反思验证汽车

新工具、方法和方法论的不同阶段开发和部署功能安全的保护伞下,随着越来越多的电子产品进入汽车,医疗设备和工业应用。

所示第一部分为这些应用程序,验证需要重新考虑。在伞下面将做负测试的方法,分类的方法,和测量负面测试。有效,这将看起来像故障注入技术,这样可以描述可能发生的错误,以电子形式,产品管理总监约翰•布伦南表示节奏。

但功能安全不是一层,您可以添加,并忘记细节。它需要架构。

“你必须理解如何确保我在每个组件启用了建筑细节在我的设计中,“说Anush莫汉达斯·,营销副总裁和业务发展NetSpeed系统。“我如何保证我从失败失败操作安全吗?现在正在制定的方法。”

不同的国家对物联网,汽车
表面上看,有许多相似之处物联网和汽车的经济模型。但马克克拉产品营销经理导师图形说,有一个很大的差别在验证所花费的时间ISO 26262认证。这时间可能会上升两到三倍,如果他们满足规范和添加失效分析。

这就是经济学开始看起来更有吸引力。最后一代许多这样的公司的芯片设计的汽车市场没有对安全性要求苛刻的评价。因此,虽然要花两三倍的时间,他们可能只得到10%的价格溢价。

”经济,如何生产出的产品,只有收入多10%但可能花费你两到三倍的一个主要部分的设计和验证过程?”克拉问道。“物联网,有类似,它有一个类似的经济价值。”

鉴于这些考虑,克拉视图物联网和汽车/安全具有非常相似的经济模型至关重要。从技术和市场的角度来看,导师看了安全关键方面类似于发生在低功率5到10年前。最初,这是关心它的无线产业,和低功耗技术在早期就被手机采用。EDA行业试图找出如果是未来趋势或只是在特定的市场利基。当然,现在很少有工业设计没有照顾功耗。

同样,EDA行业观察安全性至关重要的设计方法,并试图确定它会低功率的方式,开始在汽车,并传播到任何应用程序中一个人类。

“我们得出结论,它将跟随低功率跟随的道路,在一个特定的行业把最初需要然后它扩展和增长和发展。如果我将得到我的智能手机,在物联网将微波前5分钟我回家开始解冻我的晚餐,这就是安全性至关重要,因为它可以烧了我的房子,”他说。

对验证的影响是显著的。“哲学是验证一切,因为它应该工作,所以所有测试书面确认正确操作或事情正常工作。我们花很少的时间分析如果事情真的不正常工作的影响。在生产测试中,重点一直是当出现wrong-fault模拟。我们测试每一个芯片和应用这个“停留在故障高”,看看会发生什么,然后停留在故障低。然后你进入设计验证领域和一切运转良好,妥善开关。我们必须花更多的时间看,影响,”克拉说。

为此,他提出了三个主要方面,需要理解和开发功能安全。首先是理解的关键,什么不是,这是否可以自动化。二是随机故障分析。

“随机发生的是一个失败的设计提交操作时,和一些实际上改变了设计,永久或暂时的。你可能会在一些洒了咖啡,或伽马射线导致暂时的失败,因为我们的几何图形sub-22nm。在这些情况下,在设计变更所导致的,”克拉解释道。

有趣的是,这是下意识的反应,重启故障模拟,但这只是不会发生,他说。“如果你10 million-gate上运行良好的电路仿真设计,不寻常的今天,假设它可能带你一天。但假设你花了一个小时。盖茨现在如果你有1000万,那就相当于2000万年生的缺点。假设你很聪明在崩溃的那些缺点和等价性,和良好的压缩算法可能会让你减少了10倍,现在这2000万的缺点可以被压缩到200万甚至100万的缺点。如果你运行串行模拟的每一个错误时间一个小时,你会有一百万小时的模拟。我们都知道,我们有并行故障模拟器和并发故障模拟器。测试出来的世界,人们忘了,故障模拟器没有发明进行分析设计。他们发明了分析测试。他们分析测试并告诉你如果测试不够好。”

需要开发的第三个功能安全是系统性失误分析,克拉说。“系统失败是发生在这个领域,但没有设计的物理变化。设计就失效了。那是有趣的,因为在某些方面,这只是意味着没有验证。你可以称这种类型的分析做更好的验证,并开始推动更多coverage-driven验证工程团队。这里关系在便携式刺激努力的标准,因为它就像一个下一代约束随机测试。”

他认为这项工作在便携式刺激将是许多汽车空间安全至关重要的地区之一,因为它是为了帮助团队做得更好更广泛的验证。节奏、导师图形Breker等投资。

与故障仿真有效为导师图形表,该公司正在研究衍生品的形式验证。使用正式的技术,包括寻找单一事件心烦意乱的问题,而不是依靠传统的断言解决者。分析设计的目标是为其注入故障时的行为。

大卫Kelf,负责营销的副总裁OneSpin解决方案,也相信正式验证这些系统是理想的。“工程师必须功能构建到设备允许他们陷阱和修复中可能发生随机故障设备在操作过程中由于电磁干扰,过热或其他原因。这些故障处理电路的验证需要插入故障设备期间核查,及其对设备操作的结果记录下来。有趣的是,这种验证方法是类似于设计为测试从很多年前,和通常使用类似的技术。”

但它是早期功能安全空间,和许多路径探索。

的首席执行官治之指出,从历史上看,故障模拟是门水平,然后开始转向RTL。问题是进入汽车的设备可能有一个32位的ARM或MIPS处理器,运行速度为100 mhz,数以千万计的运行指令。

“你不能模拟这个故障模拟器,甚至在RTL级,“Davidmann说。“所以如果你需要证明它的宽容这些内存位翻转,你怎么做?故障模拟的方法是一个好主意,但老故障模拟器只适合小块的逻辑。他们不会做你的系统,包括处理器。他们只是对RTL有益。他们是好块级设计。但是他们没有好的来验证你的整个系统。随着系统越来越复杂,更依赖于软件,安全的要求,特别是在汽车、越来越严格。我们发现老的工具,概念是适用的,但实际的工具不工作。与传统的门电路级/ RTL仿真不能启动软件。 This is why the big EDA players are getting into hardware assist (emulators) again because they can’t see any other way to do it.”

其他公司,如治之,大学,喜欢UFRGS / LIRMM正在与故障模拟instruction-accurate级别。这工作是处理类似的故障集和覆盖率结果类似,但使用instruction-accurate而不是cycle-accurate(门级)模拟,在运行成千上万倍门电路级故障模拟方法。正是这些新方法将最有用的认证和ISO 26262等符合汽车标准。

根本差异
当它归结到它,为物联网核查和汽车在概念上是不同的。汽车是迫使人们有标准验证的事情,因为安全问题。物联网,无论它是工业、汽车、医疗、或消费者——都是相互关联的,复杂的处理子系统之间的通信。这两个领域都关心安全,需要保护自己免受入侵和伤害,但所需的验证每一个是不同的。

不过,作为发展的挑战,必须发展的工具。

“老模拟器只能运行每秒1000万条指令,但现在已经运行1亿只是因为硬件的性能增加了电子产品的“Davidmann说。“所以你必须在同一时间做更多的验证。如果你有一百万行代码,你不能运行它超过一个月。你必须在一天或一个小时,因为每个人都检查代码的变化,你需要使用持续集成等现代软件开发实践。我们需要新的工具吗?是的,我们做的,他们是否都是一样的,只是快。但绝对的工具需要发展和改善他们的表现和提高产品性能一样快。”

有关的故事
反思验证汽车(第1部分)
汽车行业如何提高可靠性。
什么可能出错在汽车(第1部分)
安全、诊断标准和自主汽车的未来。
安全技术存在的问题
影响生态系统可以采用自动车辆慢收益与谨慎。
汽车的成本就越高
供应商希望进入这一市场在设计时支付溢价,认证和验证要求。