基于車規(guī)MCU功能安全開發(fā)的思考

汽車行業(yè)正經(jīng)歷著“新四化”從概念向?qū)嶋H轉(zhuǎn)化的過程（新四化即電動(dòng)化、智能化、網(wǎng)絡(luò)化、共享化），各大車企也將調(diào)整發(fā)展布局，混合動(dòng)力及電動(dòng)汽車成為主要關(guān)注點(diǎn)。汽車行業(yè)近年來出現(xiàn)了一些趨勢(shì)：首先，隨著政府推動(dòng)更安全、更清潔的交通，進(jìn)一步地綜合降低排放被提上汽車制造商的議事日程，這導(dǎo)致汽車加速電氣化。

其次，自動(dòng)駕駛汽車成為許多傳統(tǒng)汽車制造商和市場(chǎng)新參與者的新追求。隨著人工智能和機(jī)器學(xué)習(xí)的快速迭代和發(fā)展，以及軟件定義汽車等新興概念，需要先進(jìn)制程支持的超高算力SoC作為硬件支持。而作為執(zhí)行端的邊沿節(jié)點(diǎn)需要完成局部的安全管控，并未降低安全要求。另外，作為“物聯(lián)網(wǎng)”的重要組成部分，汽車將與外界連接，實(shí)現(xiàn)信息娛樂和高級(jí)駕駛輔助系統(tǒng)（ADAS）。新的網(wǎng)絡(luò)架構(gòu)及部署，需要SoC或MCU從硬件上支持巨大的數(shù)據(jù)吞吐率，包括數(shù)據(jù)交換及處理能力。比如，以千兆甚至更高速率以太網(wǎng)作為on-board通訊骨干網(wǎng)絡(luò)，芯片間高速通訊如HSSL、PCIe等PHY接口。這些說明數(shù)據(jù)信息也更重要，應(yīng)得到有效的保護(hù)。

在這些大趨勢(shì)的推動(dòng)下，最近汽車中的大多數(shù)創(chuàng)新功能都在電子和軟件中實(shí)現(xiàn)，導(dǎo)致車輛中電子和軟件組件的復(fù)雜性急劇增加。現(xiàn)代汽車可以包含200多個(gè)電子控制單元(ECU)、多個(gè)車載通信網(wǎng)絡(luò)和數(shù)百M(fèi)B的軟件。復(fù)雜性增加的一個(gè)明顯后果是電子和軟件中的缺陷和故障增加，這可能導(dǎo)致道路事故。因此，車輛中的電氣和電子(電子電器)系統(tǒng)的功能安全已成為重中之重。

作為整體車輛安全的一部分，功能安全要求電子和軟件的故障免于對(duì)道路車輛和行人造成傷害。通常來說，要求確保所設(shè)計(jì)的系統(tǒng)通過檢測(cè)出功能故障，并及時(shí)采取適當(dāng)?shù)姆磻?yīng)和處理，將故障行為可能帶來的危害能夠減輕或者免除，例如，通過系統(tǒng)的緊急反應(yīng)或通知到駕駛員采取行動(dòng)，并最終通過系統(tǒng)進(jìn)入安全狀態(tài)。如何檢測(cè)和減輕危害在很大程度上取決于發(fā)生故障的特定功能，并綜合考慮整個(gè)車輛上下文及功能運(yùn)行的環(huán)境條件。一、功能安全關(guān)注點(diǎn)

自汽車誕生以來，道路車輛的安全性一直是汽車行業(yè)最關(guān)心的問題。從當(dāng)前車輛的發(fā)展來看，一輛安全的車輛包括四個(gè)要素：道路車輛功能安全關(guān)注減少人為失誤造成的事故。截至今天，94%的道路事故是由人為錯(cuò)誤造成的。ADAS技術(shù)的開發(fā)旨在減少人為錯(cuò)誤造成的事故，許多汽車制造商正在積極致力于自動(dòng)駕駛，最終將人為因素排除在外。產(chǎn)品可靠性及產(chǎn)品的零缺陷(ZeroDefect)目標(biāo)。目標(biāo)是要求提高制造質(zhì)量和設(shè)計(jì)魯棒性，以滿足功能安全對(duì)于汽車產(chǎn)品可靠性的基本要求。功能安全關(guān)注汽車系統(tǒng)故障不會(huì)造成任何事故(zeroaccidentscausedbyE/Esystem)車輛參與“萬物互聯(lián)”，數(shù)據(jù)信息安全應(yīng)被確保當(dāng)我們將功能安全定義為整體車輛安全的支柱之一時(shí)，我們回顧了功能安全與其他車輛安全支柱的區(qū)別。希望我們可以通過詳細(xì)說明功能安全不是什么來闡明什么是功能安全。1.1功能安全與可靠性FunctionalSafetyisbasedonReliability,butnotReliability可靠性是指元件、產(chǎn)品、系統(tǒng)在一定時(shí)間內(nèi)、在一定條件下無故障地執(zhí)行指定功能的能力或可能性。假定一個(gè)產(chǎn)品運(yùn)行足夠長的時(shí)間，一定會(huì)發(fā)生故障造成功能失效。通?？赏ㄟ^可靠度、失效率、平均無故障間隔等來評(píng)價(jià)產(chǎn)品的可靠性。車規(guī)級(jí)，工業(yè)級(jí)，軍工級(jí)芯片對(duì)可靠性提出了更嚴(yán)苛要求，下表給出的影響可靠性的因素和不同應(yīng)用對(duì)于芯片產(chǎn)品可靠性的要求?？煽啃怨こ剃P(guān)注組件的失效機(jī)制以及如何提高制造質(zhì)量和設(shè)計(jì)魯棒性以降低組件的失效率。失效率可以定義為組件工作到時(shí)間t之后發(fā)生失效的概率，以每單位時(shí)間的故障數(shù)表示（半導(dǎo)體通常以小時(shí)為單位）。功能安全關(guān)注的是由于組件故障導(dǎo)致的系統(tǒng)級(jí)故障，以及如何控制和減輕組件的故障影響以防止系統(tǒng)故障造成傷害。換句話說，雖然沒有辦法保證任何組件可以做到完全可靠，功能安全旨在解決某個(gè)組件發(fā)生故障時(shí)，仍能保證進(jìn)一步的系統(tǒng)故障帶來危害。

雖然可靠性并不等同于功能安全去理解，但它確實(shí)會(huì)影響功能安全，因?yàn)槭蕯?shù)據(jù)可能會(huì)影響用于控制和減輕組件故障的安全措施。例如，隨著半導(dǎo)體新工藝的應(yīng)用及芯片電路規(guī)模的擴(kuò)展，可能會(huì)造成芯片上的TransientFault和SoftError進(jìn)一步增加，但這也將會(huì)推動(dòng)功能安全從架構(gòu)上采取針對(duì)此類故障的更有效的安全機(jī)制。1.2功能安全與Semiconductor芯片上系統(tǒng)所構(gòu)成的電路，可按照功能劃分為一些能夠處理的模塊，定義模塊之間的關(guān)系；設(shè)計(jì)時(shí)通過電學(xué)特性規(guī)范，給出時(shí)序信息作為設(shè)計(jì)的約束。在芯片架構(gòu)設(shè)計(jì)、詳細(xì)設(shè)計(jì)，在以下層級(jí)展開設(shè)計(jì)實(shí)現(xiàn)和驗(yàn)證：

系統(tǒng)級(jí)：行為和性能的描述，初步確定應(yīng)用對(duì)芯片功能和性能指標(biāo)的要求，以及哪些功能可以集成，哪些功能只能外部實(shí)現(xiàn)，芯片工藝及工藝平臺(tái)的選擇，芯片管腳數(shù)量，封裝形式等。算法級(jí)：快速驗(yàn)證算法的正確性，不一定可以綜合成實(shí)際電路結(jié)構(gòu)。結(jié)構(gòu)級(jí)：更接近電路的實(shí)際結(jié)構(gòu)，電路的層次化描述，類似電路框圖。行為級(jí)：行為級(jí)是RTL級(jí)的上一層，更符合人類思維的描述方式。用于快速驗(yàn)證算法、邏輯的正確性，不關(guān)注電路的具體結(jié)構(gòu)，不一定可以綜合成實(shí)際電路結(jié)構(gòu)。RTL級(jí)：使用寄存器這一級(jí)別的描述方式來描述電路的數(shù)據(jù)流方式。接近實(shí)際電路結(jié)構(gòu)的描述，可以精確描述電路的原理、執(zhí)行順序等。門級(jí)：使用邏輯門這一級(jí)別來描述。RTL中的寄存器和組合邏輯，其物理實(shí)現(xiàn)對(duì)應(yīng)到具體門電路。一般EDA工具可以把RTL描述編譯為門級(jí)描述。

器件級(jí)：完整描述了電路的細(xì)節(jié)，最底層的電路描述，可以描述PMOS/NMOS。假如從根本的失效機(jī)理，對(duì)于半導(dǎo)體產(chǎn)品可以從器件級(jí)（DeviceLevel）進(jìn)行分析，有三種常見機(jī)理：1.HCI(HotCarrierInjection)2.N\PBTI(Negative/PositiveBiasTemperatureInstability)3.TDDB(TimeDependentDielectricBreak-down)這三種效應(yīng)會(huì)使得器件的性能隨著時(shí)間的推移發(fā)生衰減，進(jìn)而影響整個(gè)芯片產(chǎn)品的可靠性，或?qū)е缕骷弦患?jí)部件/子部件的功能失效。

對(duì)于半導(dǎo)體產(chǎn)品應(yīng)在合適的層級(jí)進(jìn)行安全分析及驗(yàn)證：從使用者角度，根據(jù)電路不同目的，可以按照功能抽象在不同的層級(jí)進(jìn)行故障注入(例如，半導(dǎo)體組件頂層、部件或子部件級(jí)別、或者門級(jí)等)。在相應(yīng)的抽象層級(jí)設(shè)置觀測(cè)點(diǎn)觀察故障及其影響，和診斷點(diǎn)以測(cè)試安全機(jī)制反應(yīng)。1.3功能安全與信息安全

功能安全開發(fā)的一個(gè)思路是將產(chǎn)品運(yùn)行時(shí)，可能到來危害的風(fēng)險(xiǎn)準(zhǔn)確的識(shí)別出來，這樣在產(chǎn)品的開發(fā)及生產(chǎn)過程中采取必要的措施進(jìn)行風(fēng)險(xiǎn)的管控，降低風(fēng)險(xiǎn)水平。在最終產(chǎn)品交付時(shí)，產(chǎn)品已實(shí)現(xiàn)的安全措施包括：失效率數(shù)據(jù)、安全機(jī)制，應(yīng)以文檔化的形式明確給出。

信息安全要求車輛的電子電器(E/E)系統(tǒng)和軟件組件必須能夠抵御系統(tǒng)黑客攻擊。損害系統(tǒng)中資產(chǎn)的機(jī)密性和完整性可能會(huì)侵犯系統(tǒng)的安全性。汽車電子電器(E/E)系統(tǒng)中的資產(chǎn)示例包括修整值(TrimValues)、固件執(zhí)行流程、加密密鑰和用戶身份信息。Confidentiality機(jī)密性要求未經(jīng)授權(quán)的代理不能訪問資產(chǎn)。此要求適用于用戶隱私信息等資產(chǎn)。Integrity完整性要求保護(hù)資產(chǎn)免受未經(jīng)授權(quán)的修改。這一要求通常對(duì)于作為信任根的資產(chǎn)至關(guān)重要，例如安全啟動(dòng)固件。傳統(tǒng)上，Security過去對(duì)汽車來說不太重要，因?yàn)榘踩糁挥性趷阂獯砜梢晕锢碓L問汽車時(shí)才可行。但是，隨著汽車之間和外部世界的高度連接，遠(yuǎn)程攻擊成為可能。汽車的數(shù)據(jù)越多，汽車的問題也會(huì)越多。數(shù)據(jù)變得越來越有用和及時(shí)，但并不是每個(gè)人都可以訪問它。隨著汽車越來越智能化，從汽車流向云端的數(shù)據(jù)量正在迅速增長，這些數(shù)據(jù)對(duì)于設(shè)計(jì)更好的系統(tǒng)至關(guān)重要。GDPR(歐盟的通用數(shù)據(jù)保護(hù)條例)準(zhǔn)確地規(guī)定了哪些數(shù)據(jù)可以移動(dòng)以及如何移動(dòng)它。整車廠確保移動(dòng)的數(shù)據(jù)不會(huì)泄露任何私人信息，也不會(huì)增加安全風(fēng)險(xiǎn)。2020年，UN/WP.29(聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇)發(fā)布了首個(gè)汽車網(wǎng)絡(luò)安全強(qiáng)制法規(guī)R155。其主要適用范圍包括了歐洲、日本、韓國等“1958協(xié)議”締約國（以下簡稱“58協(xié)議國”），要求2024年7月在“58協(xié)議國”上市的汽車必須通過網(wǎng)絡(luò)安全管理體系認(rèn)證和車輛類型審批認(rèn)證。上述法規(guī)限制在體系的認(rèn)證，而車輛完整生命周期的網(wǎng)絡(luò)安全實(shí)施落地則需要進(jìn)一步細(xì)化，因此SAE和ISO基于R155于2021年8月底發(fā)布了汽車網(wǎng)絡(luò)安全領(lǐng)域的首個(gè)國標(biāo)，即現(xiàn)在的ISO/SAE21434。主要關(guān)注道路車輛電子系統(tǒng)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，涵蓋車輛生命周期的所有階段。汽車電子電器(E/E)系統(tǒng)的信息安全問題將在ISO21434“道路車輛–汽車網(wǎng)絡(luò)安全工程”中得到解決?！肮δ馨踩眴栴}是系統(tǒng)故障不應(yīng)導(dǎo)致危害事件，而故障可能歸因于開發(fā)錯(cuò)誤或隨機(jī)硬件故障。信息安全問題是Confidentiality和Integrity不應(yīng)被惡意破壞，導(dǎo)致數(shù)據(jù)完整性的喪失，進(jìn)而可能會(huì)導(dǎo)致有害事件。一個(gè)顯著的區(qū)別是，信息安全涉及由于惡意“代理人”的故意攻擊而導(dǎo)致的故障，而Safety涉及由于“意外事件”而導(dǎo)致的故障。

1.4功能安全與可用性

系統(tǒng)的可用性通常是非常必要的，但是，對(duì)于維護(hù)車輛的安全性并不總是必要的。系統(tǒng)功能不可用并不總是意味著違反安全規(guī)定。例如，如果在發(fā)動(dòng)機(jī)點(diǎn)火時(shí)的自檢過程中檢測(cè)到ECU出現(xiàn)故障，則ECU將中止發(fā)動(dòng)機(jī)啟動(dòng)。在這種情況下，如果ECU功能出現(xiàn)故障，可用性就會(huì)丟失。然而，車輛仍處于安全狀態(tài)并因此保持功能安全。1.5功能安全與預(yù)期功能的安全ADAS系統(tǒng)使用復(fù)雜的傳感器和處理算法來感知周圍環(huán)境和駕駛情況，以協(xié)助駕駛員，從而減少人為錯(cuò)誤。ADAS系統(tǒng)正確的周圍環(huán)境感知對(duì)車輛的安全性至關(guān)重要。與許多完善的系統(tǒng)（例如動(dòng)態(tài)穩(wěn)定控制系統(tǒng)）不同，ADAS系統(tǒng)的意外行為，由于技術(shù)和系統(tǒng)缺陷和/或可合理預(yù)見的誤用，可能導(dǎo)致危險(xiǎn)事件。

預(yù)期功能的安全是在ISO26262涵蓋的故障范圍下，針對(duì)使用特定功能的安全性(通常在ADAS系統(tǒng)中)。比如，攝像頭被大量用于ADAS系統(tǒng)中的對(duì)象檢測(cè)。但攝像頭的感知可能存在技術(shù)或性能限制，這應(yīng)在系統(tǒng)投入使用前是可預(yù)見的。CMOS攝像頭的一個(gè)限制的例子是，當(dāng)車輛從一個(gè)長的黑暗隧道駛出時(shí)，攝像頭可能會(huì)在幾秒鐘內(nèi)處于過飽和狀態(tài)，因此在一段時(shí)間內(nèi)無法檢測(cè)到物體。這種情況攝像頭并沒有故障或失效，因此不是功能安全的問題。但如果車輛僅依靠攝像頭的感知來實(shí)現(xiàn)駕駛輔助，攝像頭的性能限制可能會(huì)導(dǎo)致危險(xiǎn)事件。按照功能安全的定義和要求，不因?yàn)椤霸O(shè)計(jì)行為改變”而受到影響。意味著，如果“設(shè)計(jì)行為改變”現(xiàn)象發(fā)生，系統(tǒng)的其他部分應(yīng)該能夠做出反應(yīng)，以確保整個(gè)汽車在安全狀態(tài)下運(yùn)行。ADAS從許多傳感器獲取輸入，并使用人工智能來確定和決策下一步要做什么。通過將此類要求用于ADAS，安全的定義將是，“如果任何輸入，例如激光雷達(dá)，發(fā)送了錯(cuò)誤的圖像或其中有故障，系統(tǒng)的其余部分應(yīng)該能夠糾正或檢測(cè)，或至少警告用戶系統(tǒng)中發(fā)生了一些事情，不再能夠做出決策?！?/p>

因此，應(yīng)采取預(yù)防措施，例如使用多種傳感器進(jìn)行感知，以避免此類錯(cuò)誤,預(yù)期功能的安全性應(yīng)由正在開發(fā)的ISO21448解決。但功能安全所要求的對(duì)硬件涉及安全故障的識(shí)別和危險(xiǎn)判斷，是ADAS系統(tǒng)進(jìn)行正確感知和決策的基本條件。二、汽車芯片功能安全開發(fā)

無論按照功能安全相關(guān)項(xiàng)的開發(fā)，或者按照SEooC方式進(jìn)行的產(chǎn)品開發(fā)，都應(yīng)明確定義其安全生命周期。雖然相關(guān)項(xiàng)或者SEooC的生命周期的部分活動(dòng)可以進(jìn)行合理的裁剪，可能涉及基于某個(gè)變更或者不適用的條件，但功能安全產(chǎn)品開發(fā)的起始都是基于風(fēng)險(xiǎn)的分析和識(shí)別，并以此推導(dǎo)和建立產(chǎn)品頂層的安全需求（比如，相關(guān)項(xiàng)的安全目標(biāo)），從而開展進(jìn)一步的安全開發(fā)活動(dòng)。2.1風(fēng)險(xiǎn)的分析與識(shí)別IEC61508是適用于各行各業(yè)電子電器(E/E)系統(tǒng)的基本功能安全標(biāo)準(zhǔn)。它涵蓋了安全相關(guān)的電子電器(E/E)系統(tǒng)的安全管理、系統(tǒng)/硬件設(shè)計(jì)、軟件設(shè)計(jì)、生產(chǎn)和運(yùn)行。ISO26262是對(duì)作為汽車電子電器(E/E)系統(tǒng)功能安全的要求。ISO26262將功能安全定義為“將電子電器(E/E)系統(tǒng)故障產(chǎn)生危害導(dǎo)致的不合理風(fēng)險(xiǎn)降低到可接受的水平”(absenceofunreasonablerisksduetohazardscausedbymalfunctioningbehaviorofE/Esystems)。ISO26262提供了一個(gè)確定風(fēng)險(xiǎn)的標(biāo)準(zhǔn)化框架，以及如何管理開發(fā)過程以將風(fēng)險(xiǎn)降低到可接受水平的指南[15]。功能安全的管理貫穿安全相關(guān)產(chǎn)品的整個(gè)生命周期，包括概念階段、開發(fā)階段和生產(chǎn)階段，如圖1所示。由于汽車MCU是車輛級(jí)別的安全相關(guān)產(chǎn)品的一部分，它將有利于半導(dǎo)體專業(yè)人士了解整個(gè)安全生命周期以及OEM、一級(jí)供應(yīng)商和半導(dǎo)體供應(yīng)商的相應(yīng)角色和責(zé)任。因此，在關(guān)注汽車MCU之前，我們將在本節(jié)中描述生命周期各個(gè)階段的開發(fā)活動(dòng)。

2.2

必要的措施防范風(fēng)險(xiǎn)

.2.1系統(tǒng)性風(fēng)險(xiǎn)系統(tǒng)性故障在ISO26262中的定義為“以確定的方式，或與特定原因相關(guān)的故障，只能通過改變?cè)O(shè)計(jì)或制造過程、操作程序、文件或其他相關(guān)因素來消除。”或者換一個(gè)角度，系統(tǒng)性故障是設(shè)計(jì)中的錯(cuò)誤或疏忽，是開發(fā)過程、制造過程中的人為錯(cuò)誤的結(jié)果。系統(tǒng)性故障的根本原因都通過過程的完善和優(yōu)化進(jìn)行改進(jìn)，防止系統(tǒng)性風(fēng)險(xiǎn)的發(fā)生。具體硬件組件的故障也可分為系統(tǒng)性故障和隨機(jī)性故障，如下圖所示。系統(tǒng)故障源于設(shè)計(jì)、開發(fā)或制造過程中的不足，通常源于開發(fā)過程中的差距。芯片缺陷是一種系統(tǒng)故障，因?yàn)樗陂_發(fā)的設(shè)計(jì)驗(yàn)證階段是可以檢測(cè)到的。例如，設(shè)計(jì)一輛汽車并指定它將有方形車輪將被認(rèn)為是一個(gè)系統(tǒng)錯(cuò)誤，因?yàn)槠嚥荒芘c這種形狀的車輪一起工作。通過堅(jiān)持嚴(yán)格的開發(fā)過程，可以通過持續(xù)的過程改進(jìn)來管理和減輕系統(tǒng)錯(cuò)誤——甚至完全消除它們。

2.2.2硬件隨機(jī)失效的檢測(cè)相比系統(tǒng)性故障，隨機(jī)硬件故障是無法預(yù)測(cè)硬件會(huì)何時(shí)發(fā)生故障。ISO26262中隨機(jī)硬件故障定義為“在硬件元素的生命周期內(nèi)可能不可預(yù)測(cè)地發(fā)生的故障，隨機(jī)故障的發(fā)生遵循一定概率分布”。隨機(jī)故障背后的邏輯是，“某個(gè)硬件可以在設(shè)計(jì)和制造過程中完美無缺地避免任何系統(tǒng)性故障，但硬件并不是永遠(yuǎn)100%可靠的，隨著時(shí)間的推移，它可能發(fā)生會(huì)故障或者說發(fā)生故障的可能性?！庇插e(cuò)誤/HardError另一方面，隨機(jī)的硬件故障是無法消除的。它們?cè)从谒须娮酉到y(tǒng)最終都會(huì)失效的事實(shí)。因此，處理隨機(jī)硬件故障的能力僅限于檢測(cè)和可能的預(yù)防故障。就汽車電氣、電子和可編程電子系統(tǒng)而言，提醒駕駛員注意問題可以在一定程度上控制隨機(jī)硬件故障的影響?；竟收下?BFR)量化了半導(dǎo)體元件在正常環(huán)境條件下工作時(shí)的內(nèi)在可靠性。BFR通常乘以溫度、電壓和工作小時(shí)數(shù)等因素，以得出組件質(zhì)量的定量度量。TechnologybasedStressfactor:notconsideredfornoninterfaceICMissionprofiles:temperaturecyclefactorThermalexpansionfactorandpackagetypeMissionprofiles:temperaturecycle,duration軟錯(cuò)誤/SoftError由可能導(dǎo)致隨機(jī)硬件故障的輻射事件(內(nèi)部或外部)引起的軟錯(cuò)誤，必須在BFR估計(jì)中考慮在內(nèi)。然而，由電磁干擾或串?dāng)_引起的軟誤差不包括在BFR計(jì)算中，因?yàn)檫@些被歸類為系統(tǒng)故障，通過堅(jiān)持良好的設(shè)計(jì)實(shí)踐可以管理?？梢酝ㄟ^以下屬性來對(duì)瞬態(tài)故障進(jìn)行管控：△

使用的工藝△

故障的影響和適用的時(shí)機(jī)△

封裝中的標(biāo)準(zhǔn)、低alpha、超低alpha封裝材料架構(gòu)脆弱性因子(ArchitecturalVulnerabilityFactor,AVF)是指由于軟錯(cuò)誤而導(dǎo)致設(shè)計(jì)結(jié)構(gòu)中的錯(cuò)誤，在功能的最終輸出中導(dǎo)致可見錯(cuò)誤的概率。根據(jù)ISO26262，軟錯(cuò)誤的BFR不應(yīng)該基于AVF或“錯(cuò)誤檢測(cè)及校正”電路等安全機(jī)制而降低。

因此，對(duì)于半導(dǎo)體元件中的隨機(jī)存取存儲(chǔ)器和邏輯塊，最好分別計(jì)算軟錯(cuò)誤的BFR。適合的安全機(jī)制/SafetyMechanismsSafetyMechanismsCategorizedbyErrorDetectionMethods許多安全機(jī)制有效性依通過檢測(cè)故障和錯(cuò)誤的能力，即診斷覆蓋率進(jìn)行評(píng)估。檢測(cè)方法大致分為三種：冗余、監(jiān)控和測(cè)試。冗余錯(cuò)誤檢測(cè)利用冗余計(jì)算或存儲(chǔ)來檢測(cè)目標(biāo)函數(shù)中是否存在錯(cuò)誤。冗余通常來說有三種不同類型：硬件冗余：Hardwareredundancy

在不同的硬件模塊上執(zhí)行相同的計(jì)算，因此如果功能模塊中存在導(dǎo)致錯(cuò)誤的故障，則很可能通過比較結(jié)果來檢測(cè)冗余模塊。雙模塊冗余(DualModuleRedundancy，DMR)常用于汽車MCU，其中兩個(gè)處理單元同時(shí)執(zhí)行相同的計(jì)算任務(wù)（在鎖步模式下），它們的結(jié)果由檢查器模塊進(jìn)行比較。DMR允許錯(cuò)誤檢測(cè)，但不能自行糾正錯(cuò)誤。錯(cuò)誤處理通常由系統(tǒng)的其他部分完成。三模塊冗余(TripleModuleRedundancy，TMR)允許錯(cuò)誤檢測(cè)和糾錯(cuò)，但需要額外代價(jià)。TMR主要用于MCU級(jí)別的關(guān)鍵寄存器，例如存儲(chǔ)修整值的寄存器，由三重投票觸發(fā)器(TripleVotingforFlip-flops，TVF)實(shí)現(xiàn)。信息冗余：InformationRedundancy

利用信息編碼的冗余來檢測(cè)并有時(shí)糾正錯(cuò)誤。示例包括糾錯(cuò)碼(ECC)、循環(huán)冗余校驗(yàn)碼(CRC)和奇偶校驗(yàn)(Parity)。這種類型安全機(jī)制通常用于通信通道和內(nèi)存的數(shù)據(jù)保護(hù)。時(shí)間冗余：Timeredundancy

重復(fù)執(zhí)行相同的計(jì)算或者復(fù)雜邏輯，物理上的冗余技術(shù)上已經(jīng)不可行時(shí)，可在相同的硬件中但使用不同的算法。通過重復(fù)計(jì)算，它也可能檢測(cè)出計(jì)算中是否存在SoftError。在計(jì)算中使用不同算法的情況下，甚至可以檢測(cè)到硬件中的永久性故障，因?yàn)椴煌乃惴赡軙?huì)使用同一硬件元件的不同部分。注意冗余通常與多樣性結(jié)合使用，以避免共因故障。多樣性可以是時(shí)間、算法或物理實(shí)現(xiàn)。用不同的算法重復(fù)執(zhí)行相同的計(jì)算任務(wù)是算法多樣性的一個(gè)例子，但存在相同硬件的共因，必要的硬件獨(dú)立的看門狗定時(shí)器，對(duì)計(jì)算完成的時(shí)間進(jìn)行監(jiān)控是必要的。另外在以上DMR鎖步配置中，當(dāng)處理單元被復(fù)制時(shí)，冗余模塊的物理布局通常會(huì)取反（反邏輯設(shè)計(jì)）以實(shí)現(xiàn)物理多樣性。此外，在DMR中，通常會(huì)采用延遲的鎖步配置來實(shí)現(xiàn)時(shí)間上的多樣性?？驁D給出了DMR延遲鎖步配置的簡化框圖。三、需求驅(qū)動(dòng)的開發(fā)方法

3.1安全需求識(shí)別和定義項(xiàng)目開發(fā)過程，其中所有的活動(dòng)都有明確的“需求”輸入。根據(jù)項(xiàng)目的復(fù)雜性，要對(duì)各個(gè)抽象層次的需求進(jìn)行區(qū)分和管理。在安全生命周期過程中，安全需求通過分層結(jié)構(gòu)進(jìn)行定義和細(xì)化。如下圖所示，安全需求被分配給要素或在要素間接口。對(duì)于安全性需求的定義，應(yīng)基于風(fēng)險(xiǎn)進(jìn)行充分分析，并和市場(chǎng)、設(shè)計(jì)、驗(yàn)證成員討論和確認(rèn)。由上而下的安全性需求的推導(dǎo)，從安全目標(biāo)，功能安全需求，技術(shù)安全需求，至硬件/軟件安全需求及接口，推導(dǎo)過程是符合標(biāo)準(zhǔn)要求的，但對(duì)團(tuán)隊(duì)來說其實(shí)面臨比較大的挑戰(zhàn)。另一個(gè)可行的方法，對(duì)于某些component，可根據(jù)設(shè)計(jì)經(jīng)驗(yàn)或者IP供應(yīng)商提供的安全資料，基于一定的分析，在較低的層面提出比較具體的安全需求，并與至頂而下的安全需求從概念上合并完善。對(duì)于安全性需求，有個(gè)大的原則：Asmuchasnecessary,aslittleaspossible為保證適宜的安全性，盡必要地多、盡可能的少TheHighertheRisk,theGreatertheCareWeMustExercise風(fēng)險(xiǎn)越高，我們必須越小心地關(guān)注和處理3.2需求的特性一般來說需求是自然語言描述的，這讓我們很難量化評(píng)價(jià)其好壞，暫且給出需求的幾個(gè)特性做參考，尤其對(duì)于安全需求應(yīng)具備的特性