实施安全机制来检测和指示故障发生。
文/ Nidhi Bhasin, Shivakumar Chonnad, Vladimir Litovtchenko, Sowjanya Syamala
电子和软件(EE系统)在汽车应用中的普及程度和复杂性随着每一代新汽车的推出而增加。芯片系统(SoC)内的关键功能涉及硬件和软件,以高数据速率与芯片外组件进行与汽车相关的信号通信。每个SoC的外围都包括通用IOs (gpio),这有助于片上逻辑和片外组件之间的通信。
对于汽车soc, GPIO IP块通常是作为上下文安全元素(SEooC)开发的,并附带一组使用假设(aou)。由于系统故障、随机故障和硬件和/或软件组件之间的依赖故障而导致SoC内EE组件故障的任何风险也可能涉及GPIO单元。因此,将GPIO块视为与安全相关的逻辑是很重要的。在此角色中,gpio需要进行安全分析,以便在故障发生导致系统范围故障之前缓解任何故障。
任何与安全相关的逻辑的完整性级别都必须包括GPIO单元。ISO 26262等标准通过定义汽车安全完整性等级(ASILs)提供了风险分类框架。设计人员通过在工作产品(如故障模式效应和诊断分析(FMEDA))中进行分析来满足他们的系统ASIL需求。FMEDA捕获各种故障模式、其影响、分布、相关的适当安全机制以及安全机制的诊断覆盖范围的细节。FMEDA验证技术安全概念(TSC)的完整性和正确性,并最终评估安全相关指标,以达到最终的、评估的ASIL。
为了降低随机硬件故障的风险,设计人员将合适的安全机制作为TSC的一部分。安全机制的作用是发现、指示和/或纠正故障。这些安全机制的有效性度量被定义为其诊断覆盖率(DC),这是评估决定GPIO单元ASIL的指标的重要参数。在任何SoC的FMEDA范围内,GPIO单元通常被视为与安全相关的逻辑元件。
在SoC的安全概念发展过程中,与安全相关的GPIO单元的TSC被集成到下一个更高级别的SoC中。类似地,SoC FMEDA分析还包括用于GPIO检查的部分。GPIO单元的工作产品(如安全手册)提供了GPIO安全机制的详细信息。与AoU一起,安全手册是系统集成商的参考。
典型的安全相关逻辑由若干片上部件或子部件组成,它们之间相互作用,并通过GPIO单元与外部接口相互作用。gpio可以根据使用上下文配置为接收(Rx)模式、发送(Tx)模式或双向模式。下图说明了Tx和Rx缓冲区及其启用控件。
图1:具有ESD保护内部安全机制的GPIO IP。
尽管在任何与安全相关的逻辑中,故障都是不可避免的,但可以实施安全措施,如安全机制,以检测、指示和可选的纠正这些故障。安全机制是必要的,以确保安全要求得到满足,以减轻在整个运行周期中随时可能发生的随机硬件和系统故障。相关安全机制的细节记录在与安全相关的文件或工作产品中,如安全手册。对于GPIO IP,安全机制可以在GPIO单元内部实现,也可以在GPIO单元外部实现。
当在IP中实现了可以检测和指示故障发生的安全机制时,它被引用为内部安全机制。ISO 26262推荐了一些可以在gpio内部实现的安全机制,例如电阻式上拉/下拉、电压箝位和电源复位。
ISO 26262描述了几种工作产品,即可以作为安全活动的一部分产生的任务和文件。说明安全度量的两个关键工作产品是FMEDA和安全手册,但是作为完全合规性功能安全评估的一部分,还涉及其他工作产品。对于IO单元格,可以对库中的各种类型的单元格执行FMEDA。GPIO的FMEDA中的诊断信息可用于在SoC的下一级别上创建FMEDA。然而,由于SoC可以在内部实现GPIO的一些外部安全机制,因此需要进行分析,以检查更高级别安全机制的适用性和应用。安全手册工作产品主要捕获关键信息,如顶级安全需求、应用程序使用上下文以及GPIO DC的安全机制和参考的描述。这些细节支持系统集成商推断执行安全机制的预期使用模型。该工作产品还捕获了SoC集成商引用的各种aou,以验证假设是合理的,而不会对产品层面的安全目标产生任何影响。安全工程师对GPIO库套件进行了设计失效模式和影响分析(DFMEA),分析系统故障的发生。阐述了系统故障的原因以及适当的避免和预防技术。 Based on the ratings of the severity, occurrence, and detection, the risk priority numbers (RPN) are evaluated for each systematic failure mode. For RPNs beyond a threshold value, suitable recommendation of actions to be taken at the part/sub-part or at system level are provided in the DFMEA analysis report for the SoC integrators. These deliverables allow SoC designers to minimize safety risks due to the GPIO cells while following the recommendations and actions.
汽车就绪GPIO IP团队开发的工作产品由合格的功能安全成员审查,这些成员在组织内具有所需的独立性。评估的客观性可以进一步扩展到合格和独立的外部第三方评估人员,从而确保ISO 26262标准所要求的最高和所需的独立性水平。
GPIO库的汽车功能安全包通常由IP供应商提供,并附带关键的汽车工作产品,如FMEDA报告和安全手册,以促进安全集成到SoC中。安全手册描述了检测随机硬件故障的安全措施和特殊安全机制,以及如何在系统级处理这些故障。SoC集成商可以在目标SoC的上下文中验证安全手册中描述的假设。DFMEA报告为系统集成商提供了他们在系统层面上为预防和避免系统故障而需要采取的必要行动。这些安全文档中的细节有助于在SoC级别上实现随机硬件故障的ASIL的度量计算。Synopsys DesignWare GPIO IP通过提供基本的安全相关文档和工作产品,帮助设计人员达到SoC的安全和ASIL要求,加速SoC开发。
本文节选自Synopsys白皮书:GPIOs:汽车功能安全应用的关键IP.
Nidhi Bhasin是Synopsys公司GPIO+的员工设计工程师。
Shivakumar Chonnad是Synopsys质量和功能安全的首席工程师。
Vladimir Litovtchenko是Synopsys质量和功能安全主管。
Sowjanya Syamala是Synopsys公司GPIO+的设计工程师。
|
|
|
|
|
|
|
|
|
留下回复