更深入了解汽車與航空電子等安全關(guān)鍵型應(yīng)用的IP核考量因素

中國(guó)已經(jīng)連續(xù)十多年成為全球第一大汽車產(chǎn)銷國(guó)，智能化也成為了汽車行業(yè)發(fā)展的一個(gè)重要方向，同時(shí)越來(lái)越多的制造商正在考慮進(jìn)入無(wú)人機(jī)和飛行汽車等低空設(shè)備，而所有的這些系統(tǒng)產(chǎn)品都需要先進(jìn)芯片的支撐，其中的許多芯片因其功能都是安全關(guān)鍵型芯片(safety-critical chip)。

所有類型的安全關(guān)鍵型芯片設(shè)計(jì)都需要深謀遠(yuǎn)慮和認(rèn)真規(guī)劃。本文的目的是闡明在安全關(guān)鍵型應(yīng)用中使用預(yù)先打造的電路功能(也就是IP內(nèi)核)的益處，并為您在設(shè)計(jì)芯片時(shí)，在做出相關(guān)選擇和IP內(nèi)核集成過(guò)程中提供一些指導(dǎo)。

遺憾的是，設(shè)計(jì)師往往低估了在其項(xiàng)目的早期階段與第三方IP制造商合作的重要性和益處。缺乏與IP供應(yīng)商之間有計(jì)劃的密切合作可能會(huì)導(dǎo)致誤解、時(shí)間壓力、流片延遲和挫敗感。當(dāng)然，您肯定希望在您的芯片設(shè)計(jì)項(xiàng)目中避免所有這些問(wèn)題——那我們就接著往下看。

什么是安全標(biāo)準(zhǔn)?

在我們深入研究安全關(guān)鍵型芯片設(shè)計(jì)的IP選型之前，讓我們先快速了解一下不同的行業(yè)針對(duì)安全性形成的標(biāo)準(zhǔn)。

適用于汽車行業(yè)的標(biāo)準(zhǔn)是ISO 26262，它源自IEC 61508標(biāo)準(zhǔn)?！逗娇掌鳈C(jī)載電子設(shè)備硬件設(shè)計(jì)保障指南(DO-254)和AMC 20-152A(基本上是DO-254的補(bǔ)充)是為開發(fā)航空機(jī)載電子設(shè)備硬件的工程師提出要求的通用標(biāo)準(zhǔn)。其他最終用途和設(shè)計(jì)應(yīng)用都可能有其自己的專用標(biāo)準(zhǔn)。ISO 21434網(wǎng)絡(luò)安全標(biāo)準(zhǔn)就是一個(gè)例子，它在當(dāng)今的汽車和航空電子設(shè)計(jì)中扮演著越來(lái)越重要的角色。(出于本文的目的，我將把重點(diǎn)放在安全性上，而不是安全防護(hù)。)

我們?yōu)槭裁葱枰踩珮?biāo)準(zhǔn)?以及它們?yōu)槭裁磿?huì)有這么多不同之處?

接下來(lái)我們討論一下為什么在開發(fā)電路的時(shí)候需要標(biāo)準(zhǔn)化的問(wèn)題。坦率地說(shuō)，這個(gè)話題并不新鮮，甚至也不令人興奮!安全標(biāo)準(zhǔn)甚至經(jīng)常被視為一種必要的挑戰(zhàn)——但是，如果沒有明確定義的可靠性和操作安全性規(guī)則，電子電路的運(yùn)行將不再可能。

與航空公司飛行員在起飛前必須通過(guò)飛機(jī)所有安全相關(guān)的標(biāo)準(zhǔn)協(xié)議類似，標(biāo)準(zhǔn)化也必須作為電路開發(fā)的一部分加以推進(jìn)。即使飛行員已經(jīng)經(jīng)歷了數(shù)百次相同的過(guò)程，并且成功完成了相應(yīng)數(shù)量的飛行，在每次重新起飛之前也必須重新進(jìn)行該程序;這一措施的唯一目標(biāo)是避免錯(cuò)誤。

同理，這正是ISO 26262和IEC 61508等預(yù)定義的標(biāo)準(zhǔn)所希望達(dá)到的目的：一個(gè)明確定義的計(jì)劃，有助于發(fā)現(xiàn)可能的錯(cuò)誤并對(duì)問(wèn)題進(jìn)行分類，從而使設(shè)計(jì)能夠?qū)Σ豢深A(yù)見的情況做出充分的反應(yīng)。如果輪胎損壞，必須阻止飛機(jī)起飛，因?yàn)樗鼘o(wú)法安全著陸。然而，如果機(jī)上廚房有缺陷，這對(duì)于飛行來(lái)說(shuō)可能是可以接受的，因?yàn)樗粫?huì)對(duì)飛機(jī)的航空機(jī)械性能產(chǎn)生不利影響。

從根本上說(shuō)，輪船船長(zhǎng)和飛行員的目標(biāo)是完全相同的：即將乘客和貨物安全地運(yùn)送到預(yù)定的目的地。由于海上和空中旅行之間的巨大差異，對(duì)這些任務(wù)就有不同的標(biāo)準(zhǔn)。正是由于這個(gè)原因，所以才制定了專門的安全標(biāo)準(zhǔn)。為這些不同運(yùn)輸工具提供設(shè)備的任何供應(yīng)商必須事先知道，例如，他們的陀螺羅盤將要被安裝在飛機(jī)上還是安裝在游船上，以確保其正常工作。這也是IP供應(yīng)商需要了解將使用其預(yù)定義電路功能(IP)的應(yīng)用環(huán)境的原因。

安全標(biāo)準(zhǔn)定義了哪些方面?

安全標(biāo)準(zhǔn)定義了設(shè)計(jì)過(guò)程安全需求的各個(gè)階段：計(jì)劃(planning)、實(shí)施(implementation)、驗(yàn)證(verification)和文檔記錄(documentation)。

對(duì)于所有標(biāo)準(zhǔn)，該程序都有或多或少的統(tǒng)一性，但應(yīng)該注意的是，每個(gè)標(biāo)準(zhǔn)對(duì)這四個(gè)階段的適用性要求的定義還是略有不同。必須滿足每個(gè)步驟的原則，從而符合相關(guān)標(biāo)準(zhǔn)。

最終用途和允許的故障概率

為了定義恰當(dāng)?shù)腻e(cuò)誤處理機(jī)制，就必須對(duì)潛在的硬件故障進(jìn)行分類。就像前面提到的飛機(jī)輪胎和廚房的場(chǎng)景一樣：汽車信息娛樂系統(tǒng)中的一個(gè)錯(cuò)誤可能是可以接受的，而影響安全裝置的錯(cuò)誤則是不可接受的，例如自動(dòng)制動(dòng)系統(tǒng)。

因此，需要依次對(duì)不同的要求進(jìn)行分類。例如，IEC 61508標(biāo)準(zhǔn)就被細(xì)分為五個(gè)安全完整性等級(jí)：SIL 0到SIL 4。ISO 26262標(biāo)準(zhǔn)包括四個(gè)等級(jí)：ASIL A到ASIL D(其中ASIL代表汽車安全完整性級(jí)別)。類別級(jí)別越高，安全要求越嚴(yán)格，其中SIL 4或ASIL D是最嚴(yán)格的。

在確定設(shè)計(jì)和驗(yàn)證中必須采用的方法時(shí)，產(chǎn)品的最終用途在其中起著至關(guān)重要的作用。例如，進(jìn)入汽車信息娛樂系統(tǒng)的芯片，如果發(fā)生故障就會(huì)給駕駛員帶來(lái)麻煩，但不會(huì)對(duì)人的生命構(gòu)成任何風(fēng)險(xiǎn)。相比之下，安全氣囊或車道管理系統(tǒng)中的芯片故障可能會(huì)威脅到駕駛員、乘客、道路上其他車輛甚至行人的安全。

當(dāng)一種芯片設(shè)計(jì)的最終用途可能意味著人類的生命會(huì)受到威脅時(shí)，我們將其稱為安全關(guān)鍵型芯片。功能安全在這種設(shè)計(jì)中是必不可少的：因此，這類設(shè)計(jì)的完整性級(jí)別必須與最終用途相稱。必須對(duì)軟件或硬件引起的潛在故障制定計(jì)劃并主動(dòng)解決。

對(duì)故障的理解和反應(yīng)

讓我們進(jìn)一步了解如何理解和應(yīng)對(duì)潛在的故障。從根本上來(lái)說(shuō)，這都是關(guān)于系統(tǒng)如何處理故障情況，并確定：1)如何預(yù)防故障本身發(fā)生，或2)如何應(yīng)對(duì)故障。這里必須區(qū)分硬件錯(cuò)誤和軟件錯(cuò)誤，它們要么可以被安全地忽略，要么必須通過(guò)不同的方法加以預(yù)防或應(yīng)對(duì)。即使是純粹的硬件錯(cuò)誤，也必須了解這些錯(cuò)誤實(shí)際上會(huì)導(dǎo)致什么故障，以及適當(dāng)?shù)膽?yīng)對(duì)措施應(yīng)該是什么樣子。

需要對(duì)系統(tǒng)性誤差(例如，由電路開發(fā)或不充分驗(yàn)證導(dǎo)致的)和隨機(jī)發(fā)生的錯(cuò)誤(由外部影響引起)之間進(jìn)行區(qū)分。重要的是要明白，在任何情況下都不可能避免系統(tǒng)性錯(cuò)誤。通過(guò)良好的驗(yàn)證覆蓋、標(biāo)準(zhǔn)化的測(cè)試過(guò)程、廣泛的測(cè)試，其中也可能通過(guò)使用專用的驗(yàn)證IP(VIP)以及使用專門的工具，有可能顯著提升開發(fā)無(wú)錯(cuò)誤產(chǎn)品的可能性。

正如相應(yīng)的安全標(biāo)準(zhǔn)明確強(qiáng)調(diào)的那樣，100%的覆蓋率在實(shí)際中是不可能實(shí)現(xiàn)的。對(duì)于所謂的極端情況尤其如此，這種情況描述了元器件在異常條件下的操作，并且在電路開發(fā)和相關(guān)驗(yàn)證中都是一種挑戰(zhàn)。

另一方面，也不能完全排除隨機(jī)錯(cuò)誤。在這里，有必要制定對(duì)此類錯(cuò)誤做出適當(dāng)反應(yīng)的策略。為了消除由外部影響(如α因子)引起的潛在故障，必須采用錯(cuò)誤檢測(cè)和校正電路。根據(jù)應(yīng)用領(lǐng)域和無(wú)錯(cuò)誤操作要求的級(jí)別，有必要提供容錯(cuò)實(shí)現(xiàn)。容錯(cuò)在發(fā)生錯(cuò)誤會(huì)危及人類生命的情況下尤其重要，比如飛機(jī)上的設(shè)備。

原則上來(lái)說(shuō)，這樣的要求需要大大增加實(shí)現(xiàn)的工作量，當(dāng)然也需要增加驗(yàn)證的工作量。在這個(gè)領(lǐng)域，有必要強(qiáng)調(diào)的是，芯片設(shè)計(jì)人員必須要驗(yàn)證電路本身的正確性，還要驗(yàn)證錯(cuò)誤檢測(cè)和糾正電路的正確性。

IP開發(fā)是如何受到影響的?

當(dāng)為安全關(guān)鍵型設(shè)計(jì)創(chuàng)建或使用IP時(shí)，工程師必須要牢記什么?

即使只對(duì)最終產(chǎn)品進(jìn)行認(rèn)證，但其中每個(gè)組件也必須滿足適用于整個(gè)系統(tǒng)的要求。因此，所有子組件都必須按照嚴(yán)格的規(guī)則來(lái)執(zhí)行電路實(shí)現(xiàn)要求，以考慮產(chǎn)品在安全性相關(guān)應(yīng)用中的后續(xù)使用，并遵守適用標(biāo)準(zhǔn)的開發(fā)流程。

就ISO 26262標(biāo)準(zhǔn)而言，設(shè)計(jì)流程要求包括：

● 詳細(xì)的規(guī)劃——在定義功能安全要求階段中必須仔細(xì)完成

● 分析——旨在識(shí)別危險(xiǎn)和可能的錯(cuò)誤模式

● 實(shí)施——即對(duì)前面兩個(gè)步驟進(jìn)行全面的考量

然后，必須對(duì)系統(tǒng)進(jìn)行驗(yàn)證和確認(rèn)。為了獲得認(rèn)證，所有細(xì)分步驟都必須有良好的證明文件，并記錄其結(jié)果。同時(shí)，這個(gè)記錄必須包括所使用的工具和采用的驗(yàn)證方法等等。

為了獲得DO-254認(rèn)證，必須在規(guī)范制定階段首先就要強(qiáng)制性地使用明確的定義和術(shù)語(yǔ)，以確保從一開始就有完全可追溯性，并指出精確的要求，以確保詳細(xì)的證明文件。

要獲得這種類型的認(rèn)證需要付出很大的努力!還必須承擔(dān)額外的任務(wù)來(lái)創(chuàng)建適當(dāng)?shù)淖C明文件，如記錄驗(yàn)證過(guò)程、錯(cuò)誤覆蓋、錯(cuò)誤報(bào)告和工具使用等必需環(huán)節(jié)。還應(yīng)該注意的是，只有某種產(chǎn)品在獲得認(rèn)證后保持不變的“凍結(jié)”版本才是認(rèn)證合格的。此外，在創(chuàng)建產(chǎn)品時(shí)所使用工具的版本也必須保持不變。

獲得行業(yè)標(biāo)準(zhǔn)機(jī)構(gòu)認(rèn)證

為了確保符合DO-254或ISO 26262等安全標(biāo)準(zhǔn)，就有必要獲得相應(yīng)的認(rèn)證。公司必須與獨(dú)立的組織合作，例如德國(guó)的TÜV SÜD等機(jī)構(gòu)，以完成認(rèn)證過(guò)程。全球有許多這樣的認(rèn)證機(jī)構(gòu)。

那么，你應(yīng)該追求認(rèn)證嗎?這需要視情況而定。

不利的一面是，獲得安全標(biāo)準(zhǔn)認(rèn)證的整個(gè)過(guò)程非常耗時(shí)，而且還需要適當(dāng)培訓(xùn)人員。還需要在整個(gè)認(rèn)證期間接受認(rèn)證組織的審核，以檢查和證明實(shí)現(xiàn)功能安全的措施的完整性。

有利的一面是，認(rèn)證可以增加客戶對(duì)其所需的產(chǎn)品質(zhì)量和可靠性的信任。此外，由于投入了額外的時(shí)間和精力，在整個(gè)設(shè)計(jì)過(guò)程中對(duì)細(xì)節(jié)的嚴(yán)格關(guān)注可以開發(fā)出優(yōu)質(zhì)的產(chǎn)品。

在大多數(shù)情況下，認(rèn)證IP核這樣的單個(gè)子組件是沒有意義的，因?yàn)樗鼈儠?huì)被用于更復(fù)雜的電路中。但是，所有子組件都必須符合適用標(biāo)準(zhǔn)規(guī)定的嚴(yán)格規(guī)則，并考慮到產(chǎn)品在安全相關(guān)應(yīng)用中的后續(xù)使用。

最終考量因素

如前所述，獲得認(rèn)證并不容易，但值得一試。即使只對(duì)最終產(chǎn)品進(jìn)行認(rèn)證，但包括第三方IP核在內(nèi)的每個(gè)組件都必須滿足適用于整個(gè)系統(tǒng)的要求。因此，所有子組件都有必要按照適用標(biāo)準(zhǔn)的嚴(yán)格規(guī)則進(jìn)行電路實(shí)現(xiàn)，并在開發(fā)階段就為產(chǎn)品的安全關(guān)鍵型最終用途制定規(guī)劃。前面提到的標(biāo)準(zhǔn)定義流程必須從始至終貫徹。

SmartDV已在汽車和航空電子設(shè)計(jì)方面富有經(jīng)驗(yàn)和頗有建樹，可以成為芯片廠商在探索相關(guān)領(lǐng)域時(shí)值得信賴的IP合作伙伴。我們的VIP是由具有數(shù)十年復(fù)雜芯片驗(yàn)證經(jīng)驗(yàn)的驗(yàn)證工程師所創(chuàng)建。我們還為各種應(yīng)用提供基于標(biāo)準(zhǔn)的設(shè)計(jì)IP。下面顯示的是我們的一些IP核，它們都適用于本文中討論的安全關(guān)鍵型設(shè)計(jì)。

隨著芯片的復(fù)雜性不斷增加，驗(yàn)證也在逐年變得越來(lái)越復(fù)雜。在當(dāng)今的芯片設(shè)計(jì)中，驗(yàn)證往往會(huì)消耗大約60%-80%的項(xiàng)目資源，并且通常是整個(gè)過(guò)程中的瓶頸。正是因?yàn)檫@樣的復(fù)雜性和重要性，與值得信賴的IP伙伴合作是回報(bào)最高的途徑，他們將與芯片設(shè)計(jì)師共同解決其在此過(guò)程中遇到的任何問(wèn)題。

市場(chǎng)差異化帶來(lái)的定制化需求也在芯片行業(yè)中不斷凸顯。無(wú)論您是為下一代SoC、ASIC或FPGA項(xiàng)目采購(gòu)設(shè)計(jì)IP，還是尋求驗(yàn)證解決方案(VIP)來(lái)完成您的芯片設(shè)計(jì)，SmartDV都可以快速且可靠地對(duì)我們多元化的產(chǎn)品組合進(jìn)行定制，以滿足您獨(dú)特的設(shè)計(jì)需求。我們的SmartCompiler™技術(shù)使這種定制化可以很完美地實(shí)現(xiàn)，并可使芯片設(shè)計(jì)公司獲得更高的回報(bào)。IP Your Way™——只需定義您的規(guī)格，然后交給我們處理。

我們期待看到您的芯片設(shè)計(jì)成果應(yīng)用在道路上或在天空中!

作者：Philipp Jacobsohn，SmartDV高級(jí)應(yīng)用工程師

（來(lái)源：智權(quán)半導(dǎo)體）