功能安全案例

ISO 26262 將汽車功能安全 (FuSa) 定義為“不存在因電氣和電子系統(tǒng)故障引起的危險(xiǎn)而導(dǎo)致的不合理風(fēng)險(xiǎn)”。這是一個(gè)廣泛而深刻的話題，讓我們專注于從驗(yàn)證工程師的角度以及在發(fā)現(xiàn)和避免錯(cuò)誤的背景下所看到的驗(yàn)證挑戰(zhàn)。汽車是一個(gè)對(duì)功能安全的需求幾乎不需要解釋的領(lǐng)域，考慮到現(xiàn)代汽車中硬件和軟件的復(fù)雜性和復(fù)雜性不斷提高，尤其是隨著電動(dòng)汽車 (EV) 和自動(dòng)駕駛的出現(xiàn)，更是如此。讓我們面對(duì)現(xiàn)實(shí)吧，這里的生命真的岌岌可危。因此，這就是為什么 FuSa 是針對(duì)汽車行業(yè)的半導(dǎo)體公司的關(guān)鍵考慮因素，導(dǎo)致他們?cè)谙到y(tǒng)的純功能方面額外花費(fèi) 30% 的開發(fā)工作。了解 ISO 26262 的含義和要求至關(guān)重要。

挑戰(zhàn) #1 – 發(fā)現(xiàn)設(shè)計(jì)中影響功能安全要求的系統(tǒng)性故障

對(duì)于安全至關(guān)重要的設(shè)備，毫無疑問，所有錯(cuò)誤(無論是功能性的還是非功能性的)通常都是壞消息，尤其是當(dāng)它們影響設(shè)備的安全要求時(shí)。這是一組標(biāo)準(zhǔn)的驗(yàn)證挑戰(zhàn)，所有已建立的策略、工具、流程和方法都以與非安全關(guān)鍵設(shè)計(jì)相同的方式應(yīng)用。最大的區(qū)別是需要使用經(jīng)批準(zhǔn)的需求管理平臺(tái)遵循嚴(yán)格的需求工作流程(規(guī)范、跟蹤和可追溯性)，還需要使用經(jīng)過認(rèn)證的設(shè)計(jì)和驗(yàn)證工作流程和最佳實(shí)踐。Synopsys 工具已通過 ISO 26262 ASIL D 認(rèn)證，可加快質(zhì)量和功能安全認(rèn)證。

動(dòng)態(tài)和靜態(tài)方法都是有效的。出于顯而易見的原因，形式驗(yàn)證在安全方面是一個(gè)不錯(cuò)的選擇。在VC Formal® Formal Testbench Analyzer中，Synopsys Certitude® 技術(shù)與 VC Formal 集成，以提供有意義的屬性覆蓋測(cè)量，作為正式簽核的一部分，并識(shí)別任何弱點(diǎn)，例如缺少或不正確的屬性或約束。與獨(dú)立的故障注入方法相比，本機(jī)集成的性能提高了 5-10 倍。

挑戰(zhàn) #2 – 達(dá)到隨機(jī)故障的故障檢測(cè)/故障糾正目標(biāo)

功能安全驗(yàn)證明確建模由隨機(jī)缺陷引起的故障行為，并驗(yàn)證安全關(guān)鍵型汽車 SoC 中內(nèi)置的安全機(jī)制是否正確管理這些行為。隨機(jī)硬件故障是由導(dǎo)致硬件故障的隨機(jī)事件引起的，它們可以是永久性的(固定故障)或瞬態(tài)的(單事件擾亂 (SEU) 或有時(shí)稱為“軟錯(cuò)誤”)。

安全關(guān)鍵型設(shè)計(jì)旨在通過添加安全機(jī)制來減輕隨機(jī)硬件故障，從而為設(shè)備提供適合您系統(tǒng)目標(biāo)的汽車安全完整性級(jí)別 (ASIL) 的所需容錯(cuò)級(jí)別。所有安全機(jī)制都旨在檢測(cè)故障，更復(fù)雜的安全機(jī)制也可以糾正某些類別的故障;例如，糾錯(cuò)碼 (ECC)、回滾和重試機(jī)制。即使故障無法糾正，檢測(cè)也意味著系統(tǒng)可以采取適當(dāng)?shù)拇胧?，例如重置系統(tǒng)或?qū)⑾到y(tǒng)置于安全狀態(tài)，并可能點(diǎn)亮車輛儀表板上的警告燈。如今，現(xiàn)代車輛系統(tǒng)將自動(dòng)向車輛制造商發(fā)送警報(bào)。然后，他們會(huì)在您了解問題之前通知您問題!

在您的設(shè)計(jì)中添加安全機(jī)制可能是一種平衡行為。畢竟，您正在添加更多的邏輯和更多的復(fù)雜性，這本身就是一個(gè)注入更多系統(tǒng)設(shè)計(jì)錯(cuò)誤的機(jī)會(huì)，并且可能會(huì)改變?cè)O(shè)計(jì)的功率和性能特征。復(fù)雜的安全機(jī)制會(huì)產(chǎn)生復(fù)雜的極端情況，您需要系統(tǒng)地搜索這些情況。首先捕獲并列舉驗(yàn)證測(cè)試計(jì)劃中的所有安全機(jī)制。您確定每種機(jī)制都經(jīng)過刺激和覆蓋范圍的充分驗(yàn)證嗎?這將取決于您使用有意義的刺激動(dòng)態(tài)模擬設(shè)備的能力，以及同時(shí)注入故障以行使安全機(jī)制的能力。

挑戰(zhàn) #3 – 執(zhí)行高效且有效的故障注入活動(dòng)

功能安全驗(yàn)證的核心是故障注入/故障模擬活動(dòng)。目標(biāo)是模擬所有故障，將它們分類為安全故障、單點(diǎn)故障、多點(diǎn)故障、殘余故障等標(biāo)準(zhǔn)類別，然后以所需 FMEDA 報(bào)告的形式生成 ISO 26262 安全指標(biāo). 該報(bào)告將展示設(shè)備如何根據(jù) ASIL(A、B、C 或 D)要求進(jìn)行評(píng)分，并確定是否符合目標(biāo)安全完整性級(jí)別。

像 Synopsys Z01X®解決方案這樣的現(xiàn)代故障模擬器提供強(qiáng)大的并發(fā)分布式故障模擬，使故障模型能夠在盡可能短的時(shí)間內(nèi)通過故障注入進(jìn)行全面模擬。

其獨(dú)特的基于可測(cè)試性的故障優(yōu)化以及對(duì)超大型設(shè)計(jì)和故障列表的支持使其成為業(yè)內(nèi)久經(jīng)考驗(yàn)的技術(shù)。結(jié)合形式化過濾技術(shù)，Synopsys VC Formal® FuSa App根據(jù)可觀察性或可檢測(cè)性標(biāo)準(zhǔn)對(duì)故障進(jìn)行形式化識(shí)別和分類，為功能安全驗(yàn)證工程師提供提高故障覆蓋率和加速故障分類的能力。

對(duì)于更長的故障場(chǎng)景和基于軟件的安全機(jī)制，Synopsys ZeBu®解決方案是業(yè)界最快的仿真系統(tǒng)，使故障活動(dòng)能夠在故障注入/故障仿真下探索系統(tǒng)驗(yàn)證有效負(fù)載。ZeBu 系統(tǒng)支持統(tǒng)一的故障數(shù)據(jù)庫集成，以實(shí)現(xiàn)與其他 Synopsys FuSa 工具鏈的順暢互操作性。

挑戰(zhàn) #4 – 避免將新錯(cuò)誤注入重要的功能安全機(jī)制

如前所述，安全機(jī)制可能會(huì)變得相當(dāng)復(fù)雜，并且在嘗試緩解隨機(jī)瞬態(tài)故障時(shí)，如果這樣做會(huì)注入嚴(yán)重的系統(tǒng)功能錯(cuò)誤，則有點(diǎn)倒退?！叭绻鼪]有經(jīng)過測(cè)試，它就壞了”這句通常的格言仍然適用。您將需要激發(fā)安全機(jī)制、檢查正確行為并分析覆蓋范圍。您的激勵(lì)要求注入故障以調(diào)用被測(cè)安全機(jī)制，因此您需要一種方法將隨機(jī)故障注入您的測(cè)試平臺(tái)。更復(fù)雜的安全機(jī)制可能會(huì)在多個(gè)周期內(nèi)改變事件順序，例如，嘗試通過重試內(nèi)存訪問有限次數(shù)來糾正隨機(jī)故障的安全機(jī)制。

Synopsys為開發(fā)需要 ISO 26262 認(rèn)證的 IP 和 SoC 的公司開發(fā)了第一個(gè)也是最統(tǒng)一的功能安全驗(yàn)證解決方案。這種統(tǒng)一的功能安全驗(yàn)證方法可幫助符合 ISO 26262 標(biāo)準(zhǔn)的產(chǎn)品開發(fā)人員滿足進(jìn)度和質(zhì)量目標(biāo)，并在競(jìng)爭激烈的細(xì)分市場(chǎng)中贏得設(shè)計(jì)位置。