設(shè)計(jì)和驗(yàn)證技術(shù)如何確保汽車(chē)SoC的功能安全

功能安全對(duì)于作為高級(jí)駕駛輔助系統(tǒng) （ADAS）、信息娛樂(lè)設(shè)備和其他車(chē)載系統(tǒng)的技術(shù)支柱的汽車(chē)片上系統(tǒng) （SoC） 至關(guān)重要。然而，滿(mǎn)足各種安全標(biāo)準(zhǔn)可能既費(fèi)時(shí)又費(fèi)力，涉及隨著標(biāo)準(zhǔn)的發(fā)展而變化的大量數(shù)據(jù)。

遵循某些方法可以使設(shè)計(jì)人員更有效地確保汽車(chē)系統(tǒng)按預(yù)期運(yùn)行，即使發(fā)生意外或意外情況。一套為知識(shí)產(chǎn)權(quán) （IP）、SoC 和系統(tǒng)設(shè)計(jì)自動(dòng)進(jìn)行故障注入和結(jié)果分析的設(shè)計(jì)和驗(yàn)證技術(shù)可以將汽車(chē) ISO 26262 合規(guī)工作減少多達(dá) 50%。

功能安全涉及什么？

功能安全是這樣一個(gè)概念，即即使面對(duì)計(jì)劃外或意外事件，系統(tǒng)仍將保持可靠并按預(yù)期運(yùn)行。如果系統(tǒng)在功能上是安全的，則假定該系統(tǒng)能夠避免不可接受的人身傷害或損壞風(fēng)險(xiǎn)。

功能安全系統(tǒng)有兩個(gè)基本要求：

冗余提供了多種處理路徑，限制了任何一個(gè)錯(cuò)誤都會(huì)破壞系統(tǒng)的風(fēng)險(xiǎn)

檢查器監(jiān)控系統(tǒng)并在需要時(shí)觸發(fā)錯(cuò)誤響應(yīng)和恢復(fù)功能

隨著 SoC 進(jìn)入更小的工藝節(jié)點(diǎn)，它們變得更容易出錯(cuò)。例如，輻射源、磁場(chǎng)和內(nèi)部磨損等現(xiàn)象都可能對(duì)高級(jí)節(jié)點(diǎn) SoC 造成破壞。為了確保 SoC 在功能上是安全的，設(shè)計(jì)人員通常需要建立一個(gè)功能驗(yàn)證環(huán)境，其中錯(cuò)誤（故障）可以注入系統(tǒng)。冗余邏輯將對(duì)正確的數(shù)據(jù)進(jìn)行投票，以消除錯(cuò)誤并保持連續(xù)運(yùn)行。檢查員將在指定時(shí)間段內(nèi)監(jiān)控錯(cuò)誤數(shù)據(jù)并應(yīng)用錯(cuò)誤更正。

符合 ISO 26262 安全標(biāo)準(zhǔn)

ISO 26262 解決了安裝在量產(chǎn)乘用車(chē)中的電氣和電子系統(tǒng)的功能安全性。IEC 61508、ISO 26262 的改編會(huì)影響所有具有基于軟件或硬件的電氣、電子或機(jī)電組件的系統(tǒng)。該標(biāo)準(zhǔn)涵蓋了與安全相關(guān)的汽車(chē)軟件生產(chǎn)的許多方面，包括開(kāi)發(fā)過(guò)程中使用的工具的認(rèn)證。

遵守 ISO 26262 中概述的安全完整性級(jí)別涉及收集和分析大量數(shù)據(jù)。通過(guò)大量，我們正在談?wù)撈?chē)產(chǎn)品線(xiàn)的開(kāi)發(fā)周期中可能需要數(shù)十人年。

面對(duì)競(jìng)爭(zhēng)和上市時(shí)間的壓力，設(shè)計(jì)人員無(wú)法承擔(dān)花費(fèi)數(shù)年時(shí)間來(lái)解決功能安全問(wèn)題。然而，為了最終客戶(hù)，不能偷工減料。但是，有一些方法可以提高遵守功能安全標(biāo)準(zhǔn)的效率。

對(duì)故障進(jìn)行分類(lèi)以設(shè)置 ASIL

安全驗(yàn)證過(guò)程涉及將故障分為安全、危險(xiǎn)和危險(xiǎn)檢測(cè)類(lèi)別；將此分類(lèi)編入安全計(jì)劃；并執(zhí)行驗(yàn)證程序以確定未檢測(cè)到的危險(xiǎn)故障與危險(xiǎn)故障的比率。其結(jié)果設(shè)定了汽車(chē)安全完整性等級(jí) （ASIL）。

在許多方面，功能安全驗(yàn)證反映了功能驗(yàn)證。通常，在功能驗(yàn)證方法中，被測(cè)設(shè)計(jì) （DUT） 被用作控制，同時(shí)應(yīng)用了廣泛的激勵(lì)。在典型的安全驗(yàn)證方法中，激勵(lì)被控制為幾個(gè)典型序列，同時(shí)對(duì) DUT 施加廣泛的故障。

安全驗(yàn)證的挑戰(zhàn)在于實(shí)際上不能更改 DUT 邏輯——更改此邏輯將使驗(yàn)證實(shí)際設(shè)計(jì)中的故障的概念失效。這種更改還會(huì)使 ISO 26262 要求的對(duì)所用驗(yàn)證工具的工具置信度 （TCL） 評(píng)估無(wú)效。鑒于這些情況，安全驗(yàn)證必須共享測(cè)試平臺(tái)和 DUT 代碼，并且流程必須與功能驗(yàn)證流程同時(shí)執(zhí)行。

故障檢測(cè)電路的監(jiān)控點(diǎn)集為安全驗(yàn)證提供了起點(diǎn)。這些點(diǎn)在實(shí)際設(shè)計(jì)執(zhí)行期間被選通，因此必須在安全驗(yàn)證中模擬相同的效果。在安全驗(yàn)證期間，一小部分功能測(cè)試序列會(huì)刺激 DUT。一旦建立了這個(gè)環(huán)境，必須自動(dòng)發(fā)現(xiàn)設(shè)計(jì)節(jié)點(diǎn)然后折疊以創(chuàng)建故障字典以進(jìn)行安全驗(yàn)證。

然后，安全驗(yàn)證方法對(duì)故障字典進(jìn)行迭代，注入永久性和單事件翻轉(zhuǎn) （SEU） 故障。通過(guò)這個(gè)過(guò)程，報(bào)告每個(gè)故障的檢測(cè)條件。報(bào)告為未檢測(cè)到或可能檢測(cè)到的故障需要額外調(diào)試才能進(jìn)行分類(lèi)，因?yàn)樗鼈兛赡芎芪ｋU(xiǎn)。

在功能驗(yàn)證流程中包括安全驗(yàn)證

對(duì)于小型設(shè)計(jì)，可以使用測(cè)試平臺(tái)的采樣輸入運(yùn)行安全驗(yàn)證，然后手動(dòng)分析結(jié)果。但是，對(duì)于更復(fù)雜的系統(tǒng)，將安全驗(yàn)證集成為功能驗(yàn)證流程的一部分是有意義的。通過(guò)這種方法，設(shè)計(jì)人員可以使用復(fù)雜的測(cè)試平臺(tái)來(lái)控制故障注入并支持調(diào)試過(guò)程。出于類(lèi)似的原因，對(duì)兩個(gè)進(jìn)程使用相同的模擬器也是有意義的。這樣做將消除由于使用修改后的 DUT 或不同的仿真引擎時(shí)出現(xiàn)的調(diào)試結(jié)果差異而導(dǎo)致的效率損失。

一個(gè)安全模擬過(guò)程可能涉及多達(dá)數(shù)十萬(wàn)甚至數(shù)百萬(wàn)的時(shí)間故障。這就是為什么通過(guò)度量驅(qū)動(dòng)驗(yàn)證建立的自動(dòng)回歸驗(yàn)證可以提高識(shí)別未檢測(cè)到和可能檢測(cè)到的故障模擬的效率，并自動(dòng)從不安全故障中聚合安全故障。通過(guò)應(yīng)用這種方法，安全驗(yàn)證工作可以減少多達(dá) 50%。

基于 Cadence Incisive 功能驗(yàn)證平臺(tái)的端到端功能安全解決方案可減少汽車(chē) ISO 26262 合規(guī)性工作。它包括 Incisive 功能安全模擬器和 Incisive vManager 解決方案中的功能安全回歸功能。圖 1 顯示了 Incisive vManager 解決方案的屏幕截圖，它有助于突出顯示潛在的和未檢測(cè)到的故障運(yùn)行以進(jìn)行調(diào)試?？傮w而言，功能安全解決方案可自動(dòng)進(jìn)行 IP、SoC 和系統(tǒng)設(shè)計(jì)的故障注入和結(jié)果分析。對(duì)于安全需求跟蹤，它集成了永久和瞬態(tài)故障模擬。

圖 1：指標(biāo)驅(qū)動(dòng)的驗(yàn)證可以提供全面的功能安全回歸分析。

Incisive 功能安全模擬器模擬未更改的 DUT。故障在仿真過(guò)程中被注入，并且可以通過(guò) SystemC、模擬晶體管或行為模型和斷言傳播。工程師可以重用他們的功能和混合信號(hào)驗(yàn)證環(huán)境，以加快開(kāi)發(fā)安全驗(yàn)證的時(shí)間。借助 Incisive vManager，其功能安全分析能力會(huì)自動(dòng)從模擬器創(chuàng)建的故障字典中生成安全驗(yàn)證回歸。然后，該解決方案可以跟蹤數(shù)以百萬(wàn)計(jì)的已檢測(cè)到、可能檢測(cè)到和未檢測(cè)到的故障，這些故障被引入到仿真中，以驗(yàn)證設(shè)計(jì)的安全系統(tǒng)。圖 2 顯示了基于 Incisive 環(huán)境的功能安全驗(yàn)證流程。

圖 2：功能安全驗(yàn)證流程。

創(chuàng)建更安全的汽車(chē)系統(tǒng)

確保汽車(chē) SoC 在功能上安全還可以讓駕駛員和乘客對(duì)他們的車(chē)輛充滿(mǎn)信心。將安全驗(yàn)證集成到功能驗(yàn)證流程中可以是加快流程和管理符合 ISO 26262 等標(biāo)準(zhǔn)的工作的有效方法。使用功能驗(yàn)證和故障模擬技術(shù)還可以最大限度地減少安全驗(yàn)證工作。借助這些方法和技術(shù)，公司可以花費(fèi)更多時(shí)間來(lái)創(chuàng)建安全且獨(dú)特的汽車(chē)設(shè)計(jì)。

審核編輯：郭婷