如何通过内置自检满足功能安全要求

随着当今汽车中半导体含量的快速增长，IC设计人员需要改进流程，以满足ISO 26262标准定义的功能安全要求。

ISO 26262标准定义了功能安全级别，即汽车安全完整性级别(ASIL)，是汽车系统设计过程的强制性组成部分。ASIL类别的范围从安全要求最低的A级应用程序到最关键的D级应用程序。例如，与自动制动系统相比，车载信息娱乐系统对ISO 26262认证的ASIL要求不同(图1)。

图1:基于应用的ASIL分类定义。

实现所需的ASIL级别需要大量的仿真，以分析设计中可能发生的潜在随机故障，并影响其安全功能。这个过程类似于测试设计(DFT)领域中已经普遍使用的故障模拟过程。然而，在功能安全的背景下，并不是所有的故障都是相等的，这导致了我们的DFT指标和功能安全指标之间的差异。要把这两种不同的指标统一起来，并不容易。现在，设计人员可以利用逻辑BIST(内置自检)来获得准确的功能安全指标，以满足ISO 26262的要求。

满足功能安全要求

ISO 26262汽车标准要求汽车IC设计人员在其设计中添加称为安全机制的特定电路，以检测车辆运行过程中的静态和瞬态故障，然后安全响应或关闭。安全机制可以有几种形式，这取决于应用(图2)。选择特定的安全机制需要良好的设计知识，但可以通过使用设计自动化工具来促进。自动化软件的使用作为安全设计过程和功能安全设计流程的一部分正被越来越广泛地采用。

图2:芯片级实现不同功能安全机制。

ISO 26262标准为许多常见安全机制的有效性提供了指导。安全机制的选择需要权衡以下几个因素:

• 覆盖率——检测缺陷/错误的有效性
• 测试时间——执行测试以检测缺陷/错误所需的时间
• 硅区-实施测试所需的对模具的冲击区域
• 中断——测试对正常操作造成的中断量
• 纠正-检测和/或检测+纠正错误的能力

复制/锁步(DCLS)和逻辑三重(TMR)等安全机制对硅面积、功率和成本有重大影响。因此，设计人员经常寻找既可用于功能安全性又可用于制造测试的电路，包括逻辑BIST和内存BIST等结构。

逻辑BIST通常已经在芯片上实现，作为制造和系统内测试需求的一部分，允许通过IEEE 1149.1 TAP控制器访问自动测试设备(ATE)，从该控制器可以运行和监控测试(图3)。

图3:汽车设计中的BIST基础架构。

逻辑BIST可以作为扫描ATPG压缩的混合方法的一部分，其中两个不同的测试系统共享许多相同的逻辑结构(图4)。它们也可以使用在设计中实现的相同的扫描链结构进行制造测试。逻辑BIST的优点是能够在内部生成测试模式，这使它成为系统内测试解决方案的一个很好的解决方案，可以用作功能安全机制。

图4:混合ATPG /逻辑BIST控制器架构。

虽然逻辑BIST通常无法达到与ATPG相同的测试质量和覆盖率，如果在设计中不添加测试点来帮助检测随机电阻故障，它是一种非常有效的安全机制。逻辑BIST可以为被测逻辑提供非常高的诊断覆盖率(DC)，并且是一种自动化解决方案，与自定义安全机制相比，即使不是更好，也是相当的。

在逻辑BIST将检测的随机故障类型中有多点故障，包括潜在故障和检测到/感知到的故障。在安全机制中出现潜在故障，而没有附加的安全机制来捕捉故障。检测到/感知到的故障是由附加安全机制保护的安全机制中的故障，通常称为二级安全机制。

逻辑BIST通常在键开或键关事件期间检查潜在的错误。但对于检测到/感知到的故障，逻辑BIST在设备的功能运行过程中运行。逻辑BIST在启用时是一种破坏性技术，必须改变电路的操作以使扫描链活跃起来，破坏存储在设计内存元素中的数据。因此，电路必须在逻辑BIST运行后重置。这种对功能操作的破坏是不理想的。

逻辑BIST还可以检查单点故障。尽管具有破坏性，但越来越多的应用程序中存在时间窗口，允许在运行时操作期间执行BIST技术。安全架构师或安全经理有责任确定是否可以重用逻辑BIST来检测单点故障。

调整覆盖率指标

目前还没有很好的方法将DFT度量(测试覆盖率和故障覆盖率)与功能安全度量(如诊断覆盖率、单点故障度量(SPFM)和潜在故障度量(LFM)关联起来。然而，设计人员可以使用现有的DFT和功能安全分析软件来生成所需的指标，并将其纳入故障模式效应和诊断分析(FMEDA)中，以确定准确的故障率、故障模式和诊断能力。

用于测试指标的逻辑BIST设计
计算逻辑BIST的测试和故障覆盖范围，首先是基于特定的目标故障模型，在IC设计或正在测试的IC设计块的限制内，每个可能的故障的完整列表。在逻辑BIST模式的故障模拟过程中，将分析和模拟完整的故障列表，以便为每个潜在故障提供特定的故障分类。这些分类驱动了总体测试覆盖率和故障覆盖率的计算。

功能安全指标
功能安全诊断覆盖(DC)指标只考虑可能直接影响应用程序安全目标的故障。因此，第一步是将设计中的故障分类为安全故障λ_年代，危险故障λ_{防晒指数,}多点故障λ_强积金然后进行故障模拟，以确定安全机制是否已成功实现，并检测安全关键故障。

计算逻辑BIST的诊断覆盖率
通过将功能安全分析中的安全关键故障列表应用于逻辑BIST故障模拟，设计人员可以从成功实现的逻辑BIST中准确计算单点故障度量诊断覆盖率(图5)。

图5:功能安全逻辑BIST故障模拟流程。

由此产生的诊断覆盖率根据以下公式计算:

逻辑BIST功能安全流程用于将功能安全故障分类添加到设计中的不同结构中，从而为ISO 26262功能安全指标提供正确的报告级别。

结论

功能安全机制是任何汽车集成电路安全设计阶段的关键部分，逻辑BIST是一种非常有效的安全机制，为基于数字逻辑的IP提供了高覆盖率。因为它可以使部分制造测试解决方案加倍，使用逻辑BIST作为安全机制还可以减少区域开销。集成功能安全分析工具和DFT技术，使设计人员能够准确地提取诊断指标，从而改进了ISO 26262认证过程。