白皮书

Rambus RT-640 的 ISO 26262 认证之路

Rambus RT-640 提出了一种符合汽车功能安全标准 ISO 26262 的硬件信任根。

功能安全评估是使用西门子 Austemper 工具集中的两种进行的,这两种工具分别称为 SafetyScope 和 KaleidoScope。

现代汽车中集成的 IC 数量与日俱增,与此同时,随着技术的进步,这些 IC 也变得越来越复杂。在这类应用场景中,故障可能导致危及生命,因此,采用可靠且安全的 IC 变得至关重要。Rambus RT-640 提出了一种符合汽车功能安全标准 ISO 26262的硬件信任根,利用先进的防篡改信息安全技术,针对各种故障(包括永久、瞬时和潜在故障)以及硬件和软件攻击提供保护。在本文中,我们将介绍 RT-640 为达到 ASIL-B 认证级别而进行的功能安全评估。

我们将展示为成功评估这款完整的工业规模 SoC 而实现的方法,利用近 300 万个故障,达到 91.9% 的总 SPFM 和 75% 的总 LFM,完全符合 ASIL-B 级别的要求。

ISO 26262 和 RT-640 的特性

毫无疑问,现代汽车行业正在朝着全电动和自动驾驶汽车的方向发展。这类汽车中包括大量的电子控制单元,而且随着技术的进步,其数量还在持续增加。虽然这种转型带来了许多优势,但随之而来的也有各种功能安全和信息安全威胁方面的新问题。自动驾驶汽车的 ECU 一旦出现故障,就可能会危及生命安全。此外,智能汽车还引入了一系列新的漏洞,容易遭受网络攻击1。因此,设计可靠且安全的硬件已成为当务之急。ISO 26262 标准定义了多种程序和要求,以确保处于不同的汽车功能安全完整性级别 (ASIL) 的系统的可靠性。该标准定义了几个指标来证明系统的可靠性,其中包括单点故障指标 (SPFM) 和潜在故障指标 (LFM)。

即使实现最低认证要求,也是一项颇具挑战性的任务2。关于如何根据 ISO 26262 标准进行功能安全评估,业界已经发表了多项著作3, 4, 5, 6。Grosse 等人的著作5 中提出了适用于功能安全评估的形式验证方法。这些方法的缺点在于,由于状态爆炸的问题,
它们受制于电路规模,不可能找到所有故障的结果6。另一种技术是使用故障仿真,它能提供全面而具体的结果。但这种方法的缺点在于,需要依赖于高翻转率的输入激励,并且需要大量计算资源。即便如此,这仍是 ISO 26262 的优先方法。da Silva 等人的著作6 将这两种方法与自动测试向量生成 (ATPG) 技术相结合,实现了非常高的覆盖率。虽然他们在分析中实现了很高的覆盖率,但所用的设计复杂性一般。据我们所知,针对工业规模的设计,目前还没有任何公开的功能安全评估工作结果。

我们根据 ISO 26262 的建议,通过故障仿真进行了此项评估。从文献中可以清楚地看到,完成这一认证过程颇具挑战性,对于如此规模的设计而言更是如此。在本文中,我们将介绍注错分析和仿真的关键参数,以优化执行时间;以及在注错仿真之外采用的技术,以尽可能地减少未分类的故障。我们实现了 91.9% 的平均 SPFM 和 75% 的估计 LFM,达成了 ASIL-B 目标。

首先,我们将介绍评估工具和 RT-640 的功能。
然后,我们将描述为加速注错分析和仿真而采用的关键指标和技术。随后,我们将展示未分类故障的缩减方法和结果。

分享

相关资源