加載中
智能駕駛安全專題 | 你若安“芯”���,便是晴天
詳細說明
“芯芯”向榮背后的安全隱患
范圍內處于傳統汽車至智能網聯汽車變革期�����,隨著人工智能�、5G����、物聯網���、云計算等新一代信息技術的飛速發展�����,將在智能網聯汽車技術發展中產生巨大協同效應��,重塑汽車產業業態和商業模式�,為人類出行方式帶來變革���。整車占比60%以上的電子電氣系統中��,智能網聯汽車芯片能夠gao效地實現感應���、控制�����、執行���、決策�����、通信���、導航等功能���,是智能網聯汽車的關鍵核心部件�����。
圖1 汽車半導體的主要趨勢
車規級IC不同于消費電子IC,高度強調可靠性及功能安全�����,需要承受極端工作環境(-40°C to +150°C)的考驗�����,要滿足 ISO-26262 ��、AEC-Q100等汽車行業標準��。
對于半導體的開發過程���,在ISO-26262di一版的要求中主要和ECU的硬件開發合并在Part5,硬件開發階段的內容中提出要求���。但考慮到半導體開發和硬件開發在具體實施上差異較大���,因此在2018版ISO26262的標準上�,又新提出了Part11半導體功能安全開發的指南���,作為對Part5的補充和完善�,其安全生命周期模型框架如下:
圖2 ISO26262功能安全生命周期模型框架
以IC中的IP/SoC安全開發及驗證為例�,IP/SoC的功能安全開發目標主要包括兩個方面:避免系統性失效的發生和避免隨機失效的發生��,其開發過程中的安全活動與標準的映射關系如下:
圖3 IP/SoC與ISO26262映射
符合功能安全標準的IC開發流程
符合功能安全標準半導體的開發模式一般有兩種:
? Design in Context
? Safety Element out of Context(SEooC)
目前芯片廠商基本采用SEooC的開發模式���。在SEooC開發過程中會對安全生命周期內的功能安全活動進行剪裁���,以滿足實際的開發需求���。
基于SEooC模式進行半導體的開發主要分為兩個過程:
? SEooC硬件組件開發
? 相關項開發
核心過程一��,SEooC硬件組件開發�����。它包含系統級假設和SEooC設計�,芯片廠商依據市場調研的結果及對產品的定位制訂系統級假設�����,主要內容包括技術安全需求假設以及外部設計假設�����,芯片廠商依據系統級假設進行后續的開發設計��。
SEooC的設計主要包含的功能安全活動為:硬件安全需求的描述及驗證���、硬件設計的描述及驗證��、DFA分析����、FMEA/FTA分析���、硬件量化指標評估及驗證��、硬件的集成驗證等��。
?硬件安全需求的描述及驗證:硬件安全需求由假設的技術安全需求導出�����,包含了功能性需求(預期功能以及安全機制)以及約束性需求(失效率指標���、FFI等)����;根據硬件安全需求的ASIL等級采取相應的驗證方法(走查���、審查�、半形式化驗證�����、形式化驗證)驗證硬件安全需求的正確性���、完整性����、可測性�、一致性��、可實現性等
? 硬件設計的描述及驗證:主要包含半導體的架構設計�、RTL設計��、門級設計以及布局布線等�;通過走查�、審查�、安全分析(FTA/FMEA)����、模擬仿真等方法對其進行驗證
?DFA分析:通過DFA分析確保不同ASIL等級的模塊之間滿足共存的要求,ASIL等級分解的模塊之間滿足獨立性���,預期功能和安全機制之間滿足獨立性
? FMEA/FTA分析:主要是針對各種復雜系統設計和初樣設計階段進行可靠性�����、安全性分析�。用于系統的故障分析�����、預測和找出系統的薄弱環節�,以便在設計��、制造和使用中采取相應的改進措施
? 硬件量化指標評估及驗證:主要包含FMEDA和PMHF計算���,通過架構指標(單點故障指標����、潛在故障指標)來評估硬件架構設計水平 ���,通過PMHF值評估表明隨機硬件失效導致違背安全目標的殘余風險是否足夠低
? 硬件的集成驗證:根據ASIL等級采取相應的驗證措施����,驗證硬件設計是否滿足相應的硬件安全需求
核心過程二��,相關項開發�����。它的主要內容是系統級假設驗證��。當芯片集成方(OEM/Tier1)進行系統級別的設計時�,需要驗證芯片的技術安全需求假設與外部設計假設和當前系統中分配給芯片的技術安全需求以及當前系統設計是否一致�。若兩者一致���,則可以進入后續的功能安全開發階段����;若兩者不一致����,則視實際項目情況由芯片開發方或芯片集成方進行變更�。
安全分析助力SEooC開發
從上述的符合功能安標準的IC流程關鍵技術剖析不難看出�����,如何進行半導體的安全分析對SEooC開發至關重要��,gao效���、準確的完成安全需求管理與追溯�、FMEA�����、FMEDA����、安全機制設計�、故障注入與仿真�、FTA�����、DFA以及相關的變更管理與影響分析等是SEooC開發面臨的挑戰�,傳統的使用Excel等單點工具已經很難滿足安全開發設計的要求�����。
圖6 半導體開發面臨的挑戰
其中在進行FMEDA分析時���,芯片的設計不但要考慮永jiu故障����,還必須考慮由于電路干擾�、電磁干擾而導致的瞬態故障��。一般而言�,對于永jiu故障����,封裝Package和晶圓Die的失效率分布一般由行業專來判定�,而晶圓Die內部各個功能模塊具體的失效率���,比如數字電路�、模擬電路���、CPU等�����,首先要按照SN29500�、IEC62380等標準并根據晶體管數量計算總的失效率�����,然后再根據每個功能模塊的面積來計算相應的失效率�。對于瞬態故障�����,標準建議是總故障率按照門的數量乘以基本瞬態失效率來計算�,因此芯片內部失效率的計算����,需要提取芯片內部模塊的面積以及門的數量��。對于永jiu故障和瞬時故障失效率的計算���,如果采取人工的方式進行數據的提取和分析����,非常耗時耗力����,因此需要特定的工具進行輔助����。
IC功能安全解決方案-Medini Analyze
針對半導體的功能安全開發及驗證�����,Medini Analyze推出完整的安全分析解決方案�����,支持把IC設計文件導入到工具中����,自動識別所需數據進行一系列的分析和計算�����。
對于半導體FMEDA的開發����,基于Medini Analyze平臺的主要分析流程如下:
? STEP1�,IP設計數據的無縫導入并與高層架構模型映射
? STEP2����,支持IPD-XML格式包含die area/gate counts的設計數據導入�,通過設計數據與高層架構模型映射�����,高層架構模型能夠自動匯總失效率的分布
? STEP3���,失效率預計�,根據映射關系自動將失效率分布至各個功能模塊
? STEP4����,執行FMEDA�,計算SPF/LF metrics,safe fault fraction等�����,從映射后的高層架構模型能夠直接生成FMEDA的表格���,并基于安全機制DC值自動估算SPFM/LFM指標
? STEP5��,從FMEDA生成故障列表���,以進行故障注入模擬�,通過導出的故障列表來支持EDA工具進行故障注入測試����,以便得到更加準確的DC值
? STEP6����,執行故障注入以確定安全機制的診斷覆蓋率
? STEP7����,更新安全機制的診斷覆蓋率和故障注入安全故障比例��,基于準確的DC值Medini將自動更新FMEDA表格����,并計算相應的硬件指標
此外�����,Medini Analyze還具備安全需求追溯管理�����、FTA分析�、FMEA分析以及DFA分析等功能�?���!癉C Configurator”功能可以把芯片廠商的安全分析工作以工程文件的形式導出��,工具自動收集所有相關的高層架構數據����,里面只包含安全分析相關的信息�,而不包含芯片的具體設計�,從而實現安全分析的信息共享并同時保護知識產權��。
經緯恒潤從2008年開始研究及實施功能安全��,并于同年組建了功能安全團隊�����,從消化ISO-26262標準到參與2017年GB/T 34590功能安全標準的制定����;結合自身汽車電子產品研發實踐�,經緯恒潤的功能安全團隊在智駕域�、底盤域����、動力域���、車身域實施國內外100+成功案例���,積累了豐富的經驗���。迎合市場所需���,結合量產產品功能安全落地實施的技術難點����,經緯恒潤功能安全團隊以智能駕駛功能安全為主題�����,陸續發布解決方案系列文章�����,歡迎大共同探討���!
