自动化、系统识别设计方法对单一事件打乱(SEU)结构和静态分析。
汽车集成电路应用程序的安全考虑相似的其他安全至关重要的行业,如航空电子设备、空间和工业领域。ISO 26262是最先进的安全标准指导电子产品所需的安全活动和工作产品部署在一个汽车系统。ISO 26262要求设计保护radiation-based事件的影响有可能违反安全的目标。在汽车应用中,radiation-based事件属于这个词随机硬件故障,这在整个运营车辆的生活是不可预测的。公司仍不断挑战提供功能丰富的产品在时间和预算,同时保证高可用性和在所有条件下正确运行。因此,对高可用性的需求是开车需要更健壮的验证随机硬件故障。故障可能是由于许多不同的机制,但在本文的上下文中的错是指这些随机硬件故障。
下图列出一个通用的灰色ASIC开发流程。当开发一个ASIC符合ISO 26262有额外的阶段,而蓝色所示。
图1。ASIC汽车开发流程修改。
历来expertise-driven判断技术通常部署确定失效模式由于随机硬件故障。建立一个诊断故障模式影响分析(FMEDA)是常见的方法,工作产品当评估失效模式。FMEDA使用任务环境、故障率数据和目标技术计算设计容易故障。
有一些缺点仅仅依赖由故障分析:
最好的例子:未能准确预测失效模式和效果设置上升周期较迟的验证活动导致pre-silicon测试失败。最糟糕的情况:故障保护的缺乏会导致生产运行时场景导致违反安全目标和潜在危险的人或财产。
一旦确定失效模式,设计师强化他们的设计基于最初由专家分析。这种保护的硬件或软件的形式。共同实现纠错码(ECC)的记忆,冗余设计块,或循环冗余校验(CRC)在数据路径,等等。本文的其余部分将引用这些保护实现一般安全机制。
错误的最后一步缓解工作流验证的设计是充分保护的缺点。
幸运的是,新一代的验证技术和三相方法出生协助专家分析、保护和测试设计随机故障检测和缓解效果。这三相保护设计方法提供了一个系统的途径。本文的其余部分将详细介绍这种方法,这是自动化系统保护设计从错误的引导下,通过指标证明这是完全完成。
增加专家分析与自动故障保护结构分析和逻辑保护提供了一个更高层次的信心,减少了迭代需要开发一个健壮的设计。这样的解决方案使工程师能够准确地估计指标,如故障覆盖率(DC),这是一个迹象表明有多少设计保护的缺点。有很多优点,使用这种更加自动化,在传统结构方法,手动故障分析方法。一些人总结如下:
故障分析可以分为两个活动。第一个活动是一个初始的设计评估验证专家判断的准确性和指标如失败(适应)和直流。结构连接信息用于识别领域的设计可以影响的缺点,相应地,如何有效缓解故障保护逻辑。这种自底向上的方法提供了一个高水平的准确性比自顶向下,由专家分析。实例和端到端分析代表了两种类型的分析用于计算和直流。
端到端分析估计的故障覆盖率的端到端的保护机制覆盖多循环逻辑。使用这种技术,计算出所有盖茨和状态的故障覆盖率之间的元素生成和检查站的保护机制。数据通路平价和CRC的常见例子多循环保护机制。
图2:端到端结构分析。
实例分析估计的有效性故障保护模块等硬件机制保护单一实例或拖鞋。使用这种技术,保护机制保护的故障覆盖率估计状态元素,模块和逻辑的本地化锥。三个实例级保护的常见例子是触发器平价连锁店,完整的模块级重复,和内存的ECCs。
图3结构分析:实例。
例如,在一个关键任务块ECC已经实现在一个内部FIFO存储器,实例分析将表明ECC可以提供的最大可实现的故障覆盖率的记忆。
图4:端到端结构分析。
在最初报道评估识别故障保护方面的差距,必须得到缓解的策略。这种策略通常包括修改现有或添加额外的硬件故障保护。
第二个活动是安全的探索。勘探的目的是确定一个缓解策略,提供所需的水平的能力和故障保护,同时会议区域的需求。当决定在一个安全策略,一个工程师有许多安全机制的选择,每个都有他们独特的有效性和对权力和区域的影响。理解这些不同的功效和影响是至关重要的在指导的探索不同的缓解策略。断层缓解一些技术还能够检测错误,而另一些则更先进,可以纠正单比特错误。表1总结了跨几个实现这一点。
表1摘要:故障保护机制。
在这一步中,工程师执行一系列“假设”实验,以了解不同故障对权力的缓解策略的影响,区域,和故障覆盖率。这种探索是没有修改设计,允许多个并行分析。
检查上面的图4中,显然,需要额外的覆盖在无保护措施的关键任务块。探索确定执行和实现。
图5:使用注册平价,断层勘探FSM重复,端到端crc。
探索的结果,是一个清晰的理解设计的改进需要满足安全要求。
故障保护电路有多种口味,每种方法都有自己的的有效性水平检测的缺点。典型的保护机制是桶自动防故障装置或操作失败。故障安全机制能够故障检测通过错误但不保证正确的操作。操作失败保护机制能够检测和纠正随机硬件故障。操作失败保护通常涉及冗余和带来更高的资源利用率,但提供了额外的好处,通过断层设计将继续正常工作。
传统的手动插入故障保护逻辑。这就要求工程师修改代码与保护逻辑。这可能是杂乱的和不一致的,需要更新设计是搬到不同的工艺技术要求不同程度的保护。本手册的一些缺点方法总结如下:
插入后,原之间的逻辑等价和增强的设计必须确保没有执行功能引入了偏差。
故障分析可以证明一次设计保护保护机制,但重要的是要证明正确设计运作处于断裂状态。故障验证必须由模拟设计的行为处于断裂状态,以确保正确的操作。一个简单的例子是CRC错误导致失败恢复机制。即使CRC逻辑正确实现,恢复机制,导致重传包可能的错误。故障验证关闭循环通过确保设计健壮和将通过错误操作正确。
错误验证的主要目的是设计,注入故障传播模拟的故障,如果故障检测和识别。
图6:发现和未被发现的故障分类。
用故障注入的结果,整个故障覆盖率计算通过比较故障保护机制,整个探测到故障状态空间。
图7:从故障分类计算故障覆盖率。
非常不寻常的设计拥有数以百万计的潜在故障节点,所以必须采取各种方法来降低故障列表故障节点的最小集合,然后利用自动化注入故障尽可能有效和有效。专用故障模拟器开发针对这些差距和挑战。为了获得最大的性能,三个级别的并发部署。首先,缺点是使用并发故障注入注入算法,提供了在一个线程并行性。多线程和多核增加了另一个级别的故障注入的并发性。最后,故障注入工作进一步网格分布在更大的机器。故障管理监督工作分配和结果数据的合并。
设计需求的发展规模和复杂性的使用更加自动化和可伸缩技术发展的集成电路在汽车应用程序使用。手工流程开发和验证安全机制不规模非常大的设计,不是确凿的或详尽,不易重复。形式验证技术和自动化提供一个更有效、更高质量、故障分析和可重复的过程,保护,和验证。这种方法与他们需要的信息武器项目团队创建下一代容错设计。
有关更多信息,请下载我们的白皮书”重新考虑你的辐射方式缓解。”
|
|
|
|
|
|
|
|
留下一个回复