工程最佳判断真的是最好的吗?(第2部分)
Chuck Battikha,西门子EDA服务验证与功能安全解决方案架构师开云体育平台登录
基于我们在上周文章中讨论的内容,我it’“最好的工程判断真的最好吗?(第1部分),让我们看一个真实的例子,一个寄存器文件(RF)。对于本例,寄存器由奇偶校验来保护,考虑到大量的翻转和相对连续的写/读操作,这是一个逻辑选择。
下面是一个框图。
设计看起来很简单,可能是FMEDA中的一行项。
现在,一个工程师可能会认为这个RF是由寄存器主导的内存,因此,使用标准的第11-5.1.13.6部分作为理由,并为该块分配一个LOW DC(60%)。与此同时,其他工程师可能会创建自己的理论基础,并主张MEDIUM DC (90%);毕竟,对于单个位故障(无论是瞬态故障还是静止故障),奇偶校验是非常好的。虽然它对多位错误的检测很弱,但请记住,我们只检查单个错误。此外,因为它是定期读取的,所以检测故障的时间会很短。
那么,哪个是正确的呢?
找到答案…
让我们一探究竟。我们可以轻松地设置万花筒故障模拟器工具,在设计上运行故障注入活动。块的测试用例模拟寄存器文件模块的读/写序列,然后以VCD (Value Change)格式捕获并在Kaleidoscope工具中使用。然后生成一个故障列表(使用我们的SafetyScope工具)并提供给故障模拟器,奇偶校验错误作为警报。模拟器注入故障,并确定故障是否传播到模块的输出,以及是否因故障产生奇偶校验告警。当一个错误传播时,该错误被认为是不安全的,并且会影响设计的安全目标。如果故障不传播,则将其归类为“安全”。
在这个场景中,最初的结果很糟糕。出现这种情况有几个原因:
- 测试用例并没有像它应该的那样健壮。只有在刺激措施到位的情况下,断层运动的质量才会好。
- 有一些调试逻辑是设计的一部分,不应该在故障活动中考虑,因为它们对设计的总体安全目标没有影响。
有了这些知识,我们就可以让它再次旋转!
结果仍然很糟糕。
事实证明,永久性故障的覆盖率肯定远低于某位工程师估计的高覆盖率,甚至达不到60%(低);这个模块的比例在30%-50%之间。另一方面,瞬变人群的覆盖率将接近95%。
为什么会发生这种情况?
当您深入研究设计的细节时,这些结果的原因就更清楚了。虽然有奇偶校验保护的触发器包含了设计中95%的存储元素(1024/1076个触发器),但设计中还有大量额外的门/晶体管,这将大大降低永久故障覆盖率。每个寄存器上附加的(不受保护的)逻辑包括:
●地址分段
●数据说明
Muxing和选择逻辑(用于引导写入和读取到适当的寄存器)
●管道控制
●奇偶校验产生(安全机制)
●奇偶校验(安全机制)
下表显示了受保护逻辑和不受保护逻辑的典型分解。综合的时间,面积,功率等将明显改变实际和最终的晶体管计数(TC)将基于所使用的具体技术。然而,该表说明了关键点:工程最佳判断很容易遗漏细节。
| 门 | 实例 | 每个实例的TC | 总TC |
| FF | 52 | 34 | 1768年 |
| FF | 1024 | 34 | 34816年 |
| 2:1 MUX | 2244 | 12 | 26928年 |
| 不 | 8 | 2 | 16 |
| 和 | 15 | 6 | 90 |
| 或 | 96 | 4 | 384 |
| XOR | 1057 | 12 | 12684年 |
| 总计 | 4502年 | 76722年 | |
这只是一个(有意简化的)例子,它既抓住了关键点,也说明了工程最佳判断的挑战,最值得注意的是:
- 是非常主观的
- 是不确定的
- 需要深入分析,以捕捉所有细节,以确保准确性
- 是需要努力的
结论是,故障注入活动应常规使用,以提供准确反映设计细节的无偏倚答案,并且安全分析过程是可重复的和确定的。
如果您在构建和执行故障活动或优化功能安全方法方面需要帮助,西门子EDA咨询和学习服务将为您提供帮助。开云体育平台登录凭借多年的功能安全专业知识,加上广泛的验证方法和工具知识,我们能够帮助您实现业务和技术目标。
我们邀请您通过以下方式与我们联系:开云体育平台登录SiemensEDAServices.sisw@siemens.com.
与此同时,您可以在此免费白皮书中了解更多关于简化FMEDA流程的信息:汽车安全自动化是一项繁琐的任务,由西门子咨询和学习服务专家撰写开云体育平台登录
