功能安全验证AV SoC设计加速先进工具

自主车辆(AVs)将经过几十的高度复杂的系统,将最先进的技术在电子硬件、传感器、软件等等。构思和设计这些系统肯定会的最大挑战之一,对于今天的工程师。唯一的更大的挑战是说服一个谨慎的公众,这些自动化系统是比他们更安全的司机。根据最近的一项调查由美国汽车协会(AAA), 71%的美国人说会害怕乘坐无人驾驶车辆。公众围绕自动驾驶还有待其成功的最大障碍(图1)。

图1:获得担心公众的信任是自动驾驶技术必须克服的最大障碍。

AV制造商需要演示的所有方面的安全性和可靠性的自动驾驶系统发展与公众建立信任,消除他们的恐惧。除了软件之外,先进的集成电路(ic)和soc (soc)硬件驱动这些系统将是关键问题。为此,汽车行业已经建立了一套安全规程和标准集中在电气和电子系统,称为功能安全。

功能安全的目标是减少风险的电气和电子元件故障导致失败。在汽车工业中,这些程序和要求已正式在ISO 26262标准。ISO 26262要求进行随机检测电子产品硬件故障和系统故障。

系统故障是那些阻止一个集成电路或SoC操作正确地根据产品规格。这些可能是设计错误,硬件/软件的接口问题,误解或不完整的规格和更多。随着时间的推移,IC行业已经积累了大量的知识、工具和流程处理系统的缺点。相比之下,行业缺乏经验而不是随机装备精良的寻找和解决硬件故障。随机硬件故障是不可预测的,随着时间的推移发生IC运作。

ISO 26262要求芯片继续操作,或不安全事件的随机硬件故障。确保IC失败安全由于随机故障需要四个关键流程(图2):

• 生命周期管理涵盖了功能安全生命周期从规划到合规。这包括更改/配置、项目要求、质量保证和审计/合规管理。在开发生命周期管理过程不断发生。
• 安全分析有助于设计师了解设计可以从随机硬件故障失败。失效模式和影响诊断分析(FMEDA)标识的潜在失效模式设计,失败率,每种模式如何影响其功能,自动诊断的概率会抓住每个失效模式。然后,工程师进行安全差异分析来确定所需的安全增强达到安全目标。
• 设计安全提高了设计来减轻潜在的故障从随机硬件故障。这是通过插入安全机制的设计检测并纠正错误的行为,确保安全设计的行为或失败。
• 安全验证证明了设计是安全验证一组故障指标通过故障注入的过程。集故障指标包括单点和潜在故障指标(SPFM /中频采样),和诊断覆盖率(DC)。

图2:四个关键流程创建安全的IC设计。

这些流程运作的闭环流程,每个流程的结果通知下一步。这是解决随机的关键硬件故障和建立一个初步的安全集成电路设计。让我们简要地讨论这些流程和先进的验证技术,可以增加验证工程师在每个阶段的有效性。

生命周期管理
ISO 26262包括跟踪和管理指南设计变化,测试结果,和安全指标。许多公司仍然依靠他们的工程师手动跟踪和收集这些信息。手动方法是缓慢的,倾向于介绍错误数据的记录,而不将重要信息链接起来,使追溯困难。因此,工程师花时间在信息拼凑在一起才能创造必要的审计和评估工作产品。汽车ICs的日益复杂,手工要求和合规管理不再是足够的。

需求驱动的验证过程是企业竞争的根本在汽车集成电路业务。应用生命周期管理(ALM)解决方案使需求驱动流提供一个数字骨干为整个功能安全的过程。ALM向工程师提供他们需要的信息来证明功能安全的关键汽车电子,消除耗时的手工收集这些数据的过程。

安全分析
有了一个生命周期管理解决方案,证明功能安全是安全分析的第一步。安全架构师通常首先识别高层通过创建一个失效模式的设计失效模式和效果诊断分析(FMEDA),然后计算基础失败(合适)的设计,并估计单点和潜在故障指标(SPFM /中频采样)。安全架构师可以探索的领域需要更安全的设计,并确定适当的安全机制来满足目标安全水平(图3)。

图3:安全分析确定失效模式的设计和适当的安全机制。

在安全分析将生成的指标作为比较基准在安全验证,设计后得到改善。这种分析应该执行在结构层面的设计生产最准确的数字,从而增加的可能性创造一个安全的IC在第一次通过,节省昂贵和耗时的迭代。

设计的安全
现在,工程师们有一个计划,使他们的设计更安全,基于安全分析,下一步是插入安全机制设计。安全机制的先进解决方案启用自动插入到RTL实现运行时设计硬化技术(例如ECC, CRC、平价、重复、复制)。这些机制都是基于硬件和直接地址永久和临时单点故障。然后,工程师可以插入逻辑和内存内建自测(LBIST / MBIST)结构,和这些引擎控制器运行时操作。这些芯片上的测试设备可以识别潜在的故障发生,改善汽车的长期安全性和可靠性芯片。

安全验证
最后,改进芯片设计必须验证安全通过观察它是如何表现的缺点。安全验证开始使用故障安全分析阶段产生的列表。然后,故障模拟用于注入这些错误设计,制作一套新的故障指标来表示安全机制的有效性设计过程中插入的安全。

故障模拟是用于验证大多数故障识别的设计。在RTL级,一个集成电路设计可以有错误在所有的网,注册,和港口。另一个级别,门电路级网表可以有许多倍的缺点,已经超过了百万。占安全指标进一步增加潜在故障的数量。此外,汽车soc包含一个混合的数字和模拟/混合信号电路,增加潜在错误的数量和需要的解决方案能够进行故障注入在数字和模拟/混合信号块。

保持模拟时间可控,工程师使用的数组技术降低断层活动的范围或错误列表,这被称为断层优化。故障采样就是一个例子,一个随机样本的缺点,编号到数千,被选中。这减少了错误的数量,需要激活在安全验证。

对于大多数功能,没有必要验证的安全设计对所有可能的错误。安全性至关重要的组件,但是,需要全面的验证,以确保他们完全没有错误。实现这种级别的验证在即使是相对平凡的行动迅速拉长仿真的功能。

形式验证的结果,使用安全关键设计已经得到普及,因为它达到所需水平的验证从大幅减少的输入条件。正式的验证设计“广度优先”,自动考虑所有可能的输入条件。从这里开始,正式可以分析的整个国家可及集给定的起始条件。结果是一组最糟糕的安全指标,占所有可能的错误在设计。

更宽敞的验证引擎可以进一步改善验证时间,除了优化故障列表通过正式的技术。硬件仿真执行测试硬件设计在兆赫(MHz)速度,好几个数量级的速度比模拟。这使得系统验证开始前的芯片设计中实现硅和提供完整的可视性高效的硬件设计调试。此外,模拟支持故障注入、监控、安全至上的汽车应用程序和结果分析。

功能安全在自治的时代
承受着巨大压力是第一个市场,汽车公司,建立了oem和系统公司需要一套先进的验证工具来满足这些严格的安全要求。当他们面对深刻复杂的芯片,验证团队将依靠强劲的生命周期管理流程,自动化,并结合仿真,仿真和正式的技术来确保安全的自治ICs。

有关更多信息,请下载我们的白皮书,实现功能为自动车辆安全SoC设计。