車用半導體的安全驗證方法

英文原文:A Safety Verification Methodology For Automotive Semiconductors

2023年7月6日於《Semiconductor Engineering》刊登

以試算表為基礎的傳統安全分析方法,無法有效擴展以處理現代 Soc 的複雜度。

長久以來,功能安全 (functional safety) 一直是植入式醫療裝置、星載 (space-borne) 系統與核電廠等諸多電子應用的必要需求。隨著先進駕駛輔助系統 (advanced driver assistance systems, ADAS) 日益普及,再加上自動駕駛汽車的出現,讓汽車晶片也被列入安全關鍵設計的行列中。從半導體設計公司、電子設計自動化 (electronic design automation, EDA) 工具供應商到汽車製造商,整個供應鏈都需要實現功能安全需求。

對於參與繁複半導體分析的功能安全工程師而言,其任務是要在數以千計的模式中識別可能會出現設計故障的模式,亦稱為故障模式 (failure modes, FMs),以及找出可能導致該類故障的原因。針對複雜的設計,以手動方式確保達成高效能又高效率的功能安全分析極為費時;而使用試算表的傳統方法,在需要滿足相關標準的情況下也容易出錯,而且可能會徒勞無功。

汽車應用必須遵循兩大安全標準:IEC 61508 (適用於一般電子用品市場) 與 ISO 26262 (適用於安裝在道路交通工具的電氣和/或電子系統)。ISO 26262 提出的標準化系統生命週期需要實施諸多程序和方法,才能實現系統性安全功能目標。而該流程建議使用經認證的先進 EDA 技術,進行需求工程、架構建模、驗證及實作。

對於目標旨在通過 ISO 26262 認證的汽車系統單晶片 (SoC) 設計而言,經認證的功能安全評估人員在安全規劃階段就必須參與。功能安全評估人員會針對故障模式與影響分析 (Failure Modes Effects and Diagnostic Analysis, FMEDA) 所採取的整體安全方法以及開發週期期間使用的工具提供指導。其中,對FMEDA先進分析工具的最低要求為:

  • 採用經認證工具的安全方法,為 SoC 提供可擴展性
  • 在整個晶片開發週期中,讓工程師可以針對常用資料庫同時執行任務,實現相似的安全目標
  • 在整個設計流程中,能夠循序追蹤 FMEDA
  • 從專案與需求管理工具匯入安全需求

這些流程在功能安全生命週期中的關鍵作用,在於定義安全分析目標,接著驗證系統架構。開發人員必須提供相關佐證,以確保該設計是根據汽車安全完整性等級目標 (Automotive Safety Integrity Level, ASIL) 執行安全相關功能。除此之外,安全分析必須調查系統性故障與隨機硬體故障的可能原因,以及這些故障對功能產生的影響。

驗證安全機制之所以至關重要,是因為該機制必須要偵測硬體生命週期期間發生的隨機故障,並確保在故障發生時可以達到安全狀態。此機制包括計算診斷覆蓋率 (diagnostic coverage, DC)。硬體架構兩大關鍵指標是 SPFM (單點故障指標,Single Point Fault Metric)和 LFM (潛在故障指標,Latent Fault Metric)。兩者分別由故障模式與影響分析 (Failure Mode and Effect Analysis, FMEA) 和設計FMEA (D-FMEA) 進行質化分析,以及由 FMEDA 所進行的量化分析來判定。

右圖 1顯示半導體生命週期期間可能會發生的故障類型,以及相關的關鍵安全分析指標。要解決系統性故障,會使用 D-FMEA 進行質化分析來調查原因。若是為了解決隨機故障,則可以功能安全開發生命週期中獲得的增量設計 (incremental design) 資訊為基礎,逐步執行 FMEA 質化分析 和 FMEDA 量化分析,並使其更臻完善。

圖 1:系統性故障和隨機故障以及對應的安全分析。

如左圖 2質化分析與量化分析所示,在功能安全生命週期初期,一般會根據識別設計可能發生故障的方法,來執行隨機故障的質化分析。此階段只會提供方塊圖 (block diagram) 使用,功能安全專家以此為基礎,根據功能描述將設計分成零件、子零件與 FM 三個安全等級。

隨著功能安全生命週期推進並生成 RTL 設計時,功能安全專家會執行FMEDA 初期評估 (量化分析) 以估算設計面積。使用對應的穩定性標準 (SN 29500、IEC 62380、MIL-HDBK-217) 或是以操作經驗為基礎的企業資料庫,執行該評估來初步計算基本故障率(設計故障概率)。在這個階段,故障模式分佈 (Failure Mode Distribution, FMD),即故障模式相對權重,是透過將分析重點放在電路最重要的部分來計算的。

到了功能安全生命週期的最終階段,設計資訊已趨於穩定,而且可以使用邏輯閘層級網表。在這個階

段,功能安全專家針對最終設計重複進行量化分析(簽核),進而在基本面積與計算基本故障率方面達到更高精準度。根據最終設計等級來劃分設計,並定義故障模式。

總結而言,功能安全專家會執行三個階段分析,每個階段皆包含特定故障模式分析以及其與相關設計元件(故障根本原因)「關聯性」的分析。基本上,概率值的連接與計算過程會以佔用面積和技術類型為基礎,並基於各種啟發式(heuristics)方法進行推論,屬於傳統且十分繁複的手動工作。

EDA 工具針對映射 (mapping) 操作自動化的支援,對於減少手動工作以及避免忽略錯誤等層面發揮重要作用。而且,功能安全分析流程與晶片設計流程無縫接軌的相容性,對加速認證速度至關重要。最後,功能安全工程師還需要一個 FMEDA 持久性資料庫,以實現可追溯性分析、存取管理、稽核選項與版本控制。

新思科技 VC 功能安全管理器 (Synopsys VC Functional Safety Manager, FSM) 可實現功能安全 (functional safety, FuSa) 管理自動化,藉以取代與功能安全驗證流程不相容的試算表或內部 FMEDA分析解決方案等傳統手動方法。VC FSM 扮演 FMEDA 分析的控制艙 (cockpit),推動整個半導體設計開發以實現功能安全,包括設計探索與分析、驗證和實作階段。

新思科技 VC FSM 在四大關鍵領域為功能安全專家與工程師提供協助:

  • 榮獲總部設於美國的世界領先產品認證公司Exida的 TCL 1 認證,符合 ISO 26262-8 第 11 章的規範,遵循 ISO 26262 對驗證與實作工具的需求
  • 根據 ISO 26262 要求,與主要需求系統相連,以匯入 FMEDA 需求標準
  • 隨著 SoC 設計複雜度增加,具備高度擴展性,可以滿足現代汽車設計高度複雜度的需求
  • 使用驗證與實作技術進行資訊交換,將 FuSa 生命週期完全自動化,如下圖 3 所示
  • 與世界領先的測試、檢驗與認證公司 SGS-TÜV Saar合作的FMEDA 分析技術,是為能加速 ISO 26262 認證,並縮短上市時程而量身打造

圖 3:新思科技 VC 功能安全管理器以及單一整合的 FuSa 驗證流程。

技術白皮書下載

為了減少碳排放和降低風險,提升汽車電氣化程度以及發展自動駕駛,皆大幅提高汽車設計的複雜度。這促使 FuSa 驗證方法在整個開發流程 (包含設計驗證) 中,必需導入 FMEDA 自動化。傳統安全分析方法以試算表為基礎,無法有效擴展以處理現代 SoC 的複雜度及數以千計的故障模式。

於 FMEDA 分析與探索期間,使用新思科技 VC 功能安全管理器無縫接軌地推動設計開發,接著採用貫串整個功能安全週期的驗證與實作技術,有助於簡化實現 ISO 26262 認證資格的過程,同時也不至於大幅增加測試周轉時間。歡迎點閱技術白皮書獲得更多詳細資訊。