选择正确的混合故障注入技术对最大效率很重要。
汽车ICs继续成倍增长的复杂性,甚至挑战最资深的团队提供创新的产品推向市场,同时确保安全通过操作产品的生命。
这是安全验证的目的。它的主要目标是理解是否安全架构充分防止随机故障违反ISO 26262商业和客运汽车的安全要求。完成安全验证、故障注入,传播和分类。故障分类然后用于生成所需的安全指标。
在本文中,我们将给出一个简短的背景故障注入技术和总结方法用于更有效地完成故障注入运动。
图1说明了故障注入的范围活动。两个输入和门包含三个错误注射部位。当推断故障站点的数量每门million-gate设计然后在所需的故障模型,由此产生的故障状态空间可以非常大。
图1:故障注入状态空间。
断层活动工作量也影响目标汽车安全完整性水平(ASIL),这是一个安全分类方案(有四个水平排名根据完整性需求)正在开发的一个系统。ASIL-D系统需要更高程度的故障覆盖率ASIL-B系统相比。覆盖率的增加需要额外的努力。ISO 26262进一步描述了故障注入的推荐活动ASIL-B ASIL-D系统和高度推荐活动。
更高程度的汽车半导体复杂性导致引进专用故障注入引擎和工具。这些专用软件工具帮助验证工程师通过引入并发性和情报错误的注入。图2展示了一个喷射式发动机拉故障从单一故障列表和并行性的努力通过执行注射跨多个引擎,与最先进的故障注入引擎利用多线程,多核,大机器网格。
图2:模拟故障注入流。
随着集成电路的复杂性不断增长,这种趋势一直持续支持汽车电气化,司机协助,和自主车辆汽车系统。汽车半导体已经全面系统芯片(SoC)组成的硬件和软件,数字和模拟组件、功能岛屿不同安全需求等等。选择正确的混合故障注入工具是重要的通过断层活动获得最大效率。
正式引擎、模拟器、硬件仿真和样机故障注入技术四个技术通常利用在断层运动。每个故障注入的解决方案提供了独特的功能各有其优点和缺点在解决一些挑战。根据产品开发,项目团队需要部署一个或多个解决方案。
形式分析利用正式的发动机进行故障分析和分类。正式的引擎使用静态分析和数学转换来评估故障注入和传播。正式分析详尽的整个状态空间和练习所有刺激的场景,从而使这种分析适合小块或在故障分类的实例证明是必需的。正式的另一个好处是,不需要testbench。这允许早期循环分类时同时提供差距关闭功能器用户故障注入平台(模拟或仿真)不要接近断层活动。有一些缺点在断层中使用正式的活动。正式的分析引擎经验能力的局限性,因此不适合高层分析大型出类拔萃。其次,高度可配置的ip添加一层复杂性由于额外的正式约束的必要性。最后,部署此功能可能需要正式的专业知识。
故障模拟故障注入运动是传统的主力。它提供了扩大容量和性能高于形式分析。根据设计的类型和大小,模拟是一个可行的选择,子系统和系统水平。然而,它需要一个testbench和成功取决于testbench刺激的鲁棒性。故障注入模拟也通常部署在两个数字和模拟/混合信号组件。
故障仿真进一步扩大产能提供硬件加速故障注入。大型设计和soc实现顶级安全机制,如数据路径CRC,受益于硬件加速。利用软件测试的应用程序库的安全体系结构和/或要求动态交互与软件安全机制将受益于仿真。最后,仿真是一个理想的平台,验证软件辅助硬件安全机制。
编排断层活动,这样每个解决方案补充他人是很重要的在实现最大效率和缩短断层活动持续时间。建议创建断层活动计划,描述注入测试将被执行,它将部署工具,多少缺点将被测试,等等。一旦工具决定,下一步是建立断层活动的执行方法。
西门子EDA促进三步流减少的总体执行时间范围和运动。
故障列表生成最终定义了断层活动的范围。正如功能如何报道细节必须达到所需的场景,一个错误列表定义了故障,必须注射和分类。
一旦故障列表生成、故障注入是表现在不同的引擎。虽然错误通常可以注入了许多工具,一个工具可能更有效地分类某些故障节点。因此,为了实现最大效率,故障列表应该分为桶,每个bucket针对一个特定的故障注入引擎。列表中的每个故障注入和分类后,故障注入停止。
流中的最后一步是安全指标计算和工作产品。常见的做法是提供一个失效模式影响和诊断分析(FMEDA)作为整体的一部分,安全情况。ISO 26262还建议提供一个FMEDA整个标准并提供了示例。FMEDA包含失效模式和整体安全指标,计算期间使用故障分类识别故障注入。
图3概述断层运动的工作流。在工具选择,方法是定制的基于设计概要文件和安全特性在设计。
图3:断层运动方法。
团队必须确定正确的故障注入工具基于混合应用程序和安全架构。那些做正确的将加快断层活动关闭和成功交付今天明天的汽车电子系统设计。
全面治疗这种方法和工具,加快断层活动关闭,请阅读这篇文章策划一个高效ISO26262断层运动。
|
|
|
|
|
|
|
|
留下一个回复