由人工智慧驱动的设计应用
英文原文:
2023年7月6日於《Semiconductor Engineering》刊登
以試算表為基礎的傳統安全分析方法,無法有效擴展以處理現代 Soc 的複雜度。
長久以來,功能安全 (functional safety) 一直是植入式医疗裝置、星載 (space-borne) 系統與核電廠等諸多電子應用的必要需求。隨著先進駕駛輔助系統 (advanced driver assistance systems, ADAS) 日益普及,再加上自動駕駛汽車的出現,讓汽車晶片也被列入安全關鍵设计的行列中。從半導體设计公司、電子设计自動化 (electronic design automation, EDA) 工具供應商到汽車製造商,整個供應鏈都需要實現功能安全需求。
對於參與繁複半導體分析的功能安全工程師而言,其任務是要在數以千計的模式中識別可能會出現设计故障的模式,亦稱為故障模式 (failure modes, FMs),以及找出可能導致該類故障的原因。針對複雜的设计,以手動方式確保達成高效能又高效率的功能安全分析極為費時;而使用試算表的傳統方法,在需要滿足相關標準的情況下也容易出錯,而且可能會徒勞無功。
汽車應用必須遵循兩大安全標準:IEC 61508 (適用於一般電子用品市場) 與 ISO 26262 (適用於安裝在道路交通工具的電氣和/或電子系統)。ISO 26262 提出的標準化系統生命週期需要實施諸多程序和方法,才能實現系統性安全功能目標。而該流程建議使用經認證的先進 EDA 技術,進行需求工程、架構建模、验证及實作。
對於目標旨在通過 ISO 26262 認證的汽車系統單晶片 (SoC) 设计而言,經認證的功能安全評估人員在安全規劃階段就必須參與。功能安全評估人員會針對故障模式與影響分析 (Failure Modes Effects and Diagnostic Analysis, FMEDA) 所採取的整體安全方法以及開發週期期間使用的工具提供指導。其中,對FMEDA先進分析工具的最低要求為:
這些流程在功能安全生命週期中的關鍵作用,在於定義安全分析目標,接著验证系統架構。開發人員必須提供相關佐證,以確保該设计是根據汽車安全完整性等級目標 (Automotive Safety Integrity Level, ASIL) 執行安全相關功能。除此之外,安全分析必須調查系統性故障與隨機硬體故障的可能原因,以及這些故障對功能產生的影響。
验证安全機制之所以至關重要,是因為該機制必須要偵測硬體生命週期期間發生的隨機故障,並確保在故障發生時可以達到安全狀態。此機制包括計算診斷覆蓋率 (diagnostic coverage, DC)。硬體架構兩大關鍵指標是 SPFM (單點故障指標,Single Point Fault Metric)和 LFM (潛在故障指標,Latent Fault Metric)。兩者分別由故障模式與影響分析 (Failure Mode and Effect Analysis, FMEA) 和设计FMEA (D-FMEA) 進行質化分析,以及由 FMEDA 所進行的量化分析來判定。
右圖 1顯示半導體生命週期期間可能會發生的故障類型,以及相關的關鍵安全分析指標。要解決系統性故障,會使用 D-FMEA 進行質化分析來調查原因。若是為了解決隨機故障,則可以功能安全開發生命週期中獲得的增量设计 (incremental design) 資訊為基礎,逐步執行 FMEA 質化分析 和 FMEDA 量化分析,並使其更臻完善。
圖 1:系統性故障和隨機故障以及對應的安全分析。
如左圖 2質化分析與量化分析所示,在功能安全生命週期初期,一般會根據識別设计可能發生故障的方法,來執行隨機故障的質化分析。此階段只會提供方塊圖 (block diagram) 使用,功能安全專家以此為基礎,根據功能描述將设计分成零件、子零件與 FM 三個安全等級。
隨著功能安全生命週期推進並生成 RTL 设计時,功能安全專家會執行FMEDA 初期評估 (量化分析) 以估算设计面積。使用對應的穩定性標準 (SN 29500、IEC 62380、MIL-HDBK-217) 或是以操作經驗為基礎的公司資料庫,執行該評估來初步計算基本故障率(设计故障概率)。在這個階段,故障模式分佈 (Failure Mode Distribution, FMD),即故障模式相對權重,是透過將分析重點放在電路最重要的部分來計算的。
到了功能安全生命週期的最終階段,设计資訊已趨於穩定,而且可以使用邏輯閘層級網表。在這個階
段,功能安全專家針對最終设计重複進行量化分析(签核),進而在基本面積與計算基本故障率方面達到更高精準度。根據最終设计等級來劃分设计,並定義故障模式。
總結而言,功能安全專家會執行三個階段分析,每個階段皆包含特定故障模式分析以及其與相關设计元件(故障根本原因)「關聯性」的分析。基本上,概率值的連接與計算過程會以佔用面積和技術類型為基礎,並基於各種啟發式(heuristics)方法進行推論,屬於傳統且十分繁複的手動工作。
EDA 工具針對映射 (mapping) 操作自動化的支援,對於減少手動工作以及避免忽略錯誤等層面發揮重要作用。而且,功能安全分析流程與晶片设计流程無縫接軌的相容性,對加速認證速度至關重要。最後,功能安全工程師還需要一個 FMEDA 持久性資料庫,以實現可追溯性分析、存取管理、稽核選項與版本控制。
新思科技 VC 功能安全管理器 (草榴社区 VC Functional Safety Manager, FSM) 可實現功能安全 (functional safety, FuSa) 管理自動化,藉以取代與功能安全验证流程不相容的試算表或內部 FMEDA分析解决方案等傳統手動方法。VC FSM 扮演 FMEDA 分析的控制艙 (cockpit),推動整個半導體设计開發以實現功能安全,包括设计探索與分析、验证和實作階段。
新思科技 VC FSM 在四大關鍵領域為功能安全專家與工程師提供協助:
圖 3:新思科技 VC 功能安全管理器以及單一整合的 FuSa 验证流程。
技术白皮书下载
為了減少碳排放和降低風險,提升汽車電氣化程度以及發展自動駕駛,皆大幅提高汽車设计的複雜度。這促使 FuSa 验证方法在整個開發流程 (包含设计验证) 中,必需導入 FMEDA 自動化。傳統安全分析方法以試算表為基礎,無法有效擴展以處理現代 SoC 的複雜度及數以千計的故障模式。
於 FMEDA 分析與探索期間,使用新思科技 VC 功能安全管理器無縫接軌地推動设计開發,接著採用貫串整個功能安全週期的验证與實作技術,有助於簡化實現 ISO 26262 認證資格的過程,同時也不至於大幅增加測試周轉時間。歡迎點閱技术白皮书获得更多详细资讯。