基于模型設(shè)計(jì)提高車(chē)規(guī)級(jí)芯片功能安全設(shè)計(jì)效率
在汽車(chē)電氣化、智能化、網(wǎng)聯(lián)化快速發(fā)展的今天,汽車(chē)所用的芯片數(shù)量與種類也日益增多。電氣化引領(lǐng)了汽車(chē)電子電氣架構(gòu)的革新,催生出域控制器等集中式大算力芯片和 IGBT 等功率芯片。智能化則引入了多種類的傳感器和 AI 應(yīng)用,帶動(dòng)了雷達(dá)、激光雷達(dá)、攝像頭、智能座艙、5G 車(chē)聯(lián)網(wǎng)等模組、處理器、存儲(chǔ)芯片、以及 AI 計(jì)算芯片的發(fā)展。
本文引用地址:http://www.ex-cimer.com/article/202307/449015.htm
與消費(fèi)電子芯片相比,車(chē)規(guī)級(jí)芯片需要滿足更嚴(yán)苛的工作環(huán)境、更長(zhǎng)久的質(zhì)量保證、更嚴(yán)格功能安全的要求。
車(chē)規(guī)級(jí)芯片的功能安全是設(shè)計(jì)出來(lái)的
功能安全要求一個(gè)安全系統(tǒng)在發(fā)生隨機(jī)的、系統(tǒng)的、常見(jiàn)的故障時(shí),不會(huì)導(dǎo)致安全系統(tǒng)故障,也不會(huì)導(dǎo)致人的傷害或死亡、環(huán)境污染、設(shè)備或生產(chǎn)損失。
ISO 26262 是汽車(chē)行業(yè)廣泛接受的電子功能安全標(biāo)準(zhǔn),提供了規(guī)范及設(shè)計(jì)指導(dǎo)原則,貫穿產(chǎn)品從概念開(kāi)發(fā)、系統(tǒng)、硬件及軟件開(kāi)發(fā)、生產(chǎn)到報(bào)廢的整個(gè)開(kāi)發(fā)過(guò)程。由于芯片在汽車(chē)系統(tǒng)中扮演著越來(lái)越重要的角色,ISO 26262 2018 版本新增加了 11 章節(jié)半導(dǎo)體指南,規(guī)范了覆蓋故障模式、相關(guān)性失效分析 DFA、故障注入等通用技術(shù),以及對(duì)數(shù)字、模擬、存儲(chǔ)、可編程器件等半導(dǎo)體部件的具體要求。
完整的仿真、充分的驗(yàn)證、自動(dòng)化的過(guò)程再現(xiàn)等是 ISO 26262 標(biāo)準(zhǔn)推薦的功能安全芯片設(shè)計(jì)方法的一般準(zhǔn)則,MATLAB 基于模型設(shè)計(jì)的方法學(xué),能夠幫助工程師快速地自動(dòng)化地實(shí)踐 ISO 26262 標(biāo)準(zhǔn)。
建立芯片最終客戶關(guān)心的應(yīng)用級(jí)功能模型
功能正確是功能安全的基礎(chǔ),智能電動(dòng)汽車(chē)芯片的功能專業(yè)、新穎、復(fù)雜,例如激光雷達(dá)信號(hào)處理、ADAS 視頻圖像處理、電池監(jiān)測(cè)傳感器測(cè)量與控制、高壓電機(jī)驅(qū)動(dòng)器等,需要在芯片設(shè)計(jì)研發(fā)階段進(jìn)行大量的功能建模仿真與分析?;?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/模型設(shè)計(jì)">模型設(shè)計(jì)方法學(xué)的一個(gè)核心價(jià)值即是建模,建模工作不僅包含芯片內(nèi)部的功能算法模型,也包括測(cè)試這些功能所需的外部組件和環(huán)境的構(gòu)建,例如 ADAS NCAP 測(cè)試場(chǎng)景、被控電機(jī)模型、鋰電池組模型,還包括 SoC 芯片的架構(gòu)分析模型,例如軟硬件劃分、內(nèi)存訪問(wèn)、總線競(jìng)爭(zhēng)等等。
MATLAB & Simulink 及各種工具箱為各類智能電動(dòng)汽車(chē)芯片的開(kāi)發(fā)提供建模、仿真、測(cè)試支持,以滿足 ISO 26262 對(duì)硅前功能測(cè)試的要求。
應(yīng)用級(jí)系統(tǒng)模型能夠幫助芯片工程師確保用來(lái)評(píng)估設(shè)計(jì)的驗(yàn)證簽核(signoff)標(biāo)準(zhǔn)與芯片最終客戶最關(guān)心的標(biāo)準(zhǔn)一致。
“我們的客戶中有相當(dāng)一部分是Tier 1汽車(chē)供應(yīng)商,他們最關(guān)心的就是規(guī)格書(shū)中的各項(xiàng)性能指標(biāo),比如信噪比(SNR)和總諧波失真(THD)。他們反倒不太關(guān)心大多數(shù) IC 驗(yàn)證團(tuán)隊(duì)會(huì)關(guān)心的一些主要指標(biāo),比如單個(gè)組件測(cè)試結(jié)果、代碼覆蓋率結(jié)果,以及其他硬件實(shí)現(xiàn)級(jí)別的指標(biāo)。另外,我們的客戶利用現(xiàn)場(chǎng)試驗(yàn)和真實(shí)駕駛場(chǎng)景來(lái)評(píng)估完整的雷達(dá)系統(tǒng),而 IC 驗(yàn)證團(tuán)隊(duì)則使用與真實(shí)信號(hào)相去甚遠(yuǎn)的測(cè)試圖形來(lái)評(píng)估單個(gè)射頻、模擬和數(shù)字組件。我和所在團(tuán)隊(duì)定義并實(shí)現(xiàn)了流程前置方法學(xué),使得我們驗(yàn)證 IC 設(shè)計(jì)的流程與客戶評(píng)估 IC 設(shè)計(jì)的標(biāo)準(zhǔn)保持一致。我們開(kāi)發(fā)用于虛擬現(xiàn)場(chǎng)試驗(yàn)的路試駕駛場(chǎng)景基于許多客戶所遵循的 Euro NCAP 標(biāo)準(zhǔn)。我們生成的功能和性能指標(biāo)(如 SNR)與客戶評(píng)估自己產(chǎn)品中的 IC 組件所用的指標(biāo)相同?!薄?/span>NXP 雷達(dá)芯片工程師。[1]
可仿真的模型不僅有助于提升公司內(nèi)部芯片的設(shè)計(jì)開(kāi)發(fā)驗(yàn)證、下一代產(chǎn)品的迭代優(yōu)化效率,也可以虛擬處理器(vCPU)的方式服務(wù)早期客戶,搶占市場(chǎng)先機(jī)。
自動(dòng)化功能安全的驗(yàn)證
這是一個(gè)機(jī)器人與 AI 技術(shù)開(kāi)始盛行的年代,基于模型設(shè)計(jì)的研發(fā)流程和嵌入在流程中的各種自動(dòng)化工具正在越來(lái)越多的被汽車(chē)工程師和芯片工程師所采用。
ISO 26262 功能安全標(biāo)準(zhǔn)要求對(duì)芯片進(jìn)行功能和結(jié)構(gòu)覆蓋率驅(qū)動(dòng)的驗(yàn)證。而根據(jù)業(yè)內(nèi)的調(diào)研結(jié)果,芯片開(kāi)發(fā)過(guò)程中驗(yàn)證占用了 50%的時(shí)間。使用自動(dòng)化工具提高驗(yàn)證效率變得非常有意義。
芯片驗(yàn)證工作通常由芯片驗(yàn)證工程師完成,日常地掙扎于算法專家和 RTL實(shí)現(xiàn)工程師的溝通洪流中?;谀P驮O(shè)計(jì)可以顯著提高芯片驗(yàn)證效率,通過(guò)將驗(yàn)證前移,提高芯片算法的質(zhì)量,從而減少算法、實(shí)現(xiàn)和驗(yàn)證的迭代次數(shù);同時(shí)在算法、實(shí)現(xiàn)和驗(yàn)證傳遞可仿真的模型,也比傳遞文檔能夠減少許多溝通誤差。
在芯片模型上,工程師可以使用 Simulink CoverageTM 測(cè)量芯片模型和生成代碼中的測(cè)試覆蓋率,識(shí)別缺失的測(cè)試或意外的功能,并在圖表上查看覆蓋率結(jié)果;或者借助 Simulink Design VerifierTM 使用形式化方法識(shí)別芯片設(shè)計(jì)錯(cuò)誤,發(fā)現(xiàn)難以發(fā)現(xiàn)的死邏輯和設(shè)計(jì)缺陷,自動(dòng)生成測(cè)試向量以分析缺失的覆蓋率,形式化地證明設(shè)計(jì)符合需求。
為加快汽車(chē)顯示芯片圖像處理 IP 核的設(shè)計(jì)和實(shí)施,瑞薩工程師采用了 MATLAB? 和 Simulink? 的基于模型的設(shè)計(jì):“與傳統(tǒng)的設(shè)計(jì)流程相比,采用基于模型的設(shè)計(jì),我們能更早地驗(yàn)證我們的算法和系統(tǒng)功能,更快地適應(yīng)需求指標(biāo)變更,評(píng)估更多的設(shè)計(jì)替代方案。基于模型的設(shè)計(jì)幫助在算法專家和 RTL 工程師之間架起橋梁。”[2]
快速原型及 RTL 自動(dòng)化生成
為了應(yīng)對(duì)日益增加的競(jìng)爭(zhēng)壓力,芯片制造商正在縮短交貨時(shí)間表;另一方面,即使設(shè)計(jì)變得越來(lái)越復(fù)雜,客戶對(duì)質(zhì)量和性能的期望也在提高。許多公司發(fā)現(xiàn),傳統(tǒng)的設(shè)計(jì)方法——即團(tuán)隊(duì)對(duì)規(guī)范進(jìn)行基于文檔的驗(yàn)證,并在最終生產(chǎn)版本之前生產(chǎn)多個(gè)原型已經(jīng)無(wú)法跟上行業(yè)當(dāng)前的步伐。
在模型充分驗(yàn)證之后,HDL Coder 可以從模型自動(dòng)生成可綜合的符合行業(yè)編碼標(biāo)準(zhǔn)的VHDL 或 Verilog 代碼,自動(dòng)實(shí)現(xiàn) FPGA-in-the-loop 原型驗(yàn)證,也可以通過(guò)自動(dòng)生成 SystemVerilog 或 UVM 測(cè)試環(huán)境以復(fù)用模型中的測(cè)試激勵(lì)和框架,從而大大提高芯片 RTL 開(kāi)發(fā)效率。MathWorks ASIC/FPGA 工作流程支持 ISO 26262 功能安全標(biāo)準(zhǔn),HDL Coder 是 ISO 26262 認(rèn)證的開(kāi)發(fā)工具。
“我們從 2014 年開(kāi)始研究將 Simulink MBD 用于 ASIC 開(kāi)發(fā)。硅驗(yàn)證已證明自動(dòng)生成的代碼 0 bug”來(lái)自 Allegro Microsystems 的經(jīng)驗(yàn)分享。[3] Allegro 為開(kāi)發(fā)高完整性汽車(chē)傳感器芯片采用了基于模型的混合信號(hào) IC 設(shè)計(jì)流程。
確認(rèn)芯片底層軟件的功能安全
芯片的運(yùn)行還要有軟件支持,車(chē)規(guī)級(jí)芯片制造商需為客戶提供滿足功能安全的硬件和底層軟件。底層軟件甚至是功能安全的必要組成部分,幫助避免系統(tǒng)硬件故障以及檢測(cè)和控制隨機(jī)硬件故障,例如 FMEDA,clock monitoring,power monitoring,ECC protection of RAM/ROM。更多的情況下,低層軟件幫助汽車(chē) OEM 和開(kāi)發(fā)人員構(gòu)建符合安全認(rèn)證的應(yīng)用,比如 AUTOSAR MCAL,firmware,sensor drivers,safety monitoring,safety-certified library。
PolyspaceTM 可以對(duì)芯片底層軟件進(jìn)行符合 ISO 26262 功能安全的驗(yàn)證。Polyspace 是基于抽象解釋原理的代碼級(jí)靜態(tài)分析和驗(yàn)證工具,使用形式化分析方法,無(wú)需測(cè)試用例,即能對(duì)代碼進(jìn)行窮盡分析。把代碼中有問(wèn)題和沒(méi)問(wèn)題的計(jì)算操作通過(guò)顏色完全區(qū)分開(kāi),方便底層軟件工程師聚焦問(wèn)題。
Elektrobit 開(kāi)發(fā) AUTOSAR 基礎(chǔ)軟件,幫助橋接芯片廠商和汽車(chē)廠商。確保符合道路車(chē)輛的 ISO 26262 功能安全標(biāo)準(zhǔn)涉及證明設(shè)計(jì)滿足安全要求,架構(gòu)準(zhǔn)確反映設(shè)計(jì),以及架構(gòu)正確實(shí)施。Elektrobit 工程師使用 Polyspace Code ProverTM完成耗時(shí)的第三階段[4]。Polyspace 的形式化方法內(nèi)核還幫助 Elektrobit 驗(yàn)證高度可配置軟件,從耗時(shí)的數(shù)千次的邊界檢查方法中解脫。他們還是用并行問(wèn)題證明,減少非必要的互斥鎖,從而提高軟件的性能。
服務(wù)汽車(chē)行業(yè)客戶事半功倍
汽車(chē)行業(yè)廣泛采用基于模型的設(shè)計(jì)(Model-Based Design)開(kāi)發(fā)流程,汽車(chē)芯片廠商為自家芯片提供基于 Simulink 的高效、高性能、安全認(rèn)證的硬件支持包,能更好地服務(wù)客戶。典型的例如,Infineon Aurix 高性能 MCU 支持包,NXP model-based design toolbox等。這些支持包能夠?qū)?/span> Simulink 算法生成針對(duì)芯片優(yōu)化的代碼部署到芯片上,有效地將算法裁剪為異構(gòu)硬件架構(gòu),配置和生成所有必要的底層軟件,使用處理器在環(huán) PIL 進(jìn)行測(cè)試,生成啟動(dòng)點(diǎn)以在 Synopsys Virtualizer 和硬件上測(cè)試代碼等,從而幫助汽車(chē)行業(yè)工程師縮短項(xiàng)目開(kāi)發(fā)周期。
小結(jié)
車(chē)規(guī)級(jí)芯片需要滿足汽車(chē)功能安全標(biāo)準(zhǔn) ISO 26262 的各項(xiàng)要求,MATLAB 基于模型設(shè)計(jì)方法幫助芯片開(kāi)發(fā)過(guò)程符合功能安全標(biāo)準(zhǔn)的一般準(zhǔn)則,包括完整的仿真、充分的驗(yàn)證、自動(dòng)化的過(guò)程再現(xiàn),并提供一系列工具提高芯片系統(tǒng)與功能建模、驗(yàn)證自動(dòng)化、原型和 RTL 實(shí)現(xiàn)、底層軟件驗(yàn)證等過(guò)程的質(zhì)量和效率。與此同時(shí),車(chē)規(guī)級(jí)芯片未來(lái)的客戶們——汽車(chē)行業(yè)工程師正在廣泛使用基于模型設(shè)計(jì)方法開(kāi)發(fā)智能電動(dòng)汽車(chē)應(yīng)用。
參考文獻(xiàn)
作者:陳曉挺,MathWorks中國(guó)區(qū)通信、電子和半導(dǎo)體行業(yè)市場(chǎng)經(jīng)理,主要負(fù)責(zé)CES行業(yè)市場(chǎng)、合作伙伴與客戶開(kāi)發(fā)。畢業(yè)于西安交通大學(xué)和中國(guó)科學(xué)院,獲通信專業(yè)博士學(xué)位。加入MathWorks之前,曾就職于中國(guó)科學(xué)院和華為,在通信系統(tǒng)設(shè)計(jì)、電子系統(tǒng)研發(fā)以及項(xiàng)目管理等領(lǐng)域有豐富的經(jīng)驗(yàn)。
評(píng)論