设计和验证技术如何确保汽车SoC的功能安全

功能安全对于作为高级驾驶辅助系统 （ADAS）、信息娱乐设备和其他车载系统的技术支柱的汽车片上系统 （SoC） 至关重要。然而，满足各种安全标准可能既费时又费力，涉及随着标准的发展而变化的大量数据。

遵循某些方法可以使设计人员更有效地确保汽车系统按预期运行，即使发生意外或意外情况。一套为知识产权 （IP）、SoC 和系统设计自动进行故障注入和结果分析的设计和验证技术可以将汽车 ISO 26262 合规工作减少多达 50%。

功能安全涉及什么？

功能安全是这样一个概念，即即使面对计划外或意外事件，系统仍将保持可靠并按预期运行。如果系统在功能上是安全的，则假定该系统能够避免不可接受的人身伤害或损坏风险。

功能安全系统有两个基本要求：

冗余提供了多种处理路径，限制了任何一个错误都会破坏系统的风险

检查器监控系统并在需要时触发错误响应和恢复功能

随着 SoC 进入更小的工艺节点，它们变得更容易出错。例如，辐射源、磁场和内部磨损等现象都可能对高级节点 SoC 造成破坏。为了确保 SoC 在功能上是安全的，设计人员通常需要建立一个功能验证环境，其中错误（故障）可以注入系统。冗余逻辑将对正确的数据进行投票，以消除错误并保持连续运行。检查员将在指定时间段内监控错误数据并应用错误更正。

符合 ISO 26262 安全标准

ISO 26262 解决了安装在量产乘用车中的电气和电子系统的功能安全性。IEC 61508、ISO 26262 的改编会影响所有具有基于软件或硬件的电气、电子或机电组件的系统。该标准涵盖了与安全相关的汽车软件生产的许多方面，包括开发过程中使用的工具的认证。

遵守 ISO 26262 中概述的安全完整性级别涉及收集和分析大量数据。通过大量，我们正在谈论汽车产品线的开发周期中可能需要数十人年。

面对竞争和上市时间的压力，设计人员无法承担花费数年时间来解决功能安全问题。然而，为了最终客户，不能偷工减料。但是，有一些方法可以提高遵守功能安全标准的效率。

对故障进行分类以设置 ASIL

安全验证过程涉及将故障分为安全、危险和危险检测类别；将此分类编入安全计划；并执行验证程序以确定未检测到的危险故障与危险故障的比率。其结果设定了汽车安全完整性等级 （ASIL）。

在许多方面，功能安全验证反映了功能验证。通常，在功能验证方法中，被测设计 （DUT） 被用作控制，同时应用了广泛的激励。在典型的安全验证方法中，激励被控制为几个典型序列，同时对 DUT 施加广泛的故障。

安全验证的挑战在于实际上不能更改 DUT 逻辑——更改此逻辑将使验证实际设计中的故障的概念失效。这种更改还会使 ISO 26262 要求的对所用验证工具的工具置信度 （TCL） 评估无效。鉴于这些情况，安全验证必须共享测试平台和 DUT 代码，并且流程必须与功能验证流程同时执行。

故障检测电路的监控点集为安全验证提供了起点。这些点在实际设计执行期间被选通，因此必须在安全验证中模拟相同的效果。在安全验证期间，一小部分功能测试序列会刺激 DUT。一旦建立了这个环境，必须自动发现设计节点然后折叠以创建故障字典以进行安全验证。

然后，安全验证方法对故障字典进行迭代，注入永久性和单事件翻转 （SEU） 故障。通过这个过程，报告每个故障的检测条件。报告为未检测到或可能检测到的故障需要额外调试才能进行分类，因为它们可能很危险。

在功能验证流程中包括安全验证

对于小型设计，可以使用测试平台的采样输入运行安全验证，然后手动分析结果。但是，对于更复杂的系统，将安全验证集成为功能验证流程的一部分是有意义的。通过这种方法，设计人员可以使用复杂的测试平台来控制故障注入并支持调试过程。出于类似的原因，对两个进程使用相同的模拟器也是有意义的。这样做将消除由于使用修改后的 DUT 或不同的仿真引擎时出现的调试结果差异而导致的效率损失。

一个安全模拟过程可能涉及多达数十万甚至数百万的时间故障。这就是为什么通过度量驱动验证建立的自动回归验证可以提高识别未检测到和可能检测到的故障模拟的效率，并自动从不安全故障中聚合安全故障。通过应用这种方法，安全验证工作可以减少多达 50%。

基于 Cadence Incisive 功能验证平台的端到端功能安全解决方案可减少汽车 ISO 26262 合规性工作。它包括 Incisive 功能安全模拟器和 Incisive vManager 解决方案中的功能安全回归功能。图 1 显示了 Incisive vManager 解决方案的屏幕截图，它有助于突出显示潜在的和未检测到的故障运行以进行调试。总体而言，功能安全解决方案可自动进行 IP、SoC 和系统设计的故障注入和结果分析。对于安全需求跟踪，它集成了永久和瞬态故障模拟。

图 1：指标驱动的验证可以提供全面的功能安全回归分析。

Incisive 功能安全模拟器模拟未更改的 DUT。故障在仿真过程中被注入，并且可以通过 SystemC、模拟晶体管或行为模型和断言传播。工程师可以重用他们的功能和混合信号验证环境，以加快开发安全验证的时间。借助 Incisive vManager，其功能安全分析能力会自动从模拟器创建的故障字典中生成安全验证回归。然后，该解决方案可以跟踪数以百万计的已检测到、可能检测到和未检测到的故障，这些故障被引入到仿真中，以验证设计的安全系统。图 2 显示了基于 Incisive 环境的功能安全验证流程。

图 2：功能安全验证流程。

创建更安全的汽车系统

确保汽车 SoC 在功能上安全还可以让驾驶员和乘客对他们的车辆充满信心。将安全验证集成到功能验证流程中可以是加快流程和管理符合 ISO 26262 等标准的工作的有效方法。使用功能验证和故障模拟技术还可以最大限度地减少安全验证工作。借助这些方法和技术，公司可以花费更多时间来创建安全且独特的汽车设计。

审核编辑：郭婷