验证功能安全(第2部分)

汽车行业正在与成本之间的权衡和安全。cost-insensitive安全是很好理解的行业,如航空航天、医疗和消费者行业有着悠久的降低成本,同时增加的记录功能。但是这两个行业可以聚集在一个安全的和有效的方式,使汽车能够实现自主驾驶的目标?

功能验证功能安全意味着设计已被证明能够随机故障的检测和恢复执行系统。这是超出要求系统性缺陷的消除是与传统的功能验证和超越的不确定性对部署的技术,如机器学习统计在性质和当前验证的范围之外的技术。

有两个基本方法,可用于解决这个问题。一是将design-for-safety技巧可以保证检测到所有随机错误,如重复、插入检测逻辑,另一个是和使用安全验证工具来显示所有的错误将会检测到或不会导致安全失败。

消除系统故障
这两种技术依赖于良好的基础开始,这意味着没有系统性问题仍然在设计。“系统的验证,如中定义ISO 26262,需要一个严格的编目方法要求和确保测试计划匹配他们在个体基础上,”首席执行官解释道Breker。“这是一致的便携式刺激(PS)的方法定义场景要测试。PS场景可以定义匹配原始需求,和报道的场景可能被评估对原始需求的意图。为了确保良好的随机故障覆盖率,和与生产测试,只需要一个故障检测、功能安全的背景下,汽车需要确保错误总是会发现在所有情况下。这意味着你不得不开始与一组场景,或测试,充分地覆盖所有依赖的功能的设备。正确的方法是首先的模型功能的意图。”

”正式的财产检查也可以用来避免系统失败的设计,”副总裁Roger Sabbagh应用工程Oski技术。”它可以发挥巨大的作用在确保没有潜在的错误会造成伤害或损坏,从而增加设备的安全。”

设计的安全
在cost-insensitive行业,重复已经使用了很长一段时间。“曾经是重复简单的解决方案,”解释Alexis Boutillier功能安全经理ArterisIP。“你试着减少的地区,今天这发生。你限制它的逻辑,不能保护ECC等技术。这通常是你在哪里做转换的信息。大部分是保护以相似的方式通信,您可以使用相同的技术用于电信- CRC, ECC和奇偶校验。它并不总是完美的,但它确实提供了很好的覆盖最少的成本。”

另一种流行的技术涉及到跳棋。“你必须设计安全的观察者和跳棋,围坐在设计,”之一Apurva氧化钾表示系统中研发副总裁&验证小组节奏。“这些发现是否发生坏事。必须在设计过程的早期阶段,这就是设计的安全。”

现在的问题是把它们放在哪里。“你需要监控,检查一切可能,“Boutillier补充道。“这从时钟,重置,超时,尤其是对一个知识产权你不控制一切。”

另一种方法是检查软件。“一些用户依赖软件测试库,他们报道的一部分,“Srikanth Rengarajan解释说,产品和业务发展副总裁奥氏体回火设计系统。“一个公司部署的阈值技术来定义一个安全故障专门为datapath公司。”

但什么是错吗?“并不是所有的错误都是错误和应用程序决定何时宣布的错,”Rengarajan补充道。“在IC级,标准包的技巧(ECC、平价、因循守旧,咯)继续看到广泛部署,但随着芯片尺寸增加到1亿门+这些技术的范围缩小了范围。需求有针对性的工具复制和ECC保护IC和IP设计师减少design-bloat和维护时间表。”

什么新硬件结构如神经网络(NNs) ?”部分的要求必须满足汽车市场网络的分析和展示如何失败,“Boutillier解释道。“有很多方法,可以失败,但你在做定性分析后正确训练(这是一个假设),寻找故障发生内随机网络,对输出结果。”

从根本上说,网络是没有错误的,但没有检查培训。“功能安全的定义,或者至少一个内使用ISO 26262,是自由的现象将导致的行为变化的设计,“氧化钾说。”这意味着,如果这种现象发生时,系统的其余部分应该能够反应的方式确保整个汽车运行在一个安全的状态。运用ADAS,这需要从许多传感器输入,并使用人工智能来决定下一步要做什么,安全的定义是,“如果任何输入,例如激光雷达,发送一个图像是错误的或有故障,系统的其余部分应该能够正确或检测,或至少提醒用户系统中发生了一些变化,不再是能够做出决定。”

Boutillier还指出神经网络的结构,它可以帮助。“NNs通常运行在迭代。迭代次数越多,你越接近最后的答案。错误发生在早期的迭代中更容易错误比后期因为你是收敛。“当”故障发生可能是重要的。定性分析是非常重要的,需要由领域专家可以表明,如果有更改的一层然后输出的影响最小。”

安全验证和功能验证
考虑一个工具的功能是经常混淆。”Synopsys对此的确定性在于功能验证的领域,因为它提供了一个客观的度量功能验证环境多好,”解释了David Hsu Synopsys对此产品营销主管。“这变异RTL并试图看看testbench可以使敏感,检测和捕获失败。然而,功能安全验证故障注入是随机缺陷。虽然您可以使用类似的技术,但它不会因为错误的数量规模,即使是停留在”,这是基本的最低,是一个巨大的数字。如果你要对断层效应模拟设计的每一个错,那么不会规模。可伸缩性是至关重要的。”

汽车业务发展主管马克•Serugetti Synopsys对此解决方案,提供了一个框架。“你必须开始考虑使用不同的技术功能安全流动。首先你必须做失效模式分析。这里的工作是看安全机制,然后尝试定义安全级别或适合(失败)我需要到达率。然后你开始使用多种技术。我们讨论确定性和系统误差。然后故障模拟这是针对故障注入。你也可以开始申请其他技术,如正式的方法来减少故障列表,因为他们中的一些人永远不会达到,也可能是安全的。然后最重要的是你把真正的软件运行在另一个层。这可能需要运行速度更快,使用模拟。你把所有这些信息和注释FMEDA分析,这样您就可以生成工作产品。”

安全验证一直是该行业的致命弱点。“ISO 26262建议采用故障注入的首选方法在安全的情况下,“Rengarajan补充道。“历史上,运行一个详尽的断层活动的可行性microcontroller-based设计使这个建议没有实际意义,与供应商采取proof-by-analysis /感应他们的案件。这可能采取的形式ISO-coverage建议支持论点的现有技术和生产中的或简单复制添加成本。”

”的双重打击,更大的芯片执行更多的高安全性的应用程序时,陪审员不愿允许参数提出经济学使重复难以忍受,“继续Rengarajan。“这将创建一个需要一个新的验证方法可以扩展到用于故障测试soc明天的高级驾驶员辅助系统。使用并行技术和创新的组合故障传播算法,产品开始出现,为故障提供指数加速运动。采用错误注射作为默认安全验证方法将行业的拐点已经等待了无人驾驶技术的大规模部署。”

故障模拟并不是新鲜事。“故障模拟已经存在测试设计(DFT)和生成时间世界多年来帮助分析故障覆盖生产测试,”布莱恩·拉米雷斯说,战略营销经理导师,西门子业务。“但分析断层对制造业不同分析故障安全。”

拉米雷斯指向三个方面在处理随机硬件故障:

• 安全分析,理解设计如何失败,这些失败如何与安全目标,并确定区域的设计需要更安全。这在很大程度上是一个由过程管理复杂的电子表格。“可能会有机会为工具,以更好地管理和自动化部分,但删除“专家”完全不是在ISO 26262的精神,”他说。
• 提高设计通过增加安全机制的设计更安全。有机会来改善这个过程的效率。这开始于帮助客户理解需要在架构级别安全机制和提供指导类型的安全机制来实现。这些可能包括built-in-self-tests、额外的逻辑保护和冗余。自动插入这些安全机制将进一步提高效率的增加设计安全保护和功能安全成本可控的。
• 故障注入,用于测试的设计表现在硬件故障。“这是有很多的地方的重点从工具提供商,但它有很长的路要走,如果行业希望能够提供技术,可以有效地分析(成本和时间)断层的规模和失败的现代汽车出类拔萃。”

最后一步可以增强使用正式的分析。“正式确认之前可以预先限制故障模拟修剪出那些被证明是多余的或non-propagatable”Oski的Sabbagh说。“这节省了时间和资源。”

必要的故障列表是进化。“您需要一种方法来区分系统的错误,比如一个错误在这个过程中,它将总是有一个问题,将生成一个随机故障,例如,一个随机读取失败,但有三分之一是介于两者之间,“ArterisIP的Boutillier说。“如果你有一个错误,改变服务质量,你现在有一些延迟,而不是低延迟高,很难与现有的ISO说你有错。产品还没有死,但如果我们继续以这种方式可能会导致失败,但你不能说这不是工作。”

有一个问题故障仿真。“尽管故障模拟是一种公认的方法,它遭受的事实结果只是一样好提供的刺激testbench,”Jorg Grosse指出,产品经理的功能安全OneSpin解决方案。“考虑到多数断层的场景和可能的输入组合,很难达到一个高水平的结果的信心。结果甚至可能是不确定的某些故障场景。”

Grosse概述了选择。“伟大的形式验证的优点是,它可以提供一个结论性的答案是否检测到一个错误,因为它认为所有可能输入场景,从而消除了依赖刺激。类似于模拟信号/值力量,现代形式验证工具有能力削减和领带内部信号。这种能力可以探索创建故障场景和运行证明,这种故障检测到场景的安全机制。故障场景可以包括时间、启用条件,数量和类型的缺点,这使得自动化超越削减和领带可取的。”

ISO 26262建议正式验证用于验证安全需求,因为它是最详尽的方法检测失败和错误的设计。“这些实践可以而且应该被用于任何需要功能性的设计安全、“Sabbagh补充道。需求管理系统”,以确保有效性,必须用于提供可追溯性的安全要求通过验证和确认阶段展示设计满足要求。断言捕捉这些安全要求,随后正式证明将提供终极满足这些需求的信心。”

无论使用什么工具,它们必须是合格的。“ISO定义工具的信心水平,”Boutillier解释道。“你看什么可能出错。例如,如果我是合成和工具有故障,你能发现吗?一种方法是说当你生成RTL还提供testbench确保生成的RTL对应于需求。合成,可以使用一个正式的证明,确保网表相当于RTL。这提供了良好的信心,如果发生了一些工具。然后我将检测并采取纠正措施。”

Synopsys对此“徐所赞同的。“客户必须证明他们的工具链,所以他们选择的工具和技术是很重要的。如果他们不是已经认证,客户已证明的工具不会引入一个不安全的问题。”

结论
功能安全的验证是一种新兴的技术,但它是至关重要的在汽车实现自治。虽然超出了第一代的工具,作为制造测试开发,有一个可以做更多的事。今天,循环中的专家是必要的,因为问题定义是接近棘手。

有关的故事
验证功能安全
2的第1部分:你如何权衡成本和安全在一辆汽车?另外,看看芯片行业正面临的一些挑战。
功能安全问题上升
成本和时间花在仿真和测试增长更多的芯片开发汽车、工业和医疗市场。
验证落后吗?
它的工具和方法越来越难以跟上增加设计复杂度。如何防止你的设计妥协。
技术讨论:ADAS
什么将会改变在汽车设计的道路上自主车辆。
技术讨论:ISO 26262
什么是新的在汽车标准以及如何设计汽车安全倒闭