中文 英语
www.vw011.com
的意见

安全群岛安全 - 关键硬件

当设计包含多种asl时,创建一个可靠的地方来管理关键功能。

受欢迎程度

安全性和安全性有一些共同的方面,因此不应该令人惊讶的是,在一个域中发展的一些想法在另一个域中寻找回声。在硬件设计中,在将所有(或大多数)在一个篮子里的哲学中放置所有(或大多数)这些功能并非常仔细地观看那个篮子之后,将安全关键功能推动安全关键功能。安全群岛在安全关键设计中适用的一个类似的原则,在这种情况下,将在所有可能的情况下安全地继续运行的核心。目标是相同的 - 一种可靠的管理关键行为的中心,但从那里实施细节发散。


来源:ARM和ARTERIS IP,ARM TechCon 2019

我们大多数人都熟悉ISO 26262和硬件设计中规范驱动的期望。既然合规的要点是确保SoC中的安全性,为什么不是所有东西都在安全岛上?当设计必须满足ASIL D(安全关键功能所需的最高完整性水平)时,这比你想象的要困难。如今,大多数具有安全意识的IP都被设计为支持ASIL A或B,足以支持ADAS,但不足以实现关键的安全功能,如自动刹车、自动转向或其他自动功能。增加这些IP子系统的完整性级别对IP提供者或内部IP设计团队来说通常没有经济意义,因为他们必须支持广泛的市场和使用模型,而这些市场和模型不需要那么高的投资(和集成商的成本)。

同样,某些IP子系统可能没有安全支持。您如何制作符合神经网络的安全保障?原则上你可以使用一些标准失败缓解技巧,但你会把它们放在哪里?故障建模的标准FMEA和FTA方法没有明确适用于非叛徒神经网,除了通过各处缓解网络的尺寸和功耗,除了可能加倍。当我们尚未了解如何处理概率检测和像素级欺骗的更大问题时,这将具有可疑的价值。

相反,设计实现ASIL D系统的团队采用不同的方法,接受设计将包含ASIL支持级别的混合。拉开此OFF需要在集成级别的安全管理中的模块化。例如,应该可以使用Lbist或Mbist隔离任何给定的IP或子系统。诸如内存中的资源必须在可能的情况下在域之间独立,以便在一个人中失败不能损坏另一个。需要QoS和孤立保证,以便行为不端的域无法锁定整个系统。

这都说得通,但谁说了算?什么样的机器能够识别问题并强制领域测试和/或标记到更大的系统中,从而让驾驶员抓住方向盘并靠边停车?这就是安全岛的作用。它的设计目的是对系统的其余部分进行故障管理和控制,使芯片内部的复杂域能够恢复,并将故障信号传递给外部系统。

要做到这一点,安全岛首先必须最大限度地免受系统其他部分的干扰,因此它需要专用的计算、内存和I/O资源,自己的时钟网和电网,在最大程度上,它需要较低的复杂性,以便能够很好地理解和缓解内部故障模式。总的来说,即使SoC上的其他功能崩溃了,它也必须继续工作。

梦晶技术已经实现了一个ADAS参考设计SoC和完整的系统,现在通过衍生产品在几个应用中生产。它们的“安全岛”就是我在这里所描述的一个很好的例子:一个双核锁步Arm Cortex-R52处理器,带有专用的紧耦合内存和专用的中断控制器,用于监控来自SoC其余部分的故障。专用总线连接专用非易失性存储器和专用看门狗定时器;一个单独的母线连接到主系统NoC。

在具有异构ASIL支持的系统中,系统NoC承担了确保系统级别安全性的大量责任。Arteris IP主要通过3种功能安全机制提供这一功能:超时检查、隔离和端到端ECC保护。超时检查可以帮助检测瞬时故障,其中,超时提示重新发送请求,但也将中断标记到安全岛。

当IP子系统出现错误时,一个响应可能是隔离块,并在该子系统上适当地运行LBIST或mist(孤岛也可以选择在某些常规计划中这样做)。NoC的安全控制器可以通过断开连接到该IP的套接字的电源直接管理这种隔离。同样,一个BIST故障将标记一个中断到安全岛。


NOC互连通过隔离IP子元素来定期检查并避免系统级损坏,提供安全关键功能。来源:ARM和ARTERIS IP,ARM TechCon 2019

对于IP子系统和NoC(s)之间的通信,ECC提供必要的检查和校正,特别是对于有限或没有安全支持的IP。同样,检测到的错误将把中断标记到安全岛。

安全岛如何处理来自系统的错误输入当然取决于半导体供应商、Tier 1或OEM选择如何管理每种类型的信息。他们可以确定的是,没有错误或超时会被忽视,SoC其他部分的任何腐败都不会破坏岛屿的功能,或其记录和传递信息以供更高级别决策和响应的能力。



发表评论


(注意:此名称将被公开显示)