功能安全案例

ISO 26262 將汽車功能安全 (FuSa) 定義為“不存在因電氣和電子系統(tǒng)故障引起的危險而導致的不合理風險”。這是一個廣泛而深刻的話題，讓我們專注于從驗證工程師的角度以及在發(fā)現(xiàn)和避免錯誤的背景下所看到的驗證挑戰(zhàn)。汽車是一個對功能安全的需求幾乎不需要解釋的領(lǐng)域，考慮到現(xiàn)代汽車中硬件和軟件的復(fù)雜性和復(fù)雜性不斷提高，尤其是隨著電動汽車 (EV) 和自動駕駛的出現(xiàn)，更是如此。讓我們面對現(xiàn)實吧，這里的生命真的岌岌可危。因此，這就是為什么 FuSa 是針對汽車行業(yè)的半導體公司的關(guān)鍵考慮因素，導致他們在系統(tǒng)的純功能方面額外花費 30% 的開發(fā)工作。了解 ISO 26262 的含義和要求至關(guān)重要。

挑戰(zhàn) #1 – 發(fā)現(xiàn)設(shè)計中影響功能安全要求的系統(tǒng)性故障

對于安全至關(guān)重要的設(shè)備，毫無疑問，所有錯誤(無論是功能性的還是非功能性的)通常都是壞消息，尤其是當它們影響設(shè)備的安全要求時。這是一組標準的驗證挑戰(zhàn)，所有已建立的策略、工具、流程和方法都以與非安全關(guān)鍵設(shè)計相同的方式應(yīng)用。最大的區(qū)別是需要使用經(jīng)批準的需求管理平臺遵循嚴格的需求工作流程(規(guī)范、跟蹤和可追溯性)，還需要使用經(jīng)過認證的設(shè)計和驗證工作流程和最佳實踐。Synopsys 工具已通過 ISO 26262 ASIL D 認證，可加快質(zhì)量和功能安全認證。

動態(tài)和靜態(tài)方法都是有效的。出于顯而易見的原因，形式驗證在安全方面是一個不錯的選擇。在VC Formal® Formal Testbench Analyzer中，Synopsys Certitude® 技術(shù)與 VC Formal 集成，以提供有意義的屬性覆蓋測量，作為正式簽核的一部分，并識別任何弱點，例如缺少或不正確的屬性或約束。與獨立的故障注入方法相比，本機集成的性能提高了 5-10 倍。

挑戰(zhàn) #2 – 達到隨機故障的故障檢測/故障糾正目標

功能安全驗證明確建模由隨機缺陷引起的故障行為，并驗證安全關(guān)鍵型汽車 SoC 中內(nèi)置的安全機制是否正確管理這些行為。隨機硬件故障是由導致硬件故障的隨機事件引起的，它們可以是永久性的(固定故障)或瞬態(tài)的(單事件擾亂 (SEU) 或有時稱為“軟錯誤”)。

安全關(guān)鍵型設(shè)計旨在通過添加安全機制來減輕隨機硬件故障，從而為設(shè)備提供適合您系統(tǒng)目標的汽車安全完整性級別 (ASIL) 的所需容錯級別。所有安全機制都旨在檢測故障，更復(fù)雜的安全機制也可以糾正某些類別的故障;例如，糾錯碼 (ECC)、回滾和重試機制。即使故障無法糾正，檢測也意味著系統(tǒng)可以采取適當?shù)拇胧?，例如重置系統(tǒng)或?qū)⑾到y(tǒng)置于安全狀態(tài)，并可能點亮車輛儀表板上的警告燈。如今，現(xiàn)代車輛系統(tǒng)將自動向車輛制造商發(fā)送警報。然后，他們會在您了解問題之前通知您問題!

在您的設(shè)計中添加安全機制可能是一種平衡行為。畢竟，您正在添加更多的邏輯和更多的復(fù)雜性，這本身就是一個注入更多系統(tǒng)設(shè)計錯誤的機會，并且可能會改變設(shè)計的功率和性能特征。復(fù)雜的安全機制會產(chǎn)生復(fù)雜的極端情況，您需要系統(tǒng)地搜索這些情況。首先捕獲并列舉驗證測試計劃中的所有安全機制。您確定每種機制都經(jīng)過刺激和覆蓋范圍的充分驗證嗎?這將取決于您使用有意義的刺激動態(tài)模擬設(shè)備的能力，以及同時注入故障以行使安全機制的能力。

挑戰(zhàn) #3 – 執(zhí)行高效且有效的故障注入活動

功能安全驗證的核心是故障注入/故障模擬活動。目標是模擬所有故障，將它們分類為安全故障、單點故障、多點故障、殘余故障等標準類別，然后以所需 FMEDA 報告的形式生成 ISO 26262 安全指標. 該報告將展示設(shè)備如何根據(jù) ASIL(A、B、C 或 D)要求進行評分，并確定是否符合目標安全完整性級別。

像 Synopsys Z01X®解決方案這樣的現(xiàn)代故障模擬器提供強大的并發(fā)分布式故障模擬，使故障模型能夠在盡可能短的時間內(nèi)通過故障注入進行全面模擬。

其獨特的基于可測試性的故障優(yōu)化以及對超大型設(shè)計和故障列表的支持使其成為業(yè)內(nèi)久經(jīng)考驗的技術(shù)。結(jié)合形式化過濾技術(shù)，Synopsys VC Formal® FuSa App根據(jù)可觀察性或可檢測性標準對故障進行形式化識別和分類，為功能安全驗證工程師提供提高故障覆蓋率和加速故障分類的能力。

對于更長的故障場景和基于軟件的安全機制，Synopsys ZeBu®解決方案是業(yè)界最快的仿真系統(tǒng)，使故障活動能夠在故障注入/故障仿真下探索系統(tǒng)驗證有效負載。ZeBu 系統(tǒng)支持統(tǒng)一的故障數(shù)據(jù)庫集成，以實現(xiàn)與其他 Synopsys FuSa 工具鏈的順暢互操作性。

挑戰(zhàn) #4 – 避免將新錯誤注入重要的功能安全機制

如前所述，安全機制可能會變得相當復(fù)雜，并且在嘗試緩解隨機瞬態(tài)故障時，如果這樣做會注入嚴重的系統(tǒng)功能錯誤，則有點倒退?！叭绻鼪]有經(jīng)過測試，它就壞了”這句通常的格言仍然適用。您將需要激發(fā)安全機制、檢查正確行為并分析覆蓋范圍。您的激勵要求注入故障以調(diào)用被測安全機制，因此您需要一種方法將隨機故障注入您的測試平臺。更復(fù)雜的安全機制可能會在多個周期內(nèi)改變事件順序，例如，嘗試通過重試內(nèi)存訪問有限次數(shù)來糾正隨機故障的安全機制。

Synopsys為開發(fā)需要 ISO 26262 認證的 IP 和 SoC 的公司開發(fā)了第一個也是最統(tǒng)一的功能安全驗證解決方案。這種統(tǒng)一的功能安全驗證方法可幫助符合 ISO 26262 標準的產(chǎn)品開發(fā)人員滿足進度和質(zhì)量目標，并在競爭激烈的細分市場中贏得設(shè)計位置。