汽车半导体安全验证的方法

由亚历山德拉Nardi (Synopsys对此),张志贤Cupaiuolo (Synopsys对此),和刘Min (SGS-TUV萨尔州)

功能安全一直是长期以来要求许多电子产品应用程序,包括植入医疗器械,太空系统和核电站。的广泛使用先进的驾驶员辅助系统(ADAS)和无人驾驶车辆的出现增加了汽车芯片关键安全设计的列表。功能安全要求在整个供应链,从半导体设计公司和电子设计自动化(EDA)工具提供商汽车制造商。

功能安全工程师参与复杂的半导体的分析的任务是确定成千上万的模式的设计可能会失败,也称为失效模式(FMs),这可能是导致此类故障。确保有效和高效的手动功能安全分析复杂的设计非常耗时。传统方法时使用电子表格可能会容易出错和非生产性旨在满足相关标准的要求。

汽车应用程序必须遵守两个安全标准:IEC 61508,为广大电子市场,和ISO 26262电气和/或电子系统安装在公路车辆。标准化系统生命周期提出了ISO 26262要求大量的实现流程和方法来实现系统安全功能的目标。这个过程建议使用最先进的需求工程和认证的EDA技术,建筑造型,验证和实现。

芯片系统(SoC)汽车设计针对ISO 26262认证,认证功能安全评估员必须参与安全规划阶段。功能安全评估员提供指导整体安全方法采用失效模式影响和诊断分析(FMEDA)分析和工具在开发周期中使用。至少,先进FMEDA分析工具应该能够:

• 安全认证方法利用工具来提供可伸缩性SoC水平
• 同时来自工程师实现类似的目标安全目标在一个常见的数据库在芯片开发周期
• 的能力逐步跟踪FMEDA整个设计流程
• 进口项目的安全要求和需求管理工具

内这些过程的关键作用的功能安全生命周期定义安全分析目标之后,验证系统的体系结构。开发人员必须提供证据表明,设计执行安全功能按照目标ASIL(汽车安全完整性级别)。此外,系统的安全分析必须调查可能的原因和随机硬件故障以及这些失败的影响功能。

至关重要验证检测随机故障的安全机制,目的是当他们是发生在硬件生命周期,实现一个安全状态时发生错误。这包括计算诊断覆盖率(DC)。关键硬件体系结构度量SPFM(单点故障指标)和线性调频(潜在故障度量)。这些定性确定失效模式和影响分析(FMEA)和设计FMEA (D-FMEA),并由FMEDA定量。

图1突出显示了在半导体生命周期中可能出现的故障类型和相关的关键安全分析指标。为了解决系统故障,使用定性D-FMEA调查原因。寻址随机故障、定性FMEA和定量FMEDA都逐步执行和完善功能安全开发生命周期基于增量设计信息可用。

图1:系统与相应的安全分析和随机故障。

如图2所示,在功能安全生命周期的开始阶段,定性分析的随机故障通常是执行基于识别的方法设计可能会失败。在这个阶段,只有框图。在此基础上,功能分区的安全专家参与设计成一个安全的层次结构部分,附带的,根据其功能描述FMs。

功能安全生命周期的进展和RTL设计可用,早期FMEDA估计(定量分析)是由功能安全专家估计设计区域。这样的估计进行初步的计算基础失败率(失败的概率设计)使用相应的可靠性标准(SN 29500、IEC 62380、mil - hdbk - 217)或公司的数据库基于操作经验。在这个阶段,失效模式分布(手足口病),失效模式的相对权重,通过分析计算电路中最重要的部分。

功能安全生命周期的最后阶段,设计信息是稳定的,和门级网表是可用的。在这个阶段,功能安全专家迭代的定量分析(签收)完成最终的设计,从而实现更高精度的根据地和基本故障率计算。分区的设计和失效模式的定义是基于最终设计的层次结构。

图2:定性和定量分析。

总之,功能安全专家执行三个阶段的分析,其中每个构成特定失效模式的分析及其与相应的设计组件的“连接”(失败)的根本原因。连接和计算概率值的过程,本质上是基于区域的职业和技术类型,是传统手工和复杂,基于多种启发式。

EDA工具的支持的自动化映射操作是至关重要的减少手动工作,避免忽略错误。此外,功能安全分析流的无缝兼容芯片设计流程为更短的认证时间是至关重要的。最后,功能安全工程师还需要一个持久FMEDA数据库,允许跟踪分析,访问管理,审计选项,版本控制。

Synopsys对此VC功能安全管理器(FSM)自动化功能安全(FuSa)管理,取代传统的手工方式使用电子表格或任何内部FMEDA分析解决方案与功能安全验证流是不相容的。VC FSM充当FMEDA分析驾驶舱功能安全驾驶整个半导体设计开发,包括设计的探索和分析,验证和实现阶段。

Synopsys对此VC FSM帮助功能安全专家和工程师在四个关键领域:

• 这是TCL 1认证Exida,世界领先的美国产品认证公司按照ISO 26262 - 8节11,根据ISO 26262验证和实施工具。
• 它与主要要求通信管理系统为FMEDA导入的需求规格说明书,按照ISO 26262的要求
• 它是高度可伸缩的SoC设计复杂性增加,作为现代汽车的设计要求高的复杂性
• 它提供完整的自动化FuSa生命周期通过启用验证和实现技术的交换信息,如图3所示
• 这FMEDA分析技术也适合使更快的ISO 26262认证和与上市时间SGS-TUV萨尔河、世界领先的测试、检验和认证公司

图3:Synopsys对此VC功能安全管理器和统一FuSa验证流程。

提高电气化自动驾驶的汽车和进步减排和风险是导致更大的汽车设计的复杂性。这要求FuSa验证方法采用FMEDA自动化整个设计开发流程包括设计验证。传统的基于电子表格的安全分析方法不能规模处理现代SoC复杂性,包括成千上万的失效模式。

Synopsys对此VC的使用功能无缝安全经理驱动设计开发在FMEDA分析和探索,其次是验证和实现技术跨越功能安全的整个生命周期,有助于简化ISO 26262认证的成就没有任何显著增加周转时间。白色的纸可用更多的细节。

张志贤Cupaiuolo Synopsys对此员工应用工程师。

刘敏是一个功能安全项目经理SGS-TUV萨尔州GmbH是一家。