提高汽車以太網(wǎng)應(yīng)用的安全性

本文介紹了一種新的方法，通過將FMEDA等分析方法與基于仿真的方法相結(jié)合，從而顯著減少安全驗證工作，并實現(xiàn)更快的產(chǎn)品認證。自動化故障注入是一種成熟的測試方法，用于驗證安全機制的正確實施，并對FIT率進行更真實的估計。

汽車行業(yè)正在全力開發(fā)自動駕駛汽車，并牢記兩個主要目標：

·實現(xiàn)全自動駕駛（完全無人駕駛）

·減少交通事故，讓汽車更安全

高級駕駛輔助系統(tǒng)(ADAS)利用攝像頭、激光雷達、毫米波雷達和超聲波等各種傳感器，來全面感知汽車周圍的環(huán)境。這些傳感器生成大量實時數(shù)據(jù)?；诟咚?a href="http://www.wenjunhu.com/v/tag/1301/" target="_blank">通信的汽車以太網(wǎng)提供了進一步在車內(nèi)分發(fā)數(shù)據(jù)的帶寬。

除了傳感器之外，還需要高清數(shù)字地圖、高精度定位、基于云的服務(wù)，以及車對車和車對基礎(chǔ)設(shè)施（V2X）通信，以確保自動駕駛汽車的魯棒性、可靠性和安全性。因此，汽車的電子的技術(shù)范圍迅速增加，比如依靠新型高性能SoC處理所有傳感器數(shù)據(jù)，以實時控制車輛。

這些對安全至關(guān)重要的SoC需要專門的功能安全驗證流程，然后才能用于汽車。ISO 26262是公認的標準，用于確保汽車系統(tǒng)的功能安全。ISO 26262標準第2版（2018年發(fā)布）的擴展部分專門對半導(dǎo)體相關(guān)的失效分析提出了要求。

提高汽車以太網(wǎng)應(yīng)用的安全性

汽車行業(yè)的發(fā)展趨勢正趨向基于開放IEEE標準的車載（IVN）以太網(wǎng)。在開放聯(lián)盟SIG的推動下，這些標準有利于開發(fā)更簡單，但更強大的汽車電氣/電子架構(gòu)。音頻/視頻橋接(AVB)和時間敏感網(wǎng)絡(luò)(TSN)是實現(xiàn)汽車以太網(wǎng)的關(guān)鍵標準。

AVB通過IEEE 802網(wǎng)絡(luò)啟用時間同步的流媒體服務(wù)。然而，為了滿足關(guān)鍵任務(wù)控制功能（例如基于攝像頭的駕駛輔助系統(tǒng)和緊急制動）的安全要求，業(yè)界正在開發(fā)一套新的開放標準（統(tǒng)稱為TSN）。TSN能夠?qū)崟r實現(xiàn)穩(wěn)健、低延遲、確定性和同步的數(shù)據(jù)包傳輸，是AVB標準的一個超級集合。它支持安全相關(guān)機制，包括：

·幀搶占(IEEE 802.3br)以優(yōu)先考慮不同的數(shù)據(jù)類別

·幀復(fù)制和消除，以支持可靠通信的冗余路徑（IEEE 802.1CB）

·發(fā)送/接收數(shù)據(jù)包驗證/確認，以確認成功接收數(shù)據(jù)

·監(jiān)管和過濾（IEEE 802.1Qci），以檢測和緩解網(wǎng)絡(luò)中其他系統(tǒng)的破壞性傳輸（例如，防止“胡說八道”故障），從而提高網(wǎng)絡(luò)的穩(wěn)健性

·主時鐘冗余和故障檢測，支持實時時鐘（IEEE 802.1AS-Rev）

在以下示例中，我們將重點關(guān)注車內(nèi)的高速通信，并分析以太網(wǎng)MAC（媒體訪問控制器）的安全相關(guān)功能對FIT的影響，從而對以太網(wǎng)通信可實現(xiàn)的總體ASIL（汽車安全完整性等級）的影響。

圖1：安全機制有助于提高以太網(wǎng)MAC的穩(wěn)健性

結(jié)合安全分析和安全驗證

由于所有安全關(guān)鍵子系統(tǒng)都影響汽車的整體安全，因此全面的安全架構(gòu)是實現(xiàn)所需安全目標的關(guān)鍵。SoC的安全功能是整個安全系統(tǒng)的關(guān)鍵部分。因此，很重要的一點是，可以在SoC級別利用IP模塊的安全特性減少整體工作量。在設(shè)計IP的安全特性時，應(yīng)牢記這種重復(fù)使用。

安全機制的主要目標是檢測故障并啟動適當(dāng)?shù)拇胧?，例如使系統(tǒng)處于安全模式（失效安全），甚至糾正故障以繼續(xù)正常運行（失效運行）。

有多種方法可用于評估系統(tǒng)的整體安全水平。失效模式影響分析(FMEA)的主要目標是，確定組件失效對系統(tǒng)可靠性或安全性的影響。此外，F(xiàn)MEDA分析根據(jù)IEC 61508和ISO 26262標準的要求，確定系統(tǒng)的安全失效占比(SFF)和診斷覆蓋率(DC)。

需要輸入組件的已知失效模式和相關(guān)失效率（FIT）數(shù)據(jù)來分析，并在必要時優(yōu)化系統(tǒng)的整體安全等級。由于FMEA是一種自下而上的方法，因此分析的準確性在很大程度上取決于最低級別的FIT率的準確性。然而，由于這種方法依賴于標準器件普遍可用的FIT率，不適用于特定應(yīng)用的SoC，因為FIT率通常不適用于設(shè)計IP。

因此，僅通過查看設(shè)計的結(jié)構(gòu)，F(xiàn)IT率計算往往是估計值，并且本質(zhì)上是靜態(tài)的。因此，這些FIT率估計往往非常悲觀，這可能導(dǎo)致設(shè)計的安全組件的過度設(shè)計。更好的方法是只考慮實際的失效模式，即查看與每個應(yīng)用程序關(guān)聯(lián)的相關(guān)安全機制。

從FMEA計劃開始，安全工程師通常會估算芯片所有組件(IP)的FIT率。有針對性的故障注入，使他們能夠模擬對系統(tǒng)行為的影響并對故障進行分類。與靜態(tài)方法（例如基于目錄的方法）相比，使用故障注入的故障分類提供了更真實的FIT率估計。

故障可分為三類：

·不會傳播到系統(tǒng)中且對系統(tǒng)的正確運行沒有負面影響的故障

·檢測到的導(dǎo)致系統(tǒng)危險失效的故障

·未檢測到的導(dǎo)致系統(tǒng)危險失效的故障

觀察點的故障分類可以計算系統(tǒng)的安全故障占比(SFF)和診斷覆蓋率(DC)。92%的SFF值等價于10E-4到10E-3之間的失效概率(PFD)。對應(yīng)于安全完整性等級（SIL）為3，換算成每小時失效率（PFH）為10E-8至10E-7之間，F(xiàn)IT率<100，至少對應(yīng)于ASIL-C。如計算所示（圖2），通過更好地識別未檢測到的危險故障，可以顯著提高系統(tǒng)的安全等級。

圖2：使用故障注入驗證SoC安全架構(gòu)

確保以太網(wǎng)IP中的功能安全

通常以太網(wǎng)MAC IP中添加了多種安全機制，以使其對汽車SoC（例如ADAS應(yīng)用）具有功能安全性（圖1）。此外，需要一種定義明確的方法，比如基于高度集成的驗證工具實現(xiàn)對復(fù)雜SoC的所有安全機制的自動化安全驗證。

安全驗證和功能驗證需要齊頭并進。功能驗證期間生成的仿真結(jié)果也可以重新用于安全驗證：

·FMEDA和故障樹分析(FTA)等標準技術(shù)用于創(chuàng)建結(jié)構(gòu)化的安全計劃，記錄設(shè)計的所有安全機制——無論是作為上下文中的安全元素，還是作為上下文之外的安全元素。

·失效模式應(yīng)與設(shè)計元素相關(guān)聯(lián)，以計算準確的FIT率分布。對于具有動態(tài)行為的安全元素，基于目錄的FIT率不夠準確。而將失效模式與設(shè)計聯(lián)系起來，使其更加準確。

·故障注入活動應(yīng)與FMEDA報告相關(guān)聯(lián)。與進行盲目的故障分析活動相比，這使得故障分析活動更加現(xiàn)實。

·中央故障數(shù)據(jù)庫是必不可少的——由于解決方案將使用多個引擎，所有引擎必須能夠相互通信并共享數(shù)據(jù)，這意味著要有一個可擴展、可搜索的中央數(shù)據(jù)庫。

故障注入是一個計算密集型的過程。有許多不同類型的執(zhí)行引擎可用于故障注入：

·基于軟件的仿真引擎（如Cadence Incisive功能安全模擬器）

·硬件輔助引擎（Cadence Palladium平臺）

·形式化方法論（Cadence JasperGold平臺）

我們需要使用所有可用的引擎來獲得故障注入的最佳吞吐量?；诜抡娴囊婵捎糜诙唐跍y試、完全回歸以及需要詳細調(diào)試的場景。硬件輔助引擎可用于完整SoC的長延遲測試和基于軟件的測試。通過進行形式化的邏輯和等價性分析，可以使用形式化引擎形式化地減少故障注入空間。

上述所有技術(shù)的巧妙組合，對于有效的功能安全驗證非常重要。因此，對于以太網(wǎng)MAC，功能驗證首先在安全功能關(guān)閉的情況下完成，這為功能提供了基線指標。然后，打開安全功能以評估設(shè)計在功能安全模式下的行為。這也使我們能夠衡量單點失效率和診斷覆蓋率等指標，并確保它們符合我們的資格要求。

測量上述指標的最有效方法，是在定義的故障注入點使用故障注入——無論是永久性故障還是瞬態(tài)故障（圖3）。FMEDA結(jié)果可用于識別要注入的最佳故障集。故障觀察點在安全機制之前和之后設(shè)置，可連接回FMEDA中的失效模式。通過比較有故障注入和無故障注入的仿真結(jié)果來檢測故障。值的任何不匹配（包括這些值出現(xiàn)的時間）都會檢測到故障。只有通過系統(tǒng)傳播到觀察點的注入故障才能被后續(xù)的安全機制識別，并通過糾錯碼(ECC)進行修復(fù)。

圖3：結(jié)合安全分析和安全驗證

上述功能安全解決方案和方法是一種結(jié)構(gòu)化和可擴展的方法，這意味著創(chuàng)建的FMEDA和測量的指標可以反饋到使用此IP的更大SoC中。這個過程允許用戶在SoC級別重復(fù)使用已經(jīng)在IP級別完成的工作，并在SoC級別實現(xiàn)更高的質(zhì)量。

對于以太網(wǎng)MAC IP，我們的安全目標是ASIL-B。這一目標是通過添加適當(dāng)?shù)陌踩珯C制來實現(xiàn)的，如圖1所示。IP的未來版本將針對更高級別的ASIL認證。

總結(jié)

對于采用以太網(wǎng)的安全通信的復(fù)雜汽車SoC，需要適當(dāng)?shù)腎P，包括安全機制和協(xié)議支持。此外，安全驗證需要可擴展的方法。將分析方法與基于仿真的方法相結(jié)合的綜合方法，有助于顯著減少安全驗證工作，并實現(xiàn)更快的ISO26262產(chǎn)品認證。

自動化故障注入是一種適用的測試方法，用于驗證安全機制的實施，并為FMEDA分析提供準確的FIT率估計。這清楚地說明了為什么支持TSN等協(xié)議標準，以及用于故障識別的綜合安全機制對于汽車設(shè)計很重要。

審核編輯：劉清