汽车设计和验证团队面临的主要 ISO 26262 功能安全挑战是什么?
扫描二维码
随时随地手机看文章
功能安全案例
ISO 26262 将汽车功能安全 (FuSa) 定义为“不存在因电气和电子系统故障引起的危险而导致的不合理风险”。这是一个广泛而深刻的话题,让我们专注于从验证工程师的角度以及在发现和避免错误的背景下所看到的验证挑战。汽车是一个对功能安全的需求几乎不需要解释的领域,考虑到现代汽车中硬件和软件的复杂性和复杂性不断提高,尤其是随着电动汽车 (EV) 和自动驾驶的出现,更是如此。让我们面对现实吧,这里的生命真的岌岌可危。因此,这就是为什么 FuSa 是针对汽车行业的半导体公司的关键考虑因素,导致他们在系统的纯功能方面额外花费 30% 的开发工作。了解 ISO 26262 的含义和要求至关重要。
挑战 #1 – 发现设计中影响功能安全要求的系统性故障
对于安全至关重要的设备,毫无疑问,所有错误(无论是功能性的还是非功能性的)通常都是坏消息,尤其是当它们影响设备的安全要求时。这是一组标准的验证挑战,所有已建立的策略、工具、流程和方法都以与非安全关键设计相同的方式应用。最大的区别是需要使用经批准的需求管理平台遵循严格的需求工作流程(规范、跟踪和可追溯性),还需要使用经过认证的设计和验证工作流程和最佳实践。Synopsys 工具已通过 ISO 26262 ASIL D 认证,可加快质量和功能安全认证。
动态和静态方法都是有效的。出于显而易见的原因,形式验证在安全方面是一个不错的选择。在VC Formal® Formal Testbench Analyzer中,Synopsys Certitude® 技术与 VC Formal 集成,以提供有意义的属性覆盖测量,作为正式签核的一部分,并识别任何弱点,例如缺少或不正确的属性或约束。与独立的故障注入方法相比,本机集成的性能提高了 5-10 倍。
挑战 #2 – 达到随机故障的故障检测/故障纠正目标
功能安全验证明确建模由随机缺陷引起的故障行为,并验证安全关键型汽车 SoC 中内置的安全机制是否正确管理这些行为。随机硬件故障是由导致硬件故障的随机事件引起的,它们可以是永久性的(固定故障)或瞬态的(单事件扰乱 (SEU) 或有时称为“软错误”)。
安全关键型设计旨在通过添加安全机制来减轻随机硬件故障,从而为设备提供适合您系统目标的汽车安全完整性级别 (ASIL) 的所需容错级别。所有安全机制都旨在检测故障,更复杂的安全机制也可以纠正某些类别的故障;例如,纠错码 (ECC)、回滚和重试机制。即使故障无法纠正,检测也意味着系统可以采取适当的措施,例如重置系统或将系统置于安全状态,并可能点亮车辆仪表板上的警告灯。如今,现代车辆系统将自动向车辆制造商发送警报。然后,他们会在您了解问题之前通知您问题!
在您的设计中添加安全机制可能是一种平衡行为。毕竟,您正在添加更多的逻辑和更多的复杂性,这本身就是一个注入更多系统设计错误的机会,并且可能会改变设计的功率和性能特征。复杂的安全机制会产生复杂的极端情况,您需要系统地搜索这些情况。首先捕获并列举验证测试计划中的所有安全机制。您确定每种机制都经过刺激和覆盖范围的充分验证吗?这将取决于您使用有意义的刺激动态模拟设备的能力,以及同时注入故障以行使安全机制的能力。
挑战 #3 – 执行高效且有效的故障注入活动
功能安全验证的核心是故障注入/故障模拟活动。目标是模拟所有故障,将它们分类为安全故障、单点故障、多点故障、残余故障等标准类别,然后以所需 FMEDA 报告的形式生成 ISO 26262 安全指标. 该报告将展示设备如何根据 ASIL(A、B、C 或 D)要求进行评分,并确定是否符合目标安全完整性级别。
像 Synopsys Z01X®解决方案这样的现代故障模拟器提供强大的并发分布式故障模拟,使故障模型能够在尽可能短的时间内通过故障注入进行全面模拟。
其独特的基于可测试性的故障优化以及对超大型设计和故障列表的支持使其成为业内久经考验的技术。结合形式化过滤技术,Synopsys VC Formal® FuSa App根据可观察性或可检测性标准对故障进行形式化识别和分类,为功能安全验证工程师提供提高故障覆盖率和加速故障分类的能力。
对于更长的故障场景和基于软件的安全机制,Synopsys ZeBu®解决方案是业界最快的仿真系统,使故障活动能够在故障注入/故障仿真下探索系统验证有效负载。ZeBu 系统支持统一的故障数据库集成,以实现与其他 Synopsys FuSa 工具链的顺畅互操作性。
挑战 #4 – 避免将新错误注入重要的功能安全机制
如前所述,安全机制可能会变得相当复杂,并且在尝试缓解随机瞬态故障时,如果这样做会注入严重的系统功能错误,则有点倒退。“如果它没有经过测试,它就坏了”这句通常的格言仍然适用。您将需要激发安全机制、检查正确行为并分析覆盖范围。您的激励要求注入故障以调用被测安全机制,因此您需要一种方法将随机故障注入您的测试平台。更复杂的安全机制可能会在多个周期内改变事件顺序,例如,尝试通过重试内存访问有限次数来纠正随机故障的安全机制。
Synopsys为开发需要 ISO 26262 认证的 IP 和 SoC 的公司开发了第一个也是最统一的功能安全验证解决方案。这种统一的功能安全验证方法可帮助符合 ISO 26262 标准的产品开发人员满足进度和质量目标,并在竞争激烈的细分市场中赢得设计位置。