验证开发者视角:汽车功能安全如何实现?

Synopsys Editorial Staff

Jan 20, 2022 / 1 min read

功能安全对汽车行业的重要性无需赘述,ISO 26262 将汽车功能安全 (以下简称FuSa) 定义为“不存在因电气和电子系统故障所导致的不合理风险”。

随着智能汽车中软件和硬件的复杂性不断提高,尤其是电动汽车的普及和自动驾驶技术的出现,FuSa作为关乎生命安全的关键问题由此受到普遍关注。

今天,我们将从验证开发者的视角看看汽车功能安全所面临的实际挑战都有哪些?

汽车功能安全

挑战1:在芯片设计早期,发现影响FuSa的系统故障

功能安全验证所面临的挑战之一就是不容忍任何一个漏洞,尤其是对安全关键型设备来说。安全关键性设备需要使用经验证的芯片设计和验证工具,以及符合要求的需求管理平台,从而严格保障规格、跟踪和可追溯性等工作流程。

新思科技的汽车芯片解决方案已通过 ISO 26262 ASIL D 认证,能够加速质量和功能安全认证。就安全性而言,形式验证是一个不错的选择。在 VC Formal® Formal Testbench Analyzer 中,新思科技 Certitude® 技术与 VC Formal 集成,可提供有意义的属性覆盖率指标并将其作为正式签核的一部分,还可有效识别bug。与独立的故障注入方法相比,本机集成的性能可提高 5-10 倍。

挑战2:检测和纠正随机故障

功能安全验证可以模拟由随机缺陷引起的故障,并对汽车芯片中内置的安全机制是否能够正确管理这些故障进行验证。随机硬件故障可能是永久性的(固定型故障),也可能是暂时性的(“软错误” 或单一事件扰动 (SEU) )。

安全关键型芯片的目标是通过增加安全机制来减少随机硬件故障,使设备拥有与汽车安全完整性等级 (ASIL) 相适应的理想容错水平。所有安全机制的目的都在于检测故障,而较复杂的安全机制还能够纠正复杂故障,比如ECC纠错、回滚和重试机制。即使故障不可被纠正,检测也可以让系统采取适当的措施,比如重置系统或将系统置于安全状态,也可能通过点亮车辆仪表板上的警示灯发出警告。

在芯片设计中增加安全机制意味着设计逻辑更趋复杂,系统性的设计缺陷也可能会增加,这些缺陷甚至可能改变芯片设计的功耗和性能,开发者们必须提前预防并规避风险。首先,开发者需要捕获所有需要验证的安全机制,但保证全覆盖并不容易,能否做到则取决于开发者是否能够对设备进行有效的动态模拟,同时驻入故障,从而激活所有安全机制。

挑战3:高效执行故障注入

功能安全验证的核心是故障注入/故障仿真。其目的是模拟所有故障,并按照标准划分为安全故障、单点故障、多点故障、残留故障,然后以 FMEDA 报告形式生成 ISO 26262 安全指标。这份报告可以展示设备如何根据 ASIL(A,B,C ,D)要求进行评分,并确定其是否符合目标安全水平。

新思科技的Z01X® 解决方案等新一代故障仿真器可提供强大的并发分布式故障模拟,使故障模型能够在尽可能短的时间内通过故障注入的方式进行全面而充分的模拟,这是目前得到业界广泛认可的新技术。结合新思科技的形式过滤技术,VC Formal® FuSa App能够根据可观测性或可检测性标准对故障进行识别和分类,帮助功能安全验证开发者提高故障覆盖率并加速故障分类。

新思科技 ZeBu® 解决方案作为业界领先的仿真系统,能够在故障注入/仿真时探索系统验证的有效负载。此外,ZeBu 系统还可支持统一故障数据库的集成,顺畅地与新思科技的其他 FuSa 工具进行交互。

挑战4:如何避免在安全机制中注入新的bug

如果开发者在处理随机瞬态故障时引入了新的系统性故障将会导致问题加剧,因此必须在测试中注入随机故障以激活安全机制,得出安全机制覆盖率并检查行为正确性。复杂度更高的安全机制可能改变多个时钟周期的事件序列,例如,一个安全机制会试图通过在有效次数内的重复读取内存来纠正随机故障。

汽车显示器

新思科技开发了首款经ISO26262认证的统一的功能安全验证解决方案,帮助开发者实现开发计划,达成质量目标,并在竞争极其激烈的细分市场中赢得设计竞标。这一功能安全验证解决方案的问世,为汽车安全驾驶提供了更加强有力的安全保障。

Continue Reading