[转载]ISO26262:2018版本下的半导体安全分析怎么做？

:A;RH  
原创： 杨瑾婧 ANSYS中国 i%?*@uj  
*;FdD{+  
此前，《新技术挑战下如何高效开展ISO26262功能安全分析？》一文提到在诸多行业里系统的安全性一直备受关注，并以汽车行业为例，介绍如何高效地帮助企业安全分析人员实现符合ISO 26262的功能安全分析。本文将围绕ISO 26262:2018版的要求，详细解析ANSYS medini analyze针对半导体安全分析的解决方案。 %cn<ych G  
"AqB$^S9t  
背景回顾 ;^L(^Hx  
ISO 26262标准是全球公认的汽车功能安全标准，该标准对产品的整个生命周期——概念、设计、生产、操作等各个阶段都提出了严格的要求，以确保将电子/电气系统的风险降低到可接受的范围内，实现系统的功能安全。 sI2^Qp@O1  
-9?]IIVb  
ISO 26262:2011年版发布以来，随着汽车电子技术的飞速发展，ADAS和自动驾驶系统的功能和性能不断提升，芯片在系统中扮演着越来越重要的角色，芯片的安全性也日益受到重视。为此，国际标准化组织于2018年发布ISO 26262:2018，新版标准增加了第11部分——关于半导体在汽车功能安全环境中的设计和使用指南，对半导体行业提出了一系列新的要求和挑战…… KI.hy2?e  
n$R)>nY  
ISO 26262:2018版增加的第11部分说了啥？ 2=}FBA,2  
首先，明确了半导体的安全要做什么？比如，要对复杂芯片进行模块化分析，定义了供应商和集成商的角色定位，以及如何把整个芯片作为一个SEooC来开发（即独立安全单元，不考虑具体应用环境），同时指出了厂商需要提交的文档，相关方的接口和责任。 .%-8 t{dt  
~W/z96' 5  
其次，还明确了如何进行半导体的安全分析？对如何计算半导体失效率、失效分析、安全机制等都做了详细解释，比起第一版的内容结构，新版标准更具实用性，同时也提出了更多要求，比如，开发人员除了需要考虑安全需求，还需要完成FMEA、FMEDA、安全机制设计、故障注入与仿真、FTA、DFA以及相关的变更管理与影响分析等。 (8OsGn  
3so%gvY.'  
4,ag(^}=  
可以想见，传统方法中使用Excel等单点工具已经远不能满足新的技术要求。 %
yC,^  
;Rf'P}"]  
K
8O|?x]  
如何在新版标准下做好芯片功能安全？这里的一个主要难点在于芯片中故障率及其分布的计算。 Z_NCD`i;  
8P`"M#fI  
按照新版标准，芯片设计中除了要考虑永久故障，还必须考虑由于电路干扰、电磁干扰而导致的瞬态故障。芯片厂商不仅仅要提供根据基础失效率和工作场景得出的整体的失效率，还需要向集成商提供芯片内部各部分的失效率分布。 kx^/*~ex  
i.#:zU%o  
一般来说，对于永久故障，封装Package和晶圆Die的失效率分布一般由业内专家来判定，而晶圆Die内部各个功能模块具体的失效率，比如数字电路、模拟电路、CPU、Memory等，按照SN29500，IEC61709等标准，是按每个部分的面积来计算。对于瞬态故障，标准建议是总故障率按照门的数量乘以基本瞬态失效率来计算。 !,PWb3S  
\U_@S.  
因此，要计算芯片内部的失效率，必须知道每个模块的面积和门的数量。而这两个数据，通常包含在芯片内部的设计细节中，如果没有工具的帮助，就只能人工去做相关的提取、分析工作，非常耗费人力和时间。                                 5h*p\cl!Y  
/9X7A;O  
 \=o-  
同时，对比普通的电子元器件，比如，电阻或电容厂商只需要提供器件的故障率，故障模式以及的分布，集成方只需要设定工作场景、判定是否安全相关，就可以在PCB层面确定故障模式的影响，引入外部的安全机制。但芯片厂商不但需要提供总的故障率，还需要提供内部永久/瞬态故障模式、的分布、引脚故障模式、内部安全机制及其诊断覆盖率、单点/潜伏失效指标等一系列安全数据，需要提交给集成商的文档和数据要复杂得多。 [Rb+q=z#  
]M3yLYK/P  
我们不妨以半导体的FMEDA工作流程为例，一起来看看medini如何支持一系列安全分析工作：
"@n%Z  
W+* V)tf  
一般芯片设计厂商会用EDA工具来做芯片设计，从EDA 工具中可以导出标准的IPD-XML格式的设计数据(其中包含die area/gate counts等信息)；medini可以直接导入这些数据，然后在medini中用Sysml语言来构建高层架构模型，并把高层架构模型和芯片设计数据进行映射, 映射后高层架构模型中会自动汇总按面积、门数量计算得到的失效率分布。这时，可在从高层架构模型直接派生FMEDA表格，工具将基于安全机制的DC估值来自动估算SPFM/LFM指标。 %iB,IEw  
hbn([+xY  
为了得到更精确的DC值和SPFM/LFM值，在芯片领域需要做故障注入，medini可以从FMEDA导出故障列表，用于在EDA工具完成故障注入、测试安全机制是否能覆盖到相应的安全场景，从而得到更精准的DC值，然后可以把这个DC值导回到medini中，medini将自动更新FMEDA表格，从而计算出更为准确的SPFM/LFM指标。 W g! Lfu  
V]^$S"Tv  
eS!/(#T  
<VE@DBWyl~  
如何将安全分析的信息共享，同时保护知识产权？ Q2>gU#  
新版标准中要求芯片厂商提交大量安全分析数据，可是，如何能够既提交安全数据同时又不泄露芯片设计细节，保护芯片厂商的知识产权和商业机密呢？ xSu >  
\)e'
`29;  
ANSYS medini半导体解决方案中的” DC Configurator” 功能可以把芯片厂商的安全分析工作以工程文件的形式导出，导出时工具自动收集所有相关的高层架构数据，里面只包含安全分析相关的信息，而不包含芯片的具体设计，这样，所有涉及知识产权的内部细节都无需披露。集成商只需要导入这个工程文件，就可以集成芯片层级的完整安全数据，进行更高一层的安全分析和指标计算。这对于芯片厂商和集成商都是极大的便利。 Bbc^FHip  
\2z>?i)  
[ali .. 5r0YA IJ  
AXB7oV,xt  

未注册仅能浏览部分内容，查看全部内容及附件请先 登录 或 注册