通過(guò)一個(gè)或多個(gè)表格，稱為故障模式影響和診斷分析 - FMEDA。事實(shí)上，F(xiàn)MEDA 不一定是表格；它也可以用腳本或其他形式表現(xiàn)出來(lái)，但表格是考慮這些信息的最簡(jiǎn)單方法。可以將 FMEDA 視為 IP，因?yàn)檫@個(gè)概念很容易擴(kuò)展到系統(tǒng)級(jí)芯片(SoC)中。在FMEDA表格中，將 IP 專家能夠想到的可能導(dǎo)致嚴(yán)重安全問(wèn)題的每一種故障模式都列出來(lái)，每種故障模式占一行。

在每種故障模式的辨識(shí)信息之后，是對(duì)其所產(chǎn)生影響的描述 - 即它可能導(dǎo)致的安全問(wèn)題。通過(guò)故障模擬，安全工程師分析確定產(chǎn)生這種故障的根源問(wèn)題的可能性。如果這種可能性很大，設(shè)計(jì)人員將提供一種緩解技術(shù)，例如用奇偶校驗(yàn)來(lái)檢測(cè)問(wèn)題，或用糾錯(cuò)碼 (ECC) 檢查來(lái)糾正問(wèn)題。最后，完整的 FMEDA 就代表該 IP 的綜合安全質(zhì)量文檔，SoC 集成商在確定整個(gè)設(shè)計(jì)的 FMEDA 時(shí)可以使用該描述表征。

圖1給出創(chuàng)建FMEDA面臨的多重挑戰(zhàn)。

可擴(kuò)展性

這種方法存在一個(gè)問(wèn)題。在這種情況下，F(xiàn)MEDA是 IP 安全性的基本表征，如果所有的 IP 都是嚴(yán)格定義的，這可能是可以接受的。在表征 IP 的其他方面時(shí)，設(shè)計(jì)人員可以繼續(xù)添加該 FMEDA的內(nèi)容，并將其存儲(chǔ)在 IP中，然后在 SoC 表征中使用該表。

如今，大多數(shù) IP 都是可配置的，例如片上網(wǎng)絡(luò) (NoC)。沒(méi)有一個(gè) FMEDA 可以用來(lái)處理所有情況。SoC 開(kāi)發(fā)人員必須為將要使用的配置在 FMEDA中繼續(xù)添加內(nèi)容。雖然 IP 供應(yīng)商可以提供幫助和提示，但是集成商必須進(jìn)行所有分析。如果在設(shè)計(jì)期間配置發(fā)生變化，則必須重新構(gòu)建FMEDA中相應(yīng)的內(nèi)容。

直覺(jué)上這是一種浪費(fèi)。我們?cè)賮?lái)看看 NoC IP的情況。雖然 NoC 的實(shí)例化拓?fù)淇赡軙?huì)隨著設(shè)計(jì)的發(fā)展而改變，但它很可能不會(huì)發(fā)生根本性的變化。而這些變化對(duì) FMEDA 的影響將更加有限。在每次重新配置時(shí)，從頭開(kāi)始重新構(gòu)建 FMEDA 會(huì)略過(guò)未更改的大部分內(nèi)容。

對(duì)于更改的情況，與之前的結(jié)果相比，變化是可預(yù)測(cè)的。重新分析每一次重新配置是可行的，但是隨著設(shè)計(jì)規(guī)模的增長(zhǎng)，這會(huì)帶來(lái)可擴(kuò)展性問(wèn)題。在一個(gè)無(wú)法很好擴(kuò)展的過(guò)程中，可能會(huì)遺漏一些步驟，安全性也會(huì)受到影響。對(duì)于集成商來(lái)說(shuō)，在已經(jīng)很滿的設(shè)計(jì)時(shí)間表里，重建 FMEDA 是一項(xiàng)巨大的工作。努力減少這個(gè)工作量可以讓他們更輕松。

通過(guò)建模重復(fù)使用

Arteris 撰寫(xiě)了一份關(guān)于如何通過(guò)重復(fù)使用來(lái)解決這個(gè)問(wèn)題的前瞻性白皮書(shū)。在 IP 供應(yīng)商基于對(duì) IP 架構(gòu)和詳細(xì)特征的理解而開(kāi)發(fā)的安全模型中，F(xiàn)MEDA 的重要方面可以得到體現(xiàn)。然后，基于這些模型和 IP RTL，集成商可以使用編譯器來(lái)構(gòu)建完全配置的 IP 的 FMEDA。

對(duì)于集成商來(lái)說(shuō)，這應(yīng)該是一件容易得多的任務(wù)。SoC 安全團(tuán)隊(duì)仍然可以在簽核之前運(yùn)行完整的 FMEDA 作為雙重檢查；每次重新配置都不需要分析。

圖2 給出建議的FMEDA的生成過(guò)程。

編譯器可以為集成商構(gòu)建傳統(tǒng)的 FMEDA 表格，或者將腳本傳遞給腳本驅(qū)動(dòng)工具，用于 SoC FMEDA 生成。今天，這種程度的集成似乎主要在大型汽車半導(dǎo)體公司內(nèi)部進(jìn)行。通常，此腳本將 IP 級(jí)別表格與 FMEDA 聚合在一起，用于集成結(jié)構(gòu)、電源和控制。設(shè)計(jì)人員將上下文需求和使用假設(shè)應(yīng)用到抽象的故障模式中，創(chuàng)建了一個(gè)感興趣的用例。

現(xiàn)在是需要將FMEDA的組織結(jié)構(gòu)標(biāo)準(zhǔn)化，這樣可以簡(jiǎn)化來(lái)自多個(gè) IP 供應(yīng)商的此類輸入的匯總。正在開(kāi)發(fā)中的提案 IEEE P2851 應(yīng)該能夠促成這項(xiàng)工作。它還可以幫助定義聚合和抽象的標(biāo)準(zhǔn)。這將鼓勵(lì)商業(yè)工具的開(kāi)發(fā)，以便使從 IP 的 FMEDA 開(kāi)發(fā)到 SoC 的 FMEDA 開(kāi)發(fā)的流程完全自動(dòng)化。

自動(dòng)化的另一個(gè)考慮因素是可追溯性。安全需求是汽車電子系統(tǒng)需求的關(guān)鍵組成部分，應(yīng)該與設(shè)計(jì)和測(cè)試一起納入可追溯性基礎(chǔ)結(jié)構(gòu)。增加可追溯性自動(dòng)化將完成開(kāi)發(fā)和跟蹤安全特性的一個(gè)強(qiáng)大系統(tǒng)。

審核編輯：劉清