利用西門子EDA工具進行SafeSPI功能安全驗證

滿足汽車安全完整性等級（ASIL）C的要求是一項艱巨的任務，需要在設計中實現(xiàn)低容錯率。對SafeSPI進行功能安全驗證可以提升設計的“安全性”并符合基于ISO-26262的功能安全（FuSa）標準。為了實現(xiàn)ASIL C，功能安全驗證可以評估故障檢測和故障恢復能力，并幫助識別潛在的弱點，從而改進設計，增強其安全性和可靠性。本文概述了一種實現(xiàn)安全目標并為實現(xiàn)這些目標創(chuàng)造有利環(huán)境的系統(tǒng)性方法。文章詳盡列出了各種警報、故障及其相應類別，所有這些都以循序漸進的方式進行說明。

安全驗證閉環(huán)功能流程

圖1：安全驗證流程圖

利用西門子EDA Austemper Kaleidoscope工具進行安全驗證的流程包含多個階段，這些階段及其具體實施說明如下：

01.安 全 分 析

此階段對設計的安全要求進行分析。就SafeSPI而言，CRC模塊對于安全性至關重要。這些模塊的安全隱患可能是數(shù)據(jù)完整性未得到維護，其根本原因可能是環(huán)境參數(shù)。對此的安全指標應該是零容忍。因此，工具需要獨立于設計中的任何安全機制來計算設計的故障率（FIT）。該工具會通過模擬各種故障情況，評估診斷覆蓋率，并生成故障列表，來進行安全探索。

02.安 全 設 計

此階段需要設計安全機制，以降低安全分析中發(fā)現(xiàn)的安全風險。通過將安全機制整合到SafeSPI設計中，便可在諸如校驗和計算中檢測錯誤。校驗和計算的作用是檢測數(shù)據(jù)傳輸過程中的錯誤，而將安全機制應用于設計可以發(fā)現(xiàn)校驗和算法中的任何問題或弱點。在這一步，我們在輸出信號上設置了安全機制，并將其列在警報生成文件中。在驗證環(huán)節(jié)，這些安全機制會觸發(fā)不匹配的輸出。

03.安 全 驗 證

此階段需要驗證安全機制，并確保安全機制滿足設計的安全要求。在SafeSPI的安全驗證期間，故障通過故障仿真來傳播和評估。在注錯分析和仿真中應用安全機制并觀察警報檢測結果，可以改善數(shù)據(jù)完整性。要執(zhí)行這一步，用戶需要使用KaleidoScope。KaleidoScope 工具支持多種涉及注錯仿真流程的驗證方法論。它針對永久和瞬時注錯分析和仿真，提供高性能并發(fā)分布式注錯。在安全驗證中，我們將探索生成的輸出以故障列表的形式傳遞給安全驗證流程，以優(yōu)化和詳細分析設計的行為。

故障分析和驗證使用的技術

FMEA（故障模式和影響分析）和FMEDA（故障模式、影響和診斷分析）都是故障仿真和安全分析所使用的技術，旨在識別系統(tǒng)中的潛在故障模式并減輕其影響。FMEA的作用是采取措施消除或減少故障，從優(yōu)先級最高的故障開始。FMEDA用于預測設備的故障模式并計算各種故障率。

對于SafeSPI設計，安全驗證流程涉及在Austemper工具中實施這些階段，以驗證設計中的安全機制。這將包括分析設計的安全要求，設計安全機制以減輕安全威脅，以及使用注錯、仿真和硬件加速仿真技術驗證其有效性。該流程將確保SafeSPI設計滿足安全要求，并能夠在預期環(huán)境中安全運行。

SAFESPI框圖及應用

在汽車領域，SafeSPI框圖通常包括一個主設備，該主設備與多個從設備通信：車輛傳感器、飛機傳感器和PLC傳感器。

01.車 輛 傳 感 器

在車輛中，SafeSPI主設備可以是電子控制單元（ECU），它與各種傳感器和執(zhí)行器通信，例如發(fā)動機控制模塊、防抱死制動系統(tǒng)、安全氣囊控制模塊和其他安全關鍵型系統(tǒng)。

02.飛 機 傳 感 器

在飛機中，SafeSPI可用于實現(xiàn)駕駛艙與飛機中各種傳感器和執(zhí)行器之間的通信。其中的傳感器包括空速傳感器、高度傳感器、溫度傳感器和壓力傳感器等。

03.P L C

在工業(yè)應用中，SafeSPI可用于實現(xiàn)PLC與制造或工業(yè)流程中各種傳感器和執(zhí)行器之間的通信。其中的傳感器包括溫度傳感器、壓力傳感器、流量傳感器和液位傳感器等。

使用VISUALIZER DEBUGGER查看和分析SAFESPI設計的RTL和仿真結果

Visualizer工具支持以可視化方式查看和分析SafeSPI設計的RTL和仿真結果。設計的圖形表示應顯示各種模塊之間的連接以及輸入和輸出信號。

SafeSPI的UVM驗證平臺包括隨機約束、功能覆蓋率和斷言，以確保設計能夠正確運行。隨機約束用于生成DUT的隨機輸入激勵。將黃金參考輸出與SafeSPI設計的當前輸出進行比較。SafeSPI設計在驗證平臺驗證期間通過了所有測試用例。

仿真過程中使用Visualizer工具分析SafeSPI設計對各種輸入和測試用例的響應行為。

仿真結果如下圖所示：

圖3：RTL和仿真結果

SAFESPI設計的覆蓋率摘要

覆蓋率摘要報告顯示測試用例對設計的覆蓋程度。覆蓋率指標包括分支、條件、語句和翻轉。

下面逐一說明這些指標的含義：

圖4：SafeSPI覆蓋率摘要報告

01. 分 支

分支覆蓋率衡量代碼中已執(zhí)行決策點的百分比。SafeSPI設計中有442個決策點（分支），其中406個在測試期間得到執(zhí)行。因此，分支覆蓋率為91.85%。

02. 條 件

條件覆蓋率衡量測試期間驗證的布爾條件的百分比。SafeSPI設計中有166個布爾條件，其中148個得到驗證。條件覆蓋率為89.15%。

03. 表 達 式

表達式覆蓋率確定布爾表達式（如AND或 OR）的驗證百分比。SafeSPI設計中有42 個布爾表達式，其中36個得到驗證。表達式覆蓋率為85.71%。

04. 語 句

語句覆蓋率衡量測試期間執(zhí)行的代碼語句的百分比。SafeSPI設計中有736條語句，其中704條得到執(zhí)行。語句覆蓋率為95.65%。

05. 翻 轉

翻轉覆蓋率衡量測試期間驗證的翻轉信號的百分比。SafeSPI設計中有8068個信號轉換，其中6175個得到驗證。翻轉覆蓋率為76.53%。

總體而言，SafeSPI設計的總覆蓋率為上述覆蓋率指標的平均值，即87.78%。這意味著測試用例覆蓋了設計的87.78%，而12.22%沒有被覆蓋。此覆蓋率摘要報告有助于評估測試策略的有效性，以及發(fā)現(xiàn)可能需要進一步測試設計的哪些方面。

圖5：設計覆蓋率

SAFESPI的故障仿真安全機制

SafeSPI設計（由SafeSPI主模塊和SafeSPI從模塊組成）的安全機制包含用于故障仿真的警報生成模塊、 safespi_top_safe模塊和 safespi_top_unsafe模塊。在safespi_top_safe模塊中注錯以測試設計的容錯性，而safespi_top_unsafe模塊則代表SafeSPI主從模塊的標準設計。

01.警報清單聲明

我們使用警報生成模塊來模擬對SafeSPI設計的安全機制中的故障的反應。有六種不同警報應用于安全機制，分別稱為alarm1、 alarm2、alarm3、alarm4、alarm5和 alarm6。

圖6：警報清單

02.警報生成

在警報生成模塊中，通過將注錯的安全機制的輸出與SafeSPI設計的預期或參考輸出進行比較來生成警報。XOR運算比較安全機制的輸出與預期輸出。XOR（異或）是一種邏輯運算，僅當輸入不同時才輸出真值。

圖7：警報生成

03.FIT（FAILURE IN TIME）計算

“FIT Compute”命令中使用的開關如下所示：

圖8：安全分析

這些命令用于Austemper工具的SafeSPI安全分析流程中。它通過運行帶有多個開關和參數(shù)的SafetyScope工具來執(zhí)行安全分析。

我們根據(jù)輸入?yún)?shù)對設計執(zhí)行了安全分析技術。安全分析的輸出是安全指標，包括故障率和診斷覆蓋率。這些指標用于評估設計的安全性和確定需要解決的潛在安全問題。

04.診斷覆蓋率

對SafeSPI設計執(zhí)行分析計算后，工具報告了如下診斷覆蓋率。

圖9：診斷覆蓋率報告

在安全探索中使用重復方法來達成ASIL目標

SafeSPI的驗證分析中，對設計的多個實例使用不同的分析與仿真設置，以模擬和測試設計對故障的韌性。在本例中，我們創(chuàng)建了針對設計的九個實例需要的分析與仿真設置，如圖10所示。

圖10：端點安全機制

01.安全驗證故障列表生成

故障列表生成命令使用的開關如下所示：

圖11：故障列表生成

就SafeSPI設計而言，故障列表生成步驟是指生成設計中可能發(fā)生的潛在故障的列表的過程。這些故障被注入到設計的SM（安全機制）中，以模擬系統(tǒng)中潛在的錯誤或故障，然后就可以進行故障仿真和分析。

生成的故障專門針對負責警報檢測的SM。這意味著故障被注入到SM中以模擬可能觸發(fā)SafeSPI設計中警報條件的潛在錯誤。

02.注錯分析和仿真

注錯分析和仿真流程將分析這些故障對 SafeSPI設計的影響。采用SafetyScope和 故障仿真工具來評估影響，并對結果進行分析，以評估SafeSPI設計中故障檢測和糾正機制的有效性。

“Fault Campaign”命令使用以下開關：

圖12：Fault Campaign

03.故障仿真摘要報告

故障仿真報告列出故障分類并評估其對SafeSPI設計的影響。

圖13：故障摘要

圖14：故障摘要

圖15：觸發(fā)的警報清單

SafeSPI設計已通過Austemper Kaleidoscope工具成功進行故障仿真驗證。FIT率、診斷覆蓋率和FMEDA目標均已實現(xiàn)， 表明SafeSPI設計已經(jīng)達到可靠性要求，并且符合相關安全標準。這是對SafeSPI設計的重要驗證，讓人們相信它能夠在目標應用中安全可靠地運行。