滿足汽車安全完整性等級（ASIL）C的要求是一項(xiàng)艱巨的任務(wù)，需要在設(shè)計(jì)中實(shí)現(xiàn)低容錯(cuò)率。對SafeSPI進(jìn)行功能安全驗(yàn)證可以提升設(shè)計(jì)的“安全性”并符合基于ISO-26262的功能安全（FuSa）標(biāo)準(zhǔn)。為了實(shí)現(xiàn)ASIL C，功能安全驗(yàn)證可以評估故障檢測和故障恢復(fù)能力，并幫助識(shí)別潛在的弱點(diǎn)，從而改進(jìn)設(shè)計(jì)，增強(qiáng)其安全性和可靠性。本文概述了一種實(shí)現(xiàn)安全目標(biāo)并為實(shí)現(xiàn)這些目標(biāo)創(chuàng)造有利環(huán)境的系統(tǒng)性方法。文章詳盡列出了各種警報(bào)、故障及其相應(yīng)類別，所有這些都以循序漸進(jìn)的方式進(jìn)行說明。

安全驗(yàn)證閉環(huán)功能流程

圖1：安全驗(yàn)證流程圖

利用西門子EDA Austemper Kaleidoscope工具進(jìn)行安全驗(yàn)證的流程包含多個(gè)階段，這些階段及其具體實(shí)施說明如下：

01.安 全 分 析

此階段對設(shè)計(jì)的安全要求進(jìn)行分析。就SafeSPI而言，CRC模塊對于安全性至關(guān)重要。這些模塊的安全隱患可能是數(shù)據(jù)完整性未得到維護(hù)，其根本原因可能是環(huán)境參數(shù)。對此的安全指標(biāo)應(yīng)該是零容忍。因此，工具需要獨(dú)立于設(shè)計(jì)中的任何安全機(jī)制來計(jì)算設(shè)計(jì)的故障率（FIT）。該工具會(huì)通過模擬各種故障情況，評估診斷覆蓋率，并生成故障列表，來進(jìn)行安全探索。

02.安 全 設(shè) 計(jì)

此階段需要設(shè)計(jì)安全機(jī)制，以降低安全分析中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)。通過將安全機(jī)制整合到SafeSPI設(shè)計(jì)中，便可在諸如校驗(yàn)和計(jì)算中檢測錯(cuò)誤。校驗(yàn)和計(jì)算的作用是檢測數(shù)據(jù)傳輸過程中的錯(cuò)誤，而將安全機(jī)制應(yīng)用于設(shè)計(jì)可以發(fā)現(xiàn)校驗(yàn)和算法中的任何問題或弱點(diǎn)。在這一步，我們在輸出信號上設(shè)置了安全機(jī)制，并將其列在警報(bào)生成文件中。在驗(yàn)證環(huán)節(jié)，這些安全機(jī)制會(huì)觸發(fā)不匹配的輸出。

03.安 全 驗(yàn) 證

此階段需要驗(yàn)證安全機(jī)制，并確保安全機(jī)制滿足設(shè)計(jì)的安全要求。在SafeSPI的安全驗(yàn)證期間，故障通過故障仿真來傳播和評估。在注錯(cuò)分析和仿真中應(yīng)用安全機(jī)制并觀察警報(bào)檢測結(jié)果，可以改善數(shù)據(jù)完整性。要執(zhí)行這一步，用戶需要使用KaleidoScope。KaleidoScope 工具支持多種涉及注錯(cuò)仿真流程的驗(yàn)證方法論。它針對永久和瞬時(shí)注錯(cuò)分析和仿真，提供高性能并發(fā)分布式注錯(cuò)。在安全驗(yàn)證中，我們將探索生成的輸出以故障列表的形式傳遞給安全驗(yàn)證流程，以優(yōu)化和詳細(xì)分析設(shè)計(jì)的行為。

故障分析和驗(yàn)證使用的技術(shù)

FMEA（故障模式和影響分析）和FMEDA（故障模式、影響和診斷分析）都是故障仿真和安全分析所使用的技術(shù)，旨在識(shí)別系統(tǒng)中的潛在故障模式并減輕其影響。FMEA的作用是采取措施消除或減少故障，從優(yōu)先級最高的故障開始。FMEDA用于預(yù)測設(shè)備的故障模式并計(jì)算各種故障率。

對于SafeSPI設(shè)計(jì)，安全驗(yàn)證流程涉及在Austemper工具中實(shí)施這些階段，以驗(yàn)證設(shè)計(jì)中的安全機(jī)制。這將包括分析設(shè)計(jì)的安全要求，設(shè)計(jì)安全機(jī)制以減輕安全威脅，以及使用注錯(cuò)、仿真和硬件加速仿真技術(shù)驗(yàn)證其有效性。該流程將確保SafeSPI設(shè)計(jì)滿足安全要求，并能夠在預(yù)期環(huán)境中安全運(yùn)行。

SAFESPI框圖及應(yīng)用

在汽車領(lǐng)域，SafeSPI框圖通常包括一個(gè)主設(shè)備，該主設(shè)備與多個(gè)從設(shè)備通信：車輛傳感器、飛機(jī)傳感器和PLC傳感器。

01.車 輛 傳 感 器

在車輛中，SafeSPI主設(shè)備可以是電子控制單元（ECU），它與各種傳感器和執(zhí)行器通信，例如發(fā)動(dòng)機(jī)控制模塊、防抱死制動(dòng)系統(tǒng)、安全氣囊控制模塊和其他安全關(guān)鍵型系統(tǒng)。

02.飛 機(jī) 傳 感 器

在飛機(jī)中，SafeSPI可用于實(shí)現(xiàn)駕駛艙與飛機(jī)中各種傳感器和執(zhí)行器之間的通信。其中的傳感器包括空速傳感器、高度傳感器、溫度傳感器和壓力傳感器等。

03.P L C

在工業(yè)應(yīng)用中，SafeSPI可用于實(shí)現(xiàn)PLC與制造或工業(yè)流程中各種傳感器和執(zhí)行器之間的通信。其中的傳感器包括溫度傳感器、壓力傳感器、流量傳感器和液位傳感器等。

使用VISUALIZER DEBUGGER查看和分析SAFESPI設(shè)計(jì)的RTL和仿真結(jié)果

Visualizer工具支持以可視化方式查看和分析SafeSPI設(shè)計(jì)的RTL和仿真結(jié)果。設(shè)計(jì)的圖形表示應(yīng)顯示各種模塊之間的連接以及輸入和輸出信號。

SafeSPI的UVM驗(yàn)證平臺(tái)包括隨機(jī)約束、功能覆蓋率和斷言，以確保設(shè)計(jì)能夠正確運(yùn)行。隨機(jī)約束用于生成DUT的隨機(jī)輸入激勵(lì)。將黃金參考輸出與SafeSPI設(shè)計(jì)的當(dāng)前輸出進(jìn)行比較。SafeSPI設(shè)計(jì)在驗(yàn)證平臺(tái)驗(yàn)證期間通過了所有測試用例。

仿真過程中使用Visualizer工具分析SafeSPI設(shè)計(jì)對各種輸入和測試用例的響應(yīng)行為。

仿真結(jié)果如下圖所示：

圖3：RTL和仿真結(jié)果

SAFESPI設(shè)計(jì)的覆蓋率摘要

覆蓋率摘要報(bào)告顯示測試用例對設(shè)計(jì)的覆蓋程度。覆蓋率指標(biāo)包括分支、條件、語句和翻轉(zhuǎn)。

下面逐一說明這些指標(biāo)的含義：

圖4：SafeSPI覆蓋率摘要報(bào)告

01. 分 支

分支覆蓋率衡量代碼中已執(zhí)行決策點(diǎn)的百分比。SafeSPI設(shè)計(jì)中有442個(gè)決策點(diǎn)（分支），其中406個(gè)在測試期間得到執(zhí)行。因此，分支覆蓋率為91.85%。

02. 條 件

條件覆蓋率衡量測試期間驗(yàn)證的布爾條件的百分比。SafeSPI設(shè)計(jì)中有166個(gè)布爾條件，其中148個(gè)得到驗(yàn)證。條件覆蓋率為89.15%。

03. 表 達(dá) 式

表達(dá)式覆蓋率確定布爾表達(dá)式（如AND或 OR）的驗(yàn)證百分比。SafeSPI設(shè)計(jì)中有42 個(gè)布爾表達(dá)式，其中36個(gè)得到驗(yàn)證。表達(dá)式覆蓋率為85.71%。

04. 語 句

語句覆蓋率衡量測試期間執(zhí)行的代碼語句的百分比。SafeSPI設(shè)計(jì)中有736條語句，其中704條得到執(zhí)行。語句覆蓋率為95.65%。

05. 翻 轉(zhuǎn)

翻轉(zhuǎn)覆蓋率衡量測試期間驗(yàn)證的翻轉(zhuǎn)信號的百分比。SafeSPI設(shè)計(jì)中有8068個(gè)信號轉(zhuǎn)換，其中6175個(gè)得到驗(yàn)證。翻轉(zhuǎn)覆蓋率為76.53%。

總體而言，SafeSPI設(shè)計(jì)的總覆蓋率為上述覆蓋率指標(biāo)的平均值，即87.78%。這意味著測試用例覆蓋了設(shè)計(jì)的87.78%，而12.22%沒有被覆蓋。此覆蓋率摘要報(bào)告有助于評估測試策略的有效性，以及發(fā)現(xiàn)可能需要進(jìn)一步測試設(shè)計(jì)的哪些方面。

圖5：設(shè)計(jì)覆蓋率

SAFESPI的故障仿真安全機(jī)制

SafeSPI設(shè)計(jì)（由SafeSPI主模塊和SafeSPI從模塊組成）的安全機(jī)制包含用于故障仿真的警報(bào)生成模塊、 safespi_top_safe模塊和 safespi_top_unsafe模塊。在safespi_top_safe模塊中注錯(cuò)以測試設(shè)計(jì)的容錯(cuò)性，而safespi_top_unsafe模塊則代表SafeSPI主從模塊的標(biāo)準(zhǔn)設(shè)計(jì)。

01.警報(bào)清單聲明

我們使用警報(bào)生成模塊來模擬對SafeSPI設(shè)計(jì)的安全機(jī)制中的故障的反應(yīng)。有六種不同警報(bào)應(yīng)用于安全機(jī)制，分別稱為alarm1、 alarm2、alarm3、alarm4、alarm5和 alarm6。

圖6：警報(bào)清單

02.警報(bào)生成

在警報(bào)生成模塊中，通過將注錯(cuò)的安全機(jī)制的輸出與SafeSPI設(shè)計(jì)的預(yù)期或參考輸出進(jìn)行比較來生成警報(bào)。XOR運(yùn)算比較安全機(jī)制的輸出與預(yù)期輸出。XOR（異或）是一種邏輯運(yùn)算，僅當(dāng)輸入不同時(shí)才輸出真值。

圖7：警報(bào)生成

03.FIT（FAILURE IN TIME）計(jì)算

“FIT Compute”命令中使用的開關(guān)如下所示：

圖8：安全分析

這些命令用于Austemper工具的SafeSPI安全分析流程中。它通過運(yùn)行帶有多個(gè)開關(guān)和參數(shù)的SafetyScope工具來執(zhí)行安全分析。

我們根據(jù)輸入?yún)?shù)對設(shè)計(jì)執(zhí)行了安全分析技術(shù)。安全分析的輸出是安全指標(biāo)，包括故障率和診斷覆蓋率。這些指標(biāo)用于評估設(shè)計(jì)的安全性和確定需要解決的潛在安全問題。

04.診斷覆蓋率

對SafeSPI設(shè)計(jì)執(zhí)行分析計(jì)算后，工具報(bào)告了如下診斷覆蓋率。

圖9：診斷覆蓋率報(bào)告

在安全探索中使用重復(fù)方法來達(dá)成ASIL目標(biāo)

SafeSPI的驗(yàn)證分析中，對設(shè)計(jì)的多個(gè)實(shí)例使用不同的分析與仿真設(shè)置，以模擬和測試設(shè)計(jì)對故障的韌性。在本例中，我們創(chuàng)建了針對設(shè)計(jì)的九個(gè)實(shí)例需要的分析與仿真設(shè)置，如圖10所示。

圖10：端點(diǎn)安全機(jī)制

01.安全驗(yàn)證故障列表生成

故障列表生成命令使用的開關(guān)如下所示：

圖11：故障列表生成

就SafeSPI設(shè)計(jì)而言，故障列表生成步驟是指生成設(shè)計(jì)中可能發(fā)生的潛在故障的列表的過程。這些故障被注入到設(shè)計(jì)的SM（安全機(jī)制）中，以模擬系統(tǒng)中潛在的錯(cuò)誤或故障，然后就可以進(jìn)行故障仿真和分析。

生成的故障專門針對負(fù)責(zé)警報(bào)檢測的SM。這意味著故障被注入到SM中以模擬可能觸發(fā)SafeSPI設(shè)計(jì)中警報(bào)條件的潛在錯(cuò)誤。

02.注錯(cuò)分析和仿真

注錯(cuò)分析和仿真流程將分析這些故障對 SafeSPI設(shè)計(jì)的影響。采用SafetyScope和 故障仿真工具來評估影響，并對結(jié)果進(jìn)行分析，以評估SafeSPI設(shè)計(jì)中故障檢測和糾正機(jī)制的有效性。

“Fault Campaign”命令使用以下開關(guān)：

圖12：Fault Campaign

03.故障仿真摘要報(bào)告

故障仿真報(bào)告列出故障分類并評估其對SafeSPI設(shè)計(jì)的影響。

圖13：故障摘要

圖14：故障摘要

圖15：觸發(fā)的警報(bào)清單

SafeSPI設(shè)計(jì)已通過Austemper Kaleidoscope工具成功進(jìn)行故障仿真驗(yàn)證。FIT率、診斷覆蓋率和FMEDA目標(biāo)均已實(shí)現(xiàn)， 表明SafeSPI設(shè)計(jì)已經(jīng)達(dá)到可靠性要求，并且符合相關(guān)安全標(biāo)準(zhǔn)。這是對SafeSPI設(shè)計(jì)的重要驗(yàn)證，讓人們相信它能夠在目標(biāo)應(yīng)用中安全可靠地運(yùn)行。