Rambus RT-640的ISO 26262认证之路

毫无疑问，现代汽车行业正在朝着全电动和自动驾驶汽车的方向发展。这类汽车中包括大量的电子控制单元，而且随着技术的进步，其数量还在持续增加。虽然这种转型带来了许多优势，但随之而来的也有各种功能安全和信息安全威胁方面的新问题。自动驾驶汽车的 ECU 一旦出现故障，就可能会危及生命安全。此外，智能汽车还引入了一系列新的漏洞，容易遭受网络攻击1 。因此，设计可靠且安全的硬件已成为当务之急。ISO 26262 标准定义了多种程序和要求，以确保处于不同的汽车功能安全完整性级别 (ASIL) 的系统的可靠性。该标准定义了几个指标来证明系统的可靠性，其中包括单点故障指标 (SPFM) 和潜在故障指标 (LFM)。

即使实现最低认证要求，也是一项颇具挑战性的任务2。关于如何根据 ISO 26262 标准进行功能安全评估，业界已经发表了多项著作3, 4, 5, 6。Grosse 等人的著作5 中提出了适用于功能安全评估的形式验证方法。这些方法的缺点在于，由于状态爆炸的问题，它们受制于电路规模，不可能找到所有故障的结果6。另一种技术是使用故障仿真，它能提供全面而具体的结果。但这种方法的缺点在于，需要依赖于高翻转率的输入激励，并且需要大量计算资源。即便如此，这仍是 ISO 26262 的优先方法。da Silva 等人的著作6 将这两种方法与自动测试向量生成 (ATPG) 技术相结合，实现了非常高的覆盖率。虽然他们在分析中实现了很高的覆盖率，但所用的设计复杂性一般。据我们所知，针对工业规模的设计，目前还没有任何公开的功能安全评估工作结果。

在本文中，我们将展示利用近 300 万个故障对一个完整的工业规模核进行的全面功能安全评估，助其获得 ISO 26262 ASIL-B 认证（要求 SPFM ≥ 90% 且 LFM ≥ 60%）。我们根据 ISO 26262 的建议，通过故障仿真进行了此项评估。从文献中可以清楚地看到，完成这一认证过程颇具挑战性，对于如此规模的设计而言更是如此。在本文中，我们将介绍注错分析和仿真的关键参数，以优化执行时间；以及在注错仿真之外采用的技术，以尽可能地减少未分类的故障。我们实现了 91.9% 的平均 SPFM 和 75% 的估计 LFM，达成了 ASIL-B 目标。