编排高效的 ISO26262 注错分析

故障状态空间的膨胀

随着支持电动汽车、先进驾驶辅助系统和自动驾驶汽车 应用的新型电子系统出现，汽车行业不断发生重大变 革。有些报告预测，到 2030 年，电子系统的成本将占 到汽车物料 (BOM) 成本的 50%。为了在这个关键的增长 市场找到立足点，汽车 IC 公司唯有不知疲倦地奋斗。无 论老牌汽车半导体公司还是新晋公司，都面临着持续的 挑战，必须在不超出预算的情况下快速向市场推出创新 产品。除了提供差异化的能力，项目团队还要确保交付 安全的半导体。具体来说，公司必须提供证据，证明对 于汽车自动化水平较低的情形，产品即使发生故障也能 保障安全，而对于自动化程度较高的情形，产品发生故 障也能工作。

ISO26262 是商用车和乘用车的新安全标准，为证明实 现安全性所需的活动和工作结果提供了指导。更具体地 说，ISO26262 为随机故障提供了明确的安全目标。随机 故障是指在系统运行生命周期中发生的一类故障，随机 故障无法被设计出来，因此标准规定，此类故障不应该 导致违反安全要求。最常见的是，这些故障以永久性故 障（如固定型故障）或瞬态故障（如单粒子翻转）的形 式出现。

为了验证半导体是否实施了充分有效的安全架构来防范 随机故障，项目团队必须对该安全架构进行安全验证。安全架构由一组安全机制（硬件或软件）和必要的较高 级别处理方法组成，以确保故障能被检测出和控制。安 全架构的安全验证在概念上类似于传统的功能验证，但 其主要目标不是识别功能错误，而是了解安全架构是否 足以防止随机故障违反安全要求。为了完成安全验证， 须在设计中注入和传播故障，以验证安全机制的功能正 确性，并将每个故障归类，然后使用故障分类来生成所 需的安全指标。本文的其余部分将详细介绍用于注错分 析收敛的方法和解决方案。