多年来,当我们想到“功能安全”或“安全至上的设计中,“我们见飞机、宇宙飞船和武器。所有这些系统依赖于大量的电子,和他们必须正常工作或其他不好的事情发生,大量的时间和金钱损失或失去生命。

因此,多年来,“mil /航空”世界自己的特别的事情。有些公司专门从事业务因为利润率可以好。其他人离开,因为设计周期长、不可预测的,和可以有大量的文书工作,谁需要,对吗?

所以我们有一个广泛的通用电子行业,与球员竞争的新杀手级应用,希望高卷,然后有专门的另一角落设计实践和低产量。

这是改变。过去你可能记得,你的飞机着陆和滑行后,管事的来吧,提醒你,你现在已经完成了安全你的旅程的一部分,然后祝你旅途安全的,危险的部分涉及你在高速公路上一辆汽车。是的,开车可以比飞行更危险。

为什么没有我们,在这个行业,同样担心汽车吗?这是因为,从历史上看,有几乎没有重要的电子产品在汽车。和,它已经在过去的十年中,它在很大程度上是简单的电子控制单元(ecu)运行软件在一些简单的处理器。不过,可以肯定的是,硬件是非常重要的。

文化我们也接受了这一事实的可能预期,如果不是完全好,每年数千人将失去他们的生活在汽车,但它不是预期或接受发生在飞机。我们责怪司机的车祸,但对飞机失事飞机公司。所以我们认为航空公司的脚火在名义上对汽车制造商(至少在一个广泛的系统设计问题或彻头彻尾的欺诈识别)。

好吧,没有更多的。自动驾驶汽车在不远的未来,汽车行业是未来铲大量成堆的电子汽车。与自治的事,司机将不再控制,所以有责任——变化方程。现在我们有了对功能安全的需要,但在高容量,敏感的产业。这使得它一个新的野兽。什么工作在过去——就像三冗余再也不能简单地外推到车吗。

是的,微控制器(MCU)制造商通过有针对性的单片机的汽车,比如MIPS的声明最近读到由我的同事吉姆特尔。但这地址software-on-MCUs的旧模式仍将存在,但与一群专用硅与它。

一个额外的业界关注

这是因为,软件将继续作为一个关键方面,卷可以证明专用systems-on-chip (soc),意思定制硅的在汽车直到现在没有那么普遍。所以一个全新行业一直拖到functional-safety场景:EDA。根据导师的罗伯•贝茨EDA不是一方发展的汽车安全标准ISO 26262,这引起了tools-makers有点“措手不及”。

当一个复杂的SoC,其硬件和软件运行在它必须过关。另外,还有一个新方面我们将回到那不是那么清楚。

无论哪一个行业你谈论、功能安全归结为一个基本的问题:当出现问题的时候会发生什么?

这个问题有三个方面(加上推论问题):

• 系统误差:这些错误在设计本身。设计过程应该消除这些。
• 随机瞬态错误:这就像阿尔法粒子能翻转状态,但是能的影响,从理论上讲,被纠正。
• 随机永久错误:这些是类似,说,一个氧化破裂。没有办法正确;当它完成时,它的完成。
• 推论的问题是:
  • 你如何证明安全面对这些?
  • 你如何计算合适的(失败)利率以量化的安全级别呢?

我们已经看到了EDA公司节奏应对认证工具,帮助特定的工具本身。导师的导师安全程序同样为导向,提供工具认证数据和最佳实践,帮助设计团队的过程。但26262年需要更多:它要求设计过程被认证。你怎么能证明你可能的故障处理?

今年在DAC,我有很多的对话为EDA领域的功能安全。也不是那么多关于证明工具;cert的包。这是关于工具,甚至让你评估和修复您的设计来消除系统误差和处理随机的。

奥氏体回火

等温淬火是一个两岁的公司,创造了工具解决随机故障——瞬态(考虑到所需要的周期数恢复)和永久性的。他们推出了在今年的DAC的工具。而这包括分析工具,许多EDA玩家提供,他们也有一个合成工具,似乎是唯一的。

首先,他们使用SafetyScope运行分析识别电路和模块,需要注意。这不是全面故障分析,所以它运行相当迅速(一百万年盖茨在几个小时;大致相同的时间,运行一个logical-equivalency检查(LEC))。

从那里,他们退火炉工具可以合成报道电路检测并纠正错误。可以在整个芯片或选定的块。例子合成元素包括平价,ECC和复制的电路。一旦完成,证明他们有放射镜工具,在细粒度级别,新修改电路逻辑相当于起始电路——直到现在额外的安全电路。

最后,合适的利率可以通过运行一个量化的工具称为万花筒,执行故障注入的证明错误可以安全地进行处理。为此,他们获得电压变化转储(VCD)文件从一个“黄金”RTL模拟。故障注入的结果然后比较反对这个金色的结果。

相对快速的工具;他们能证明两小时内大约4000错误。三个主要因素给他们更高的性能:并行执行,在RTL级而不是门级工作,并认真限制电路模拟的范围和时间范围通过修剪和限制只能控制和观测的视锥细胞。它运行等级,并跟踪结果,以避免任何重叠或重复的工作。

OneSpin

与此同时,OneSpin也新处理这个空间。他们的方法来处理系统误差回归本源的消息传递他们使用多年前:膨胀剂验证。这被认为,给定一组的设计要求,设计应该表现的方式无非满足所有的需求,这些需求。每个元素的设计应该充分必要。谎言以外的任何行为中指定的需求成为一个问题。所以,很明显,这是OneSpin削减了它的牙齿。

随机错误,然而,他们有一个方法不同等温淬火的——和潜在的补充。OneSpin的戴夫Kelf指出,在基于仿真的故障分析,通常保留在几百的顺序不确定故障需要手动检查。和现实世界的速度就像一个人每天大约可以解决这样的一个错误。但是,当然,OneSpin一切使用正式的分析,而不是模拟,所以这个问题就会消失。

OneSpin有三个应用程序来处理随机误差。平安险首先修剪non-propagatable断层从未来分析。毕竟,如果一个错误发生,它从来没有得到或影响一个输出,它真的发生了吗?真正的纸上谈兵的东西,但是,从实用的角度来看,时间不需要花等缺点。你可以说这样的缺点是self-handling。

佛罗里达州然后看着故障处理电路来证明他们的工作。OneSpin必须添加一些功能工具,使第二个工具工作——这听起来微不足道:力和释放。事实上,这些都是在模拟器微不足道,因为它们基于事件的命令,混合模拟的心态。但他们并不是那么明显,形式验证——然而他们所需证明注入故障处理。

最后,FDA,量化故障覆盖率。它仍然需要一些时间来运行——周大规模设计——但没有必要生成场景或向量,与模拟是必要的。还有没有需要模拟的不确定性和性格缺点,挽救上百engineer-days。

甚至还有一些与奥氏体回火是否正式引擎可能比模拟等温淬火的万花筒更有效的工具。这是我提到的“互补”一点。不确定这是否会发生,但它显示了不同的解决方案可能以建设性的方式重叠。

机器学习呢?

我们看了基本的硬件和软件问题,但是有一个全新的野兽莫名其妙地冲进镇的第三种方法:机器学习。传统设计涉及创建算法,测试它们,然后在硬件和/或软件实现它们。一旦完成,该算法是固定的,可以彻底的审查。

但是随着机器学习,取决于它是如何做的,系统的“设计”并不是完整的,直到它学到的东西。

有两种方法来学习,一般来说。有监督学习,得到一个样本训练集,你知道哪个是哪个。如果你水生或者陆生动物分类,例如,每个样本都有正确的答案用于训练目的。无监督学习,你没有得到答案,所以系统必须有一些猜测的基于模型的当前状态,然后检查猜测来决定是否需要改变它的模型。

如果你不被这个东西,然而,有一个容易犯的错误——我开始做。这是认为芯片卷积神经网络(CNN),例如,列车通过神经网络——也就是说,每个芯片可以训练。这不是它是如何工作的,因为Synopsys对此和节奏帮助提醒我。

培训需要大量的计算能力,比你想要的芯片,特别是对于一些会发生一次。相反,像TensorFlow有基于云计算的工具。你使用这些训练CNN——这意味着确定权重系数,将被应用在每个阶段的CNN。然后“上传”每一个芯片。所以实际硅船只只会完成,培训网络。

有认为无监督培训与功能安全不过关,但这种想法只适用于如果您有培训的系统和持续的超越部署。事实并非如此,至少今天,automotive-oriented设计,所以,真的,培训方式并不重要。重要的是,你有一个模型船的硅以及相关的硬件和软件。

建议某人需要验证不仅设计(硬件和软件),但是学习的模式。如果更新模型,那么,新模型也需要认证。当然,在任何领域更新这样的一个系统,如果任何软件的变更(甚至是硬件,如果涉及可编程设备),那么新版本也需要认证申请前更新。所以之前重新认证升级并不是新的;只是,现在,我们有更多的事情要证明:学习模型。

我试图闲逛,看看26262年处理机器学习,而且,基于不完整的信息我已经看到,我的初步结论是,它不——不是在当前版本中,预计2018年也在更新。但这是一个活跃的社区的对话。这可能是值得一个单独的讨论,所以我推迟这个未来。但是,尽管最终的26262年问题,方法可能存在的挑战不是机器学习。

高层指出,最后导师的贝茨先生指出,飞机安全记录主要是由于中央美国联邦机构——联邦航空局分析每一个崩溃和学习适用于未来的设计。这就是为什么变得如此罕见的崩溃。他认为这样的一个组织可能实现的汽车,一旦汽车负责,为了保证新知识和最佳实践积累所有的汽车。

更多信息:

奥氏体回火

导师安全

OneSpin

• 
• 
• 
• 
•