自動(dòng)駕駛汽車是數(shù)十個(gè)高度復(fù)雜系統(tǒng)的集大成者，它將最先進(jìn)的技術(shù)融入電子硬件、傳感器、軟件等。構(gòu)思和設(shè)計(jì)這些系統(tǒng)無疑是當(dāng)今工程師面臨的最大挑戰(zhàn)之一。唯一更大的挑戰(zhàn)是讓謹(jǐn)慎的公眾相信這些自動(dòng)化系統(tǒng)比預(yù)期更安全。根據(jù)美國(guó)汽車協(xié)會(huì)(AAA)最近的一項(xiàng)調(diào)查，71%的美國(guó)人表示害怕乘坐無人駕駛汽車。公眾對(duì)自動(dòng)駕駛的看法仍然是成功的最大障礙。

自動(dòng)駕駛汽車制造商需要展示他們開發(fā)的自動(dòng)駕駛系統(tǒng)的各個(gè)方面的安全性和可靠性，從而建立與公眾的信任，并平息他們的恐懼。除了軟件外，為這些系統(tǒng)提供支撐的先進(jìn)集成電路(IC)和SoC硬件也將成為關(guān)鍵問題。為此，汽車行業(yè)建立了一套專注于電氣和電子系統(tǒng)安全的流程和標(biāo)準(zhǔn)，稱為功能安全。

功能安全的目標(biāo)是降低電氣和電子元件因故障而發(fā)生失效的風(fēng)險(xiǎn)。在汽車行業(yè)，這些流程和要求已在ISO 26262標(biāo)準(zhǔn)中規(guī)范化。ISO 26262要求對(duì)電子設(shè)備進(jìn)行隨機(jī)硬件故障和系統(tǒng)故障測(cè)試。

系統(tǒng)性故障是指防止IC或SoC根據(jù)產(chǎn)品規(guī)格正常運(yùn)行的故障。這些可能是設(shè)計(jì)錯(cuò)誤、硬件/軟件接口問題、誤解或不完整的規(guī)范等等。隨著時(shí)間的推移，IC行業(yè)積累了大量用于處理系統(tǒng)故障的知識(shí)、工具和流程。相比之下，該行業(yè)的經(jīng)驗(yàn)較少，也沒有能力發(fā)現(xiàn)和解決隨機(jī)硬件故障。隨機(jī)硬件故障是不可預(yù)測(cè)的，并且會(huì)隨著IC的運(yùn)行而發(fā)生。

ISO 26262要求芯片在發(fā)生隨機(jī)硬件故障時(shí)繼續(xù)工作或者失效安全。確保IC隨機(jī)故障失效安全需要四個(gè)關(guān)鍵過程（圖2）：

·生命周期管理：覆蓋從計(jì)劃到合規(guī)的功能安全生命周期。包括變更、配置、項(xiàng)目、需求、質(zhì)量保證和審計(jì)/合規(guī)管理。生命周期管理過程在整個(gè)開發(fā)過程中持續(xù)開展。

·安全分析：幫助設(shè)計(jì)人員了解設(shè)計(jì)如何因隨機(jī)硬件故障而失效。故障模式和影響診斷分析(FMEDA)識(shí)別設(shè)計(jì)的潛在故障模式、故障率、每種模式將如何影響其功能，以及自動(dòng)診斷將捕獲每種故障模式的概率。然后，工程師進(jìn)行安全差距分析，以確定達(dá)到其安全目標(biāo)所需的安全改進(jìn)。

·安全設(shè)計(jì)：通過增強(qiáng)設(shè)計(jì)以減輕隨機(jī)硬件故障造成的潛在故障。這是通過在設(shè)計(jì)中插入檢測(cè)和糾正錯(cuò)誤行為的安全機(jī)制來實(shí)現(xiàn)的，確保設(shè)計(jì)運(yùn)行安全或者失效安全。

·安全驗(yàn)證：通過故障注入過程驗(yàn)證一組故障度量指標(biāo)，來證明設(shè)計(jì)是安全的。故障指標(biāo)集包括單點(diǎn)和潛在故障指標(biāo)(SPFM/LFM)以及診斷覆蓋率(DC)。

圖2：安全IC設(shè)計(jì)的四個(gè)關(guān)鍵過程。

這些過程在閉環(huán)流程中運(yùn)行，每個(gè)過程的結(jié)果都會(huì)通知下一步。這對(duì)于解決隨機(jī)硬件故障和一次性構(gòu)建安全的IC設(shè)計(jì)至關(guān)重要。我們簡(jiǎn)要討論一下這些流程和高級(jí)驗(yàn)證技術(shù)，它們可以提高驗(yàn)證工程師在每個(gè)階段的效率。

生命周期管理

ISO 26262包括設(shè)計(jì)變更、測(cè)試結(jié)果和安全指標(biāo)的跟蹤和管理指南。許多公司仍然依靠他們的工程師手動(dòng)跟蹤和收集這些信息。手動(dòng)方法速度慢，容易在記錄的數(shù)據(jù)中引入錯(cuò)誤，并且無法將重要信息鏈接在一起，使得追溯變得困難。因此，工程師在為審計(jì)和評(píng)估創(chuàng)建必要的工作產(chǎn)品之前，會(huì)花時(shí)間將信息拼湊在一起。隨著汽車IC的日益復(fù)雜，手動(dòng)需求和合規(guī)性管理已不再足夠。

需求驅(qū)動(dòng)的驗(yàn)證流程對(duì)于在汽車IC業(yè)務(wù)中競(jìng)爭(zhēng)的公司至關(guān)重要。應(yīng)用程序生命周期管理(ALM)解決方案，通過為整個(gè)功能安全流程提供數(shù)字主干，來實(shí)現(xiàn)需求驅(qū)動(dòng)的流程。ALM為工程師提供了證明關(guān)鍵汽車電子設(shè)備功能安全所需的信息，從而消除了手動(dòng)收集這些數(shù)據(jù)的耗時(shí)過程。

安全分析

有了生命周期管理解決方案，證明功能安全的第一步是安全分析。安全架構(gòu)師通常首先通過創(chuàng)建故障模式和影響診斷分析(FMEDA)來識(shí)別設(shè)計(jì)的故障模式，然后計(jì)算設(shè)計(jì)的基礎(chǔ)失效率 (FIT)，并估計(jì)單點(diǎn)故障和潛在故障指標(biāo)（SPFM/LFM）。然后，安全架構(gòu)師可以探索需要提高安全性的設(shè)計(jì)領(lǐng)域，并確定適當(dāng)?shù)陌踩珯C(jī)制以滿足目標(biāo)安全等級(jí)（圖3）。

圖3：安全分析確定了設(shè)計(jì)的故障模式和合適的安全機(jī)制。

在改進(jìn)設(shè)計(jì)后，安全分析期間生成的指標(biāo)將作為安全驗(yàn)證階段比較的基準(zhǔn)。此類分析應(yīng)在設(shè)計(jì)的架構(gòu)級(jí)別進(jìn)行，以生成最準(zhǔn)確的數(shù)字，從而增加在第一次創(chuàng)建安全I(xiàn)C的可能性，進(jìn)而節(jié)省成本高昂且耗時(shí)的迭代。

安全設(shè)計(jì)

既然工程師已經(jīng)制定了讓他們的設(shè)計(jì)更安全的計(jì)劃，那么根據(jù)安全分析，下一步就是在設(shè)計(jì)中插入安全機(jī)制。先進(jìn)的解決方案能夠?qū)踩珯C(jī)制自動(dòng)插入RTL，以實(shí)施運(yùn)行時(shí)設(shè)計(jì)強(qiáng)化技術(shù)（即ECC、CRC、奇偶校驗(yàn)、重復(fù)、復(fù)制）。這些機(jī)制是基于硬件的，直接解決永久和瞬態(tài)單點(diǎn)故障。然后，工程師可以插入邏輯和內(nèi)存內(nèi)置自測(cè)(LBIST/MBIST)結(jié)構(gòu)，以及用于這些引擎運(yùn)行的控制器。這些片上測(cè)試可以識(shí)別現(xiàn)場(chǎng)發(fā)生的潛伏故障，從而提高汽車芯片的長(zhǎng)期安全性和可靠性。

安全驗(yàn)證

最后，必須通過觀察其出現(xiàn)故障時(shí)的行為方式，來驗(yàn)證改進(jìn)的芯片設(shè)計(jì)是否安全。安全驗(yàn)證從使用安全分析階段生成的故障列表開始。然后，故障仿真用于將這些故障注入設(shè)計(jì)，產(chǎn)生一組新的故障度量，以證明在安全設(shè)計(jì)期間插入的安全機(jī)制的有效性。

故障仿真用于驗(yàn)證設(shè)計(jì)中識(shí)別的大部分故障。在RTL級(jí)別，IC設(shè)計(jì)的所有網(wǎng)絡(luò)、寄存器和端口都可能存在故障。再往下一層，門級(jí)網(wǎng)表的故障可能會(huì)多很多倍，達(dá)到數(shù)百萬。考慮安全指標(biāo)會(huì)進(jìn)一步增加潛伏故障的數(shù)量。此外，汽車SoC包含數(shù)字和模擬/混合信號(hào)電路的混合，增加了潛伏故障數(shù)量，并且需要可以跨數(shù)字和模擬/混合信號(hào)模塊執(zhí)行故障注入的解決方案。

為了保持仿真時(shí)間可控，工程師使用一系列技術(shù)來縮小故障活動(dòng)或故障列表的范圍，這被稱為故障優(yōu)化。一個(gè)例子是故障抽樣，隨機(jī)選擇數(shù)千個(gè)故障樣本。這減少了在安全驗(yàn)證期間需要激活的故障數(shù)量。

對(duì)于大多數(shù)功能，沒有必要針對(duì)所有可能的故障驗(yàn)證設(shè)計(jì)的安全性。但是，安全關(guān)鍵組件需要全面驗(yàn)證，以確保它們完全沒有錯(cuò)誤。即使是在相對(duì)平常的驗(yàn)證中實(shí)現(xiàn)這種級(jí)別的驗(yàn)證，也會(huì)很快超出仿真的能力。

因此，在安全關(guān)鍵設(shè)計(jì)中使用形式驗(yàn)證已廣受歡迎，因?yàn)樗ㄟ^大幅減少輸入條件實(shí)現(xiàn)了所需的驗(yàn)證級(jí)別。形式驗(yàn)證設(shè)計(jì)“廣度優(yōu)先”，自動(dòng)考慮所有可能的輸入條件。從這里開始，形式驗(yàn)證可以分析給定初始條件下可達(dá)到的所有狀態(tài)集。結(jié)果是一組最壞情況的安全指標(biāo)，這些指標(biāo)說明了設(shè)計(jì)中所有可能的故障。

除了通過形式化技術(shù)優(yōu)化故障列表外，容量更大的驗(yàn)證引擎還可以進(jìn)一步縮短驗(yàn)證時(shí)間。硬件仿真以兆赫(MHz)的速度在硬件設(shè)計(jì)中執(zhí)行測(cè)試，比仿真快幾個(gè)數(shù)量級(jí)。這使得系統(tǒng)驗(yàn)證能夠在芯片設(shè)計(jì)在流片之前開始，并提供對(duì)硬件設(shè)計(jì)的全面可見性，以實(shí)現(xiàn)高效調(diào)試。此外，仿真支持安全關(guān)鍵型汽車應(yīng)用的故障注入、監(jiān)控和結(jié)果分析。

無人時(shí)代的功能安全

在盡早進(jìn)入市場(chǎng)的巨大壓力下，汽車初創(chuàng)公司、老牌原始設(shè)備制造商和系統(tǒng)公司將需要一套先進(jìn)的驗(yàn)證工具來按時(shí)滿足這些嚴(yán)格的安全要求。當(dāng)他們面對(duì)令人印象深刻的復(fù)雜芯片時(shí)，驗(yàn)證團(tuán)隊(duì)將依靠強(qiáng)大的生命周期管理流程、自動(dòng)化以及模擬、仿真和形式化技術(shù)的組合來確保無人系統(tǒng)IC的安全性。

審核編輯 ：李倩