用于架构探索和功能安全分析的虚拟原型平台

由于大流行，大多数（如果不是全部）工人都经历了在家工作（WFH），导致传统开发和全球协作方法暂时停止。需要软件和硬件团队协作的替代方式。在保持社交距离的时代，远程开发可能是一项挑战，因为访问远程和稀缺的硬件以及开发和测试系统很困难。一种可行的解决方案可能是虚拟原型设计，它可以用硬件的软件等效模型替换硬件；随时随地。

对于开发下一代无线、消费类和汽车设备的半导体和 OEM 公司而言，日益复杂的硬件和软件的集成是一项重大挑战。序列化硬件和软件开发的传统方法——在芯片设计完成后开发和验证绝大多数软件——通常无法满足激进的产品开发计划。虚拟原型是完整系统的快速、功能齐全的软件模型，可以执行未经修改的生产代码并提供无与伦比的调试效率。

汽车公司的解决方案应该能够将设计和集成测试结合到一个虚拟原型平台中。用户可以确定设计和集成过程是否会成功，而不是通常会导致在集成测试中发现设计问题的开环设计过程。这里选择的平台是 VisualSim Architect （VSA），它可以通过对完整的端到端设计进行建模，通过闭环设计/集成流程来实现这一目标。端到端设计使用许多预构建、预测试的汽车库，这些库生成预定义的报告以加速开发和集成测试。用户可以评估延迟、吞吐量、子系统利用率和关键子系统的功率。

其他汽车解决方案专注于算法测试、软件开发和软件测试。这些解决方案可用作指令集模拟器以在没有板的情况下执行软件代码，SysML 可记录软件序列、C 代码生成、数学正确性模型以及通过在原型板上加载软件来测试解决方案。

上述解决方案在设计过程的后期使用。硬件和软件故障的发生是由于规格不正确而不是制造不正确。这些替代解决方案正在针对不完善的规范验证正确性。功能安全测试在设计周期的后期进行，制造变更会影响产品质量。当前的技术不允许跨真正的分布式系统出现多次故障。在集成或软件开发阶段对架构进行大规模更改是耗时、昂贵的，并且会延迟进度。

VisualSim 满足以下标准：

优化规范以满足时序、功耗和功能。

为 OEM 和供应商创建一个通用的可执行规范。

引入 ISO-26262 第 4、5 和 6 部分用于设计和验证。

集成现有工具和模拟器，包括 MatLab 和 C 代码，以进行时间驱动的分析。

支持的故障类型包括：

电源故障：突然的电源尖峰，电池寿命缩短

硬件故障：完全关闭电路板或核心故障

冗余影响：在发生故障时处理增加的负载

软件故障：修改内存值、资源匮乏

RTOS 失败：先前任务的溢出导致当前任务失败

网络故障：网络内的消息损坏或拥塞

网络安全：模拟攻击并评估系统吞吐量的算法质量

分析硬件故障模型

根据 ISO 26262，不同的故障分为硬件、软件、网络、RTOS 和电源。我们将占用一个来分析它的结果。处理核心的丢失、存储受限、内存设备减少或丢失或总线过载/错误信号、硬件资源、内存和总线接口的共享和独占使用都可能在硬件故障下进行说明。

通过使用系统建模工具，我们可以在具有大型硬件和软件建模组件库的图形离散事件仿真平台中非常快速地组装虚拟原型。该原型用于提供支持以根据标准测试架构、识别系统中不可恢复的故障并提供早期反馈、进行时间、吞吐量、功耗和服务质量权衡。该模型生成故障，测试系统的行为，并以符合标准要求的电子表格或图形格式报告结果。

从三个流量块生成的数据包（任务）映射到资源（CPU）1、2和3进行处理。与此模型集成的两个故障场景：

资源不可用：如果进程分配给没有任何内存来处理任务的资源，则会生成错误。例如，如果资源 1 的缓冲区长度为 30，并且缓冲区已满，则在处理未完成的数据包之前它不能接受新数据包。

资源故障：如果其中一个资源发生故障，必须在剩余资源之间进行负载均衡。对该模型的分析是时间期限和缓冲区使用量的增加。

通过设置顶级模型参数，可以启用所选的汽车平台进行设计、集成测试或两者兼而有之。这样，开发和集成测试可以同时进行。设计小组可以改进其端到端模型版本的集成问题，而集成测试可以继续测试设计的先前端到端模型。这减少了两组的松弛时间。在最终版本中，所有的设计约束都将得到满足，所有的集成测试都将在一个统一的平台上得到满足。管理层可以更有信心继续制造原型或制造工厂。

使用的平台包含模拟电子设备、软件任务、交通和传感器、C 代码包装器、自定义模型生成器和电源的库组件。生成的报告包括延迟、缓冲区占用、吞吐量、功耗、电池使用和生命周期以及执行跟踪。该平台应该使设计人员能够从软件的抽象模型开始，将应用程序映射到目标分布式硬件平台，模拟测试以达到规范，在软件可用后评估软件结果的正确性，并回放来自部署后的字段。

虚拟原型通过在规范阶段识别错误、电子设备的大小、配置网络拓扑、构建分布式应用程序、测试时间期限、确定多次故障时的可靠性以及软件输出的正确性，消除了集成过程中的意外。生成的报告用于设计新诊断、验证现有诊断并添加测试以符合 ISO26262。原型平台集成了系统设计人员、硬件架构师和软件开发人员，以实现单一定义，并成为 OEM、一级供应商和软件供应商之间的标准通信媒介。

模型输出是经过充分验证的技术数据，可作为早期认证过程的证据。当硬件和软件不可用时，该原型是在设计过程的早期构建的。该原型可以及早识别、确定优先级和最小化系统规范，以及系统行为中的故障和错误。该虚拟原型可帮助公司根据车辆、功能、清单和价格点的需求维护单一代码库和细分。

用户从抽象架构模型开始，在可用时添加更多细节，可视化分布式系统行为，架构硬件需求，并评估时间期限。该方法从应用程序的虚拟模型开始。应用程序的任务被映射到 ECU 资源模型的网络上。该模型用于识别系统瓶颈，创建应用程序的最佳映射，并获得基本的硬件要求。可以将任务映射到不同的配置，并且可以针对不同的故障模式、最低性能要求和任务序列流的跟踪对模型进行测试。

在这个 VisualSim 方法中，软件是使用传统方法开发的。MatLab/Simulink 模型或软件可以在可用时替换抽象模型。当数据由于网络拥塞而延迟到达时，这些模型可以测试结果的正确性，更高优先级的任务抢占流量，并研究分布式系统中存在多个故障时的行为。硬件模型还可以捕获详细的 ECU 设计并评估资源效率和功耗。部署后，相同的模型可用于现场回放操作并确定故障原因。

作者：Deepak Shankar，Mohini Yadav

审核编辑：郭婷