中国曾经继续十多年成为环球第一大汽车产销国,智能化也成为了汽车行业进展的一个首要偏向,同时越来越多的制造商正在思量进入无人机和遨游飞翔汽车等高空设置装备摆设,而所有的这些体系产物都需求进步前辈的支持,此中的许多芯片因其性能都是平安关头型芯片(safety-critical chip)。
所有范例的平安关头型芯片设想都需求深谋远虑和当真计划。本文的目标是说明在平安关头型使用中应用预先打造的电路性能(也便是IP内核)的好处,并为您在设想芯片时,在做出相干抉择和IP内核集成过程当中供应一些指示。
遗憾的是,设计师每每低估了在其项目的晚期阶段与第三方IP制造商分工的重要性和好处。不足与IP供应商之间有规划的亲近分工可能会致使误会、时候压力、流片耽误和挫败感。当然,您确定但愿在您的芯片设想项目中防止所有这些题目——那咱们就接着往下看。
在咱们深刻研讨平安关头型芯片设想的IP选型以前,让我们先倏地懂得一下分歧的行业针对安全性构成的规范。
适用于汽车行业的标准是ISO 26262,它源自IEC 61508规范。《航空器机载电子设置装备摆设硬件设想保证指南(DO-254)和AMC 20-152A(基本上是DO-254的增补)是为开辟航空机载电子设置装备摆设硬件的工程师提出请求的通用规范。其余终究用处和设想使用均可能有其本人的公用规范。ISO 21434网络平安规范便是一个例子,它在现今的汽车和设想中扮演着愈来愈首要的脚色。(出于本文的目标,我将把重点放在安全性上,而不是平安防护。)
接下来咱们接头一下为何在开辟电路的时间需求标准化的题目。坦率地说,这个话题其实不新颖,以至也不使人高兴!平安规范以至经常被视为一种需要的挑衅——然则,假如没有明确界说的可靠性和操纵安全性划定规矩,电子电路的运转将再也不大概。
与航空公司飞行员在起飞前必需经由过程飞机所有平安相干的规范和谈近似,标准化也必需作为电路开辟的一部分加以推动。纵然飞行员曾经履历了数百次沟通的进程,而且胜利完成为了响应数目的遨游飞翔,在每次从新腾飞以前也必需从新举行该步伐;这一步伐的仅有目的是防止谬误。
同理,这正是ISO 26262和IEC 61508等预界说的规范所但愿达到的目标:一个明确界说的规划,有助于发明大概的谬误并对题目举行分类,从而使设想可以或许对弗成预见的情形做出充沛的反映。假如轮胎毁坏,必需阻拦飞机腾飞,由于它将无奈平安着陆。然而,假如机上厨房有缺点,这对于遨游飞翔来讲多是能够接收的,由于它不会对飞机的航空机器功能发生晦气影响。
从底子上说,汽船船主和飞行员的目的是完整沟通的:马上搭客和货色安全地运送到预约的目的地。因为海上和地面观光之间的伟大差别,对这些使命就有分歧的规范。恰是因为这个缘故原由,以是才制订了特地的平安规范。为这些分歧运输对象供应设置装备摆设的任何供应商必需事前晓得,比方,他们的陀螺罗盘将要被安装在飞机上仍是安装在游船上,以确保其失常事情。这也是IP供应商需求懂得将应用其预界说电路性能(IP)的使用环境的缘故原由。
平安规范界说了哪些方面?
平安规范界说了设想进程平安需要的各个阶段:规划(planning)、实行(implementation)、考证(verification)和文档记载(documentation)。
关于所有规范,该步伐都有或多或少的统一性,但应当注重的是,每一个规范对这四个阶段的合用性要求的界说仍是略有分歧。必需餍足每一个步调的准绳,从而吻合相干规范。
为了界说适当的谬误处置机制,就必须对潜伏的硬件毛病举行分类。就像后面提到的飞机轮胎和厨房的场景同样:汽车信息文娱体系中的一个谬误多是能够接收的,而影响平安装配的谬误则是弗成接收的,比方主动制动体系。
是以,需求顺次对分歧的请求举行分类。比方,IEC 61508规范就被细分为五个平安完整性等级:SIL 0到SIL 4。ISO 26262规范包孕四个等级:ASIL A到ASIL D(此中ASIL代表汽车平安完整性级别)。种别级别越高,平安请求越严峻,此中SIL 4或ASIL D是最严峻的。
在肯定设想和考证中必需接纳的要领时,产物的终究用处在此中起着相当首要的感化。比方,进入汽车信息文娱体系的芯片,假如产生毛病就会给驾驶员带来贫苦,但不会对人的性命组成任何危险。相比之下,平安气囊或车道治理体系中的芯片毛病可能会要挟到驾驶员、搭客、道路上其余车辆以至行人的平安。
当一种芯片设想的终究用处大概意味着人类的性命会遭到要挟时,咱们将其称为平安关头型芯片。性能平安在这类设想中是必弗成少的:是以,这种设想的完整性级别必需与终究用处相等。必需对软件或硬件惹起的潜伏毛病制订规划并自动解决。
让我们进一步懂得若何懂得和应答潜伏的毛病。从根本上来讲,这都是对于体系若何处置毛病情形,并肯定:1)若何防备毛病自身产生,或2)若何应答毛病。这里必需区别硬件谬误和软件谬误,它们要末能够被安全地疏忽,要末必需经由过程分歧的要领加以防备或应答。即使是纯真的硬件谬误,也必需懂得这些谬误实践上会致使甚么毛病,以及适量的应答步伐应当是什么模样。
需要对系统性偏差(比方,由电路开辟或不充分考证致使的)和随机产生的谬误(由内部影响惹起)之间举行区别。首要的是要分明,在任何情况下都不大概防止系统性谬误。经由过程精良的考证遮盖、标准化的测试进程、普遍的测试,此中也大概经由过程应用公用的考证IP(VIP)以及应用特地的对象,有大概显著晋升开辟无谬误产物的可能性。
正如响应的平安规范明确夸大的那样,100%的覆盖率在实践中是不可能完成的。关于所谓的极度情形特别云云,这类情形描绘了元器件在非常条件下的操纵,并且在电路开辟和相干考证中都是一种挑衅。
另外一方面,也不克不及完整消除随机谬误。在这里,有需要制订对此类谬误做出适量反映的计谋。为了排除由内部影响(如α因子)惹起的潜伏毛病,必需接纳谬误检测和校订电路。依据使用畛域和无错误操作请求的级别,有需要供应容错完成。容错在产生错误解危及人类性命的情况下特别首要,比方飞机上的设置装备摆设。
原则上来讲,如许的请求需求大大增添完成的工作量,当然也需求增添考证的工作量。在这个畛域,有需要夸大的是,芯片设想职员必需要考证电路自身的正确性,还要考证谬误检测和纠正电路的正确性。
当为平安关头型设想建立或应用IP时,工程师必需要紧记甚么?
纵然只对终究产物举行认证,但此中每一个组件也必需餍足适用于全部体系的请求。是以,所有子组件都必须根据严峻的划定规矩来施行电路完成请求,以思量产物在安全性相干使用中的后续应用,并遵照合用规范的开辟流程。
就ISO 26262规范而言,设想流程请求包孕:
·细致的计划——在界说性能平安请求阶段中必需子细实现
·阐发——旨在辨认风险和大概的谬误模式
·实行——即对后面两个步调举行周全的考量
而后,必需对体系举行考证和确认。为了取得认证,所有细分步调都必须有精良的证实文件,并记载其效果。同时,这个记载必需包孕所应用的对象和接纳的考证要领等等。
为了取得DO-254认证,必须在标准制订阶段起首就要逼迫性地应用明确的界说和术语,以确保从一开端就有完整可追溯性,并指出正确的请求,以确保细致的证实文件。
要取得这类范例的认证需求支出很大的起劲!还必须负担额定的使命来建立适量的证实文件,如记载考证进程、谬误遮盖、谬误呈报和对象应用等必须环节。还应该注重的是,惟独某种产物在取得认证后坚持稳定的“解冻”版本才是认证及格的。另外,在建立产物时所应用对象的版本也必需坚持稳定。
为了确保吻合DO-254或ISO 26262等平安规范,就有需要取得响应的认证。公司必需与自力的构造分工,比方德国的TÜV SÜD等机构,以实现认证进程。环球有许多如许的认证机构。
那末,你应当寻求认证需求情形而定晦气一壁取得平安规范认证全部进程异常耗时并且还需要适量培训职员。还需要在全部认证时期接收认证构造考核查抄证实完成性能平安步伐的完整性无利一壁是,认证能够增添客户对其所需产物品质和可靠性相信另外因为投入了额定时候精神全部设想过程当中对细节严峻存眷能够收回优质产物。
在大多数情况下,认证IP如许的单个子组件是没有意思由于它们会被用于庞杂的电路然则,所有子组件都必须吻合合用规范划定严峻划定规矩,并考虑到产物平安相干使用中的后续应用。
如前所述取得认证其实不轻易,但值得一试纵然只对终究产物举行认证包孕第三方IP核在内每一个组件都必须餍足适用于全部体系请求是以,所有子组件都有需要根据合用规范严峻划定规矩举行电路完成,并在开辟阶段就为产物平安关头终究用处制订计划后面提到规范界说流程必需从始至终贯彻。
SmartDV已在汽车设想方面富裕教训很有建立能够成为芯片厂商索求相干畛域时值得相信的IP分工火伴咱们的VIP拥有数十年庞杂芯片考证教训考证工程师建立咱们还为种种使用供应基于规范设想IP上面表现咱们的一些IP核,它们都适用于本文中接头平安关头设想。
元器件数据手册、