Das alte Sprichwort „Mögest du in interessanten Zeiten leben“ ist Segen und Fluch zugleich, und die Hersteller von Automobil-ICs leben tatsächlich in „interessanten Zeiten“. In diesem Fall ist der Fluch (Komplexität) aber auch der Segen (Wettbewerbsvorteil), solange Sie Themen wie Test, funktionale Sicherheit und Datensicherheit beherrschen. Tessent, Teil von Siemens Digital Industries Software, bietet eine Lösung für die Bewältigung der neuen Anforderungen von SoCs für Automobilanwendungen. Es heißt die Tessent-Sicherheitsinsel.
Herausforderungen von Automobil-ICs
Automobil-SoCs sind größer und komplexer denn je und müssen außerdem Industriestandards wie dem ISO 26262-Standard für funktionale Sicherheit erfüllen, der sowohl das Hardware- als auch das Softwaredesign vorantreibt. Da der Punkt der Konformität darin besteht, die Sicherheit des SoC und des Systems zu gewährleisten, ist es wichtig, das richtige Konformitätsniveau für die Zielanwendung anzustreben. Diese werden als Automotive Safety Integrity Level (ASIL) bezeichnet und reichen von A bis D. Bei der Entwicklung einer ASIL D-Zertifizierung können die IP-Subsysteme auf dem Chip eine Mischung aus ASIL-Unterstützungsstufen enthalten. Das Erreichen eines Gesamtziels erfordert Modularität im Sicherheitsmanagement auf Integrationsebene.
In einem SoC mit gemischter IP-Sicherheitsstufe muss es eine Möglichkeit geben, jedes Subsystem für systeminterne Tests zu isolieren, z. Abbildung 1 zeigt eine mögliche Zuordnung von funktionaler Sicherheits-IP auf einem Automobil-SoC.
Gemeinsame Ressourcen wie Speicher müssen nach Möglichkeit unabhängig von Domänen sein, damit ein Ausfall in einer nicht mehrere Domänen beschädigen und die ASIL-Gesamtbewertung verringern kann. Die Unabhängigkeit von Komponenten für Test- und Sicherheitszwecke erfordert eine gewisse Orchestrierung. Wer ist zuständig? Welche Mechanismen werden auf Probleme überwacht, Tests verwaltet und dann die Probleme an das größere System übermittelt?
Das ist die Funktion der Tessent Safety Island (Bild 2). Es ist der Mechanismus, über den der Chip auf IP auf dem SoC zugreifen, ihn verwalten und überwachen kann, der eine Mischung verschiedener Sicherheitsunterstützungsstufen darstellt und Fehler an externe Systeme kommuniziert. Zum Beispiel das Auslösen eines Flags, das den Fahrer anweist, die Kontrolle zu übernehmen, wenn ein ADAS-System ausfällt. Die Safety Island ist auch für zukünftige Anforderungen und Anwendungsfälle anpassbar und aufrüstbar.
Die Zusammenführung aller testbasierten Sicherheitsmechanismen im System ist einfach, wenn Sie den Tessent MissionMode-Controller verwenden, der einen einzigen Kontrollpunkt ermöglicht. Der Tessent MissionMode-Controller ist jedoch einfach der Mechanismus, durch den die Konfiguration und Planung der verschiedenen Tests ermöglicht und die Ergebnisse gesammelt werden. Durch Hinzufügen einer Sicherheits-CPU kann der MissionMode-Controller zu einer dedizierten Sicherheitsinsel werden. Verbunden über eine AMBA APB-Schnittstelle, die beim Erstellen der IP bereitgestellt wird.
Mehr verwalten als nur testen
Automobiltest, der durch spezifische Sicherheitsmechanismen wie BIST in nur einem Aspekt des Automobils verwaltet wird IC Bedarf. Sobald die Sicherheitsinsel implementiert ist, kann ihre Reichweite weiter erweitert werden. Über die IJTAG-Schnittstelle und zusätzliche Busverbindungen ist es möglich, auch eine Reihe anderer IPs anzuschließen, die zur Erhöhung der IC-Sicherheit verwendet werden können. Abbildung 3 veranschaulicht die erweiterte Sicherheitsinsel-Konnektivität.
Das Überwachen und Auslösen der BIST-Strukturen zum Testen auf strukturelle Defekte wird einfach über die IJTAG-Infrastruktur verwaltet, die zusammen mit dem BIST-IP auf dem Chip implementiert ist. Der Sicherheitsumfang wird durch den Einsatz von Embedded Analytics IP erweitert, das die Überwachung und Datenerfassung innerhalb der SoC-Fabric selbst ermöglicht. Die Embedded Analytics IP kann eine Vielzahl von Chipaktivitäten abdecken und sogar einige ISO 21434-Anforderungen erfüllen. Funktionale Sicherheit IP kann in die Sicherheitsinsel eingebunden, dann überwacht und gesteuert werden. Die parametrische Überwachung findet Probleme, die aufgrund der Auswirkungen von Spannung, Temperatur und Prozessdrift, die die Leistung und/oder die Zuverlässigkeit des Geräts beeinträchtigen können. Die mit dem Tessent Safety Island gesammelten Daten müssen offline analysiert werden, daher ist eine Reihe verschiedener externer Kommunikationsoptionen von entscheidender Bedeutung. Das Safety Island ermöglicht die Vorverarbeitung und Aufbereitung der Daten, um sicherzustellen, dass die Datenbandbreite und der Speicher effizient genutzt werden.
Siemens EDA bietet die Komponenten für den Aufbau einer kompletten zukunftssicheren Safety Island-Lösung für die Verwaltung von On-Chip-Tests, Schutz- und Sicherheits-IP und die Erfassung der Daten.
Lesen Sie unser neues Paper, Automotive Safety Island: Management of Test, Safety und Security Data at the Edge für ISO 26262
https://resources.sw.siemens.com/en-US/white-paper-automotive-safety-island
Abbildung 1. Typische Zuordnung der funktionalen Sicherheit in einem Automotive-SoC.
Abbildung 2. Grundlegende Sicherheitsinselarchitektur.
Abbildung 3. Erweiterte Sicherheitsinsel-Konnektivität.