功能安全對于作為高級駕駛輔助系統 （ADAS）、信息娛樂設備和其他車載系統的技術支柱的汽車片上系統 （SoC） 至關重要。然而，滿足各種安全標準可能既費時又費力，涉及隨著標準的發展而變化的大量數據。

遵循某些方法可以使設計人員更有效地確保汽車系統按預期運行，即使發生意外或意外情況。一套為知識產權 （IP）、SoC 和系統設計自動進行故障注入和結果分析的設計和驗證技術可以將汽車 ISO 26262 合規工作減少多達 50%。

功能安全涉及什么？

功能安全是這樣一個概念，即即使面對計劃外或意外事件，系統仍將保持可靠并按預期運行。如果系統在功能上是安全的，則假定該系統能夠避免不可接受的人身傷害或損壞風險。

功能安全系統有兩個基本要求：

冗余提供了多種處理路徑，限制了任何一個錯誤都會破壞系統的風險

檢查器監控系統并在需要時觸發錯誤響應和恢復功能

隨著 SoC 進入更小的工藝節點，它們變得更容易出錯。例如，輻射源、磁場和內部磨損等現象都可能對高級節點 SoC 造成破壞。為了確保 SoC 在功能上是安全的，設計人員通常需要建立一個功能驗證環境，其中錯誤（故障）可以注入系統。冗余邏輯將對正確的數據進行投票，以消除錯誤并保持連續運行。檢查員將在指定時間段內監控錯誤數據并應用錯誤更正。

符合 ISO 26262 安全標準

ISO 26262 解決了安裝在量產乘用車中的電氣和電子系統的功能安全性。IEC 61508、ISO 26262 的改編會影響所有具有基于軟件或硬件的電氣、電子或機電組件的系統。該標準涵蓋了與安全相關的汽車軟件生產的許多方面，包括開發過程中使用的工具的認證。

遵守 ISO 26262 中概述的安全完整性級別涉及收集和分析大量數據。通過大量，我們正在談論汽車產品線的開發周期中可能需要數十人年。

面對競爭和上市時間的壓力，設計人員無法承擔花費數年時間來解決功能安全問題。然而，為了最終客戶，不能偷工減料。但是，有一些方法可以提高遵守功能安全標準的效率。

對故障進行分類以設置 ASIL

安全驗證過程涉及將故障分為安全、危險和危險檢測類別；將此分類編入安全計劃；并執行驗證程序以確定未檢測到的危險故障與危險故障的比率。其結果設定了汽車安全完整性等級 （ASIL）。

在許多方面，功能安全驗證反映了功能驗證。通常，在功能驗證方法中，被測設計 （DUT） 被用作控制，同時應用了廣泛的激勵。在典型的安全驗證方法中，激勵被控制為幾個典型序列，同時對 DUT 施加廣泛的故障。

安全驗證的挑戰在于實際上不能更改 DUT 邏輯——更改此邏輯將使驗證實際設計中的故障的概念失效。這種更改還會使 ISO 26262 要求的對所用驗證工具的工具置信度 （TCL） 評估無效。鑒于這些情況，安全驗證必須共享測試平臺和 DUT 代碼，并且流程必須與功能驗證流程同時執行。

故障檢測電路的監控點集為安全驗證提供了起點。這些點在實際設計執行期間被選通，因此必須在安全驗證中模擬相同的效果。在安全驗證期間，一小部分功能測試序列會刺激 DUT。一旦建立了這個環境，必須自動發現設計節點然后折疊以創建故障字典以進行安全驗證。

然后，安全驗證方法對故障字典進行迭代，注入永久性和單事件翻轉 （SEU） 故障。通過這個過程，報告每個故障的檢測條件。報告為未檢測到或可能檢測到的故障需要額外調試才能進行分類，因為它們可能很危險。

在功能驗證流程中包括安全驗證

對于小型設計，可以使用測試平臺的采樣輸入運行安全驗證，然后手動分析結果。但是，對于更復雜的系統，將安全驗證集成為功能驗證流程的一部分是有意義的。通過這種方法，設計人員可以使用復雜的測試平臺來控制故障注入并支持調試過程。出于類似的原因，對兩個進程使用相同的模擬器也是有意義的。這樣做將消除由于使用修改后的 DUT 或不同的仿真引擎時出現的調試結果差異而導致的效率損失。

一個安全模擬過程可能涉及多達數十萬甚至數百萬的時間故障。這就是為什么通過度量驅動驗證建立的自動回歸驗證可以提高識別未檢測到和可能檢測到的故障模擬的效率，并自動從不安全故障中聚合安全故障。通過應用這種方法，安全驗證工作可以減少多達 50%。

基于 Cadence Incisive 功能驗證平臺的端到端功能安全解決方案可減少汽車 ISO 26262 合規性工作。它包括 Incisive 功能安全模擬器和 Incisive vManager 解決方案中的功能安全回歸功能。圖 1 顯示了 Incisive vManager 解決方案的屏幕截圖，它有助于突出顯示潛在的和未檢測到的故障運行以進行調試。總體而言，功能安全解決方案可自動進行 IP、SoC 和系統設計的故障注入和結果分析。對于安全需求跟蹤，它集成了永久和瞬態故障模擬。

圖 1：指標驅動的驗證可以提供全面的功能安全回歸分析。

Incisive 功能安全模擬器模擬未更改的 DUT。故障在仿真過程中被注入，并且可以通過 SystemC、模擬晶體管或行為模型和斷言傳播。工程師可以重用他們的功能和混合信號驗證環境，以加快開發安全驗證的時間。借助 Incisive vManager，其功能安全分析能力會自動從模擬器創建的故障字典中生成安全驗證回歸。然后，該解決方案可以跟蹤數以百萬計的已檢測到、可能檢測到和未檢測到的故障，這些故障被引入到仿真中，以驗證設計的安全系統。圖 2 顯示了基于 Incisive 環境的功能安全驗證流程。

圖 2：功能安全驗證流程。

創建更安全的汽車系統

確保汽車 SoC 在功能上安全還可以讓駕駛員和乘客對他們的車輛充滿信心。將安全驗證集成到功能驗證流程中可以是加快流程和管理符合 ISO 26262 等標準的工作的有效方法。使用功能驗證和故障模擬技術還可以最大限度地減少安全驗證工作。借助這些方法和技術，公司可以花費更多時間來創建安全且獨特的汽車設計。

審核編輯：郭婷