毫无疑问,现代汽车行业正在朝着全电动和自动驾驶汽车的方向发展。这类汽车中包括大量的电子控制单元,而且随着技术的进步,其数量还在持续增加。虽然这种转型带来了许多优势,但随之而来的也有各种功能安全和信息安全威胁方面的新问题。自动驾驶汽车的 ECU 一旦出现故障,就可能会危及生命安全。此外,智能汽车还引入了一系列新的漏洞,容易遭受网络攻击1 。因此,设计可靠且安全的硬件已成为当务之急。ISO 26262 标准定义了多种程序和要求,以确保处于不同的汽车功能安全完整性级别 (ASIL) 的系统的可靠性。该标准定义了几个指标来证明系统的可靠性,其中包括单点故障指标 (SPFM) 和潜在故障指标 (LFM)。
即使实现最低认证要求,也是一项颇具挑战性的任务2。关于如何根据 ISO 26262 标准进行功能安全评估,业界已经发表了多项著作3, 4, 5, 6。Grosse 等人的著作5 中提出了适用于功能安全评估的形式验证方法。这些方法的缺点在于,由于状态爆炸的问题,它们受制于电路规模,不可能找到所有故障的结果6。另一种技术是使用故障仿真,它能提供全面而具体的结果。但这种方法的缺点在于,需要依赖于高翻转率的输入激励,并且需要大量计算资源。即便如此,这仍是 ISO 26262 的优先方法。da Silva 等人的著作6 将这两种方法与自动测试向量生成 (ATPG) 技术相结合,实现了非常高的覆盖率。虽然他们在分析中实现了很高的覆盖率,但所用的设计复杂性一般。据我们所知,针对工业规模的设计,目前还没有任何公开的功能安全评估工作结果。
在本文中,我们将展示利用近 300 万个故障对一个完整的工业规模核进行的全面功能安全评估,助其获得 ISO 26262 ASIL-B 认证(要求 SPFM ≥ 90% 且 LFM ≥ 60%)。我们根据 ISO 26262 的建议,通过故障仿真进行了此项评估。从文献中可以清楚地看到,完成这一认证过程颇具挑战性,对于如此规模的设计而言更是如此。在本文中,我们将介绍注错分析和仿真的关键参数,以优化执行时间;以及在注错仿真之外采用的技术,以尽可能地减少未分类的故障。我们实现了 91.9% 的平均 SPFM 和 75% 的估计 LFM,达成了 ASIL-B 目标。
全部0条评论
快来发表一下你的评论吧 !