为什么它是如此困难,确保系统安全

安全正在成为一个问题在越来越多的行业,但标准和方法不到位,确保电子系统实现定义的安全。大部分落在肩膀上的芯片行业,提供底层技术,产生了这样的问题:什么更可以改善安全完成。

一个粗略的分类介绍了最近的验证和测试安全(参见下面的图1)。许多问题跨越一个总矩阵。例如,自主车辆必须有安全可靠的硬件和软件产品的生命周期,但也必须保持安全甚至存在硬件故障。不幸的是,没有任何工具可以确定这个抽象的目标已经实现。相反,工具和方法往往覆盖一个或两个的盒子,和有点特别的集成。反过来,允许一些潜在问题之间的裂缝。此外,使用的指标是松散与现实。

图1:矩阵与安全相关的问题。来源:半导体工程

更糟糕的是,并不是所有的盒子或组合框是充分处理今天,部分原因是他们被视为低优先级和部分原因是成本实在是太高了。例如,硬件安全处理的标准在几个领域。软件安全也是由不同的标准,但没有定义的安全硬件和软件相结合或谈论安全的完整的系统。最接近它是考虑断层活动,试图证明硬件错误检测到软件的百分比。此外,更多的硬件优化对于定义工作负载和场景,可能性就越大,软件,或未来的软件更新,将导致硬件操作的方式,最初没有考虑。这反过来会导致硬件过早地年龄,或者把它放到国家创造意想不到的漏洞。

故障模型
测量任何需要一个实用的指标,一定是驯良的有效的,但不一定必须基于现实。故障模型,如stuck-at-fault,已经存在很长时间,证明有效的代表硬件故障,尽管有很多方法,硬件可以失败,比如开路,短路,或缓慢的操作。瞬态故障也很重要,因为他们代表可能bit-flips由辐射引起的。

“家庭规范,适用于功能安全在几个行业,”皮特荷迪说,集团产品管理主管节奏。“有一种普遍的IEC标准IEC 61508,这是一种元标准。ISO 26262是一个衍生品,更具体的汽车市场。有相同的其他衍生品元标准铁路、医疗设备、工厂自动化、核,各种各样的东西。有做- 254,适用于航空航天工业。越来越多的人进入这些领域的供应链,必须考虑会议的一些功能安全规范。”

然后我们可以进军这些规格。“ISO 26262,特别是部分5和11,是半导体的指导,”杰克Wiltgen说功能安全和自主解决方案经理西门子数字行业软件。“有具体的指标,被要求的标准,这是覆盖率指标。ISO的术语是诊断覆盖率,失败率,但本质上是检测总失败率。”

过程需要建立。“实现高度的信心安全依赖于定义良好的流程及其严格的服从,”罗兰Jancke说设计方法在弗劳恩霍夫IIS的自适应系统分部工程。“最好的方法之一是需求工程(RE)。要从正确的定义的安全目标,收益与设置各自的需求,并将它们转换为测试用例。一个重要成分是建立需求跟踪沿整个过程只为了进入设计循环受影响的部位,以防任何变化。”

汽车,安全系统需要取决于程度的自治。“这真的取决于ASIL人们的目标水平,”节奏的荷迪说。“ASIL没有真正的改变,但我必须把我的认证过程。“ASIL B可以在某些情况下非常影响不大。但当谈到会议ASIL C和ASIL D水平,它可以变得相当具有挑战性。这在很大程度上与人们已经做什么功能验证,因为基本方法来验证和满足规范是看一个好机器,并达到良好的覆盖与功能验证。然后我要比较坏的机器中,我将介绍的缺点。故障率应该10 - 8 /操作小时和我有能够检测到99%的失败和确保系统不安全。”

如何做是留给设计师。“这是设计师提出的架构,或技术或解决方案,这可能表明他们可以满足这些质量目标,”Simon Davidmann说治之软件的创始人兼首席执行官。“挑战在于如何评估他们的质量完成。他们可能想要运行仿真,故障注入,弹性如何他们的软件和硬件是这些缺点。有相当多的工作被完成的故障模型,代表不同的东西在现实世界里发生。”

这就是实用性。“如果你看1亿门的设计和不同的故障机制,没有任何单一的方法可以覆盖,“说Manish Pandey,负责工程的副总裁Synopsys对此EDA小组。“从形式的角度来看,所有的缺点和试图传播在计算上是不可行的。我们需要更好的方法为采样点,有不同的内部失效模式,决定安全的和不安全的地区,等等。这样的安全方法需要构建相应的断层活动方式,而这必须有意识地完成。微架构的认识是至关重要的。”

随着时间的推移,安全
这是不够理想的硬件。”另一个类别是保证预期的功能在整个生命周期中,”弗劳恩霍夫的Jancke说。“这是确保可靠性仿真,进而取决于适当的退化模型已知的衰老机制和全面终身外推能力。”

衰老起着至关重要的作用。“如果你看看生产测试,他们通常测试20%以上,除了绝对的规范,无论是时钟频率,功率,或温度,”罗伯特•Serphillips说产品经理快速地,DFT、和功能安全在西门子EDA。“硅将随时间降低,温度是非常重要的。高热量,设备身体慢下来。快速路径和缓慢的路径现在开始成为问题。从安全的角度来看,设备的方式表现在其周围的环境是如何的关键设备降解,以及如何开始出现故障,以及电路启动失败。所有需要占,而不仅仅是随机光子从外太空射击。能设备的行为一样的寿命是额定的什么?”

支持使用stuck-at-model吗?“当我们考虑老化、电路的阈值可以改变,”荷迪说。“电路可以更容易受到这些事情和设备可以彻底失败,这通常会创建一个困在的错。”

但并非总是如此。“当你去5或3 nm几何,有很多奇怪的方式这些芯片年龄和失败,“说Synopsys对此Pandey。“在导线,电迁移,这可能产生一个开放的电路。有一些机制,我们甚至不知道。另一个有趣的事情是如何发生的检测故障,以及嵌入式传感器在设计如何监控这些芯片是如何表现的,它们是如何退化。有潜在故障攀升吗?我们将不得不补充传统的断层活动方式与额外的芯片监控和芯片的情报。”

芯片监控补充其他BiST技术。“先进SLM显示器通过分析作为升级能够安全机制对间歇和有辱人格的缺点,”Dan Alexandrescu说,可靠性核心团队领袖在Synopsys对此战略系统工程。“多级方法使用信息从先进的传感器,是紧密嵌在关键设计街区。路径保证金监控、pre-error检测内存访问时间测量,ECC和阿拉伯学者事件评估团结地为相关和及时的安全和质量指标。可行的见解然后发布到系统执行机构及时正确的安全性和可靠性的威胁。深硅数据发送给边缘和云平台fleet-level监控。高级分析阶段提供一个快速和准确的理解非常罕见的事件和现象,帮助部署产品安全使用,使高质量为未来设计。”

在功能验证远程分析地方需求。“生命周期监测和报告回OEM,有一些错误的定义在一个特定的汽车VIN号码,是OEM厂商都希望做的事情,”约翰内斯·斯塔尔说,高级主管的产品线管理系统设计小组Synopsys对此。“从验证的角度来看,pre-silicon阶段,你必须确保这些机制的工作,并提供正确的信息。”

扩展到人工智能
自主车辆越来越多地利用人工智能,这引入了一组新的挑战的验证和确认。今天许多这样的不完全理解。图2(下图)定义了如何验证的AI系统有别于传统的软件。

图2:对比传统和机器学习算法从v和v的角度来看。来源:转载许可从一篇名为《PolyVerif:开源环境自主车辆加速度,验证和验证研究”由拉胡尔拉兹丹,et al . IEEE - 2023的访问

如何检测到一个人工智能系统已经失败了?“人工智能是一个统计制度,它将失败在某种程度上,“Pandey说。“我们如何确保这些继续表现好系统?还有新兴工作正式验证这些人工智能系统和确保他们保持在允许范围内。有研究包含这些系统。但是如果我们正在补充传统的耕作制度和额外的传感器和其他故障安全机制,有一些需要资格和确保系统实际上做他们应该做的事。”

在未来,它变得更加复杂。“在哲学层面上,一个人工智能系统在本质上是一个学习系统,“Synopsys对此“斯特尔说。“软件是由一个人类写的和可以包含错误。所以哲学,AI有更高的风险比软件吗?这是一个人工智能系统,可以学习吗?”

约束断层空间
为硬件故障空间是巨大的,即使一个高度受限的故障模型。所以必须使用额外的技术限制故障的数量确实需要考虑。

“和诊断故障模式影响分析(FMEDA)考虑电路的可靠性数据处理,”荷迪说。“你是看失败的模式以及这些模式的影响。所以我们真的只看缺点的子集,这可能发生在传播功能输出,可能造成伤害的地方。”

没有一个最好的方法。“你注入故障与故障模拟设计和看看他们检测到或观察到,“西门子Wiltgen说。“但这并不是唯一的方法。还有其他的分析方法,可以部署到这些指标,。需要结合不同的工具和方法,在静态和正式的空间,以及模拟空间,到达这些指标尽可能快速高效地。”

实地测试和数字双胞胎可以补充现有的工具。”有人通过dip开关,小提琴,说我在这里插入一个错误,”Frank Schirrmeister说Arteris营销副总裁。“你实际上想要检查你的测试发现这个bug。这就像运行安全运动,但身体系统中运行它。这样会有更多的工具插入安全物品吗?可能,他们会扩展成虚拟化。与电子数字双你插入一些和找出如果真实硬件匹配的虚拟表示形式。”

结论
经验证据表明,简化故障模型,合理应用于系统的硬件方面,加上软件和内置的传感器来检测,有时正确的行为,做一个适当的工作确保硬件对其一生是安全的。它依赖于一些专家俯瞰过程以确保充分考虑,基于操作环境和安全,可以提供。

然而,这个过程是特别的和不完整的,因为它不看看总系统安全。这应该是我们的目标。