汽車芯片如何高效符合ISO 26262功能安全標準

        汽車芯片和集成電路（IC）是高級駕駛員輔助系統(tǒng)（advanced driver assistance systems-ADAS）和聯(lián)網(wǎng)自動駕駛汽車（connected autonomous vehicles-CAV）的基礎(chǔ)。盡管IC已經(jīng)變的非常可靠和耐用，但依然會發(fā)生故障。例如物理現(xiàn)象（如電遷移）可以引起開路和短路，從而對IC造成永久損害。宇宙輻射中的阿爾法粒子會撞擊集成電路并破壞存儲器的內(nèi)容。最終，這些事件可能導致故障，甚至可能導致人命喪失。豐田意外加速事件就是電子設(shè)備故障如何導致車禍的一個不幸地證明。一項備受矚目的研究得出的結(jié)論是，受影響的豐田車型，其中一個關(guān)鍵問題與IC存儲器中的糾錯功能發(fā)生故障（或缺少該功能）有關(guān)聯(lián)。此外，該研究估計，對于大量的汽車，危險故障幾乎每天都會發(fā)生。

       與豐田案中涉及的芯片相比，今天的集成電路要復雜幾個數(shù)量級。即使是中端車輛，其功能也遠遠超出自動加速和制動，還包括自動轉(zhuǎn)向（主動車道保持輔助系統(tǒng)）。晶體管尺寸的縮小和降低功耗的需求意味著破壞集成電路狀態(tài)所需的能量更少，使其更加脆弱。

       為了防止或控制故障，現(xiàn)代汽車IC包括各種附加功能，稱為安全機制（safety mechanisms-SM）。專門用于內(nèi)存保護，并且被廣泛使用的SM包括提供單錯誤糾正和雙錯誤檢測（single-error correction and double-error detection-SECDED）甚至雙錯誤糾正和三重錯誤檢測（double-error correction and triple-error detection-DECTED）的錯誤糾正代碼（error-correcting code-ECC）模塊。

測量芯片安全

       ISO 26262是道路車輛電子系統(tǒng)的功能安全標準，它定義了四個汽車安全完整性等級（ASIL-A，ASIL-B，ASIL-C和ASIL-D）的關(guān)鍵指標和目標。與控制轉(zhuǎn)向系統(tǒng)的IC（可能為ASIL-D）相比，控制尾燈的IC所要求的完整性等級（例如ASIL-A）更為寬松。根據(jù)要求的ASIL，開發(fā)汽車電子產(chǎn)品的工程師必須實施SM并提供證據(jù)。

       故障模式、效果和診斷分析（FMEDA）是一個已建立的、系統(tǒng)的過程，用于對IC的故障模式和診斷能力進行定量分析（見下圖）。即使對于ASIL-B目標，這也是一項耗時且昂貴的任務(wù)。FMEDA過程包括三個關(guān)鍵步驟：（1）驗證IC安全體系結(jié)構(gòu)以及根據(jù)故障模式對硬件功能和故障進行劃分；（2）確定診斷范圍，以衡量安全機制防止違反安全目標的能力；（3）計算ISO 26262硬件安全指標。

       ISO 26262的關(guān)鍵安全指標是單點故障指標（single-point fault metric-SPFM），潛在故障指標（latent fault metric-LFM）和隨機硬件故障的概率指標（probabilistic metric for random hardware failure-PMHF），單點故障或殘留故障會導致違反安全目標。SM旨在減少殘留故障的數(shù)量，從而實現(xiàn)目標SPFM。另一方面，潛在故障本身不會導致違反安全目標，但是如果發(fā)生第二個故障，則可能會違反安全目標。潛在故障也稱為多點故障（二級）。例如，一個影響SM的故障可能是潛在的，并會損害其功能。一個可能發(fā)生在很久以后的二次故障（理應被SM檢測并指示出來），可能會被漏掉并導致危險的IC故障。

       還值得注意的是，SM中的故障也可能殘留。這是一種不幸的情況，其中保護功能的故障可能導致IC故障。盡管此類故障應按比例減少（否則，SM會使安全指標惡化而不是改善安全指標），但只有全面的分析才能確認這一點。

       次優(yōu)的FMEDA流程依賴于容易出錯且費力的安全架構(gòu)。此外，驗證和安全工程師經(jīng)常使用大量的故障模擬來確定安全指標。故障模擬具有三個關(guān)鍵缺陷：（1）它只能提供依賴于激勵的指標，從而影響對結(jié)果有效性的信心，尤其是對于脫離環(huán)境的安全元素（safety elements out of context-SEooC）；（2）需要大量的計算資源；（3）建立，分析結(jié)果并提高刺激質(zhì)量需要大量的工程工作。另一方面，基于形式化方法的故障分類更為嚴格，不需要激勵，但可能會導致復雜性問題，從而限制了其適用性。

FMEDA過程的三個關(guān)鍵步驟：(1)安全架構(gòu)分析；(2)確定診斷范圍；(3)計算ISO26262安全指標。

安全意識的硬件分區(qū)

       安全分析步驟使用了安全感知的硬件分區(qū)過程，通過故障貢獻分析(Fault Contribution Analysis-FCA)的應用實現(xiàn)自動化。失效模式與由關(guān)鍵設(shè)計信號界定的設(shè)計子部分相關(guān)，這些設(shè)計信號包括預期功能的受保護輸出以及SM的診斷輸出。每個SM子部件可以分為兩類：（1）如果其故障可以傳播到預期功能的輸出（觀察點），則處于活動狀態(tài)；（2）如果其故障只能傳播到SM的診斷輸出（診斷點），則為被動。子部件被處理以生成故障列表和屬性（例如，估算硅面積），可用于故障分析和其他后續(xù)步驟。值得注意的是，安全分析步驟可擴展到大型復雜的設(shè)備，從而避免了故障仿真和標準形式技術(shù)的缺點。

       硬件分區(qū)步驟的結(jié)果立即提供了保守估計的安全指標。如果估計結(jié)果未達到目標ASIL，則故障模擬或基于形式的故障分析只能用于特定的子部分。故障傳播分析（Fault Propagation Analysis-FPA）應用程序和故障檢測分析（Fault Detection Analysis-FDA）應用程序可自動執(zhí)行此附加故障分析步驟，這實際上有效地減少了估計指標的悲觀預期，從而改善了結(jié)果。FPA應用程序會識別安全故障，這些故障不會導致違反安全目標，因為它們不會傳播到安全關(guān)鍵輸出。FDA應用程序可以識別故障，這些故障將始終由SM檢測和指示。

       最后，每個子部分的故障分析結(jié)果可以組合起來，以得出整個SoC的安全指標。此步驟也可以通過硬件度量計算（Hardware Metrics Computation-HMC）應用程序自動執(zhí)行。

結(jié)論

       滿足ISO 26262的要求具有一定的挑戰(zhàn)性。根據(jù)目標ASIL，提供SPFM和LFM達到足夠高值的證明，可能需要準確識別殘留故障和潛在故障。在SM中潛在的殘留故障和潛在故障需要詳細分析。對于具有多個SM的大型SoC來講，硬件安全指標的計算通常依賴于專家的手動分析和故障仿真。手動分析需要大量的工作且容易出錯。故障仿真需要大量的計算資源，以及大量的工程工作來開發(fā)一個測試平臺并證明合適的工作負載。

       OneSpin的研究介紹了一種可替代的、可擴展的硬件安全指標計算方法。大型SOC可以使用安全意識分區(qū)工具分解為部件和子部件，這些工具需要最少的用戶輸入。可以快速估計各子部件的故障分類結(jié)果。如果保守估計未達到目標，則可以有選擇地部署準確的故障分類。這可能包括識別具有或不具有糾錯功能的SM中的安全，殘留和潛在故障。通過使用基于形式的技術(shù)，可以在不需要測試平臺或故障仿真的情況下，執(zhí)行自動的、嚴格的故障分類。

       當前，提供汽車SoC和半導體IP的大型組織經(jīng)常依靠內(nèi)部工具來改善其IC開發(fā)流程。小型和初創(chuàng)企業(yè)在安全合規(guī)性方面苦苦掙扎，因為他們需要將投資重點放在其獨特的功能上，并且可能會很難雇用安全專家。汽車行業(yè)需要成熟且易于使用的電子設(shè)計自動化（electronic design automation-EDA）解決方案，這些解決方案需要是在多家公司和IC項目中實踐的最佳結(jié)果，從而降低安全合規(guī)成本和專家需求。OneSpin的解決方案解決了這些挑戰(zhàn)。

-版權(quán)所有，抄襲必究-

更多信息：http://www.softtest.cn/