溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

智能駕駛安全專題 | 你若安“芯”,便是晴天

發(fā)布時(shí)間:2020-08-09 06:45:20 來源:ITPUB博客 閱讀:257 作者:HirainTeco 欄目:互聯(lián)網(wǎng)科技

 “芯芯”向榮背后的安全隱患

        全球范圍內(nèi)處于傳統(tǒng)汽車至智能網(wǎng)聯(lián)汽車變革期,隨著人工智能、5G、物聯(lián)網(wǎng)、云計(jì)算等新一代信息技術(shù)的飛速發(fā)展,將在智能網(wǎng)聯(lián)汽車技術(shù)發(fā)展中產(chǎn)生巨大協(xié)同效應(yīng),重塑汽車產(chǎn)業(yè)業(yè)態(tài)和商業(yè)模式,為人類出行方式帶來根本性變革。整車占比60%以上的電子電氣系統(tǒng)中,智能網(wǎng)聯(lián)汽車芯片能夠高效地實(shí)現(xiàn)感應(yīng)、控制、執(zhí)行、決策、通信、導(dǎo)航等功能,是智能網(wǎng)聯(lián)汽車的關(guān)鍵核心部件。
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖1 汽車半導(dǎo)體的主要趨勢
        車規(guī)級IC不同于消費(fèi)電子IC,高度強(qiáng)調(diào)可靠性及功能安全,需要承受極端工作環(huán)境(-40°C to +150°C)的考驗(yàn),要滿足 ISO-26262 、AEC-Q100等汽車行業(yè)標(biāo)準(zhǔn)。
        對于半導(dǎo)體的開發(fā)過程,在ISO-26262第一版的要求中主要和ECU的硬件開發(fā)合并在Part5,硬件開發(fā)階段的內(nèi)容中提出要求。但考慮到半導(dǎo)體開發(fā)和硬件開發(fā)在具體實(shí)施上差異較大,因此在2018版ISO26262的標(biāo)準(zhǔn)上,又新提出了Part11半導(dǎo)體功能安全開發(fā)的指南,作為對Part5的補(bǔ)充和完善,其安全生命周期模型框架如下:

智能駕駛安全專題 | 你若安“芯”,便是晴天

圖2 ISO26262功能安全生命周期模型框架
        以IC中的IP/SoC安全開發(fā)及驗(yàn)證為例,IP/SoC的功能安全開發(fā)目標(biāo)主要包括兩個(gè)方面:避免系統(tǒng)性失效的發(fā)生和避免隨機(jī)失效的發(fā)生,其開發(fā)過程中的安全活動(dòng)與標(biāo)準(zhǔn)的映射關(guān)系如下:
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖3 IP/SoC與ISO26262映射

符合功能安全標(biāo)準(zhǔn)的IC開發(fā)流程

        符合功能安全標(biāo)準(zhǔn)半導(dǎo)體的開發(fā)模式一般有兩種:
Design in Context
Safety Element out of Context(SEooC)
        目前芯片廠商基本采用SEooC的開發(fā)模式。在SEooC開發(fā)過程中會對安全生命周期內(nèi)的功能安全活動(dòng)進(jìn)行剪裁,以滿足實(shí)際的開發(fā)需求。
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖4 基于SEooC半導(dǎo)體開發(fā)流程
        基于SEooC模式進(jìn)行半導(dǎo)體的開發(fā)主要分為兩個(gè)過程:
SEooC硬件組件開發(fā)
相關(guān)項(xiàng)開發(fā)
         核心過程一,SEooC硬件組件開發(fā)。它包含系統(tǒng)級假設(shè)和SEooC設(shè)計(jì),芯片廠商依據(jù)市場調(diào)研的結(jié)果及對產(chǎn)品的定位制訂系統(tǒng)級假設(shè),主要內(nèi)容包括技術(shù)安全需求假設(shè)以及外部設(shè)計(jì)假設(shè),芯片廠商依據(jù)系統(tǒng)級假設(shè)進(jìn)行后續(xù)的開發(fā)設(shè)計(jì)。
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖5 需求假設(shè)與SEooC開發(fā)之間的關(guān)系
        SEooC的設(shè)計(jì)主要包含的功能安全活動(dòng)為:硬件安全需求的描述及驗(yàn)證、硬件設(shè)計(jì)的描述及驗(yàn)證、DFA分析、FMEA/FTA分析、硬件量化指標(biāo)評估及驗(yàn)證、硬件的集成驗(yàn)證等。
?   硬件安全需求的描述及驗(yàn)證:硬件安全需求由假設(shè)的技術(shù)安全需求導(dǎo)出,包含了功能性需求(預(yù)期功能以及安全機(jī)制)以及約束性需求(失效率指標(biāo)、FFI等);根據(jù)硬件安全需求的ASIL等級采取相應(yīng)的驗(yàn)證方法(走查、審查、半形式化驗(yàn)證、形式化驗(yàn)證)驗(yàn)證硬件安全需求的正確性、完整性、可測性、一致性、可實(shí)現(xiàn)性等
硬件設(shè)計(jì)的描述及驗(yàn)證:主要包含半導(dǎo)體的架構(gòu)設(shè)計(jì)、RTL設(shè)計(jì)、門級設(shè)計(jì)以及布局布線等;通過走查、審查、安全分析(FTA/FMEA)、模擬仿真等方法對其進(jìn)行驗(yàn)證
?   DFA分析:通過DFA分析確保不同ASIL等級的模塊之間滿足共存的要求,ASIL等級分解的模塊之間滿足獨(dú)立性,預(yù)期功能和安全機(jī)制之間滿足獨(dú)立性
FMEA/FTA分析:主要是針對各種復(fù)雜系統(tǒng)設(shè)計(jì)和初樣設(shè)計(jì)階段進(jìn)行可靠性、安全性分析。用于系統(tǒng)的故障分析、預(yù)測和找出系統(tǒng)的薄弱環(huán)節(jié),以便在設(shè)計(jì)、制造和使用中采取相應(yīng)的改進(jìn)措施
硬件量化指標(biāo)評估及驗(yàn)證:主要包含F(xiàn)MEDA和PMHF計(jì)算,通過架構(gòu)指標(biāo)(單點(diǎn)故障指標(biāo)、潛在故障指標(biāo))來評估硬件架構(gòu)設(shè)計(jì)水平 ,通過PMHF值評估表明隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低
硬件的集成驗(yàn)證:根據(jù)ASIL等級采取相應(yīng)的驗(yàn)證措施,驗(yàn)證硬件設(shè)計(jì)是否滿足相應(yīng)的硬件安全需求
         核心過程二,相關(guān)項(xiàng)開發(fā)。它的主要內(nèi)容是系統(tǒng)級假設(shè)驗(yàn)證。當(dāng)芯片集成方(OEM/Tier1)進(jìn)行系統(tǒng)級別的設(shè)計(jì)時(shí),需要驗(yàn)證芯片的技術(shù)安全需求假設(shè)與外部設(shè)計(jì)假設(shè)和當(dāng)前系統(tǒng)中分配給芯片的技術(shù)安全需求以及當(dāng)前系統(tǒng)設(shè)計(jì)是否一致。若兩者一致,則可以進(jìn)入后續(xù)的功能安全開發(fā)階段;若兩者不一致,則視實(shí)際項(xiàng)目情況由芯片開發(fā)方或芯片集成方進(jìn)行變更。

安全分析助力SEooC開發(fā)

        從上述的符合功能安標(biāo)準(zhǔn)的IC流程關(guān)鍵技術(shù)剖析不難看出,如何進(jìn)行半導(dǎo)體的安全分析對SEooC開發(fā)至關(guān)重要,高效、準(zhǔn)確的完成安全需求管理與追溯、FMEA、FMEDA、安全機(jī)制設(shè)計(jì)、故障注入與仿真、FTA、DFA以及相關(guān)的變更管理與影響分析等是SEooC開發(fā)面臨的挑戰(zhàn),傳統(tǒng)的使用Excel等單點(diǎn)工具已經(jīng)很難滿足安全開發(fā)設(shè)計(jì)的要求。
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖6 半導(dǎo)體開發(fā)面臨的挑戰(zhàn)
        其中在進(jìn)行FMEDA分析時(shí),芯片的設(shè)計(jì)不但要考慮永久故障,還必須考慮由于電路干擾、電磁干擾而導(dǎo)致的瞬態(tài)故障。一般而言,對于永久故障,封裝Package和晶圓Die的失效率分布一般由行業(yè)專家來判定,而晶圓Die內(nèi)部各個(gè)功能模塊具體的失效率,比如數(shù)字電路、模擬電路、CPU等,首先要按照SN29500、IEC62380等標(biāo)準(zhǔn)并根據(jù)晶體管數(shù)量計(jì)算總的失效率,然后再根據(jù)每個(gè)功能模塊的面積來計(jì)算相應(yīng)的失效率。對于瞬態(tài)故障,標(biāo)準(zhǔn)建議是總故障率按照門的數(shù)量乘以基本瞬態(tài)失效率來計(jì)算,因此芯片內(nèi)部失效率的計(jì)算,需要提取芯片內(nèi)部模塊的面積以及門的數(shù)量。對于永久故障和瞬時(shí)故障失效率的計(jì)算,如果采取人工的方式進(jìn)行數(shù)據(jù)的提取和分析,非常耗時(shí)耗力,因此需要特定的工具進(jìn)行輔助。

IC功能安全解決方案-Medini Analyze 

        針對半導(dǎo)體的功能安全開發(fā)及驗(yàn)證,Medini Analyze推出完整的安全分析解決方案,支持把IC設(shè)計(jì)文件導(dǎo)入到工具中,自動(dòng)識別所需數(shù)據(jù)進(jìn)行一系列的分析和計(jì)算。
智能駕駛安全專題 | 你若安“芯”,便是晴天
圖7  Medini針對半導(dǎo)體的FMEDA工作流程
        對于半導(dǎo)體FMEDA的開發(fā),基于Medini Analyze平臺的主要分析流程如下:
STEP1,IP設(shè)計(jì)數(shù)據(jù)的無縫導(dǎo)入并與高層架構(gòu)模型映射
STEP2,支持IPD-XML格式包含die area/gate counts的設(shè)計(jì)數(shù)據(jù)導(dǎo)入,通過設(shè)計(jì)數(shù)據(jù)與高層架構(gòu)模型映射,高層架構(gòu)模型能夠自動(dòng)匯總失效率的分布
STEP3,失效率預(yù)計(jì),根據(jù)映射關(guān)系自動(dòng)將失效率分布至各個(gè)功能模塊
STEP4,執(zhí)行FMEDA,計(jì)算SPF/LF metrics,safe fault fraction等,從映射后的高層架構(gòu)模型能夠直接生成FMEDA的表格,并基于安全機(jī)制DC值自動(dòng)估算SPFM/LFM指標(biāo)
STEP5,從FMEDA生成故障列表,以進(jìn)行故障注入模擬,通過導(dǎo)出的故障列表來支持EDA工具進(jìn)行故障注入測試,以便得到更加準(zhǔn)確的DC值
STEP6,執(zhí)行故障注入以確定安全機(jī)制的診斷覆蓋率
STEP7,更新安全機(jī)制的診斷覆蓋率和故障注入安全故障比例,基于準(zhǔn)確的DC值Medini將自動(dòng)更新FMEDA表格,并計(jì)算相應(yīng)的硬件指標(biāo)
        此外,Medini Analyze還具備安全需求追溯管理、FTA分析、FMEA分析以及DFA分析等功能。“DC Configurator”功能可以把芯片廠商的安全分析工作以工程文件的形式導(dǎo)出,工具自動(dòng)收集所有相關(guān)的高層架構(gòu)數(shù)據(jù),里面只包含安全分析相關(guān)的信息,而不包含芯片的具體設(shè)計(jì),從而實(shí)現(xiàn)安全分析的信息共享并同時(shí)保護(hù)知識產(chǎn)權(quán)。
        經(jīng)緯恒潤從2008年開始研究及實(shí)施功能安全,并于同年組建了功能安全團(tuán)隊(duì),從消化ISO-26262標(biāo)準(zhǔn)到參與2017年GB/T 34590功能安全標(biāo)準(zhǔn)的制定;結(jié)合自身汽車電子產(chǎn)品研發(fā)實(shí)踐,經(jīng)緯恒潤的功能安全團(tuán)隊(duì)在智駕域、底盤域、動(dòng)力域、車身域?qū)嵤﹪鴥?nèi)外100+成功案例,積累了豐富的經(jīng)驗(yàn)。迎合市場所需,結(jié)合量產(chǎn)產(chǎn)品功能安全落地實(shí)施的技術(shù)難點(diǎn),經(jīng)緯恒潤功能安全團(tuán)隊(duì)以智能駕駛功能安全為主題,陸續(xù)發(fā)布解決方案系列文章,歡迎大家共同探討!
向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI