自動駕駛汽車是數(shù)十個高度復(fù)雜系統(tǒng)的集大成者，它將最先進的技術(shù)融入電子硬件、傳感器、軟件等。構(gòu)思和設(shè)計這些系統(tǒng)無疑是當今工程師面臨的最大挑戰(zhàn)之一。唯一更大的挑戰(zhàn)是讓謹慎的公眾相信這些自動化系統(tǒng)比預(yù)期更安全。根據(jù)美國汽車協(xié)會(AAA)最近的一項調(diào)查，71%的美國人表示害怕乘坐無人駕駛汽車。公眾對自動駕駛的看法仍然是成功的最大障礙。

自動駕駛汽車制造商需要展示他們開發(fā)的自動駕駛系統(tǒng)的各個方面的安全性和可靠性，從而建立與公眾的信任，并平息他們的恐懼。除了軟件外，為這些系統(tǒng)提供支撐的先進集成電路(IC)和SoC硬件也將成為關(guān)鍵問題。為此，汽車行業(yè)建立了一套專注于電氣和電子系統(tǒng)安全的流程和標準，稱為功能安全。

功能安全的目標是降低電氣和電子元件因故障而發(fā)生失效的風險。在汽車行業(yè)，這些流程和要求已在ISO 26262標準中規(guī)范化。ISO 26262要求對電子設(shè)備進行隨機硬件故障和系統(tǒng)故障測試。

系統(tǒng)性故障是指防止IC或SoC根據(jù)產(chǎn)品規(guī)格正常運行的故障。這些可能是設(shè)計錯誤、硬件/軟件接口問題、誤解或不完整的規(guī)范等等。隨著時間的推移，IC行業(yè)積累了大量用于處理系統(tǒng)故障的知識、工具和流程。相比之下，該行業(yè)的經(jīng)驗較少，也沒有能力發(fā)現(xiàn)和解決隨機硬件故障。隨機硬件故障是不可預(yù)測的，并且會隨著IC的運行而發(fā)生。

ISO 26262要求芯片在發(fā)生隨機硬件故障時繼續(xù)工作或者失效安全。確保IC隨機故障失效安全需要四個關(guān)鍵過程（圖2）：

·生命周期管理：覆蓋從計劃到合規(guī)的功能安全生命周期。包括變更、配置、項目、需求、質(zhì)量保證和審計/合規(guī)管理。生命周期管理過程在整個開發(fā)過程中持續(xù)開展。

·安全分析：幫助設(shè)計人員了解設(shè)計如何因隨機硬件故障而失效。故障模式和影響診斷分析(FMEDA)識別設(shè)計的潛在故障模式、故障率、每種模式將如何影響其功能，以及自動診斷將捕獲每種故障模式的概率。然后，工程師進行安全差距分析，以確定達到其安全目標所需的安全改進。

·安全設(shè)計：通過增強設(shè)計以減輕隨機硬件故障造成的潛在故障。這是通過在設(shè)計中插入檢測和糾正錯誤行為的安全機制來實現(xiàn)的，確保設(shè)計運行安全或者失效安全。

·安全驗證：通過故障注入過程驗證一組故障度量指標，來證明設(shè)計是安全的。故障指標集包括單點和潛在故障指標(SPFM/LFM)以及診斷覆蓋率(DC)。

圖2：安全IC設(shè)計的四個關(guān)鍵過程。

這些過程在閉環(huán)流程中運行，每個過程的結(jié)果都會通知下一步。這對于解決隨機硬件故障和一次性構(gòu)建安全的IC設(shè)計至關(guān)重要。我們簡要討論一下這些流程和高級驗證技術(shù)，它們可以提高驗證工程師在每個階段的效率。

生命周期管理

ISO 26262包括設(shè)計變更、測試結(jié)果和安全指標的跟蹤和管理指南。許多公司仍然依靠他們的工程師手動跟蹤和收集這些信息。手動方法速度慢，容易在記錄的數(shù)據(jù)中引入錯誤，并且無法將重要信息鏈接在一起，使得追溯變得困難。因此，工程師在為審計和評估創(chuàng)建必要的工作產(chǎn)品之前，會花時間將信息拼湊在一起。隨著汽車IC的日益復(fù)雜，手動需求和合規(guī)性管理已不再足夠。

需求驅(qū)動的驗證流程對于在汽車IC業(yè)務(wù)中競爭的公司至關(guān)重要。應(yīng)用程序生命周期管理(ALM)解決方案，通過為整個功能安全流程提供數(shù)字主干，來實現(xiàn)需求驅(qū)動的流程。ALM為工程師提供了證明關(guān)鍵汽車電子設(shè)備功能安全所需的信息，從而消除了手動收集這些數(shù)據(jù)的耗時過程。

安全分析

有了生命周期管理解決方案，證明功能安全的第一步是安全分析。安全架構(gòu)師通常首先通過創(chuàng)建故障模式和影響診斷分析(FMEDA)來識別設(shè)計的故障模式，然后計算設(shè)計的基礎(chǔ)失效率 (FIT)，并估計單點故障和潛在故障指標（SPFM/LFM）。然后，安全架構(gòu)師可以探索需要提高安全性的設(shè)計領(lǐng)域，并確定適當?shù)陌踩珯C制以滿足目標安全等級（圖3）。

圖3：安全分析確定了設(shè)計的故障模式和合適的安全機制。

在改進設(shè)計后，安全分析期間生成的指標將作為安全驗證階段比較的基準。此類分析應(yīng)在設(shè)計的架構(gòu)級別進行，以生成最準確的數(shù)字，從而增加在第一次創(chuàng)建安全IC的可能性，進而節(jié)省成本高昂且耗時的迭代。

安全設(shè)計

既然工程師已經(jīng)制定了讓他們的設(shè)計更安全的計劃，那么根據(jù)安全分析，下一步就是在設(shè)計中插入安全機制。先進的解決方案能夠?qū)踩珯C制自動插入RTL，以實施運行時設(shè)計強化技術(shù)（即ECC、CRC、奇偶校驗、重復(fù)、復(fù)制）。這些機制是基于硬件的，直接解決永久和瞬態(tài)單點故障。然后，工程師可以插入邏輯和內(nèi)存內(nèi)置自測(LBIST/MBIST)結(jié)構(gòu)，以及用于這些引擎運行的控制器。這些片上測試可以識別現(xiàn)場發(fā)生的潛伏故障，從而提高汽車芯片的長期安全性和可靠性。

安全驗證

最后，必須通過觀察其出現(xiàn)故障時的行為方式，來驗證改進的芯片設(shè)計是否安全。安全驗證從使用安全分析階段生成的故障列表開始。然后，故障仿真用于將這些故障注入設(shè)計，產(chǎn)生一組新的故障度量，以證明在安全設(shè)計期間插入的安全機制的有效性。

故障仿真用于驗證設(shè)計中識別的大部分故障。在RTL級別，IC設(shè)計的所有網(wǎng)絡(luò)、寄存器和端口都可能存在故障。再往下一層，門級網(wǎng)表的故障可能會多很多倍，達到數(shù)百萬?？紤]安全指標會進一步增加潛伏故障的數(shù)量。此外，汽車SoC包含數(shù)字和模擬/混合信號電路的混合，增加了潛伏故障數(shù)量，并且需要可以跨數(shù)字和模擬/混合信號模塊執(zhí)行故障注入的解決方案。

為了保持仿真時間可控，工程師使用一系列技術(shù)來縮小故障活動或故障列表的范圍，這被稱為故障優(yōu)化。一個例子是故障抽樣，隨機選擇數(shù)千個故障樣本。這減少了在安全驗證期間需要激活的故障數(shù)量。

對于大多數(shù)功能，沒有必要針對所有可能的故障驗證設(shè)計的安全性。但是，安全關(guān)鍵組件需要全面驗證，以確保它們完全沒有錯誤。即使是在相對平常的驗證中實現(xiàn)這種級別的驗證，也會很快超出仿真的能力。

因此，在安全關(guān)鍵設(shè)計中使用形式驗證已廣受歡迎，因為它通過大幅減少輸入條件實現(xiàn)了所需的驗證級別。形式驗證設(shè)計“廣度優(yōu)先”，自動考慮所有可能的輸入條件。從這里開始，形式驗證可以分析給定初始條件下可達到的所有狀態(tài)集。結(jié)果是一組最壞情況的安全指標，這些指標說明了設(shè)計中所有可能的故障。

除了通過形式化技術(shù)優(yōu)化故障列表外，容量更大的驗證引擎還可以進一步縮短驗證時間。硬件仿真以兆赫(MHz)的速度在硬件設(shè)計中執(zhí)行測試，比仿真快幾個數(shù)量級。這使得系統(tǒng)驗證能夠在芯片設(shè)計在流片之前開始，并提供對硬件設(shè)計的全面可見性，以實現(xiàn)高效調(diào)試。此外，仿真支持安全關(guān)鍵型汽車應(yīng)用的故障注入、監(jiān)控和結(jié)果分析。

無人時代的功能安全

在盡早進入市場的巨大壓力下，汽車初創(chuàng)公司、老牌原始設(shè)備制造商和系統(tǒng)公司將需要一套先進的驗證工具來按時滿足這些嚴格的安全要求。當他們面對令人印象深刻的復(fù)雜芯片時，驗證團隊將依靠強大的生命周期管理流程、自動化以及模擬、仿真和形式化技術(shù)的組合來確保無人系統(tǒng)IC的安全性。

審核編輯 ：李倩