Het oude gezegde 'moge je in interessante tijden leven' is bedoeld als zowel een zegen als een vloek, en de makers van auto-IC's leven inderdaad in 'interessante tijden'. In dit geval is de vloek (complexiteit) echter ook de zegen (concurrentievoordeel), zolang je zaken als testen, functionele veiligheid en gegevensbeveiliging kunt beheersen. Tessent, onderdeel van Siemens Digital Industries Software, biedt een oplossing voor het beheer van de nieuwe eisen van SoC's die zijn ontworpen voor automobieltoepassingen. Het heet het Tessent Veiligheidseiland.
Uitdagingen van auto-IC's
Automotive SoC's zijn groter en veel complexer dan ooit en moeten ook voldoen aan industriestandaarden, zoals de ISO 26262-standaard voor functionele veiligheid, die zowel hardware- als softwareontwerp aandrijft. Aangezien het punt van naleving is om de veiligheid in de SoC en het systeem te waarborgen, is het belangrijk om het juiste nalevingsniveau voor de doeltoepassing na te streven. Deze worden de ASIL-niveaus (Automotive Safety Integrity Level) genoemd, variërend van A tot D. Bij het ontwerpen om een ASIL D-certificering te behalen, kunnen de on-chip IP-subsystemen een mix van ASIL-ondersteuningsniveaus bevatten. Het behalen van een algemeen doel vereist modulariteit in veiligheidsbeheer op integratieniveau.
In een SoC met gemengd IP-niveau op veiligheidsniveau moet er een manier zijn om elk subsysteem te isoleren voor in-systeemtesten, bijvoorbeeld met behulp van logische ingebouwde zelftest (BIST) of geheugen-BIST. Afbeelding 1 toont een mogelijke toewijzing van functionele veiligheids-IP op een SoC voor auto's.
Gemeenschappelijke bronnen zoals geheugen moeten waar mogelijk onafhankelijk zijn tussen domeinen, zodat een storing in één domein niet meerdere domeinen kan beschadigen en de algehele ASIL-beoordeling kan verminderen. Het onafhankelijk maken van componenten voor test- en veiligheidsdoeleinden vereist enige orkestratie. Wie heeft de leiding? Welk mechanisme controleert op problemen, beheert de test en communiceert de problemen vervolgens naar het grotere systeem?
Dat is de functie van het Tessent Veiligheidseiland (figuur 2). Het is het mechanisme waarmee de chip IP op de SoC kan openen, beheren en bewaken, dat een mix van verschillende veiligheidsondersteuningsniveaus vertegenwoordigt en storingen naar externe systemen communiceert. Bijvoorbeeld het hijsen van een vlag die de bestuurder vertelt om de controle over te nemen als een ADAS-systeem uitvalt. Het Safety Island kan ook worden aangepast en geüpgraded voor toekomstige behoeften en gebruiksscenario's.
Het samenbrengen van alle op tests gebaseerde veiligheidsmechanismen in het systeem is eenvoudig als u de Tessent MissionMode-controller gebruikt, die een enkel controlepunt mogelijk maakt. De Tessent MissionMode-controller is echter gewoon het mechanisme waarmee de configuratie en planning van de verschillende tests mogelijk wordt gemaakt en de resultaten worden verzameld. Door een veiligheids-CPU toe te voegen, kan de MissionMode-controller een speciaal veiligheidseiland worden. Verbonden via een AMBA APB-interface die wordt geleverd wanneer het IP-adres wordt gemaakt.
Beheer meer dan alleen testen
Automotive-test zoals beheerd door specifieke veiligheidsmechanismen zoals BIST in slechts één aspect van automotive IC vereisten. Zodra het veiligheidseiland is geïmplementeerd, kan het bereik verder worden vergroot. Via de IJTAG-interface en extra businterconnectie is het mogelijk om ook een reeks andere IP's aan te sluiten die kunnen worden gebruikt om de IC-veiligheid te vergroten. Afbeelding 3 illustreert de uitgebreide connectiviteit van het veiligheidseiland.
Het monitoren en triggeren van de BIST-structuren om te testen op structurele defecten kan eenvoudig worden beheerd via de IJTAG-infrastructuur die samen met het BIST IP op de chip is geïmplementeerd. De reikwijdte van de veiligheid wordt uitgebreid door het gebruik van Embedded Analytics IP, waarmee monitoring en gegevensverzameling binnen de SoC-fabric zelf mogelijk is. De Embedded Analytics IP kan een breed scala aan chipactiviteiten aan, en voldoet zelfs aan enkele ISO 21434-vereisten. Functionele veiligheid IP kan worden aangesloten op, vervolgens worden bewaakt en bestuurd door het Safety Island. Parametrische monitoring vindt problemen die ontstaan als gevolg van de effecten van spanning, temperatuur en procesdrift die de prestaties en/of de betrouwbaarheid van het apparaat kunnen beïnvloeden. De gegevens die met behulp van het Tessent Safety Island worden verzameld, moeten offline worden geanalyseerd, dus een reeks verschillende externe communicatie-opties is van cruciaal belang. Het Safety Island maakt voorbewerking en conditionering van de gegevens mogelijk om ervoor te zorgen dat de gegevensbandbreedte en -opslag efficiënt worden gebruikt.
Siemens EDA biedt de componenten om een complete, toekomstbestendige Safety Island-oplossing te bouwen voor het beheer van on-chip test-, veiligheids- en beveiligings-IP en het vastleggen van de gegevens.
Lees ons nieuwe artikel, Automotive Safety Island: beheer van test-, veiligheids- en beveiligingsgegevens aan de rand voor ISO 26262
https://resources.sw.siemens.com/en-US/white-paper-automotive-safety-island
Afbeelding 1. Typische toewijzing van functionele veiligheid binnen een SoC voor auto's.
Figuur 2. Basisveiligheidseilandarchitectuur.
Afbeelding 3. Uitgebreide veiligheidseilandconnectiviteit.