汽車(chē)芯片如何高效符合ISO 26262功能安全標(biāo)準(zhǔn)

汽車(chē)芯片和集成電路（IC）是高級(jí)駕駛員輔助系統(tǒng)（advanced driver assistance systems-ADAS）和聯(lián)網(wǎng)自動(dòng)駕駛汽車(chē)（connected autonomous vehicles-CAV）的基礎(chǔ)。盡管IC已經(jīng)變的非常可靠和耐用，但依然會(huì)發(fā)生故障。例如物理現(xiàn)象（如電遷移）可以引起開(kāi)路和短路，從而對(duì)IC造成永久損害。宇宙輻射中的阿爾法粒子會(huì)撞擊集成電路并破壞存儲(chǔ)器的內(nèi)容。最終，這些事件可能導(dǎo)致故障，甚至可能導(dǎo)致人命喪失。豐田意外加速事件就是電子設(shè)備故障如何導(dǎo)致車(chē)禍的一個(gè)不幸地證明。一項(xiàng)備受矚目的研究得出的結(jié)論是，受影響的豐田車(chē)型，其中一個(gè)關(guān)鍵問(wèn)題與IC存儲(chǔ)器中的糾錯(cuò)功能發(fā)生故障（或缺少該功能）有關(guān)聯(lián)。此外，該研究估計(jì)，對(duì)于大量的汽車(chē)，危險(xiǎn)故障幾乎每天都會(huì)發(fā)生。

與豐田案中涉及的芯片相比，今天的集成電路要復(fù)雜幾個(gè)數(shù)量級(jí)。即使是中端車(chē)輛，其功能也遠(yuǎn)遠(yuǎn)超出自動(dòng)加速和制動(dòng)，還包括自動(dòng)轉(zhuǎn)向（主動(dòng)車(chē)道保持輔助系統(tǒng)）。晶體管尺寸的縮小和降低功耗的需求意味著破壞集成電路狀態(tài)所需的能量更少，使其更加脆弱。

為了防止或控制故障，現(xiàn)代汽車(chē)IC包括各種附加功能，稱(chēng)為安全機(jī)制（safety mechanisms-SM）。專(zhuān)門(mén)用于內(nèi)存保護(hù)，并且被廣泛使用的SM包括提供單錯(cuò)誤糾正和雙錯(cuò)誤檢測(cè)（single-error correction and double-error detection-SECDED）甚至雙錯(cuò)誤糾正和三重錯(cuò)誤檢測(cè)（double-error correction and triple-error detection-DECTED）的錯(cuò)誤糾正代碼（error-correcting code-ECC）模塊。

測(cè)量芯片安全

ISO 26262是道路車(chē)輛電子系統(tǒng)的功能安全標(biāo)準(zhǔn)，它定義了四個(gè)汽車(chē)安全完整性等級(jí)（ASIL-A，ASIL-B，ASIL-C和ASIL-D）的關(guān)鍵指標(biāo)和目標(biāo)。與控制轉(zhuǎn)向系統(tǒng)的IC（可能為ASIL-D）相比，控制尾燈的IC所要求的完整性等級(jí)（例如ASIL-A）更為寬松。根據(jù)要求的ASIL，開(kāi)發(fā)汽車(chē)電子產(chǎn)品的工程師必須實(shí)施SM并提供證據(jù)。

故障模式、效果和診斷分析（FMEDA）是一個(gè)已建立的、系統(tǒng)的過(guò)程，用于對(duì)IC的故障模式和診斷能力進(jìn)行定量分析（見(jiàn)下圖）。即使對(duì)于ASIL-B目標(biāo)，這也是一項(xiàng)耗時(shí)且昂貴的任務(wù)。FMEDA過(guò)程包括三個(gè)關(guān)鍵步驟：（1）驗(yàn)證IC安全體系結(jié)構(gòu)以及根據(jù)故障模式對(duì)硬件功能和故障進(jìn)行劃分；（2）確定診斷范圍，以衡量安全機(jī)制防止違反安全目標(biāo)的能力；（3）計(jì)算ISO 26262硬件安全指標(biāo)。

ISO 26262的關(guān)鍵安全指標(biāo)是單點(diǎn)故障指標(biāo)（single-point fault metric-SPFM），潛在故障指標(biāo)（latent fault metric-LFM）和隨機(jī)硬件故障的概率指標(biāo)（probabilistic metric for random hardware failure-PMHF），單點(diǎn)故障或殘留故障會(huì)導(dǎo)致違反安全目標(biāo)。SM旨在減少殘留故障的數(shù)量，從而實(shí)現(xiàn)目標(biāo)SPFM。另一方面，潛在故障本身不會(huì)導(dǎo)致違反安全目標(biāo)，但是如果發(fā)生第二個(gè)故障，則可能會(huì)違反安全目標(biāo)。潛在故障也稱(chēng)為多點(diǎn)故障（二級(jí)）。例如，一個(gè)影響SM的故障可能是潛在的，并會(huì)損害其功能。一個(gè)可能發(fā)生在很久以后的二次故障（理應(yīng)被SM檢測(cè)并指示出來(lái)），可能會(huì)被漏掉并導(dǎo)致危險(xiǎn)的IC故障。

還值得注意的是，SM中的故障也可能殘留。這是一種不幸的情況，其中保護(hù)功能的故障可能導(dǎo)致IC故障。盡管此類(lèi)故障應(yīng)按比例減少（否則，SM會(huì)使安全指標(biāo)惡化而不是改善安全指標(biāo)），但只有全面的分析才能確認(rèn)這一點(diǎn)。

次優(yōu)的FMEDA流程依賴(lài)于容易出錯(cuò)且費(fèi)力的安全架構(gòu)。此外，驗(yàn)證和安全工程師經(jīng)常使用大量的故障模擬來(lái)確定安全指標(biāo)。故障模擬具有三個(gè)關(guān)鍵缺陷：（1）它只能提供依賴(lài)于激勵(lì)的指標(biāo)，從而影響對(duì)結(jié)果有效性的信心，尤其是對(duì)于脫離環(huán)境的安全元素（safety elements out of context-SEooC）；（2）需要大量的計(jì)算資源；（3）建立，分析結(jié)果并提高刺激質(zhì)量需要大量的工程工作。另一方面，基于形式化方法的故障分類(lèi)更為嚴(yán)格，不需要激勵(lì)，但可能會(huì)導(dǎo)致復(fù)雜性問(wèn)題，從而限制了其適用性。

FMEDA過(guò)程的三個(gè)關(guān)鍵步驟：(1)安全架構(gòu)分析；(2)確定診斷范圍；(3)計(jì)算ISO26262安全指標(biāo)。

安全意識(shí)的硬件分區(qū)

安全分析步驟使用了安全感知的硬件分區(qū)過(guò)程，通過(guò)故障貢獻(xiàn)分析(Fault Contribution Analysis-FCA)的應(yīng)用實(shí)現(xiàn)自動(dòng)化。失效模式與由關(guān)鍵設(shè)計(jì)信號(hào)界定的設(shè)計(jì)子部分相關(guān)，這些設(shè)計(jì)信號(hào)包括預(yù)期功能的受保護(hù)輸出以及SM的診斷輸出。每個(gè)SM子部件可以分為兩類(lèi)：（1）如果其故障可以傳播到預(yù)期功能的輸出（觀察點(diǎn)），則處于活動(dòng)狀態(tài)；（2）如果其故障只能傳播到SM的診斷輸出（診斷點(diǎn)），則為被動(dòng)。子部件被處理以生成故障列表和屬性（例如，估算硅面積），可用于故障分析和其他后續(xù)步驟。值得注意的是，安全分析步驟可擴(kuò)展到大型復(fù)雜的設(shè)備，從而避免了故障仿真和標(biāo)準(zhǔn)形式技術(shù)的缺點(diǎn)。

硬件分區(qū)步驟的結(jié)果立即提供了保守估計(jì)的安全指標(biāo)。如果估計(jì)結(jié)果未達(dá)到目標(biāo)ASIL，則故障模擬或基于形式的故障分析只能用于特定的子部分。故障傳播分析（Fault Propagation Analysis-FPA）應(yīng)用程序和故障檢測(cè)分析（Fault Detection Analysis-FDA）應(yīng)用程序可自動(dòng)執(zhí)行此附加故障分析步驟，這實(shí)際上有效地減少了估計(jì)指標(biāo)的悲觀預(yù)期，從而改善了結(jié)果。FPA應(yīng)用程序會(huì)識(shí)別安全故障，這些故障不會(huì)導(dǎo)致違反安全目標(biāo)，因?yàn)樗鼈儾粫?huì)傳播到安全關(guān)鍵輸出。FDA應(yīng)用程序可以識(shí)別故障，這些故障將始終由SM檢測(cè)和指示。

        最后，每個(gè)子部分的故障分析結(jié)果可以組合起來(lái)，以得出整個(gè)SoC的安全指標(biāo)。此步驟也可以通過(guò)硬件度量計(jì)算（Hardware Metrics Computation-HMC）應(yīng)用程序自動(dòng)執(zhí)行。

結(jié)論

滿(mǎn)足ISO 26262的要求具有一定的挑戰(zhàn)性。根據(jù)目標(biāo)ASIL，提供SPFM和LFM達(dá)到足夠高值的證明，可能需要準(zhǔn)確識(shí)別殘留故障和潛在故障。在SM中潛在的殘留故障和潛在故障需要詳細(xì)分析。對(duì)于具有多個(gè)SM的大型SoC來(lái)講，硬件安全指標(biāo)的計(jì)算通常依賴(lài)于專(zhuān)家的手動(dòng)分析和故障仿真。手動(dòng)分析需要大量的工作且容易出錯(cuò)。故障仿真需要大量的計(jì)算資源，以及大量的工程工作來(lái)開(kāi)發(fā)一個(gè)測(cè)試平臺(tái)并證明合適的工作負(fù)載。

OneSpin的研究介紹了一種可替代的、可擴(kuò)展的硬件安全指標(biāo)計(jì)算方法。大型SOC可以使用安全意識(shí)分區(qū)工具分解為部件和子部件，這些工具需要最少的用戶(hù)輸入。可以快速估計(jì)各子部件的故障分類(lèi)結(jié)果。如果保守估計(jì)未達(dá)到目標(biāo)，則可以有選擇地部署準(zhǔn)確的故障分類(lèi)。這可能包括識(shí)別具有或不具有糾錯(cuò)功能的SM中的安全，殘留和潛在故障。通過(guò)使用基于形式的技術(shù)，可以在不需要測(cè)試平臺(tái)或故障仿真的情況下，執(zhí)行自動(dòng)的、嚴(yán)格的故障分類(lèi)。

       當(dāng)前，提供汽車(chē)SoC和半導(dǎo)體IP的大型組織經(jīng)常依靠?jī)?nèi)部工具來(lái)改善其IC開(kāi)發(fā)流程。小型和初創(chuàng)企業(yè)在安全合規(guī)性方面苦苦掙扎，因?yàn)樗麄冃枰獙⑼顿Y重點(diǎn)放在其獨(dú)特的功能上，并且可能會(huì)很難雇用安全專(zhuān)家。汽車(chē)行業(yè)需要成熟且易于使用的電子設(shè)計(jì)自動(dòng)化（electronic design automation-EDA）解決方案，這些解決方案需要是在多家公司和IC項(xiàng)目中實(shí)踐的最佳結(jié)果，從而降低安全合規(guī)成本和專(zhuān)家需求。OneSpin的解決方案解決了這些挑戰(zhàn)。

更多信息訪(fǎng)問(wèn)：http://www.softtest.cn/show/55.html