为什么汽车设计需要这么长时间

为汽车市场设计芯片会增加大量的开销，特别是对于具有严格安全要求的芯片。

在核查方面，这可能导致额外6至12个月的工作。在设计方面，在移动市场上开发相同的处理器将少花6个月的时间。当涉及到复杂的电子控制单元(ecu)或soc在美国，这种差异更为显著。

汽车芯片必须结合所有关于故障模式、影响和诊断分析(FMEDA)的报告。这大大增加了设计团队的工作量。这也延缓了盈利的时间。

ARC EM处理器产品线经理Angela Raucher表示:“如果你从一开始就没有考虑到这一点，那就更难了Synopsys对此．“如果拥有商用或基于消费者的soc的芯片制造商想要进入汽车领域——而且他们已经使用了没有ECC(错误纠正码)的处理器IP——他们必须在其周围添加包装。此外，将标准微控制器撤出市场并用于汽车应用可能需要两到三年的时间。”

这就是安全设计(DFS)方法适用的地方。虽然这在安全关键市场已经存在，但在汽车领域相对较新，因为在驾驶员辅助和自动驾驶出现之前，先进的芯片通常仅限于信息娱乐领域。在过去的几年中，这种情况发生了显著的变化，DFS现在开始从子系统级别一直上升到系统级别。

“在射频或雷达技术中，这变得更加困难，因为物理接口确实具有挑战性，”自动化测试营销总监Luke Schreier说国家仪器．“有时，这需要无线更新或复杂的天线或信道模型，或者本身就是处理器密集型的东西——大量的数字信号处理。这些算法被要求做大量的繁重工作，这说明了将尽可能多的射频放入的趋势互补金属氧化物半导体尽可能——或者是数字化的大趋势模拟尽可能你希望通过选择其他一些工艺来得到硅的缺陷，然后你补偿或纠正它。”

该公司已经涉足通用汽车测试和硬件在环技术一段时间了，为了避免昂贵和耗时的驾驶测试，世界上的一些地方被模拟。

“当你有那种方法——当你思考在接近十字路口时，你必须测试的模式和情况，试图不撞到自动驾驶汽车中的人时，你只能在子系统层面上完成这么多。你必须把它烤到系统级别。但取决于您是OEM还是硅供应商，您需要在这些类型的测试之间建立层次关系，以便您可以从一种测试利用到另一种测试。你不希望OEM有一种完全不同于汽车制造商的方法。同样地，尽可能多地传递到硅进行验证，越好。”Schreier解释道。

需要许多不同的测试功能，而不仅仅是爆破向量或协议感知的方法。原因是需要混合大量的物理刺激，只是为了能够模拟IC可能预期的信号和条件的类型。

Schreier说:“它可能期待摄像头输入或所有这些物理传感器输入。”“然后你花在测试算法上的时间就和测试芯片物理部分的时间一样多。这种复杂性传感器，射频和模拟正在创造一个完全不同的复杂性维度。即使你可以扩展到晶体管的数量，能够将所有这些技术和测试要求混合在一个包中也是非常了不起的。”

它还能做什么?
在开发与安全相关的系统时，一个关键的考虑因素是尽量减少意外行为的风险。这在汽车行业是一个严重的问题，它增加了整个验证过程的复杂性

“完全消除风险是不可能的，但考虑到潜在的后果，将风险降低到可接受的水平是至关重要的，”编译器的高级产品经理保罗·布莱克说手臂．“这规定了在开发过程中使用的工具必须在力求最大化功能可预测性和最小化风险的制度下进行设计、开发、验证和维护。”

对于软件工具，这通常包括将工具开发过程紧密地映射到参考“V模型”，这意味着通过结构化的需求、缺陷管理以及全面的测试和验证过程来确保可靠和可靠的操作。他说，所有这些都需要直接映射到架构、模块设计和集成活动。

许多这些方法仍在进行中。微软嵌入式系统部门的首席安全官罗伯特·贝茨(Robert Bates)表示，目前开发者在硬件方面没有一条路可走，也没有一家大型EDA公司与他们合作，也没有一种使用所有工具的单一方法导师图形．

他说，在软件方面也是如此。“有很多方法可以实现这一目标，而工具几乎是实现这些目标所必需的。如果你考虑的是像自动驾驶这样的东西，软件是如此复杂，它离实际操作只有一步之遥。如果我有一个神经网络或者其他类型的机器学习系统，并且系统专注于它的机器学习方面，安全性变得更加难以管理。你必须控制实现的基本质量，以及用于训练它的数据的基本质量。”

贝茨指出，如果没有某种程度的工具，大部分工作都无法完成，因为这些工作对人类来说太大了，无法处理。“问题在于，很多硬件工具都很初级。对于软件来说，工具也非常初级。静态分析，当我将其与EDA方面的能力进行比较时，它就像苹果和金桔。从这个意义上说，没有唯一的路径，因为没有人提出唯一的路径。”

他说，其他行业和汽车行业的一部分已经利用了他们的建模环境作为软件开发环境的扩展。“Simulink(来自MathWorks)用于他们所有的模拟，是一种更严格的方法。但问题是，你不能在那种环境中开发应用程序的基本部分。我从来没有见过一个好的工具，例如，对操作系统建模。这些都是手写的，无论是AUTOSAR还是常规的RTOS或类似Linux的东西。一旦你开始书写，就会有一大堆麻烦。但在应用层面，也就是一级汽车制造商和整车厂在考虑安全性时试图考虑的问题，他们处于一个更好的起点，因为建模工具使他们达到了那种严格程度。”

更短的驾驶时间
所有这些都是为了让系统公司不必行驶数百万英里来证明它们是安全的。

贝茨说:“在模拟环境中，即使是像纯软件这样‘简单’的东西，也没有什么能阻止通用汽车这样的公司设置1000台服务器，而不必行驶10亿英里。”“但在他们的模拟环境中，他们可以在一两年的时间里轻松地飞行数十亿英里，这样他们就可以从软件和硬件的角度完善他们的安全策略，因为他们也获得了正确训练人工智能所必需的真实世界的经验。”

这都是DFS方法的一部分，它与系统设计中的其他趋势相吻合(整个向左概念的转变)，即同时运行多个步骤以加快推向市场的时间。

验证产品管理总监Adam Sherer表示:“一般来说，我们需要在系统中添加诊断功能，以降低及时故障率节奏．“但确切的一套方法，需要放在哪里，需要在多大程度上降低FIT，目前仍取决于每家公司自己的方法。我没有看到一致性，这没关系。我们有公司在生产ASIL-B和ASIL-D组件，遵循他们的内部方法，安全已经成为行业的一部分，因为它已经成为一个行业。所以其中一些元素是一致的，是正确的。然而，开始出现的问题是，在哪里进行诊断，以及测量的程度。这是游戏行业目前正在探索的内容，我们将看到更多的游戏开始与下一个游戏相结合ISO 26262标准更新[预计在2018年初的某个时候]。但这一进程还需要一段时间。”

另一部分是这些系统的规划、实施和签署。

Cadence Digital & Signoff Group的产品管理总监Rob Knoth说:“在诊断方面，拥有一个集成的实现平台是绝对关键的，这样你就不会在不同的工具之间传递文件。”“你没有增加用户错误可能会将错误插入芯片的区域。“彩虹流”的时代已经一去不复返了，CAD部门会为每一个工具选择绝对最好的品种，而不管它是什么供应商，然后有无尽的、复杂的脚本将这些工具拼接在一起。我们确实看到越来越多的客户正在摆脱这种心态，首先是因为EDA的整合，但也因为拥有集成的工具和验证流，以及相互协作的实现之间的对话，更不容易出错模拟盒子。你希望有一个故事，而不是一个零碎的工具流程和工具方法论。”

从技术上讲，DFS方法分为两部分——系统的和随机的。

市场营销副总裁戴夫·凯尔夫说:“系统一半本质上是我们今天理解的经典验证。OneSpin解决方案．“这是对设计功能的测试，以确保它正确地完成了工作，工具流正确地工作，等等。对于汽车行业来说，这显然比常规的验证要严格得多，因为100%报道是必需的。覆盖范围必须符合原始设备的要求，所以仅仅说“这是一个规范，让我们确保这个规范正确实现”是不够的。’你必须做到这一点，但你必须超越这一点，首先确定整个设备的基本要求，并确定这些要求是否已经正确满足。”

Kelf解释说，流的系统需求是多阶段和多层的，您从需求开始，找出每一个需求的实现是什么，并确定验证的实现计划，以及不同的验证工具如何处理验证计划。最后，将覆盖收集在一起并对其进行测试，不只是针对验证计划，而是直接返回到需求。“他们所做的是将需求分解，逐个测试。这与常规的验证环境不同，在常规的验证环境中，你可能会说，‘这是整个芯片的功能，让我们写一些测试来测试整个功能。在这里，你必须编写一堆测试，以确保设计的某个特定部分能完成特定的任务。然后你编写一套完整的、独立的测试来做另一个特定的测试，这样你就可以跟踪和监控它们。”

凯尔夫补充说，虽然许多工程团队仍在使用模拟今天，映射的要求UVM考试相当难。“你必须想出一个测试集，问题是如果你有一个芯片，你必须让这个芯片进入某种状态才能开始运行测试。要让它进入一种状态，通常需要运行大量的测试。所以如果你把这些要求分解成单独的组，对于每一组，你都必须运行芯片到某个状态，然后开始测试。这大大增加了测试的负担。还有很多额外的物质进入UVMtestbench这不是要求的一部分。”

形式验证他说，技术可以在这里发挥作用，因为需求可以更容易地映射到断言。“你可以说，‘我们有这个要求——这个设备必须在这个时间框架内做一些事情，并确保它永远不会做这个、这个或这个。'你可能有这样的东西，它可以映射到一个断言直接。当您有了断言时，您不必将设计运行到某个状态。你可以直接进去，问问它是否会发生。”

除了系统方面，还有随机方面，它测试以确保在芯片运行期间是否以某种方式引入了故障。这可能包括电迁移或者内存中的辐射位翻转。芯片应该能够恢复并继续工作。芯片中加入了纠错算法和安全处理机制来实现这一点——所有这些都必须经过验证。

“许多公司都在运营故障模拟但它需要很长时间来运行，最难证明的错误是那些可能会分散到逻辑中，并且永远不会进入硬件处理机制的错误，”Kelf说。“这些都是很好的故障，但你无法证明这一点，因为故障模拟器从未阻止它们。它永远也进不了处理装置。在这里，你需要去掉这些缺点。这通常是手工完成的，这非常乏味，也是对工程人才的浪费。”

结论
创建安全设计方法是一个复杂的过程。它因公司而异，而且经常从一个设计到下一个。

“这取决于他们在市场上有多少经验，”Raucher说。“如果他们有市场经验，他们就一直在思考这个问题。他们已经寻找了高质量的供应商，并专注于做这种随机故障验证，所以他们有工具来帮助他们做到这一点。一些刚接触汽车行业的设计团队，从消费类或企业级产品转向汽车行业，不得不在很大程度上依赖可靠合作伙伴的建议。”

此外，由于汽车市场的竞争至关重要，所以上市时间的压力非常大。特别是像故障模拟这样的技术需要数周时间才能运行，汽车原始设备制造商正在努力寻找加快这一过程的方法。

标准化的DFS方法还需要一段时间才能出现——只有在整个汽车生态系统都施加了足够的压力时，这才会发生。与此同时，公司才刚刚开始了解DFS流真正需要什么，以及它为什么重要。

有关的故事
汽车的高成本
希望进入这一市场的供应商在设计时间、认证和验证要求方面付出了高昂的代价。
对汽车验证的再思考(二)
为什么规模经济在安全关键的市场不起作用。
律师、保险和自动驾驶汽车
在汽车市场上，半导体公司必须面对的不仅仅是技术问题。
汽车行业会出什么问题
与会专家，第2部分:了解安全风险，ecu vs. soc;处理数据爆炸。