種細抖動的根本原因和長期穩定性。
負責時序分析模塊的工程師被叫到台前。他是車規晶片團隊裡最年輕的成員,只有三年工作經驗,但天權5的時序收斂工作有一半是他完成的。他站在屏幕前,聲音有一點緊,但技術表述非常精準。
「細抖動的根源有三類。第一類,時鐘路徑上的電源噪聲耦合,已經通過增加本地去耦電容和優化供電網絡解決。第二類,異步時鐘域之間的握手信號在不同工況下的延遲變化,這部分通過調整握手協議和增加彈性緩衝解決。第三類,也是唯一還有殘餘的,是晶片內部某些共享資源的總線仲裁在不同負載下的時間不確定性。目前殘餘細抖動的幅度在最壞情況下為六百納秒,而功能安全標準對該類信號的最大允許偏差為十微秒。我們有十倍的餘量。」
評審組一位專攻硬體安全的專家追問:「六百納秒是實測值還是仿真值?」
「實測。第三輪路測中,我們在最惡劣的電磁兼容環境下重複測量了一千次,最大值六百三十納秒,最小值四百一十納秒,分布穩定。」
「有沒有考慮晶片老化後的時序漂移?」
「考慮了。我們在加速老化測試後的樣本上重複了相同測量,老化後的細抖動幅度增加了約百分之十二,最壞情況接近七百納秒。仍然在十微秒的允許範圍內,且老化後的時序餘量經過重新計算,確認不會在標稱壽命期內觸及功能安全紅線。」
評審組沒有再追問。
上午的評審持續了三個半小時,中間只休息了一次十五分鐘。秦崢在休息時走到走廊盡頭,給陳醒發了一條極其簡短的信息:「評審進行中,問題都在預期範圍內。」
陳醒沒有回覆。秦崢知道,陳醒不看過程,只看結果。不回複本身就是一種態度——相信他能把評審撐住。
下午的評審更深入,開始觸及晶片內部的隨機硬體故障度量。
這是功能安全ISO 26262中最硬核的部分之一。單點故障度量、潛在故障度量、隨機硬體失效概率——每一個數字都必須有完整的數據鏈支撐,從電晶體級故障率模型到系統級安全機制覆蓋率的定量分析,不能有任何模糊地帶。
秦崢把天權5車規版的故障度量數據表投到主屏上。
單點故障度量,ASIL D要求大於百分之九十九,天權5的實測值為百分之九十九點三七。潛在故障度量,要求大於百分之九十,實測值為百分之九十四點二。隨機硬體失效概率,要求在十年內每顆晶片的失效率低於十的負八次方量級,天權5的加速老化測試和故障注入聯合推演結果為每千萬小時約零點三二次失效。
領銜專家看完這些數字,問了一個更刁鑽的問題:「故障度量用的是標準模型還是你們自己的修正模型?」
這個問題問到了關鍵。標準模型基於行業通用的故障率資料庫,但那些資料庫里的基礎失效率數據主要來自非車規或成熟工藝節點。天權5用的是先進工藝,底層電晶體的物理特性和失效模式與舊數據有差異。如果直接套用標準模型,要麼過於保守,要麼不夠準確。
秦崢深吸了一口氣,調出了另一份文檔。
「我們用了自己的修正模型。基礎失效率數據來自天權晶片系列在過去三年裡超過兩百萬顆工業級和消費級晶片的實際失效統計,結合加速老化和工藝特性曲線進行了至少兩輪校準。這個修正模型已經提交給第三方認證機構獨立評估,初步結論是『方法學合理,數據鏈完整』。」
評審組裡有人皺眉,有人點頭。
皺眉是因為用自建模型替代行業標準模型,在功能安全評審中是一件非常敏感的事。點頭是因為秦崢敢把這件事拿到檯面上說,說明他對數據鏈的完整性有足夠信心。
領銜專家沉默了幾秒,然後說了一句話:「修正模型的使用需要更長的評審周期。我們不會在今天給出結論,但會在兩周內組織一次專題評審,專門討論模型本身的合理性和數據鏈的完整性。」
秦崢心裡微微一緊,但面上沒有露出任何變化。
兩周,比預期的評審周期多了一周。對面火龍聯盟的全面制裁框架在四到六周內就可能落地,如果功能安全評審在修正模型上卡住,天權5車規版的量產節奏就會被拖慢。而車規晶片的量產一旦延誤,天行者後續車型的供應鏈安全就會出問題。
但他沒有爭辯,只是說了一個字:「好。」
在功能安全評審中,和專家爭論評審節奏是最愚蠢的事。節奏可以調整,但信任一旦破裂就再也補不回來。
下午四點半,評審進入最後一個環節:系統性失效的避免措施評估。
這部分相對順利。天權5車規版的開發流程已經通過了多次內部和外部審計,從需求管理到架構設計,從詳細設計到單元測試,從集成驗證到實車路測,每個階段的輸出文檔都完整、可追溯、可復現。評審組抽查了三十多個關鍵需求的實現路徑,全部能在文檔鏈中追溯到設計決策、驗證用例和測試結果。
領銜專家在最後一頁評審意見上寫下了一行字,然後把屏幕轉向秦崢。
「今天不給出最終結論,但可以給你一個口頭判斷——天權5車規版的功能安全設計沒有結構性缺陷,修正模型問題是評審周期問題,不是技術路線問題。」
秦崢看著那行字,點了點頭。
這已經是能拿到的最好結果了。專家組沒有否決修正模型,只是需要更多時間評審。這意味著天權5車規版的功能安全認證不會因為方向性錯誤而被退回,只是時間軸會往後延一到兩周。
評審結束後,秦崢站在走廊里,給陳醒發了第二條信息:「評審結束。沒有結構性問題。修正模型需要兩周專題評審。整體節奏可控。」
這次陳醒回復了,只有兩個字:「穩住。」
秦崢盯著那兩個字看了幾秒,然後把終端收進口袋。
他回到辦公室,把評審中專家組提出的所有問題和建議逐條整理出來,壓成一份內部行動清單。修正模型的數據鏈需要再補一組獨立驗證;時序細抖的殘餘問題可以繼續優化但不是必須;熱管理策略的降級觸發閾值可以再收一點,給未來留更多餘量。
每一條都被標上了優先級、責任人和完成時限。
夜裡七點,秦崢把這份清單同步給了車規晶片團隊的每一個人,然後在群里說了一句話:「兩周專題評審,我們不僅要把修正模型的數據鏈補到最硬,還要把所有專家提到過的、沒提到過的潛在弱點全部過一遍。不是為了讓評審通過,是為了讓天權5在路上跑十年都不出問題。」
群里沒有人回復,但任務清單上的認領狀態在幾分鐘內全部變成了「進行中」。
周明在夜裡八點給秦崢打了個電話。他不是技術線的人,但他關心的是另一件事——修正模型的專題評審如果延長到兩周,會不會和火龍聯盟的全面制裁時間窗口撞上。
秦崢沉默了幾秒,然後說:「會撞上。但如果我們因為怕撞上就接受一個不完整的評審結論,對面不需要制裁,我們自己就會在車規市場上失去信用。車規晶片的信用比什麼都重要。」
周明沒有反駁,只說了一句:「那就在這兩周里,把補天、海上計劃、天衡5所有線再往前推一截。如果我們每一條線都在制裁落地前站到了更高的位置上,對面就算動手,成本也會比現在高得多。」
秦崢掛了電話,站在辦公室窗前,看著遠處追光廠房頂上的那排紅燈。
天權5車規版是統一算力進入真實汽車節點的第一塊基石。如果這塊基石不穩,天行者後續車型、統一終端生態中的汽車節點、以及「數據對等原則」在車端的話語權,全部都會動搖。
他不能讓它不穩。
夜裡九點,陳醒在研究院頂樓收到了秦崢的詳細評審報告。他沒有看正文,而是先翻到最後一頁,看到領銜專家那句「沒有結構性缺陷」的口頭判斷,然後才開始從頭細讀。
讀到修正模型的部分時,他停了一下。
用自建模型替代行業標準模型,這步棋走得險。但秦崢敢走,說明他對天權晶片系列的實際失效數據有足夠信心。這份信心不是憑空來的——過去三年,超過兩百萬顆天權晶片在各種終端里跑著,從手機到平板,從電視到路由器,從工業控制到智能汽車,它們真實發生的失效模式、失效率和失效分布,是任何行業標準資料庫都給不了的數據資產。
陳醒在報告空白處寫了一行批註:「修正模型專題評審時,邀請第三方認證機構和至少兩家整車企業的技術負責人共同參與。不是讓評審變得更複雜,而是讓結論在產業界有更廣泛的接受度。」
他把批註發給秦崢,然後繼續看下一份文件。
窗外,芯谷的燈光還是那麼密、那麼安靜。而在那篇光海的深處,車規晶片驗證組的燈還亮著,補天區的調度屏還在刷新,天衡5產線的裝配線還在以千分之二點五五的偏移率緩慢流動。
秦崢提前二十分鐘到了。他把天權5車規版的技術文檔按照功能安全標準ISO 26262的章節順序重新排過三遍,又在腦子裡把所有可能被挑戰的節點過了一遍。熱管理邊界、時序細抖、傳感器協同、故障檢測覆蓋率、隨機硬體失效概率、系統性失效的避免措施——每一個參數背後都對應著至少三輪實車路測的數據支撐。
評審專家組八點整進入會議室。領銜的是華夏汽車技術研究中心的功能安全首席專家,其餘七人分別來自國家級檢測機構、高校汽車學院、第三方認證平台和兩家已經與未來科技簽署合作意向的整車企業。沒有人帶著敵意來,但也絕沒有人準備放水。功能安全評審不是走過場,在車規晶片這個領域,任何一個被忽略的失效模式都可能在路上變成真實事故。
陳醒沒有到場。這是秦崢主動要求的。他說,如果陳醒坐在後面,專家組會有兩種反應——要麼因為陳醒在場而不敢把問題問透,要麼為了顯示獨立性而故意吹毛求疵。無論哪種,對評審本身都沒有好處。
周明坐在旁聽席最後一排,面前擺著一台只連接內部網絡的終端。他的任務不是幫秦崢回答問題,而是在評審過程中捕捉任何可能演化成法律或合規風險的技術表述,第一時間記錄,會後同步給相關團隊。
評審正式開始前,專家組領銜專家看了秦崢一眼,說了一句讓房間裡所有人安靜下來的話:「天權5車規版是我們評審過的第一顆從架構到實現完全自主的車規晶片。這不是加分項,也不是減分項,而是意味著我們沒有現成的對標資料庫。評審標準會比國際主流認證平台更嚴,因為我們需要用自己的判斷來填補那些空白。」
秦崢點了點頭:「這是應該的。」
他沒有說「我們很榮幸」之類的客套話。在這種場合,任何多餘的語言都會被理解為心虛。
第一輪評審聚焦在功能安全概念層面。
秦崢打開天權5車規版的頂層安全架構圖,一條一條地拆解。ASIL等級分配、安全目標分解、失效模式與影響分析、故障樹分析、相關失效分析——每一個標準要求的輸出文檔都已經被壓縮成可交互的電子版,專家組可以隨時調取原始數據和設計文件。
「天權5車規版的安全目標定了三條不可妥協的底線。」秦崢指著圖上被標成深紅色的三個節點,「第一,任何單點故障不得導致整車動力系統失控。第二,熱管理失效必須在晶片可檢測範圍內觸發降級或關斷,不允許出現熱失控擴散。第三,所有與車輛縱向和橫向控制相關的輸出信號,必須支持實時回讀和對比校驗。」
領銜專家沒有立刻評價,而是翻到測試與驗證章節。
「實車路測的總里程和覆蓋場景請說明。」
秦崢調出天權5車規版過去三個月的路測匯總表。七台測試車,累計實車行駛里程超過六萬公里,覆蓋城市道路、高速公路、山區公路、極寒環境、高溫環境、高濕度環境以及部分非鋪裝路面。每台測試車的數據採集頻率是主控通道每毫秒一次,安全監控通道每百微秒一次,兩通道獨立記錄、獨立存儲、獨立對比。
「故障注入測試做了多少?」
「一千二百三十七個注入點,覆蓋安全目標相關的所有關鍵信號路徑和計算單元。」秦崢把故障注入測試的覆蓋率矩陣投到副屏上,「隨機硬體故障的覆蓋率按ISO 26262-5的要求做到了ASIL D級別的百分之九十九以上。系統性失效的避免措施通過了獨立的功能安全評估。」
評審組裡最年輕的一名專家舉起手:「熱管理邊界的實車驗證數據,請單獨展示。」
這是秦崢預料之中的問題。天權5車規版在第二輪實車路測中暴露過局部熱管理問題——在某些極限工況下,晶片內部某個計算單元的溫升速度比預設模型快了約百分之八。雖然這個溫升沒有觸及安全閾值,但它說明熱模型在極端工況下的精度還有提升空間。
秦崢沒有迴避,直接把那組問題數據調了出來。
「第二輪路測中發現的局部熱管理偏差,根因已經定位。封裝內部的局部熱點分布與仿真模型的差異主要來自基板材料的熱導率實際批次偏差。我們在第三輪路測前更換了封裝基板的來料檢驗標準,同時調整了熱管理策略中的降級觸發閾值。第三輪路測數據表明,問題已經收斂到可接受範圍內。」
「可接受的範圍是多少?」領銜專家追問。
「最極限工況下,熱管理策略啟動前,晶片結溫與安全閾值的差距從原來的百分之八縮小到百分之二點三。安全閾值本身保留了百分之十五的設計餘量,因此實際風險為零。」
評審組沒有立刻表態,而是把第三輪路測的原始數據調出來自己看了一遍。
房間裡安靜了幾分鐘。
秦崢沒有催促,也沒有補充。他知道,在功能安全評審中,專家們自己看到的數據比他說一百句話都管用。
第二輪評審轉入更細粒度的時序分析和細抖問題。
這是天權5車規版在實車路測中暴露的另一個薄弱環節。在某些工況切換的瞬態過程中,控制信號的時序會出現微秒級的細抖動,雖然幅度遠低於功能安全標準規定的最大允許偏差,但專家組關心的是這種細抖動的根本原因和長期穩定性。
負責時序分析模塊的工程師被叫到台前。他是車規晶片團隊裡最年輕的成員,只有三年工作經驗,但天權5的時序收斂工作有一半是他完成的。他站在屏幕前,聲音有一點緊,但技術表述非常精準。
「細抖動的根源有三類。第一類,時鐘路徑上的電源噪聲耦合,已經通過增加本地去耦電容和優化供電網絡解決。第二類,異步時鐘域之間的握手信號在不同工況下的延遲變化,這部分通過調整握手協議和增加彈性緩衝解決。第三類,也是唯一還有殘餘的,是晶片內部某些共享資源的總線仲裁在不同負載下的時間不確定性。目前殘餘細抖動的幅度在最壞情況下為六百納秒,而功能安全標準對該類信號的最大允許偏差為十微秒。我們有十倍的餘量。」
評審組一位專攻硬體安全的專家追問:「六百納秒是實測值還是仿真值?」
「實測。第三輪路測中,我們在最惡劣的電磁兼容環境下重複測量了一千次,最大值六百三十納秒,最小值四百一十納秒,分布穩定。」
「有沒有考慮晶片老化後的時序漂移?」
「考慮了。我們在加速老化測試後的樣本上重複了相同測量,老化後的細抖動幅度增加了約百分之十二,最壞情況接近七百納秒。仍然在十微秒的允許範圍內,且老化後的時序餘量經過重新計算,確認不會在標稱壽命期內觸及功能安全紅線。」
評審組沒有再追問。
上午的評審持續了三個半小時,中間只休息了一次十五分鐘。秦崢在休息時走到走廊盡頭,給陳醒發了一條極其簡短的信息:「評審進行中,問題都在預期範圍內。」
陳醒沒有回覆。秦崢知道,陳醒不看過程,只看結果。不回複本身就是一種態度——相信他能把評審撐住。
下午的評審更深入,開始觸及晶片內部的隨機硬體故障度量。
這是功能安全ISO 26262中最硬核的部分之一。單點故障度量、潛在故障度量、隨機硬體失效概率——每一個數字都必須有完整的數據鏈支撐,從電晶體級故障率模型到系統級安全機制覆蓋率的定量分析,不能有任何模糊地帶。
秦崢把天權5車規版的故障度量數據表投到主屏上。
單點故障度量,ASIL D要求大於百分之九十九,天權5的實測值為百分之九十九點三七。潛在故障度量,要求大於百分之九十,實測值為百分之九十四點二。隨機硬體失效概率,要求在十年內每顆晶片的失效率低於十的負八次方量級,天權5的加速老化測試和故障注入聯合推演結果為每千萬小時約零點三二次失效。
領銜專家看完這些數字,問了一個更刁鑽的問題:「故障度量用的是標準模型還是你們自己的修正模型?」
這個問題問到了關鍵。標準模型基於行業通用的故障率資料庫,但那些資料庫里的基礎失效率數據主要來自非車規或成熟工藝節點。天權5用的是先進工藝,底層電晶體的物理特性和失效模式與舊數據有差異。如果直接套用標準模型,要麼過於保守,要麼不夠準確。
秦崢深吸了一口氣,調出了另一份文檔。
「我們用了自己的修正模型。基礎失效率數據來自天權晶片系列在過去三年裡超過兩百萬顆工業級和消費級晶片的實際失效統計,結合加速老化和工藝特性曲線進行了至少兩輪校準。這個修正模型已經提交給第三方認證機構獨立評估,初步結論是『方法學合理,數據鏈完整』。」
評審組裡有人皺眉,有人點頭。
皺眉是因為用自建模型替代行業標準模型,在功能安全評審中是一件非常敏感的事。點頭是因為秦崢敢把這件事拿到檯面上說,說明他對數據鏈的完整性有足夠信心。
領銜專家沉默了幾秒,然後說了一句話:「修正模型的使用需要更長的評審周期。我們不會在今天給出結論,但會在兩周內組織一次專題評審,專門討論模型本身的合理性和數據鏈的完整性。」
秦崢心裡微微一緊,但面上沒有露出任何變化。
兩周,比預期的評審周期多了一周。對面火龍聯盟的全面制裁框架在四到六周內就可能落地,如果功能安全評審在修正模型上卡住,天權5車規版的量產節奏就會被拖慢。而車規晶片的量產一旦延誤,天行者後續車型的供應鏈安全就會出問題。
但他沒有爭辯,只是說了一個字:「好。」
在功能安全評審中,和專家爭論評審節奏是最愚蠢的事。節奏可以調整,但信任一旦破裂就再也補不回來。
下午四點半,評審進入最後一個環節:系統性失效的避免措施評估。
這部分相對順利。天權5車規版的開發流程已經通過了多次內部和外部審計,從需求管理到架構設計,從詳細設計到單元測試,從集成驗證到實車路測,每個階段的輸出文檔都完整、可追溯、可復現。評審組抽查了三十多個關鍵需求的實現路徑,全部能在文檔鏈中追溯到設計決策、驗證用例和測試結果。
領銜專家在最後一頁評審意見上寫下了一行字,然後把屏幕轉向秦崢。
「今天不給出最終結論,但可以給你一個口頭判斷——天權5車規版的功能安全設計沒有結構性缺陷,修正模型問題是評審周期問題,不是技術路線問題。」
秦崢看著那行字,點了點頭。
這已經是能拿到的最好結果了。專家組沒有否決修正模型,只是需要更多時間評審。這意味著天權5車規版的功能安全認證不會因為方向性錯誤而被退回,只是時間軸會往後延一到兩周。
評審結束後,秦崢站在走廊里,給陳醒發了第二條信息:「評審結束。沒有結構性問題。修正模型需要兩周專題評審。整體節奏可控。」
這次陳醒回復了,只有兩個字:「穩住。」
秦崢盯著那兩個字看了幾秒,然後把終端收進口袋。
他回到辦公室,把評審中專家組提出的所有問題和建議逐條整理出來,壓成一份內部行動清單。修正模型的數據鏈需要再補一組獨立驗證;時序細抖的殘餘問題可以繼續優化但不是必須;熱管理策略的降級觸發閾值可以再收一點,給未來留更多餘量。
每一條都被標上了優先級、責任人和完成時限。
夜裡七點,秦崢把這份清單同步給了車規晶片團隊的每一個人,然後在群里說了一句話:「兩周專題評審,我們不僅要把修正模型的數據鏈補到最硬,還要把所有專家提到過的、沒提到過的潛在弱點全部過一遍。不是為了讓評審通過,是為了讓天權5在路上跑十年都不出問題。」
群里沒有人回復,但任務清單上的認領狀態在幾分鐘內全部變成了「進行中」。
周明在夜裡八點給秦崢打了個電話。他不是技術線的人,但他關心的是另一件事——修正模型的專題評審如果延長到兩周,會不會和火龍聯盟的全面制裁時間窗口撞上。
秦崢沉默了幾秒,然後說:「會撞上。但如果我們因為怕撞上就接受一個不完整的評審結論,對面不需要制裁,我們自己就會在車規市場上失去信用。車規晶片的信用比什麼都重要。」
周明沒有反駁,只說了一句:「那就在這兩周里,把補天、海上計劃、天衡5所有線再往前推一截。如果我們每一條線都在制裁落地前站到了更高的位置上,對面就算動手,成本也會比現在高得多。」
秦崢掛了電話,站在辦公室窗前,看著遠處追光廠房頂上的那排紅燈。
天權5車規版是統一算力進入真實汽車節點的第一塊基石。如果這塊基石不穩,天行者後續車型、統一終端生態中的汽車節點、以及「數據對等原則」在車端的話語權,全部都會動搖。
他不能讓它不穩。
夜裡九點,陳醒在研究院頂樓收到了秦崢的詳細評審報告。他沒有看正文,而是先翻到最後一頁,看到領銜專家那句「沒有結構性缺陷」的口頭判斷,然後才開始從頭細讀。
讀到修正模型的部分時,他停了一下。
用自建模型替代行業標準模型,這步棋走得險。但秦崢敢走,說明他對天權晶片系列的實際失效數據有足夠信心。這份信心不是憑空來的——過去三年,超過兩百萬顆天權晶片在各種終端里跑著,從手機到平板,從電視到路由器,從工業控制到智能汽車,它們真實發生的失效模式、失效率和失效分布,是任何行業標準資料庫都給不了的數據資產。
陳醒在報告空白處寫了一行批註:「修正模型專題評審時,邀請第三方認證機構和至少兩家整車企業的技術負責人共同參與。不是讓評審變得更複雜,而是讓結論在產業界有更廣泛的接受度。」
他把批註發給秦崢,然後繼續看下一份文件。
窗外,芯谷的燈光還是那麼密、那麼安靜。而在那篇光海的深處,車規晶片驗證組的燈還亮著,補天區的調度屏還在刷新,天衡5產線的裝配線還在以千分之二點五五的偏移率緩慢流動。