設計和驗證技術(shù)如何確保汽車SoC的功能安全

功能安全對于作為高級駕駛輔助系統(tǒng) （ADAS）、信息娛樂設備和其他車載系統(tǒng)的技術(shù)支柱的汽車片上系統(tǒng) （SoC） 至關(guān)重要。然而，滿足各種安全標準可能既費時又費力，涉及隨著標準的發(fā)展而變化的大量數(shù)據(jù)。

遵循某些方法可以使設計人員更有效地確保汽車系統(tǒng)按預期運行，即使發(fā)生意外或意外情況。一套為知識產(chǎn)權(quán) （IP）、SoC 和系統(tǒng)設計自動進行故障注入和結(jié)果分析的設計和驗證技術(shù)可以將汽車 ISO 26262 合規(guī)工作減少多達 50%。

功能安全涉及什么？

功能安全是這樣一個概念，即即使面對計劃外或意外事件，系統(tǒng)仍將保持可靠并按預期運行。如果系統(tǒng)在功能上是安全的，則假定該系統(tǒng)能夠避免不可接受的人身傷害或損壞風險。

功能安全系統(tǒng)有兩個基本要求：

冗余提供了多種處理路徑，限制了任何一個錯誤都會破壞系統(tǒng)的風險

檢查器監(jiān)控系統(tǒng)并在需要時觸發(fā)錯誤響應和恢復功能

隨著 SoC 進入更小的工藝節(jié)點，它們變得更容易出錯。例如，輻射源、磁場和內(nèi)部磨損等現(xiàn)象都可能對高級節(jié)點 SoC 造成破壞。為了確保 SoC 在功能上是安全的，設計人員通常需要建立一個功能驗證環(huán)境，其中錯誤（故障）可以注入系統(tǒng)。冗余邏輯將對正確的數(shù)據(jù)進行投票，以消除錯誤并保持連續(xù)運行。檢查員將在指定時間段內(nèi)監(jiān)控錯誤數(shù)據(jù)并應用錯誤更正。

符合 ISO 26262 安全標準

ISO 26262 解決了安裝在量產(chǎn)乘用車中的電氣和電子系統(tǒng)的功能安全性。IEC 61508、ISO 26262 的改編會影響所有具有基于軟件或硬件的電氣、電子或機電組件的系統(tǒng)。該標準涵蓋了與安全相關(guān)的汽車軟件生產(chǎn)的許多方面，包括開發(fā)過程中使用的工具的認證。

遵守 ISO 26262 中概述的安全完整性級別涉及收集和分析大量數(shù)據(jù)。通過大量，我們正在談論汽車產(chǎn)品線的開發(fā)周期中可能需要數(shù)十人年。

面對競爭和上市時間的壓力，設計人員無法承擔花費數(shù)年時間來解決功能安全問題。然而，為了最終客戶，不能偷工減料。但是，有一些方法可以提高遵守功能安全標準的效率。

對故障進行分類以設置 ASIL

安全驗證過程涉及將故障分為安全、危險和危險檢測類別；將此分類編入安全計劃；并執(zhí)行驗證程序以確定未檢測到的危險故障與危險故障的比率。其結(jié)果設定了汽車安全完整性等級 （ASIL）。

在許多方面，功能安全驗證反映了功能驗證。通常，在功能驗證方法中，被測設計 （DUT） 被用作控制，同時應用了廣泛的激勵。在典型的安全驗證方法中，激勵被控制為幾個典型序列，同時對 DUT 施加廣泛的故障。

安全驗證的挑戰(zhàn)在于實際上不能更改 DUT 邏輯——更改此邏輯將使驗證實際設計中的故障的概念失效。這種更改還會使 ISO 26262 要求的對所用驗證工具的工具置信度 （TCL） 評估無效。鑒于這些情況，安全驗證必須共享測試平臺和 DUT 代碼，并且流程必須與功能驗證流程同時執(zhí)行。

故障檢測電路的監(jiān)控點集為安全驗證提供了起點。這些點在實際設計執(zhí)行期間被選通，因此必須在安全驗證中模擬相同的效果。在安全驗證期間，一小部分功能測試序列會刺激 DUT。一旦建立了這個環(huán)境，必須自動發(fā)現(xiàn)設計節(jié)點然后折疊以創(chuàng)建故障字典以進行安全驗證。

然后，安全驗證方法對故障字典進行迭代，注入永久性和單事件翻轉(zhuǎn) （SEU） 故障。通過這個過程，報告每個故障的檢測條件。報告為未檢測到或可能檢測到的故障需要額外調(diào)試才能進行分類，因為它們可能很危險。

在功能驗證流程中包括安全驗證

對于小型設計，可以使用測試平臺的采樣輸入運行安全驗證，然后手動分析結(jié)果。但是，對于更復雜的系統(tǒng)，將安全驗證集成為功能驗證流程的一部分是有意義的。通過這種方法，設計人員可以使用復雜的測試平臺來控制故障注入并支持調(diào)試過程。出于類似的原因，對兩個進程使用相同的模擬器也是有意義的。這樣做將消除由于使用修改后的 DUT 或不同的仿真引擎時出現(xiàn)的調(diào)試結(jié)果差異而導致的效率損失。

一個安全模擬過程可能涉及多達數(shù)十萬甚至數(shù)百萬的時間故障。這就是為什么通過度量驅(qū)動驗證建立的自動回歸驗證可以提高識別未檢測到和可能檢測到的故障模擬的效率，并自動從不安全故障中聚合安全故障。通過應用這種方法，安全驗證工作可以減少多達 50%。

基于 Cadence Incisive 功能驗證平臺的端到端功能安全解決方案可減少汽車 ISO 26262 合規(guī)性工作。它包括 Incisive 功能安全模擬器和 Incisive vManager 解決方案中的功能安全回歸功能。圖 1 顯示了 Incisive vManager 解決方案的屏幕截圖，它有助于突出顯示潛在的和未檢測到的故障運行以進行調(diào)試?？傮w而言，功能安全解決方案可自動進行 IP、SoC 和系統(tǒng)設計的故障注入和結(jié)果分析。對于安全需求跟蹤，它集成了永久和瞬態(tài)故障模擬。

圖 1：指標驅(qū)動的驗證可以提供全面的功能安全回歸分析。

Incisive 功能安全模擬器模擬未更改的 DUT。故障在仿真過程中被注入，并且可以通過 SystemC、模擬晶體管或行為模型和斷言傳播。工程師可以重用他們的功能和混合信號驗證環(huán)境，以加快開發(fā)安全驗證的時間。借助 Incisive vManager，其功能安全分析能力會自動從模擬器創(chuàng)建的故障字典中生成安全驗證回歸。然后，該解決方案可以跟蹤數(shù)以百萬計的已檢測到、可能檢測到和未檢測到的故障，這些故障被引入到仿真中，以驗證設計的安全系統(tǒng)。圖 2 顯示了基于 Incisive 環(huán)境的功能安全驗證流程。

圖 2：功能安全驗證流程。

創(chuàng)建更安全的汽車系統(tǒng)

確保汽車 SoC 在功能上安全還可以讓駕駛員和乘客對他們的車輛充滿信心。將安全驗證集成到功能驗證流程中可以是加快流程和管理符合 ISO 26262 等標準的工作的有效方法。使用功能驗證和故障模擬技術(shù)還可以最大限度地減少安全驗證工作。借助這些方法和技術(shù)，公司可以花費更多時間來創(chuàng)建安全且獨特的汽車設計。

審核編輯：郭婷