毫無疑問，現(xiàn)代汽車行業(yè)正在朝著全電動和自動駕駛汽車的方向發(fā)展。這類汽車中包括大量的電子控制單元，而且隨著技術(shù)的進步，其數(shù)量還在持續(xù)增加。雖然這種轉(zhuǎn)型帶來了許多優(yōu)勢，但隨之而來的也有各種功能安全和信息安全威脅方面的新問題。自動駕駛汽車的 ECU 一旦出現(xiàn)故障，就可能會危及生命安全。此外，智能汽車還引入了一系列新的漏洞，容易遭受網(wǎng)絡(luò)攻擊1 。因此，設(shè)計可靠且安全的硬件已成為當務(wù)之急。ISO 26262 標準定義了多種程序和要求，以確保處于不同的汽車功能安全完整性級別 (ASIL) 的系統(tǒng)的可靠性。該標準定義了幾個指標來證明系統(tǒng)的可靠性，其中包括單點故障指標 (SPFM) 和潛在故障指標 (LFM)。

即使實現(xiàn)最低認證要求，也是一項頗具挑戰(zhàn)性的任務(wù)2。關(guān)于如何根據(jù) ISO 26262 標準進行功能安全評估，業(yè)界已經(jīng)發(fā)表了多項著作3, 4, 5, 6。Grosse 等人的著作5 中提出了適用于功能安全評估的形式驗證方法。這些方法的缺點在于，由于狀態(tài)爆炸的問題，它們受制于電路規(guī)模，不可能找到所有故障的結(jié)果6。另一種技術(shù)是使用故障仿真，它能提供全面而具體的結(jié)果。但這種方法的缺點在于，需要依賴于高翻轉(zhuǎn)率的輸入激勵，并且需要大量計算資源。即便如此，這仍是 ISO 26262 的優(yōu)先方法。da Silva 等人的著作6 將這兩種方法與自動測試向量生成 (ATPG) 技術(shù)相結(jié)合，實現(xiàn)了非常高的覆蓋率。雖然他們在分析中實現(xiàn)了很高的覆蓋率，但所用的設(shè)計復雜性一般。據(jù)我們所知，針對工業(yè)規(guī)模的設(shè)計，目前還沒有任何公開的功能安全評估工作結(jié)果。

在本文中，我們將展示利用近 300 萬個故障對一個完整的工業(yè)規(guī)模核進行的全面功能安全評估，助其獲得 ISO 26262 ASIL-B 認證（要求 SPFM ≥ 90% 且 LFM ≥ 60%）。我們根據(jù) ISO 26262 的建議，通過故障仿真進行了此項評估。從文獻中可以清楚地看到，完成這一認證過程頗具挑戰(zhàn)性，對于如此規(guī)模的設(shè)計而言更是如此。在本文中，我們將介紹注錯分析和仿真的關(guān)鍵參數(shù)，以優(yōu)化執(zhí)行時間；以及在注錯仿真之外采用的技術(shù)，以盡可能地減少未分類的故障。我們實現(xiàn)了 91.9% 的平均 SPFM 和 75% 的估計 LFM，達成了 ASIL-B 目標。