功能安全验证

功能安全正在成为芯片设计的一个关键部分，对许多工程团队来说也是一个越来越多的问题。

电气和电子系统的功能安全并不是什么新鲜事。多年来，它一直是军事、航空航天和医疗工业的重要组成部分。但是，功能安全在汽车行业中日益重要，这也带来了一些新的变化。一方面，成本比其他行业更重要，在其他行业，功能安全一直是一个问题。此外，虽然大规模复制在过去是一种可以接受的方法，但汽车内部日益增长的复杂性和设计限制使这种解决方案变得不可行。

那么，如何在成本和安全性之间进行权衡呢?半导体行业将不得不迅速适应这一趋势，因为它的发展速度比传统汽车行业更接近消费电子产品。更糟糕的是，功能安全性的验证正在给本已紧张的工具集增加压力，这些工具必须进行更改以满足新的要求。

“从一开始就非常复杂的验证问题，现在可能已经增加了一个数量级，”阿普尔瓦·卡利亚(Apurva Kalia)说，他是at系统与验证组的研发副总裁节奏．“现在，你不仅要确保芯片在工作，还必须确保它在可能发生意外的情况下也能工作——制造效应、阿尔法射线撞击，甚至恶意攻击，这些都可能导致芯片无法操作。在这种情况下，你如何保证整个系统的安全?”

功能验证和功能安全验证有多相似?西门子汽车解决方案业务开发总监马克•塞鲁盖蒂(Marc Serughetti)表示，它们非常不同Synopsys对此“在功能安全性和所需工具类型方面所面临的挑战是一个新的领域验证．这个问题必须考虑到系统的角度，当您超越知识产权而且SoC．汽车公司面临的另一个挑战是如何更早地做事，这包括在物理硬件可用之前做事。所以他们对如何测试软件，如何在芯片或硬件可用之前测试系统非常感兴趣。”

安全和ISO 26262
今天,ISO 26262是定义功能安全验证必须做什么的标准。Bryan Ramirez，战略营销经理Mentor是西门子旗下的企业，对我们需要关注的问题进行了简要总结。“从根本上说，ISO 26262旨在定义最先进的实践，以解决可能导致故障的两种类型的故障——系统故障和随机硬件故障。安全第三种是应该考虑的失效类型，但ISO 26262并没有直接涵盖它们。”

ISO 26262将系统性故障定义为“以确定的方式与某种原因相关的故障，只能通过改变设计或制造工艺、操作程序、文件或其他相关因素来消除。”

Ramirez解释道:“看待系统失败的另一种方式是，它们是设计中的错误或疏忽，是开发过程中某些人为错误的结果。“相比之下，随机硬件故障是无法预测硬件故障的。ISO 26262将随机硬件故障定义为“在硬件元素的生命周期内不可预测地发生的故障，并且遵循概率分布。”“随机故障背后的理念是，一个硬件可以在没有任何系统故障的情况下完美地设计和制造。”但这种硬件并不是永远100%可靠的，随着时间的推移，它有可能会出现故障。”

ISO 26262比其他行业更强调随机硬件故障。拉米雷斯说:“在过去，这个问题可以通过与专家进行人工安全分析来解决，以确定设计可能出现的故障以及如何减轻这些故障。”“这仍然是ISO 26262的重要组成部分，但当今汽车soc的规模和复杂性使其不可能考虑到每一种可能的故障情况和故障场景。”

最重要的是，当涉及不同行业时，术语可能会令人困惑。“功能安全这个术语是由系统公司创造的，”Kalia说。容错这个术语是由半导体和芯片设计师提出的。由于汽车被视为一个系统，功能安全术语就占了上风。但它的核心，即检测和测量的方式，都是关于故障检测。”

这种双重模式
不同类型的公司面临不同的挑战。Serughetti说:“有两种类型的公司在追求下一代汽车用soc。“有些传统消费者知道如何制造大型soc，但他们从未考虑过功能安全性。他们面临着挑战，‘如何将功能安全性从概念和架构一直应用到开发中?另一方面，更传统的汽车公司也在做微控制器。他们了解功能安全，但对越来越复杂、需要更多计算能力、安全性和网络的芯片没有任何经验。现有的工具适用于小型设计，但不适用于当前的设计。”

这种变化正在迅速发生。拉米雷斯说:“汽车芯片在规模和复杂性方面已经从几年前的行业落后者发展到现在的领导者。”“这些设备不仅比以前的汽车芯片更具挑战性，而且比目前为其他安全关键市场开发的任何其他ic都要复杂得多。反过来，这为实现更多自动化创造了机会，使功能安全流程更加有效。”

对于半导体公司来说，有一些大的惊喜等着他们。“改变的部分是，除了质量之外，你还必须能够追踪你所做的一切，”特朗普的功能安全经理亚历克西斯•布蒂利耶(Alexis Boutillier)表示ArterisIP．“购买SoC的一级公司希望能够看到它是如何构建的。他们希望看到用于定义需求的过程。有一个完整的监管链是建立在可追溯性要求之上的。”

许多半导体公司问的问题是，他们如何在汽车行业中部署现有的芯片?“许多半导体和知识产权公司倾向于关注功能，因此，安全成为了一个附加项，”英特尔产品营销经理拉杰什•拉马努贾姆(Rajesh Ramanujam)表示NetSpeed系统．“这是继子。除了与此方法相关的性能和面积下降外，它还会对您可以实现的功能安全完整性级别产生负面影响。无论是从项目规划的角度，还是在整个开发过程中，安全都必须被视为头等大事。”

所以简单的回答是，它不起作用。Serughetti说:“随着人们意识到这一点，发展很快。”“你需要从架构层面开始，考虑功能安全机制。在进入验证阶段之前会发生很多事情。关键是，功能安全不是生产线的末端活动。有两条平行的轨道需要相互沟通，它们将业务决策、成本决策、安全决策以及未来的安全决策汇集在一起。进入这个市场的公司需要改变心态。对于已经进入这个市场的人来说，这就变成了用于功能验证的环境的可伸缩性问题。”

Boutillier指出了三个p——人、过程和产品。“当你考虑一款新产品时，你必须考虑你可以用你的员工做什么，以及他们需要什么样的培训。你必须看一下过程，看看如何增强你的能力，然后你看一下产品，看看如何进行这种分析，并在产品中建立安全性。当我看到传统汽车行业的人，他们对安全有了解，但他们通常来自简单的微控制器。当他们试图构建一个非常复杂的设计时，他们被自己的做事方式所阻碍。他们会复制所有东西，这是一个很好的方法。但当你有2000万个大门时，这就不可能了。他们的问题是规模问题。他们需要能够划分他们正在建造的东西。”

所以问题的两个方面都遇到了规模问题。在传统汽车方面，挑战在于建立冗余，这样你就可以免受随机故障的影响。在半导体方面，它正在扩展验证工具和方法，以便工具可以断言所有故障都可以被检测到并处理，而不会出现不必要的重复。

前进的道路
如今，这个行业正在不断变化，甚至在现实世界中发生的事情与行业标准的走向之间也存在分歧。“我的预测是，ISO 26262将不得不改变，”Kalia说。“ISO标准往往变化缓慢。从门级ADAS芯片的角度来看，也就是2亿个门，这是不可能规模化的。我希望即将在4月份发布的版本会涵盖这一点，但它不会。它仍然专注于门层。后续的版本将不得不把它提升到一个更高的水平，至少是RTL甚至可以达到建筑层面。否则问题不会扩大。”

这引起了人们对系统层面越来越多的关注，甚至对知识产权供应商也是如此。Synopsys产品营销总监David Hsu解释道:“许多IP和soc级别的客户可能没有或不理解系统级别的上下文，所以他们从ISO的角度来看，这是一个脱离上下文的安全元素。”“他们可能试图使他们的产品适合ASIL D应用，如果是这样，他们需要为他们的IP或SoC配备正确的安全机制集合。其中一些可能是硬件，可能使用冗余，这是一种避免执行一些功能安全任务的方法因为它从定义上来说是安全的。但这是昂贵的，所以还有其他基于硬件或软件的方法。你必须有一个系统层面的视角。”

但你也必须证明这些安全机制能够胜任这项任务。“硬件安全机制是实现功能安全的核心要素，它们需要从定性和定量的角度进行验证，”Jörg的功能安全产品经理Grosse说OneSpin解决方案．“由于硬件安全机制的目的是防止随机故障，因此安全标准建议使用某种类型的故障注入来验证它们。在基本层面上，这意味着工具必须注入故障，并验证安全机制可以检测到它。”

汽车行业也在部署新兴技术，比如神经网络，为功能安全的概念添加了其他因素。Serughetti说:“神经网络和人工智能在如何做出决策以及如何在系统到位之前验证决策方面带来了一个新概念。”“如果你发现了一个问题，你能多快更新系统?在航空航天领域，当你发现一个问题时，整个机队都会停飞。这里的汽车行业不同。你不能因为有一个缺陷就把所有的车都停了。这是一个进化，人们试图弄清楚如何进行验证。目前在硬件、软件和系统上使用的所有验证技术都将继续存在。但神经网络带来了另一个维度，其中存在不确定性。”

本文的第二部分将研究行业采用的安全设计方法，以及正在开发的验证工具和方法，以表明设计是安全的。

有关的故事
功能安全问题日益突出
随着越来越多的芯片被开发用于汽车、工业和医疗市场，用于模拟和测试的成本和时间也在增长。
核查落后了吗?
工具和方法越来越难以跟上日益增加的设计复杂性。如何防止你的设计被破坏。
技术讲座:ADAS
在通往自动驾驶汽车的道路上，汽车设计会发生什么变化?
技术讲座:ISO 26262
汽车标准中有什么新东西，以及如何设计可以安全故障的汽车