作者: MathWorks中國 陳曉挺博士
在汽車(chē)電氣化��、智能化�、網(wǎng)聯(lián)化快速發(fā)展的今天����,汽車(chē)所用的芯片數量與種類(lèi)也日益增多�����。電氣化引領(lǐng)了汽車(chē)電子電氣架構的革新��,催生出域控制器等集中式大算力芯片和 IGBT 等功率芯片���。智能化則引入了多種類(lèi)的傳感器和 AI 應用���,帶動(dòng)了雷達���、激光雷達����、攝像頭�����、智能座艙���、5G 車(chē)聯(lián)網(wǎng)等模組�����、處理器���、存儲芯片�����、以及 AI 計算芯片的發(fā)展�����。
與消費電子芯片相比�,車(chē)規級芯片需要滿(mǎn)足更嚴苛的工作環(huán)境��、更長(cháng)久的質(zhì)量保證�、更嚴格功能安全的要求�。
車(chē)規級芯片的功能安全是設計出來(lái)的
功能安全要求一個(gè)安全系統在發(fā)生隨機的�、系統的��、常見(jiàn)的故障時(shí)�,不會(huì )導致安全系統故障���,也不會(huì )導致人的傷害或死亡����、環(huán)境污染�、設備或生產(chǎn)損失���。
ISO 26262 是汽車(chē)行業(yè)廣泛接受的電子功能安全標準����,提供了規范及設計指導原則�,貫穿產(chǎn)品從概念開(kāi)發(fā)����、系統���、硬件及軟件開(kāi)發(fā)�����、生產(chǎn)到報廢的整個(gè)開(kāi)發(fā)過(guò)程�。由于芯片在汽車(chē)系統中扮演著(zhù)越來(lái)越重要的角色�,ISO 26262 2018 版本新增加了 11 章節半導體指南���,規范了覆蓋故障模式�、相關(guān)性失效分析 DFA���、故障注入等通用技術(shù)���,以及對數字����、模擬�、存儲�����、可編程器件等半導體部件的具體要求�����。
完整的仿真���、充分的驗證���、自動(dòng)化的過(guò)程再現等是 ISO 26262 標準推薦的功能安全芯片設計方法的一般準則����,MATLAB 基于模型設計的方法學(xué)����,能夠幫助工程師快速地自動(dòng)化地實(shí)踐 ISO 26262 標準�。
建立芯片最終客戶(hù)關(guān)心的應用級功能模型
功能正確是功能安全的基礎�,智能電動(dòng)汽車(chē)芯片的功能專(zhuān)業(yè)����、新穎��、復雜�����,例如激光雷達信號處理��、ADAS 視頻圖像處理����、電池監測傳感器測量與控制����、高壓電機驅動(dòng)器等�����,需要在芯片設計研發(fā)階段進(jìn)行大量的功能建模仿真與分析��������;谀P驮O計方法學(xué)的一個(gè)核心價(jià)值即是建模��,建模工作不僅包含芯片內部的功能算法模型����,也包括測試這些功能所需的外部組件和環(huán)境的構建���,例如 ADAS NCAP 測試場(chǎng)景��、被控電機模型���、鋰電池組模型����,還包括 SoC 芯片的架構分析模型���,例如軟硬件劃分���、內存訪(fǎng)問(wèn)�����、總線(xiàn)競爭等等��。
MATLAB & Simulink 及各種工具箱為各類(lèi)智能電動(dòng)汽車(chē)芯片的開(kāi)發(fā)提供建模�����、仿真��、測試支持���,以滿(mǎn)足 ISO 26262 對硅前功能測試的要求��。
應用級系統模型能夠幫助芯片工程師確保用來(lái)評估設計的驗證簽核(signoff)標準與芯片最終客戶(hù)最關(guān)心的標準一致���。
“我們的客戶(hù)中有相當一部分是Tier 1汽車(chē)供應商�����,他們最關(guān)心的就是規格書(shū)中的各項性能指標�,比如信噪比(SNR)和總諧波失真(THD)����。他們反倒不太關(guān)心大多數 IC 驗證團隊會(huì )關(guān)心的一些主要指標�����,比如單個(gè)組件測試結果��、代碼覆蓋率結果�����,以及其他硬件實(shí)現級別的指標���。另外�����,我們的客戶(hù)利用現場(chǎng)試驗和真實(shí)駕駛場(chǎng)景來(lái)評估完整的雷達系統�����,而 IC 驗證團隊則使用與真實(shí)信號相去甚遠的測試圖形來(lái)評估單個(gè)射頻��、模擬和數字組件�����。我和所在團隊定義并實(shí)現了流程前置方法學(xué)����,使得我們驗證 IC 設計的流程與客戶(hù)評估 IC 設計的標準保持一致���。我們開(kāi)發(fā)用于虛擬現場(chǎng)試驗的路試駕駛場(chǎng)景基于許多客戶(hù)所遵循的 Euro NCAP 標準��。我們生成的功能和性能指標(如 SNR)與客戶(hù)評估自己產(chǎn)品中的 IC 組件所用的指標相同������!薄狽XP 雷達芯片工程師����。[1]
可仿真的模型不僅有助于提升公司內部芯片的設計開(kāi)發(fā)驗證�、下一代產(chǎn)品的迭代優(yōu)化效率��,也可以虛擬處理器(vCPU)的方式服務(wù)早期客戶(hù)���,搶占市場(chǎng)先機��。
自動(dòng)化功能安全的驗證
這是一個(gè)機器人與 AI 技術(shù)開(kāi)始盛行的年代����,基于模型設計的研發(fā)流程和嵌入在流程中的各種自動(dòng)化工具正在越來(lái)越多的被汽車(chē)工程師和芯片工程師所采用�。
ISO 26262 功能安全標準要求對芯片進(jìn)行功能和結構覆蓋率驅動(dòng)的驗證�。而根據業(yè)內的調研結果�,芯片開(kāi)發(fā)過(guò)程中驗證占用了 50%的時(shí)間��。使用自動(dòng)化工具提高驗證效率變得非常有意義�����。
芯片驗證工作通常由芯片驗證工程師完成����,日常地掙扎于算法專(zhuān)家和 RTL實(shí)現工程師的溝通洪流中��������;谀P驮O計可以顯著(zhù)提高芯片驗證效率��,通過(guò)將驗證前移�,提高芯片算法的質(zhì)量���,從而減少算法���、實(shí)現和驗證的迭代次數�;同時(shí)在算法���、實(shí)現和驗證傳遞可仿真的模型��,也比傳遞文檔能夠減少許多溝通誤差�。
在芯片模型上�,工程師可以使用 Simulink CoverageTM 測量芯片模型和生成代碼中的測試覆蓋率�����,識別缺失的測試或意外的功能�����,并在圖表上查看覆蓋率結果�����;或者借助 Simulink Design VerifierTM 使用形式化方法識別芯片設計錯誤���,發(fā)現難以發(fā)現的死邏輯和設計缺陷����,自動(dòng)生成測試向量以分析缺失的覆蓋率���,形式化地證明設計符合需求��。
為加快汽車(chē)顯示芯片圖像處理 IP 核的設計和實(shí)施���,瑞薩工程師采用了 MATLAB® 和 Simulink® 的基于模型的設計:“與傳統的設計流程相比����,采用基于模型的設計�����,我們能更早地驗證我們的算法和系統功能�,更快地適應需求指標變更�,評估更多的設計替代方案�����;谀P偷脑O計幫助在算法專(zhuān)家和 RTL 工程師之間架起橋梁������![2]
快速原型及 RTL 自動(dòng)化生成
為了應對日益增加的競爭壓力����,芯片制造商正在縮短交貨時(shí)間表����;另一方面���,即使設計變得越來(lái)越復雜���,客戶(hù)對質(zhì)量和性能的期望也在提高��。許多公司發(fā)現�,傳統的設計方法——即團隊對規范進(jìn)行基于文檔的驗證��,并在最終生產(chǎn)版本之前生產(chǎn)多個(gè)原型已經(jīng)無(wú)法跟上行業(yè)當前的步伐���。
在模型充分驗證之后����,HDL Coder 可以從模型自動(dòng)生成可綜合的符合行業(yè)編碼標準的VHDL 或 Verilog 代碼��,自動(dòng)實(shí)現 FPGA-in-the-loop 原型驗證��,也可以通過(guò)自動(dòng)生成 SystemVerilog 或 UVM 測試環(huán)境以復用模型中的測試激勵和框架�����,從而大大提高芯片 RTL 開(kāi)發(fā)效率���。MathWorks ASIC/FPGA 工作流程支持 ISO 26262 功能安全標準����,HDL Coder 是 ISO 26262 認證的開(kāi)發(fā)工具�。
“我們從 2014 年開(kāi)始研究將 Simulink MBD 用于 ASIC 開(kāi)發(fā)�。硅驗證已證明自動(dòng)生成的代碼 0 bug”來(lái)自 Allegro Microsystems 的經(jīng)驗分享���。[3] Allegro 為開(kāi)發(fā)高完整性汽車(chē)傳感器芯片采用了基于模型的混合信號 IC 設計流程��。
確認芯片底層軟件的功能安全
芯片的運行還要有軟件支持���,車(chē)規級芯片制造商需為客戶(hù)提供滿(mǎn)足功能安全的硬件和底層軟件����。底層軟件甚至是功能安全的必要組成部分�,幫助避免系統硬件故障以及檢測和控制隨機硬件故障�,例如 FMEDA���,clock monitoring�����,power monitoring�����,ECC protection of RAM/ROM��。更多的情況下�����,低層軟件幫助汽車(chē) OEM 和開(kāi)發(fā)人員構建符合安全認證的應用�,比如 AUTOSAR MCAL��,firmware�����,sensor drivers�,safety monitoring�����,safety-certified library�����。
PolyspaceTM 可以對芯片底層軟件進(jìn)行符合 ISO 26262 功能安全的驗證����。Polyspace 是基于抽象解釋原理的代碼級靜態(tài)分析和驗證工具�����,使用形式化分析方法�,無(wú)需測試用例�����,即能對代碼進(jìn)行窮盡分析�����。把代碼中有問(wèn)題和沒(méi)問(wèn)題的計算操作通過(guò)顏色完全區分開(kāi)��,方便底層軟件工程師聚焦問(wèn)題�。
Elektrobit 開(kāi)發(fā) AUTOSAR 基礎軟件���,幫助橋接芯片廠(chǎng)商和汽車(chē)廠(chǎng)商��。確保符合道路車(chē)輛的 ISO 26262 功能安全標準涉及證明設計滿(mǎn)足安全要求����,架構準確反映設計���,以及架構正確實(shí)施�。Elektrobit 工程師使用 Polyspace Code ProverTM完成耗時(shí)的第三階段[4]�。Polyspace 的形式化方法內核還幫助 Elektrobit 驗證高度可配置軟件�����,從耗時(shí)的數千次的邊界檢查方法中解脫���。他們還是用并行問(wèn)題證明����,減少非必要的互斥鎖�����,從而提高軟件的性能��。
服務(wù)汽車(chē)行業(yè)客戶(hù)事半功倍
汽車(chē)行業(yè)廣泛采用基于模型的設計(Model-Based Design)開(kāi)發(fā)流程��,汽車(chē)芯片廠(chǎng)商為自家芯片提供基于 Simulink 的高效��、高性能�����、安全認證的硬件支持包�,能更好地服務(wù)客戶(hù)��。典型的例如���,Infineon Aurix 高性能 MCU 支持包�,NXP model-based design toolbox等�。這些支持包能夠將 Simulink 算法生成針對芯片優(yōu)化的代碼部署到芯片上��,有效地將算法裁剪為異構硬件架構��,配置和生成所有必要的底層軟件���,使用處理器在環(huán) PIL 進(jìn)行測試���,生成啟動(dòng)點(diǎn)以在 Synopsys Virtualizer 和硬件上測試代碼等�����,從而幫助汽車(chē)行業(yè)工程師縮短項目開(kāi)發(fā)周期���。
小結
車(chē)規級芯片需要滿(mǎn)足汽車(chē)功能安全標準 ISO 26262 的各項要求�,MATLAB 基于模型設計方法幫助芯片開(kāi)發(fā)過(guò)程符合功能安全標準的一般準則�����,包括完整的仿真���、充分的驗證���、自動(dòng)化的過(guò)程再現��,并提供一系列工具提高芯片系統與功能建模�����、驗證自動(dòng)化�����、原型和 RTL 實(shí)現��、底層軟件驗證等過(guò)程的質(zhì)量和效率��。與此同時(shí)���,車(chē)規級芯片未來(lái)的客戶(hù)們——汽車(chē)行業(yè)工程師正在廣泛使用基于模型設計方法開(kāi)發(fā)智能電動(dòng)汽車(chē)應用�����。 |
