你的位置:首頁(yè) > 傳感技術(shù) > 正文

更深入了解汽車(chē)與航空電子等安全關(guān)鍵型應用的IP核考量因素

發(fā)布時(shí)間:2024-06-21 責任編輯:lina

【導讀】中國已經(jīng)連續十多年成為全球第一大汽車(chē)產(chǎn)銷(xiāo)國,智能化也成為了汽車(chē)行業(yè)發(fā)展的一個(gè)重要方向,同時(shí)越來(lái)越多的制造商正在考慮進(jìn)入無(wú)人機和飛行汽車(chē)等低空設備,而所有的這些系統產(chǎn)品都需要先進(jìn)芯片的支撐,其中的許多芯片因其功能都是安全關(guān)鍵型芯片(safety-critical chip)。


中國已經(jīng)連續十多年成為全球第一大汽車(chē)產(chǎn)銷(xiāo)國,智能化也成為了汽車(chē)行業(yè)發(fā)展的一個(gè)重要方向,同時(shí)越來(lái)越多的制造商正在考慮進(jìn)入無(wú)人機和飛行汽車(chē)等低空設備,而所有的這些系統產(chǎn)品都需要先進(jìn)芯片的支撐,其中的許多芯片因其功能都是安全關(guān)鍵型芯片(safety-critical chip)。


所有類(lèi)型的安全關(guān)鍵型芯片設計都需要深謀遠慮和認真規劃。本文的目的是闡明在安全關(guān)鍵型應用中使用預先打造的電路功能(也就是IP內核)的益處,并為您在設計芯片時(shí),在做出相關(guān)選擇和IP內核集成過(guò)程中提供一些指導。


遺憾的是,設計師往往低估了在其項目的早期階段與第三方IP制造商合作的重要性和益處。缺乏與IP供應商之間有計劃的密切合作可能會(huì )導致誤解、時(shí)間壓力、流片延遲和挫敗感。當然,您肯定希望在您的芯片設計項目中避免所有這些問(wèn)題——那我們就接著(zhù)往下看。

什么是安全標準?


在我們深入研究安全關(guān)鍵型芯片設計的IP選型之前,讓我們先快速了解一下不同的行業(yè)針對安全性形成的標準。


適用于汽車(chē)行業(yè)的標準是ISO 26262,它源自IEC 61508標準?!逗娇掌鳈C載電子設備硬件設計保障指南(DO-254)和AMC 20-152A(基本上是DO-254的補充)是為開(kāi)發(fā)航空機載電子設備硬件的工程師提出要求的通用標準。其他最終用途和設計應用都可能有其自己的專(zhuān)用標準。ISO 21434網(wǎng)絡(luò )安全標準就是一個(gè)例子,它在當今的汽車(chē)和航空電子設計中扮演著(zhù)越來(lái)越重要的角色。(出于本文的目的,我將把重點(diǎn)放在安全性上,而不是安全防護。)


我們?yōu)槭裁葱枰踩珮藴?以及它們?yōu)槭裁磿?huì )有這么多不同之處?


接下來(lái)我們討論一下為什么在開(kāi)發(fā)電路的時(shí)候需要標準化的問(wèn)題。坦率地說(shuō),這個(gè)話(huà)題并不新鮮,甚至也不令人興奮!安全標準甚至經(jīng)常被視為一種必要的挑戰——但是,如果沒(méi)有明確定義的可靠性和操作安全性規則,電子電路的運行將不再可能。


與航空公司飛行員在起飛前必須通過(guò)飛機所有安全相關(guān)的標準協(xié)議類(lèi)似,標準化也必須作為電路開(kāi)發(fā)的一部分加以推進(jìn)。即使飛行員已經(jīng)經(jīng)歷了數百次相同的過(guò)程,并且成功完成了相應數量的飛行,在每次重新起飛之前也必須重新進(jìn)行該程序;這一措施的唯一目標是避免錯誤。


同理,這正是ISO 26262和IEC 61508等預定義的標準所希望達到的目的:一個(gè)明確定義的計劃,有助于發(fā)現可能的錯誤并對問(wèn)題進(jìn)行分類(lèi),從而使設計能夠對不可預見(jiàn)的情況做出充分的反應。如果輪胎損壞,必須阻止飛機起飛,因為它將無(wú)法安全著(zhù)陸。然而,如果機上廚房有缺陷,這對于飛行來(lái)說(shuō)可能是可以接受的,因為它不會(huì )對飛機的航空機械性能產(chǎn)生不利影響。


從根本上說(shuō),輪船船長(cháng)和飛行員的目標是完全相同的:即將乘客和貨物安全地運送到預定的目的地。由于海上和空中旅行之間的巨大差異,對這些任務(wù)就有不同的標準。正是由于這個(gè)原因,所以才制定了專(zhuān)門(mén)的安全標準。為這些不同運輸工具提供設備的任何供應商必須事先知道,例如,他們的陀螺羅盤(pán)將要被安裝在飛機上還是安裝在游船上,以確保其正常工作。這也是IP供應商需要了解將使用其預定義電路功能(IP)的應用環(huán)境的原因。


安全標準定義了哪些方面?


安全標準定義了設計過(guò)程安全需求的各個(gè)階段:計劃(planning)、實(shí)施(implementation)、驗證(verification)和文檔記錄(documentation)。


更深入了解汽車(chē)與航空電子等安全關(guān)鍵型應用的IP核考量因素


對于所有標準,該程序都有或多或少的統一性,但應該注意的是,每個(gè)標準對這四個(gè)階段的適用性要求的定義還是略有不同。必須滿(mǎn)足每個(gè)步驟的原則,從而符合相關(guān)標準。


最終用途和允許的故障概率


為了定義恰當的錯誤處理機制,就必須對潛在的硬件故障進(jìn)行分類(lèi)。就像前面提到的飛機輪胎和廚房的場(chǎng)景一樣:汽車(chē)信息娛樂(lè )系統中的一個(gè)錯誤可能是可以接受的,而影響安全裝置的錯誤則是不可接受的,例如自動(dòng)制動(dòng)系統。


因此,需要依次對不同的要求進(jìn)行分類(lèi)。例如,IEC 61508標準就被細分為五個(gè)安全完整性等級:SIL 0到SIL 4。ISO 26262標準包括四個(gè)等級:ASIL A到ASIL D(其中ASIL代表汽車(chē)安全完整性級別)。類(lèi)別級別越高,安全要求越嚴格,其中SIL 4或ASIL D是最嚴格的。


在確定設計和驗證中必須采用的方法時(shí),產(chǎn)品的最終用途在其中起著(zhù)至關(guān)重要的作用。例如,進(jìn)入汽車(chē)信息娛樂(lè )系統的芯片,如果發(fā)生故障就會(huì )給駕駛員帶來(lái)麻煩,但不會(huì )對人的生命構成任何風(fēng)險。相比之下,安全氣囊或車(chē)道管理系統中的芯片故障可能會(huì )威脅到駕駛員、乘客、道路上其他車(chē)輛甚至行人的安全。


當一種芯片設計的最終用途可能意味著(zhù)人類(lèi)的生命會(huì )受到威脅時(shí),我們將其稱(chēng)為安全關(guān)鍵型芯片。功能安全在這種設計中是必不可少的:因此,這類(lèi)設計的完整性級別必須與最終用途相稱(chēng)。必須對軟件或硬件引起的潛在故障制定計劃并主動(dòng)解決。


對故障的理解和反應


讓我們進(jìn)一步了解如何理解和應對潛在的故障。從根本上來(lái)說(shuō),這都是關(guān)于系統如何處理故障情況,并確定:1)如何預防故障本身發(fā)生,或2)如何應對故障。這里必須區分硬件錯誤和軟件錯誤,它們要么可以被安全地忽略,要么必須通過(guò)不同的方法加以預防或應對。即使是純粹的硬件錯誤,也必須了解這些錯誤實(shí)際上會(huì )導致什么故障,以及適當的應對措施應該是什么樣子。


需要對系統性誤差(例如,由電路開(kāi)發(fā)或不充分驗證導致的)和隨機發(fā)生的錯誤(由外部影響引起)之間進(jìn)行區分。重要的是要明白,在任何情況下都不可能避免系統性錯誤。通過(guò)良好的驗證覆蓋、標準化的測試過(guò)程、廣泛的測試,其中也可能通過(guò)使用專(zhuān)用的驗證IP(VIP)以及使用專(zhuān)門(mén)的工具,有可能顯著(zhù)提升開(kāi)發(fā)無(wú)錯誤產(chǎn)品的可能性。


正如相應的安全標準明確強調的那樣,100%的覆蓋率在實(shí)際中是不可能實(shí)現的。對于所謂的極端情況尤其如此,這種情況描述了元器件在異常條件下的操作,并且在電路開(kāi)發(fā)和相關(guān)驗證中都是一種挑戰。


另一方面,也不能完全排除隨機錯誤。在這里,有必要制定對此類(lèi)錯誤做出適當反應的策略。為了消除由外部影響(如α因子)引起的潛在故障,必須采用錯誤檢測和校正電路。根據應用領(lǐng)域和無(wú)錯誤操作要求的級別,有必要提供容錯實(shí)現。容錯在發(fā)生錯誤會(huì )危及人類(lèi)生命的情況下尤其重要,比如飛機上的設備。


原則上來(lái)說(shuō),這樣的要求需要大大增加實(shí)現的工作量,當然也需要增加驗證的工作量。在這個(gè)領(lǐng)域,有必要強調的是,芯片設計人員必須要驗證電路本身的正確性,還要驗證錯誤檢測和糾正電路的正確性。


IP開(kāi)發(fā)是如何受到影響的?


當為安全關(guān)鍵型設計創(chuàng )建或使用IP時(shí),工程師必須要牢記什么?


即使只對最終產(chǎn)品進(jìn)行認證,但其中每個(gè)組件也必須滿(mǎn)足適用于整個(gè)系統的要求。因此,所有子組件都必須按照嚴格的規則來(lái)執行電路實(shí)現要求,以考慮產(chǎn)品在安全性相關(guān)應用中的后續使用,并遵守適用標準的開(kāi)發(fā)流程。


就ISO 26262標準而言,設計流程要求包括:

  • 詳細的規劃——在定義功能安全要求階段中必須仔細完成

  • 分析——旨在識別危險和可能的錯誤模式

  • 實(shí)施——即對前面兩個(gè)步驟進(jìn)行全面的考量


然后,必須對系統進(jìn)行驗證和確認。為了獲得認證,所有細分步驟都必須有良好的證明文件,并記錄其結果。同時(shí),這個(gè)記錄必須包括所使用的工具和采用的驗證方法等等。


為了獲得DO-254認證,必須在規范制定階段首先就要強制性地使用明確的定義和術(shù)語(yǔ),以確保從一開(kāi)始就有完全可追溯性,并指出精確的要求,以確保詳細的證明文件。


要獲得這種類(lèi)型的認證需要付出很大的努力!還必須承擔額外的任務(wù)來(lái)創(chuàng )建適當的證明文件,如記錄驗證過(guò)程、錯誤覆蓋、錯誤報告和工具使用等必需環(huán)節。還應該注意的是,只有某種產(chǎn)品在獲得認證后保持不變的“凍結”版本才是認證合格的。此外,在創(chuàng )建產(chǎn)品時(shí)所使用工具的版本也必須保持不變。


獲得行業(yè)標準機構認證


為了確保符合DO-254或ISO 26262等安全標準,就有必要獲得相應的認證。公司必須與獨立的組織合作,例如德國的TüV SüD等機構,以完成認證過(guò)程。全球有許多這樣的認證機構。


那么,你應該追求認證嗎?這需要視情況而定。


不利的一面是,獲得安全標準認證的整個(gè)過(guò)程非常耗時(shí),而且還需要適當培訓人員。還需要在整個(gè)認證期間接受認證組織的審核,以檢查和證明實(shí)現功能安全的措施的完整性。


有利的一面是,認證可以增加客戶(hù)對其所需的產(chǎn)品質(zhì)量和可靠性的信任。此外,由于投入了額外的時(shí)間和精力,在整個(gè)設計過(guò)程中對細節的嚴格關(guān)注可以開(kāi)發(fā)出優(yōu)質(zhì)的產(chǎn)品。


在大多數情況下,認證IP核這樣的單個(gè)子組件是沒(méi)有意義的,因為它們會(huì )被用于更復雜的電路中。但是,所有子組件都必須符合適用標準規定的嚴格規則,并考慮到產(chǎn)品在安全相關(guān)應用中的后續使用。


最終考量因素


如前所述,獲得認證并不容易,但值得一試。即使只對最終產(chǎn)品進(jìn)行認證,但包括第三方IP核在內的每個(gè)組件都必須滿(mǎn)足適用于整個(gè)系統的要求。因此,所有子組件都有必要按照適用標準的嚴格規則進(jìn)行電路實(shí)現,并在開(kāi)發(fā)階段就為產(chǎn)品的安全關(guān)鍵型最終用途制定規劃。前面提到的標準定義流程必須從始至終貫徹。


SmartDV已在汽車(chē)和航空電子設計方面富有經(jīng)驗和頗有建樹(shù),可以成為芯片廠(chǎng)商在探索相關(guān)領(lǐng)域時(shí)值得信賴(lài)的IP合作伙伴。我們的VIP是由具有數十年復雜芯片驗證經(jīng)驗的驗證工程師所創(chuàng )建。我們還為各種應用提供基于標準的設計IP。下面顯示的是我們的一些IP核,它們都適用于本文中討論的安全關(guān)鍵型設計。


更深入了解汽車(chē)與航空電子等安全關(guān)鍵型應用的IP核考量因素


隨著(zhù)芯片的復雜性不斷增加,驗證也在逐年變得越來(lái)越復雜。在當今的芯片設計中,驗證往往會(huì )消耗大約60%-80%的項目資源,并且通常是整個(gè)過(guò)程中的瓶頸。正是因為這樣的復雜性和重要性,與值得信賴(lài)的IP伙伴合作是回報最高的途徑,他們將與芯片設計師共同解決其在此過(guò)程中遇到的任何問(wèn)題。


市場(chǎng)差異化帶來(lái)的定制化需求也在芯片行業(yè)中不斷凸顯。無(wú)論您是為下一代SoC、ASIC或FPGA項目采購設計IP,還是尋求驗證解決方案(VIP)來(lái)完成您的芯片設計,SmartDV都可以快速且可靠地對我們多元化的產(chǎn)品組合進(jìn)行定制,以滿(mǎn)足您獨特的設計需求。我們的SmartCompiler?技術(shù)使這種定制化可以很完美地實(shí)現,并可使芯片設計公司獲得更高的回報。IP Your Way?——只需定義您的規格,然后交給我們處理。


我們期待看到您的芯片設計成果應用在道路上或在天空中!


本篇技術(shù)文章是Philipp之前發(fā)表的同一主題博客文章的后續,他最近也用在線(xiàn)研討會(huì )的方式詳細解讀了這個(gè)話(huà)題,大家可以關(guān)注“智權半導體”微信公眾號,我們將在近期發(fā)布他的演講視頻記錄。智權半導體科技(廈門(mén))有限公司是SmartDV在中國的全資子公司,其目標是為中國的客戶(hù)提供更直接和深入的支持,并與中國的合作伙伴開(kāi)展更全面的合作。


關(guān)于Philipp Jacobsohn


Philipp Jacobsohn是SmartDV的高級應用工程師,他為北美和歐洲地區的客戶(hù)提供設計IP和驗證IP方面的支持。除了使SmartDV的客戶(hù)實(shí)現芯片設計成功這項工作,Philipp還是一個(gè)狂熱的技術(shù)作家,樂(lè )于分享他擁有的在半導體行業(yè)近30年積累的豐富知識。在2023年加入SmartDV團隊之前,Philipp在J. Haugg、Synopsys、Synplicity、Epson Europe Electronics、Lattice Semiconductors、EBV Elektronik和SEI-Elbatex等擔任過(guò)多個(gè)工程和現場(chǎng)應用職位。Philipp在瑞士工作。


關(guān)于智權半導體


智權半導體科技(廈門(mén))有限公司是SmartDV Technologies?在華設立的全資子公司,其目標是利用SmartDV全球領(lǐng)先的硅知識產(chǎn)權(IP)技術(shù)和產(chǎn)品,以及本地化的支持服務(wù)來(lái)賦能中國集成電路行業(yè)和電子信息產(chǎn)業(yè)。目前,SmartDV在全球已有300家客戶(hù),其中包括十大半導體公司中的七家和四大消費電子公司。


通過(guò)將專(zhuān)有的SmartCompiler?技術(shù)與數百位專(zhuān)家工程師的知識相結合,SmartDV可以快速、經(jīng)濟、可靠地定制IP,以實(shí)現您獨特的設計目標。因此,無(wú)論您是為下一代SoC、ASIC或FPGA尋找基于標準的設計IP,還是尋求驗證解決方案(VIP)來(lái)測試您的芯片設計,您都會(huì )發(fā)現SmartDV的IP非常容易集成,并在性能上可力助您的芯片設計實(shí)現差異化。

(來(lái)源:智權半導體,作者:Philipp Jacobsohn,SmartDV高級應用工程師)


免責聲明:本文為轉載文章,轉載此文目的在于傳遞更多信息,版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題,請聯(lián)系小編進(jìn)行處理。


推薦閱讀:

西部電博會(huì )即將舉辦!電子信息成都高新區專(zhuān)場(chǎng)為企業(yè)深度解析

LoRaWAN(非蜂窩LPWA)入門(mén) - 基礎篇

創(chuàng )新存儲如何滿(mǎn)足“既要、又要、還要”的苛刻設計需求

智能邊緣傳感器需要新電源概念

一文了解SiC MOS的應用


特別推薦
技術(shù)文章更多>>
技術(shù)白皮書(shū)下載更多>>
熱門(mén)搜索
?

關(guān)閉

?

關(guān)閉