在设计过程的早期就看到安全机制对FMEDA的影响。
很容易想到电子应用中芯片必须是超级安全的:核电站、飞机、武器系统和植入医疗设备。仅靠电子设备控制就能自动驾驶的自动驾驶汽车正在迅速跻身这一行列。这些车辆必须是“安全的”,但它们也必须符合ISO 26262等行业标准中对“功能安全”的非常具体的定义。有效和合规的安全关键设计需要一个有系统的、记录良好的过程,最终需要对随机和系统故障的保护进行复杂但关键的计算,并在应用安全措施后考虑剩余的风险。确定随机硬件故障的功能安全合规性的一个关键分析是故障模式、影响和诊断分析(FMEDA)。它是失效模式和影响分析(FMEA)的扩展,FMEA自20世纪40年代以来一直用于安全关键设计。
随机故障包括永久性故障(如老化导致的芯片损坏)和暂时性故障(如alpha粒子导致的内存位翻转)。在具有挑战性的汽车环境中,这两种类型的故障都可能而且确实会发生。在芯片中设计安全机制可以最大限度地减少此类故障对整体安全的影响。这些机制可能能够纠正一些错误,例如对翻转位进行补偿的错误纠正代码。必须尽可能地检测其他故障,并采取适当的措施以避免灾难性的系统故障。例如,在检测到故障后,自动驾驶汽车可能会在路肩上安全停车,而不是全速行驶。
计算FMEDA并不简单,涉及以下几个指标:
FMEDA提供了证明设计符合ISO 26262标准中定义的汽车安全完整性级别(ASIL)所需的证据。每个ASIL都对安全故障(对功能安全没有风险)或安全机制检测到的故障的关键FMEDA指标有特定的要求:
从历史上看,FMEDA过程涉及大量的电子表格和大量的人工分析和计算。由于工作量大以及对芯片硬件细节的依赖,FMEDA通常发生在设计过程的后期。如果后期的项目需求(如对竞争公告的响应)需要更改设计,则必须重复大量艰苦的手工工作。幸运的是,EDA行业现在提供的解决方案中,指标由IP供应商提供或单独计算,用户定义芯片层次结构(树),所有块的结果在全芯片级别上汇总。
这种自动化方法是纸质电子表格的巨大进步,但仍然在设计过程的后期执行。在EDA中有一种强烈的趋势,即尽可能地从抽象模型开始,执行自顶向下的分析,然后在设计完成时进行细化。虚拟平台、高层楼层规划和权力意图文件只是这一趋势的几个例子。VC功能安全管理器最近也提供了早期的、高级的、自上而下的FMEDA。用户甚至可以在任何寄存器传输级别(RTL)代码可用之前定义设计层次树,并提供关于每个IP的设计大小、诊断覆盖范围和安全性的高级估计。该工具将这些估计值汇总到FMEDA结果的早期计算中。
这种高级方法可以轻松地探索各种可能的安全架构和广泛的“假设”分析。用户可以轻松地修改设计块的数据,更改与安全相关的ip,并添加或删除安全机制。看到不同变化对FMEDA的即时影响,可以在不消耗不必要的芯片面积或功耗的情况下,就如何添加适当的安全机制来满足目标ASIL水平做出明智的早期决策。用户还可以将芯片/IP层次结构复制到一个新的树中,进行架构更改,并并排查看两种配置的指标。
RTL块完成后,用户可以导入RTL设计,并将它们绑定到树中的正确点上。这种混合模式不断完善FMEDA结果,最终所有高水平的估计都被详细的计算所取代。
随着电子设备渗透到生活的方方面面,失败的后果变得更加严重也就不足为奇了。因此,功能安全芯片的设计已成为许多不同应用的关键。虽然自动驾驶汽车远非唯一的例子,但它已成为最知名的应用。幸运的是,ISO 26262标准为安全系统的设计提供了广泛而详细的指导。Synopsys VC功能安全管理器自动化FMEDA,并提供了一个独特的左移解决方案,用于关键指标的早期估计,随着设计的实现而改进。更多信息请查阅在这里.
|
|
|
|
|
|
|
|
留下回复