如何自动化功能的安全吗

半导体工程坐下来讨论功能安全思想,技术与方法与迈克Stellfox自动化,研究员节奏;布莱恩·拉米雷斯,战略营销经理导师,西门子业务;Jorg的码数,产品经理的功能安全OneSpin解决方案;和马克•Serughetti高级汽车产品营销主管验证解决方案Synopsys对此。以下是摘录的谈话。

唐森:Stellfox,拉米雷斯,Grosse Serughetti。

SE:随着工业的发展从手工方法理论上功能安全更加自动化和风险更低的方法,带来什么挑战?

Grosse:我们想要自动化FMEDA失效模式、效果和诊断分析过程尽可能多。我个人的意见是,你不能有一个FMEDA工具。我不认为存在。你必须有几个构建块。你必须有一个硬件安全分析的一部分,一部分处理诊断覆盖率分析的决心,以及计算模型的一部分。这就是我们正在调查它和自动化这个过程。

Stellfox我有一个团队在组建的节奏功能安全的解决方案主要集中在FMEDA验证。我们试图尽可能多的流程的自动化。当然,功能安全已经存在了很长时间,但在半导体行业,特别是在ADAS等大型复杂的应用程序,它很新,没有很多成熟的行业而言,如何真正健壮有效的安全验证。有很大的机会从FMEDA自动化的很多作品,但我仍然看到最大的一件事是需要开发更多我们的半导体行业的专家。这可能是最大的挑战。

Serughetti:功能安全,已成为极其重要的我们的客户。我们需要回到司机为什么人们看这个。显然对于复杂的芯片,很多功能安全在过去已经完成芯片驱动这个更简单。我认为有两个部分的功能安全。第一个是专业知识。我同意这是一个巨大的缺乏专业知识。今天,我们知道客户雇佣人只有功能安全专业知识,半导体,没有背景,所以有很大的缺乏专业知识。第二部分是自动化,这是非常重要的。这不是一个工具的东西。这是一个系列的东西可以自动化,还有一个巨大的机会,自动化的活动,特别是在验证区域。 Also, you have to think about what that effects throughout the supply chain because functional safety is not a one company issue.知识产权,soc,这些出类拔萃的客户等等。还有一个改变生态系统的空间。

拉米雷斯:在其他人说什么,一个有趣的未来是,尽管自动化是伟大的,我们要做的——特别是应对增加的能力和专业知识的缺乏。但你如何合并的需要仍有专家的判断?你会能够摆脱不需要这些专家吗?试图找出这两个世界合并最有效地实现最终目标是很有趣的。

SE: FMEDA可以自动化,不能什么?

Grosse:你不能自动分析过程。你必须有工程师在那里做硬件的安全分析的一部分。一旦完成有效,那么您可以使用集成电路自动化的模型很多,特别是所有的计算可以高度自动化的一部分。我们认为我们应该远离电子表格,不使一个可重复的过程,类似这样的事情。这就是我们作为EDA进来,可以帮助很多手头上的集成电路模型和提取我们需要的所有信息。并在其上,显然做验证的一部分。

Serughetti:有三个方面。专业知识,第一。然后,可以自动验证和验证。第三部分是流程管理。今天会这么简单的如果你不需要这个,但今天客户说,“我的家伙在这边的公司不跟那边那个人。他的信息,他知道他们是不同的。有过程可以自动化,管理方面。

SE:功能安全专家的专家判断今天清单吗?

Grosse:有可能有点混乱,因为专家判断还有很长的路要走。它可以从基本上只做分析和观察的标准以及安全机制会给我什么。但也可能有类似更多合格的专家判断,我看着这设计本身,确保我的判断是正确的和部分做一些验证。这个词有点不清楚。有些人可能知道,其他人只是写下一个数字,就是这样。或者你做更多合格的专家判断。我认为合格的专家判断,“这我们需要去的地方。”

拉米雷斯:我同意。我们称之为专家做验证的假设。你需要做手分析,因为之前你需要做任何设计。但一旦你可以验证这些数据之前得到一个昂贵的断层活动什么的,你想做这些迭代。越早可以进行迭代,并找出如果您的安全体系结构是正确的,就越好。

Serughetti:在专业知识也改变的是它不是一个核心半导体专业。你需要了解你的SoC在哪里被使用。你必须开始把专业知识理解客户。这也是一个改变对很多人的能力。是的,他们明白,但是他们从不追踪这方面。

Stellfox:用例非常关键。一些系统的公司实际上是设计自己的芯片,然后他们有一个好处,那就是用例的知识了解,即使它可能是单独的团体。但是如果你开发一个通用芯片半导体公司,你需要提供,用例不是后,你可以只看事实。你必须真的因素预先为安全起见,因为用例真的确定你是否安全架构设计可以在一个安全的方式。

SE:除了用例,我们还在EDA开发功能性安全专家?

Grosse:安全专家和验证专家和锁在一个房间在一起一个星期,要求他们开始交谈,因为在这里有一个巨大的障碍。安全工程师理解FMEDA过程很好,但是他们不懂设计。你需要非常小心,你在跟谁说话,你使用哪种语言。

Stellfox:我的团队完全正确。我有安全专家和我一起把它们一些验证专家,他们相互渗透,因为他们都有自己的长处。我通常在我们的客户群是没有看到,许多安全工程师,所以验证工程师正在扩大其范围。你需要翻译或谈事情的术语和方法验证工程师理解和验证工程师有权利进入这个空间的背景。抽象的概念,他们正在考虑的事情。我们讨论一个简单的方法。功能验证是验证设计的工作原理以一种积极的方式,和安全验证在抽象层面上是负的测试,即。,它是要在这些条件下工作吗?这是非常验证工程师倾向于思考事情的方式,即使他们没有所有的安全概念技能。

Serughetti你应该看看市场。你已经做了多年的功能安全的人,和那些人理解功能安全。他们更多的是挑战,我的下一个设计的规模要大得多,我该怎么办?'然后你杀了人,突然想要进入市场,这是一个完全不同的故事和那些人。,“为什么不一样的功能验证?“你有一个不同类型的教育在这些情况下你需要做的。但是我同意功能验证工程师。有一种方法将功能安全,但是有很多的教育需要他们理解的区别是什么,和他们试图做什么因为基础不同,他们使用了大量的类似的技术。了解您想要实现的目标,为什么它是不同的,将指导您完成。

拉米雷斯时:这是同义的OVM技术和UVM出来了。验证工程师写的Verilog面向对象是一个真正的挑战。和总是缺乏专家的空间。所以通常人们增强通过雇佣c++专家和试图教他们验证。我们正在经历一个类似的阶段,你将增加和理想的人。但这是需要时间和合并一起思考。

SE:这不是一个不能解决的问题就概念本身,对吧?它不像一个完全不同的世界。验证工程师可以长大的速度。

Stellfox:它仍然是一个相当大的学习曲线。像我这样,三年前我一无所知的安全,我现在远离一个专家,但这是一个大量的东西。工具,方法分析,我看到一个巨大的机会的创新空间,尤其是通过EDA将这些东西在一起,使其更系统在半导体级。系统,我想说,在系统层面,虽然有一些新的ADAS事情到来,有整个公司正试图做同样的事情在系统level-verifying汽车和芯片。

SE:一些最大的东西,你捡起在过去三年中,不同于你之前做什么?这真的是心态的改变,你的这些问题的方式吗?你怎么有资格或分类功能相比,安全验证的思考是什么?

Stellfox:大多数人开始说,“我只需要跑一堆故障仿真。这是一件事。或者,我们将不得不在我们的整个运行故障模拟芯片。这是第一件事每个人都跳。的第一件事就是了解你想实现什么。其实没有那么复杂。你已经安全机制,旨在抓住随机错误,你需要制定一个方法定义的设备可以失败。为验证工程师,这是一个很自然的过程,因为我们做的验证计划。这仅仅是扩大验证计划考虑设备如何失败,然后确保你安全机制来捕获。一旦你把类比在一起,这是非常相同的技能认证工程师。最困难的事情是在FMEDA捕获。就像一个好的验证工程师,最难教的是如何做好验证计划,这是关键的一部分。你如何分解问题?和你怎么想出你实际上需要的高水平的事情在FMEDA计划?

Serughetti:安全架构、安全架构师,理解失败可能出现的地方。安全机制是什么?这是前面的重要组成部分。这是专业知识。

Grosse:我相信的类比是好的验证计划,但有一个额外的专业水准要求做,而不仅仅是考虑安全机制。你有有分层安全机制的情况,这使得它非常复杂。然后你要把相关的失效分析放入混合。我喜欢它。这是正确的思维方式。但不仅仅是把你的验证计划工具变成一个FMEDA分析。

SE:接下来会发生什么?

Grosse:一种关系。我们有一个很的层次思考芯片,但芯片等级可能不完全映射到安全的层次结构。

SE:这是什么意思就能够有资格作为一个汽车级芯片吗?

Grosse:当你把芯片分为零件和部分,根据标准的,如果你把芯片根据安全架构,可能不会完全映射到你在你的工具的层次树的筹码。所以你可能会有一块有可能两种安全机制,或者你可能有安全机制覆盖几个街区,或者只是块的一部分。我们需要一个稍微不同的思维。

SE:思维是什么?

Grosse:想从安全体系结构的观点。

SE:我们如何定义安全架构?

Grosse:这是由需求驱动,安全目标,你必须决定什么芯片。它来自基本用例。开始,我有一个ASIL-B或有ASIL-D设备吗?然后我知道安全机制放入系统。但是分析和验证的部分应该非常我定义为中心的安全机制。这也是让我们更有效的模拟,我们没有模拟。

Serughetti:在一天结束的时候,验证的部分是关于验证安全机制做他们应该做的事。这是重点。你不能去说,‘我要做的一切。“你必须聪明,开始分析。

Stellfox:再一次,它开始,它是什么?“想从系统层面,你设计一辆车还有一些子系统在车里,取决于其逻辑芯片。所以你需要考虑这个芯片功能能做什么?应该做功能这部分的汽车,如果不能在一个随机的方式,这种效应会导致一些不安全的风险的生活?从用例。你必须真正理解,想出一个好的安全架构的芯片。真的需要自顶向下,和更大的挑战是这些人进入市场从移动或其他地方,并试图把这些大的计算密集型芯片他们说,‘哦,我们先做一个ADAS服务器引擎。真的需要被认为自顶向下,因为你有一辆车系统,哪些用例,然后建立一个安全的体系结构。然后你必须验证安全架构通过注入故障,确保安全机制检测那些将回流导致芯片失败在某种程度上,它已经进入安全状态。

Serughetti:这就像任何你做的设计。你必须花时间提前捕捉适当的你在做什么,否则你将要花很多时间验证。这是关键。这里的挑战是专业,因为专业知识的想法出现在我脑海里,专业知识可能是一个结合专业知识与客户。现在,没有人“a”客户的芯片,所以需要一些专业知识在半导体公司,但这与专业技术,存在于系统的公司。

Grosse:事实上,我可能会说70%的这些设计是这样的,“我有一个设备和如何使它安全吗?这是事实因为所有的半导体公司,想要进入这个空间已经现有的设计。也许他们已经一些安全机制,ECC和平价是常见的概念,但他们需要什么呢?我们必须处理一个自底向上的方法,。

Serughetti:这是传统的方法有,我想让它安全,然后一代在未来将解决这个更多的从设计的角度来看。

SE:,然后创建一个自动化方面的安全架构?你如何处理现有的方法?

拉米雷斯:有机会帮助用户找出正确的安全体系结构,并让他们做他们迭代方式早在这个过程中,没有通过这个昂贵的循环。什么我们可以做的EDA,帮助他们找到正确的组合的安全机制ASIL水平而优化后他们会功率、性能——这是一件事。有些事情我们可以做来自动创建这些安全设计来缓解这一事实并没有过多的工程师知道安全,谁知道这些遗留IPs,需要将其转换是安全的。这是我们可以做的另一件事。然后就证明他们是安全的高性能故障注入什么的,是要帮助关闭循环吗?

Serughetti:我们谈了很多关于验证,但是实现方面发挥作用。第三方IP——使用IP供应商提供的第三方知识产权。ISO 26262认证的IP。有很多块,可以走到一起。

有关的故事
阿拉伯学者在汽车长大
现有的测试概念被杠杆以新的方式以满足严格的汽车需求。
优化安全面临的挑战
权衡优化自动化之路是漫长的。改变属性可以让它更加困难。
漫长而详细的道路汽车合规
加速工程组织过程与汽车安全标准是一个长期和艰巨的过程。
如何构建一个汽车芯片吗
改变标准,严格的要求和混合的专业知识使这个艰难的市场的问题。