更深入了解汽车与航空电子等安全关键型应用的IP核考量因素

作者:Philipp JacobsohnSmartDV高级应用工程师

中国已经连续十多年成为全球第一大汽车产销国,智能化也成为了汽车行业发展的一个重要方向,同时越来越多的制造商正在考虑进入无人机和飞行汽车等低空设备,而所有的这些系统产品都需要先进芯片的支撑,其中的许多芯片因其功能都是安全关键型芯片(safety-critical chip)。

所有类型的安全关键型芯片设计都需要深谋远虑和认真规划。本文的目的是阐明在安全关键型应用中使用预先打造的电路功能(也就是IP内核)的益处,并为您在设计芯片时,在做出相关选择和IP内核集成过程中提供一些指导。

遗憾的是,设计师往往低估了在其项目的早期阶段与第三方IP制造商合作的重要性和益处。缺乏与IP供应商之间有计划的密切合作可能会导致误解、时间压力、流片延迟和挫败感。当然,您肯定希望在您的芯片设计项目中避免所有这些问题——那我们就接着往下看。

什么是安全标准?

在我们深入研究安全关键型芯片设计的IP选型之前,让我们先快速了解一下不同的行业针对安全性形成的标准。

适用于汽车行业的标准是ISO 26262,它源自IEC 61508标准。《航空器机载电子设备硬件设计保障指南(DO-254)和AMC 20-152A(基本上是DO-254的补充)是为开发航空机载电子设备硬件的工程师提出要求的通用标准。其他最终用途和设计应用都可能有其自己的专用标准。ISO 21434网络安全标准就是一个例子,它在当今的汽车和航空电子设计中扮演着越来越重要的角色。(出于本文的目的,我将把重点放在安全性上,而不是安全防护。)

我们为什么需要安全标准?以及它们为什么会有这么多不同之处?

接下来我们讨论一下为什么在开发电路的时候需要标准化的问题。坦率地说,这个话题并不新鲜,甚至也不令人兴奋!安全标准甚至经常被视为一种必要的挑战——但是,如果没有明确定义的可靠性和操作安全性规则,电子电路的运行将不再可能。

与航空公司飞行员在起飞前必须通过飞机所有安全相关的标准协议类似,标准化也必须作为电路开发的一部分加以推进。即使飞行员已经经历了数百次相同的过程,并且成功完成了相应数量的飞行,在每次重新起飞之前也必须重新进行该程序;这一措施的唯一目标是避免错误。

同理,这正是ISO 26262和IEC 61508等预定义的标准所希望达到的目的:一个明确定义的计划,有助于发现可能的错误并对问题进行分类,从而使设计能够对不可预见的情况做出充分的反应。如果轮胎损坏,必须阻止飞机起飞,因为它将无法安全着陆。然而,如果机上厨房有缺陷,这对于飞行来说可能是可以接受的,因为它不会对飞机的航空机械性能产生不利影响。

从根本上说,轮船船长和飞行员的目标是完全相同的:即将乘客和货物安全地运送到预定的目的地。由于海上和空中旅行之间的巨大差异,对这些任务就有不同的标准。正是由于这个原因,所以才制定了专门的安全标准。为这些不同运输工具提供设备的任何供应商必须事先知道,例如,他们的陀螺罗盘将要被安装在飞机上还是安装在游船上,以确保其正常工作。这也是IP供应商需要了解将使用其预定义电路功能(IP)的应用环境的原因。

安全标准定义了哪些方面?

安全标准定义了设计过程安全需求的各个阶段:计划(planning)、实施(implementation)、验证(verification)和文档记录(documentation)。

对于所有标准,该程序都有或多或少的统一性,但应该注意的是,每个标准对这四个阶段的适用性要求的定义还是略有不同。必须满足每个步骤的原则,从而符合相关标准。

最终用途和允许的故障概率

为了定义恰当的错误处理机制,就必须对潜在的硬件故障进行分类。就像前面提到的飞机轮胎和厨房的场景一样:汽车信息娱乐系统中的一个错误可能是可以接受的,而影响安全装置的错误则是不可接受的,例如自动制动系统。

因此,需要依次对不同的要求进行分类。例如,IEC 61508标准就被细分为五个安全完整性等级:SIL 0到SIL 4。ISO 26262标准包括四个等级:ASIL A到ASIL D(其中ASIL代表汽车安全完整性级别)。类别级别越高,安全要求越严格,其中SIL 4或ASIL D是最严格的。

在确定设计和验证中必须采用的方法时,产品的最终用途在其中起着至关重要的作用。例如,进入汽车信息娱乐系统的芯片,如果发生故障就会给驾驶员带来麻烦,但不会对人的生命构成任何风险。相比之下,安全气囊或车道管理系统中的芯片故障可能会威胁到驾驶员、乘客、道路上其他车辆甚至行人的安全。

当一种芯片设计的最终用途可能意味着人类的生命会受到威胁时,我们将其称为安全关键型芯片。功能安全在这种设计中是必不可少的:因此,这类设计的完整性级别必须与最终用途相称。必须对软件或硬件引起的潜在故障制定计划并主动解决。

对故障的理解和反应

让我们进一步了解如何理解和应对潜在的故障。从根本上来说,这都是关于系统如何处理故障情况,并确定:1)如何预防故障本身发生,或2)如何应对故障。这里必须区分硬件错误和软件错误,它们要么可以被安全地忽略,要么必须通过不同的方法加以预防或应对。即使是纯粹的硬件错误,也必须了解这些错误实际上会导致什么故障,以及适当的应对措施应该是什么样子。

需要对系统性误差(例如,由电路开发或不充分验证导致的)和随机发生的错误(由外部影响引起)之间进行区分。重要的是要明白,在任何情况下都不可能避免系统性错误。通过良好的验证覆盖、标准化的测试过程、广泛的测试,其中也可能通过使用专用的验证IP(VIP)以及使用专门的工具,有可能显著提升开发无错误产品的可能性。

正如相应的安全标准明确强调的那样,100%的覆盖率在实际中是不可能实现的。对于所谓的极端情况尤其如此,这种情况描述了元器件在异常条件下的操作,并且在电路开发和相关验证中都是一种挑战。

另一方面,也不能完全排除随机错误。在这里,有必要制定对此类错误做出适当反应的策略。为了消除由外部影响(如α因子)引起的潜在故障,必须采用错误检测和校正电路。根据应用领域和无错误操作要求的级别,有必要提供容错实现。容错在发生错误会危及人类生命的情况下尤其重要,比如飞机上的设备。

原则上来说,这样的要求需要大大增加实现的工作量,当然也需要增加验证的工作量。在这个领域,有必要强调的是,芯片设计人员必须要验证电路本身的正确性,还要验证错误检测和纠正电路的正确性。

IP开发是如何受到影响的?

当为安全关键型设计创建或使用IP时,工程师必须要牢记什么?

即使只对最终产品进行认证,但其中每个组件也必须满足适用于整个系统的要求。因此,所有子组件都必须按照严格的规则来执行电路实现要求,以考虑产品在安全性相关应用中的后续使用,并遵守适用标准的开发流程。

就ISO 26262标准而言,设计流程要求包括:

·详细的规划——在定义功能安全要求阶段中必须仔细完成

·分析——旨在识别危险和可能的错误模式

·实施——即对前面两个步骤进行全面的考量

然后,必须对系统进行验证和确认。为了获得认证,所有细分步骤都必须有良好的证明文件,并记录其结果。同时,这个记录必须包括所使用的工具和采用的验证方法等等。

为了获得DO-254认证,必须在规范制定阶段首先就要强制性地使用明确的定义和术语,以确保从一开始就有完全可追溯性,并指出精确的要求,以确保详细的证明文件。

要获得这种类型的认证需要付出很大的努力!还必须承担额外的任务来创建适当的证明文件,如记录验证过程、错误覆盖、错误报告和工具使用等必需环节。还应该注意的是,只有某种产品在获得认证后保持不变的“冻结”版本才是认证合格的。此外,在创建产品时所使用工具的版本也必须保持不变。

获得行业标准机构认证

为了确保符合DO-254或ISO 26262等安全标准,就有必要获得相应的认证。公司必须与独立的组织合作,例如德国的TÜV SÜD等机构,以完成认证过程。全球有许多这样的认证机构。

那么,你应该追求认证吗?这需要视情况而定。

不利的一面是,获得安全标准认证的整个过程非常耗时,而且还需要适当培训人员。还需要在整个认证期间接受认证组织的审核,以检查和证明实现功能安全的措施的完整性。

有利的一面是,认证可以增加客户对其所需的产品质量和可靠性的信任。此外,由于投入了额外的时间和精力,在整个设计过程中对细节的严格关注可以开发出优质的产品。

在大多数情况下,认证IP核这样的单个子组件是没有意义的,因为它们会被用于更复杂的电路中。但是,所有子组件都必须符合适用标准规定的严格规则,并考虑到产品在安全相关应用中的后续使用。

最终考量因素

如前所述,获得认证并不容易,但值得一试。即使只对最终产品进行认证,但包括第三方IP核在内的每个组件都必须满足适用于整个系统的要求。因此,所有子组件都有必要按照适用标准的严格规则进行电路实现,并在开发阶段就为产品的安全关键型最终用途制定规划。前面提到的标准定义流程必须从始至终贯彻。

SmartDV已在汽车和航空电子设计方面富有经验和颇有建树,可以成为芯片厂商在探索相关领域时值得信赖的IP合作伙伴。我们的VIP是由具有数十年复杂芯片验证经验的验证工程师所创建。我们还为各种应用提供基于标准的设计IP。下面显示的是我们的一些IP核,它们都适用于本文中讨论的安全关键型设计。

随着芯片的复杂性不断增加,验证也在逐年变得越来越复杂。在当今的芯片设计中,验证往往会消耗大约60%-80%的项目资源,并且通常是整个过程中的瓶颈。正是因为这样的复杂性和重要性,与值得信赖的IP伙伴合作是回报最高的途径,他们将与芯片设计师共同解决其在此过程中遇到的任何问题。

市场差异化带来的定制化需求也在芯片行业中不断凸显。无论您是为下一代SoC、ASIC或FPGA项目采购设计IP,还是寻求验证解决方案(VIP)来完成您的芯片设计,SmartDV都可以快速且可靠地对我们多元化的产品组合进行定制,以满足您独特的设计需求。我们的SmartCompiler™技术使这种定制化可以很完美地实现,并可使芯片设计公司获得更高的回报。IP Your Way™——只需定义您的规格,然后交给我们处理。

我们期待看到您的芯片设计成果应用在道路上或在天空中!

关于Philipp Jacobsohn

Philipp Jacobsohn是SmartDV的高级应用工程师,他为北美和欧洲地区的客户提供设计IP和验证IP方面的支持。除了使SmartDV的客户实现芯片设计成功这项工作,Philipp还是一个狂热的技术作家,乐于分享他拥有的在半导体行业近30年积累的丰富知识。在2023年加入SmartDV团队之前,Philipp在J. Haugg、Synopsys、Synplicity、Epson Europe Electronics、Lattice Semiconductors、EBV Elektronik和SEI-Elbatex等担任过多个工程和现场应用职位。Philipp在瑞士工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/786512.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

以太网电路相关功能说明

RJ45模块用于PHY芯片之间的互连,如图1所示,RJ45有两种组合形式,一种是分立式,网口变压器和RJ45连接座是分开的,另一种是网口变压器和RJ45集成在一起。 图1 RJ45两种主要形式 接下来以分立式RJ45的百兆网电路做个说明&a…

Xilinx FPGA UltraScale SelectIO 接口逻辑资源

目录 1. 简介 2. Bank Overview 2.1 Diagram 2.2 IOB 2.3 Slice 2.4 Byte Group 2.5 I/O bank 示例 2.6 Pin Definition 2.7 数字控制阻抗(DCI) 2.8 SelectIO 管脚供电电压 2.8.1 VCCO 2.8.2 VREF 2.8.3 VCCAUX 2.8.4 VCCAUX_IO 2.8.5 VCCINT_IO 3. 总结 1. 简介…

Intewell+Codesys高实时运控解决方案

IntewellCodesys高实时运控解决方案 IntewellCodesys方案,基于X86、ARM、MIPS、RISC-V等不同架构的硬件平台,通过Intewell实时操作系统的多种构型形态,包括Intewell-RTOS,Intewell-Win,Intewell-Lin,Intewe…

详解TCP和UDP通信协议

目录 OSI的七层模型的主要功能 tcp是什么 TCP三次握手 为什么需要三次握手,两次握手不行吗 TCP四次挥手 挥手会什么需要四次 什么是TCP粘包问题?发生的原因 原因 解决方案 UDP是什么 TCP和UDP的区别 网络层常见协议 利用socket进行tcp传输代…

查看oracle ojdbc所支持的JDBC驱动版本

oracle jcbc驱动的下载地址参考:JDBC and UCP Downloads page 其实上文中对ojdbc所支持的JDBC驱动版本已经有说明了,不过,因为oracle的驱动包很多时间,都是在公司内部私服里上传维护的,上传的时候,可能又没…

鲸发卡系统 /pay/xinhui/request_post 任意文件读取漏洞复现

0x01 产品简介 鲸发卡系统 致力于解决虚拟商品的快捷发卡服务,为商户及其买家 提供,便捷、绿色、安全、快速的销售和购买体验。框架已升级TP最新版本,无安全BUG,重新开发将近80%,原创功能10项,…

static-02

三个注意点 1.静态方法中无this关键字 2.静态方法只能访问静态资源 3.非静态方法可以访问所有 1.静态方法中无this关键字--------(非静态)普通方法里有this关键字(隐藏的) this关键字:代表方法调用者的地址值----这个方法的调用者的就是一个具体的对象 非静态的东西通常跟…

使用virt-manager添加宿主机上的U盘

1、打开virt-manager管理界面 [rootkvm4 ~]# virt-manager 2、打开需要添加U盘的虚拟机 3、进入Hardware管理器 4、选择插入U盘的设备,点Finish 5、进入虚拟机,确认U是否添加OK

基层医院、专科医院云HIS系统,支持电子病历四级,全套源码交付

云HIS系统采用B/S架构云端SaaS服务的方式提供,使用用户通过浏览器即能访问,无需关注系统的部署、维护、升级等问题,系统充分考虑了模板化、配置化、智能化、扩展化等设计方法,覆盖了基层医院的主要工作流程,能够与监管…

倩女幽魂游戏攻略:装备攻略大全与云手机助力教程!

在《倩女幽魂》这片古风奇幻的江湖中,装备不仅是角色的外在装扮,更是提升实力、闯荡三界的关键所在。本文将从装备的颜色、类别、词缀及获取途径等多个维度,为玩家呈现一份详尽而深入的装备攻略,助你成为三界中的佼佼者。 在倩女幽…

PDM系统中物料分类与编码规则生成方案

在企业管理软件中,PDM系统是企业管理的前端软件,用于管理研发图纸、BOM等数据,然后生成相关物料表或BOM,递交给后端ERP系统进行生产管理。在PDM系统中,有两种方式可以生成物料编码。 1第一种是用户可以通过软件接口将…

windows10下的游戏怎么卸载?

在Windows 10中卸载游戏可以通过多种途径进行,下面是一些常见的方法: 方法一:通过“设置”应用卸载 1. 点击左下角的“开始”按钮,打开“开始”菜单。 2. 选择“设置”图标(齿轮形状)。 3. 在“设置”窗…

【系统架构设计】计算机组成与体系结构(一)

计算机组成与体系结构 计算机系统组成计算机硬件组成控制器运算器主存储器辅助存储器输入设备输出设备 计算机系统结构的分类存储程序的概念Flynn分类 复杂指令集系统与精简指令集系统总线 存储器系统流水线 兜兜转转,最后还是回到了4大件,补基础&#x…

通过PLC地址来切换威纶通触摸屏界面

Step 1 元件-PLC控制 Step 2 新增 选择设备 选择切换基本窗口功能 选择触发地址 Step 3 离线仿真测试 在数值框中输入对应的页面号 可以看到页面可以正常切换 分享创作不易,请多多支持,点赞、收藏、关注! Ending~

如何在抖音小程序上展示VR全景?

如果您或者您服务的甲方需要在抖音小程序中打开720全景漫游链接,就需要在720云平台进行小程序校验。总体来说,在720云平台提交对应小程序信息后,您将获得720云业务域名,将此业务域名配置到抖音小程序后台,即完成校验&a…

神经网络中的激活函数

目录 一、什么是激活函数:二、如何选择激活函数:1.Sigmoid激活函数:2.线性激活函数:3.ReLU激活函数: 一、什么是激活函数: 激活函数是神经网络中的一种函数,它在神经元中起到了非线性映射的作用…

长期保存数据用什么硬盘安全?硬盘数据丢失怎么解决?一文读懂

关乎硬盘数据丢失的恢复窍门,这篇文章您可一定要收藏妥当。在硬盘的使用进程中,诸多情形都会致使数据丢失,像是硬盘跌落、病毒侵袭、系统文件受损等等。在这种时候,务必要运用正确的方式,全力抢救硬盘里存储的珍贵数据…

下载安装Microsoft DirectX SDK(June 2010)

官方下载网址如下: Microsoft DirectX SDK(June 2010)链接 下载后是一个.exe文件 在安装之前,需要先检查你的电脑中是否已经安装过(如果你安装过VS,那么一定会有这两个文件) Microsoft Visual C 2010 x86 Redistribu…

登录Google账号时报400的错误是什么含义?什么原因导致的?如何解决?

一个朋友的谷歌账号在登录的时候提示账号异常,需要输入手机号码进行验证。但是输入自己的手机号和朋友的手机号还是无法验证,要不提示这个号码无法用于进行验证,要么提示这个号码用于验证次数过多。验证码发不出来。 后来我给了他号码以后终…

保姆级教程:Linux (Ubuntu) 部署流光卡片开源 API

流光卡片 API 开源地址 Github:https://github.com/ygh3279799773/streamer-card 流光卡片 API 开源地址 Gitee:https://gitee.com/y-gh/streamer-card 流光卡片在线使用地址:https://fireflycard.shushiai.com/ 等等,你说你不…