自动驾驶车载SoC设计功能安全
我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。
老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师:
所有人的看法与评价都是暂时的,也只有这些个人经历会伴随人的一生.少有担忧与恐惧源自于个人想象.真正去做的人往往会觉得很快乐.
人们应该把注意力全部放在未来上.不必过分在意他人的看法.
再不要让内心的烦躁与焦虑毁掉你原本就不多的热情与定力.不论外界如何评价,都请专注自己该做的事.
深秋时节悄然间来临了。国庆假期落下帷幕之后便开启全新的生活节奏。作为成年人的我却时常感到迷茫与困惑,在这纷繁复杂的生活中无处可归的灵魂唯有通过文字的形式留下些零散的想法片段当作这段时间的精神注记。
一、前言
伴随汽车技术的进步与革新, 车辆架构设计正在经历深刻的变化, 呈现出向集中化领域处理模式转变的趋势, 这种新型模式将车辆的功能划分为多个领域, 例如自动驾驶、车载连接以及移动性解决方案等, 每个领域均配备专用处理器负责其相关任务
域处理器在该架构中扮演着不可或缺的角色。它们不仅构成了车辆功能实现的核心,并且还显著影响购车者的使用体验。由此可见,在选择车辆时,特别关注其性能与功能是非常重要的,从而确保所选车辆能够满足他们的需求。
自动驾驶、车辆连接和移动性解决方案等领域是现代汽车技术的关键组成部分。这些领域基于复杂的人工智能算法和密集的计算能力运行良好。例如,在自动驾驶系统中需要迅速处理大量传感器数据以做出准确决策;车辆连接系统则需要依靠高速数据传输和稳定的网络连接;而移动性解决方案则需要确保车辆在不同场景下的灵活性和适应性。
以满足这些领域对计算能力的需求为指导原则,在设计架构时需要充分考虑各方面的技术指标要求。就目前而言,在不同应用场景下面临的挑战各有不同:例如,在自动驾驶系统中对高性能处理能力和严格的安全标准提出了极高要求,在车辆互操作性系统中则强调了高效的数据传输速率和稳定的通信质量,在移动设备生态系统中则更加注重极低的能耗水平和高度灵活的设计方案。因此SoC需根据各类应用场景的具体需求进行相应的优化设计。
为了满足这些需求而开发定制芯片这一目标的实现过程,在当今汽车工业中正受到诸多汽车制造商的关注与投入。依靠自主研发能力以及采用定制化设计方案等方法手段,在确保该芯片既能实现所需功能的同时,并非不考虑其他重要指标——即严格限定其功耗、性能及面积指标等技术参数的要求下开展工作。这种做法不仅能够显著提升整车性能水平,并非无益于降低生产成本这一目标的达成;反而还能够在激烈的市场竞争中增强市场竞争力
二、SOC芯片验证
尽管设计自动驾驶汽车的SoC面临诸多挑战, 但成为其成功的关键障碍就在于赢得公众的信任. 为了赢得公众对自动驾驶汽车的信任, 商家可采取的方式即遵循现有的安全规范和技术标准以验证系统的安全性与可靠性. 因此, 行业已制定了一套针对电气与电子系统的功能安全规范与技术标准.
功能安全的主要目标是减少因失效而引发电气元器件故障的风险。在汽车行业中,这类程序与规范已正式成为 ISO 26-D- 标准的一部分. ISO 9-D- 要求实施针对电子设备的随机硬件失效与系统故障测试. ISO -D- 同时代表着汽车电子产品安全性方面的重要技术标准,面对可能面临的产品责任诉讼,汽车制造商与供应商通常会优先选择符合其规定的方案.
系统性故障指集成电路违背正常工作规范的异常状态。这类故障涉及设计缺陷、硬件/软件接口问题以及错误解释等多重因素。IC行业已形成丰富知识体系、专业工具及操作流程等资源支持。相对而言,自动驾驶行业在经验积累和随机硬件故障处理方面尚显不足。随机硬件故障具有不可预测性且会随着时间推移逐渐显现特征
ISO 26262 规定,在芯片持续运行或随机硬件故障发生时仍能安全失效。为了确保集成电路(IC)在随机性故障情况下仍能安全失效,则需采取以下四个关键步骤:
涵盖范围从规划到合规管理的过程涵盖了功能安全相关的周期性管理流程
通过安全分析, 设计人员能够深入了解设计在随机硬件故障可能导致失效的情况。通过FMEDA分析, 可以识别出潜在的故障模式及其发生概率, 并评估这些故障对系统功能的影响程度。随后, 工程师会执行安全间隔分析, 以确定所需的增强措施来实现其安全目标。
通过增强安全机制来优化设计, 降低由于偶然性引发的潜在故障. 这一目标可通过在系统架构中引入用于检测与修复故障行为的安全机制来实现, 从而保证设计能够正常工作或安全地失效.
通过实施安全性验证并利用故障注入过程对一组特定的故障指标进行检测,并以此证实设计的安全性。其中所涉及的 fault indicator set 包括 single-point 和 latent fault categories (SPFM/LFM) 以及 diagnostic coverage (DC).
这些流程运行于闭环系统中,在此模式下每一个环节的结果将成为后续步骤的基础。这种封闭循环对于有效应对随机发生的硬件故障以及构建一次成功可靠的IC设计至关重要。本文旨在探讨这些流程及其如何提升工程师在各个阶段的工作效率,并介绍先进的验证技术
三、生命周期管理
ISO 26262提供了关于如何跟踪和管理设计变更、测试结果以及安全指标的指导方针。目前许多企业仍依赖于工程师进行手动跟踪和数据收集。然而,在记录数据时容易出现错误,并且效率较低。此外,在处理数据时无法将关键信息关联起来,这使得追溯变得极为困难。例如,在系统更新或配置更改方面所涉及的信息如变更数据、设计要求以及验证结果等都是单独存储的。因此,在创建审核所需的产品文件时需要花费大量时间来进行信息整合工作。随着汽车集成电路越来越复杂,当前的手动管理模式已经无法满足相关合规性和安全性需求了.
应用生命周期管理 (ALM) 软件能够自动地实现对设计需求及合规性的跟踪与管理。借助一套全面的安全管理体系方案(即上述提到的解决方案),公司可以在需求驱动的基础上进行系统化地规划和实施功能安全相关的各项任务,并覆盖从测试计划到最终的合规性认证这一完整的生命周期。在功能安全验证过程中(即上述提到的功能安全验证方面的支持下),ALM 工具能够有效地缩短完成验证循环所需的时间.
FMEDA被存储于ALM工具内,并允许工程师便捷地获取来自安全验证阶段的关键指标。因此,在汽车集成电路(IC)领域想要取得进展的企业必须重视这一需求驱动的过程。而应用生命周期管理(ALM)解决方案则通过提供一个数字化平台来实现对功能安全全过程的需求驱动流程的支持。通过这种方式,工程师不仅能够获得必要的信息来证明关键汽车电子设备的功能安全性,还能显著简化手动数据收集这一繁琐的过程。
四、安全分析
在生命周期管理解决方案全面部署完成后,默认的安全性验证步骤是开展系统安全评估。通常情况下,在系统设计阶段初期阶段, 安全架构师会利用FMEDA来识别潜在的设计失效模式。作为系统安全性评估的重要工具之一, FMEDA被视为不可或缺的关键环节.由于其基于专家知识且自上而下地进行推理的特点, 这种方法也存在因主观判断失误而导致结果偏差的风险.通过系统性地执行安全性评估流程, 安全架构师能够验证其基于经验的专业判断是否准确有效.此外, 该方法不仅能够量化系统的固有故障率(以FIT为单位衡量), 同时还能对潜在故障点及其影响进行全面评估(SPFM/LFM指标)。这有助于提前识别可能存在的风险并采取相应的防护措施.
随后,在开展系统性地开展安全探索的过程中
在设计的结构层面实施安全分析是必要的。
在该层面上执行的安全分析将提供更为精确的数据,
并清晰体现来自安全验证的关键指标。
这将显著提升
安全IC
设计成功的几率,
并大幅减少
昂贵且耗时
的迭代优化过程所需的时间和成本。
五、安全设计
当前阶段的用户已通过安全分析掌握了提升设计安全性所需的关键知识。
随后的任务是向设计中植入必要的安全机制。
针对上述提到的安全机制的插入方案,
西门子为此提供了全面且可靠的解决方案方案。
其中,
Austemper 安全集成工具将被用于自动完成 RTL 插件的插入,
从而实现时序设计强化技术(即 ECC、CRC、奇偶校验、重复冗余和复制)的应用。
这些基于硬件的安全插件能够直接应对静态故障与瞬态故障。
此外,
Tessent 工具将被用来插入 LBIST 和 MBIST 机构,
并通过 MissionMode 控制器实现汽车级功能启用。
这些片上测试设施不仅能够检测现场潜伏故障,
还能显著提高汽车芯片在长期运行中的可靠性和安全性。
该自动化设计为进入汽车IC设计领域的公司及进入汽车市场的IC设计公司带来了诸多好处。首先,在这些任务上投入的时间得到了降低,从而让技术人员能够将更多精力投入到芯片的独特功能开发中。其次,自动化地嵌入安全机制简化了在未知架构模块(例如第三方IP或机器生成代码)中加入安全措施的过程,提升了效率并减少了复杂性。再次,自动化手段强化了团队间实现统一的安全机制的一致性,有助于构建高效的协作环境.最后,通过自动化流程加速将传统IP转换为符合功能安全标准的过程,特别是在难以追溯到原始设计人员的情况下。
六、 安全验证
首先采用的是基于安全分析阶段所生成的故障清单,在RTL级别上ic设计中的各个节点、寄存器以及端口均可能面临故障风险。往下一级门电路级网络表中可能出现的故事情节可能会呈现指数级增长直至达到数百万人规模的数量级,在考虑到安全性相关标准时潜在缺陷数量将显著提升
为确保仿真过程的时间可控,在设计阶段工程师通过一系列技术手段来缩减注错分析与仿真或故障事件范围。这一做法被称作故障优化。其中一种具体实施方式即为 fault sampling, 该方法系统会随机抽取数千个典型故障案例作为分析对象。从而降低整个安全验证阶段中被调用的故障数量
对于大多数功能而言,并非有必要对所有的潜在故障进行设计安全性的验证。然而,在涉及安全的核心组件上必须实施全面的安全性测试,并确保没有任何缺陷存在。即便在相对简单的操作中实现这种级别的安全性验证,在某种程度上也会导致仿真能力迅速降低到难以应付的状态。
为了缩短验证时间, 可以通过减少必须验证的输入组合数量来实现这一目标. 随机抽样的方法能够生成一个较小的列表, 但这种方法无法确保对安全关键组件进行彻底的全面测试. 随着应用越来越广泛的一种替代方法就是采用形式化方法进行测试. 通过实施形式化方法进行测试能够大幅降低可能出现的问题数量. 因此, 我们可以利用一系列逻辑规则来系统地分析电路的行为. 这种逻辑路径被称为 "影响锥".
在随机硬件失效分析的情境下,在符合结构的安全性要求的所有位置上自动去除不影响系统正常运行的功能单元;根据定义,在影响锥之外的所有异常事件都被视为安全事件。此外,在这一区域内还能识别出系统安全机制所覆盖或未覆盖的关键逻辑线路,并表明潜在的问题类型包括单一缺陷、残留缺陷以及潜伏缺陷等特征信息。这种结构性分析不仅能够提前对潜在问题进行快速归类划分,并且能够评估系统的诊断覆盖率计算方法在极端情况下所能达到的最佳效果或最低水平的结果表现。
形式验证也确保了全面的故障排查能力。该方法遵循广度优先策略进行系统验证,则能全面评估从初始状态可达的所有系统状态,并按顺序遍历整个状态空间以确认每个状态下系统的有效性状况参数值范围等信息最终结果是一组最坏情况下系统的安全基准参数能够全面解释系统可能出现的所有故障模式对于那些需要极高水平可靠性和功能性安全的关键组件这种严格的方法具有重要意义
通过仿真注入故障完成的安全设计后, 工程师根据预期的安全性标准构建了设计方案. 随后必须验证该设计的安全性. 这一过程是通过模拟硬件故障行为来验证系统稳定性的手段.
在安全验证阶段中会产生一组新的SPFM/LFM和DC安全指标。依据在安全分析阶段估算出的SPFM/LFM以及DC指标结果来评估这些新产生的指标,并最终完成整个验证循环的过程。经核实的安全性指标会被用作产品安全性证明的关键证据并提交至最终的FMEDA报告中。基于自动驾驶汽车SoC系统高度复杂的特性以及其必须满足的严格安全标准,在硬件加速环境下进行故障注入模拟将会导致很长的时间用于功能及功能安全性验证工作。为了提高这一过程的效率除采用形式化验证技术优化故障清单外还可以借助更为强大的自动化测试引擎进一步提升整体测试效率。
该系统采用每兆赫 (MHz) 频率运行测试模式,在芯片设计进入硅片制作阶段之前即可完成性能评估工作。通过该方法可确保对硬件设计过程有全面掌握,并通过实时监测功能获取关键数据信息。此外,在实现基础功能的同时还具备故障注入测试、实时监控以及结果分析等功能模块。
在不改变设计流程的前提下实现了整个供应链协作工作的灵活高效性。通过硬件加速器可以在硅片制造前实现特定IP或整个SoC的设计并包含基于软件的安全机制这一过程这一方案尤其适用于降低满软件负载情况下的复杂度相比之下在SoC级别执行故障注入仿真是几乎不可能的尤其是在软件负载饱和的情况下利用硬件加速器则可帮助工程师逐步编写并测试软件并在将要实施软件的不断演进中的SoC设计阶段完成这一任务随后将综合传感器数据输入至硬件加速仿真系统并将输出结果导入用于车辆行为建模的应用环境从而验证IP与软核之间的相互作用通过这种技术手段则使得供应链各个环节能够更早地开始开发工作并能够在系统模型内部实现功能性测试
六、转向全车验证
伴随车辆自动化等级从1级提升至5级(自动驾驶V5级别),汽车系统需要应对的潜在风险情况急剧增加。研究表明,在开发完全可靠的自动驾驶系统时,其所需的技术验证规模可能达到每辆车每天行驶10万公里的数量级。为了实现如此庞大的技术验证需求,在开发阶段初期建立虚拟仿真环境是必要的。
硬件加速仿真能够支持模型、软件以及硬件在环测试。借助传感器与机电系统的集成,在未获取任何芯片或车辆硬件的情况下,则可为IC或整个自动驾驶汽车平台提供测试、编程与调试的环境。
主要涉及的是关于传感器的数据。即便没有实际的传感器硬件设备存在,“通过基于物理特性的先进仿真实验室构建了完整的仿真实验系统”,其中包含了激光雷达、雷达等实时感知设备以及摄像头等图像捕捉设备。“能够模拟车辆与周围环境之间的通信流程”,从而实现自动驾驶汽车功能测试的目的。
此外,自动驾驶IC的硬件加速器提供的计算数据,其硬件加速器不仅拥有数十亿级门电路,并且还能够支持高度先进的SoC架构设计.该系统以MHz频率接收并传递与其在实际硅片上接收并传递相同的信号,从而不仅使工程师能够清晰地了解设计功能的关键特征,并且显著地提升了故障诊断与系统优化的能力.
机电仿真器输出来自转向机构、制动系统和传动装置的执行器数据。通过现代系统仿真解决方案, 制造商能够在投入样机之前对机电一体化系统的性能进行仿真和优化。这些解决方案包含多物理特性模型库, 用于准确描述热力学、液压、气动学、电气工程和机械系统的动态特性。硬件加速器能够利用这些解决方案的输出, 向被测设计提供与实际车辆控制相当真实的车辆控制数据。此外, 在任何物理部件就绪前, 被测设计就可以像在真实车辆中一样完成转向操作、制动动作以及加速过程。
有了这些验证技术, 借助这些先进的检测手段, 芯片设计人员就可以提前开展对自动驾驶芯片的开发与测试工作. 新型移动性验证系统对于实现自动驾驶汽车的成功运行至关重要, 该系统得益于先进传感器与强劲处理器的强大合作, 实时采集与处理海量数据的能力是其核心竞争力所在. 显而易见, 这些高性能处理器将需要全新的架构设计需求, 以应对自动驾驶应用中对功耗效率与面积占用提出的新挑战. 理论上讲, 即使在极端环境下, 自动驾驶IC依然需要维持近乎完美的可靠性与准确性水平, 同时所需运行时间也远超常规消费电子产品中的同类产品.
设计这些芯片仅仅是第一步。自动驾驶汽车IC的设计必须经过严格验证,在随机硬件失效时能够安全可靠地运行。遵循类似ISO 26262这样的功能安全标准的严格要求是必要的。为了达到这一高质量标准,在异常复杂的自动驾驶IC设计中需要采用一套全新的验证流程:通过结合仿真与硬件加速仿真手段,在设计过程中实施'左移'(Left-shift)验证。同时这些IC还需要在其内部环境中完成测试工作
汽车初创企业和成熟的OEM及系统公司需应对由市场先行者带来的巨大压力。必须拥有高效的验证工具以满足日益严格的可靠性标准。当处理高度复杂的芯片时,验证团队将依赖自动化技术来加快关键流程;同时,在软件加速仿真方面取得进展后,则能够灵活且及时地完成必要的验证工作。
