毫無疑問，現(xiàn)代汽車行業(yè)正在朝著全電動(dòng)和自動(dòng)駕駛汽車的方向發(fā)展。這類汽車中包括大量的電子控制單元，而且隨著技術(shù)的進(jìn)步，其數(shù)量還在持續(xù)增加。雖然這種轉(zhuǎn)型帶來了許多優(yōu)勢(shì)，但隨之而來的也有各種功能安全和信息安全威脅方面的新問題。自動(dòng)駕駛汽車的 ECU 一旦出現(xiàn)故障，就可能會(huì)危及生命安全。此外，智能汽車還引入了一系列新的漏洞，容易遭受網(wǎng)絡(luò)攻擊1 。因此，設(shè)計(jì)可靠且安全的硬件已成為當(dāng)務(wù)之急。ISO 26262 標(biāo)準(zhǔn)定義了多種程序和要求，以確保處于不同的汽車功能安全完整性級(jí)別 (ASIL) 的系統(tǒng)的可靠性。該標(biāo)準(zhǔn)定義了幾個(gè)指標(biāo)來證明系統(tǒng)的可靠性，其中包括單點(diǎn)故障指標(biāo) (SPFM) 和潛在故障指標(biāo) (LFM)。

即使實(shí)現(xiàn)最低認(rèn)證要求，也是一項(xiàng)頗具挑戰(zhàn)性的任務(wù)2。關(guān)于如何根據(jù) ISO 26262 標(biāo)準(zhǔn)進(jìn)行功能安全評(píng)估，業(yè)界已經(jīng)發(fā)表了多項(xiàng)著作3, 4, 5, 6。Grosse 等人的著作5 中提出了適用于功能安全評(píng)估的形式驗(yàn)證方法。這些方法的缺點(diǎn)在于，由于狀態(tài)爆炸的問題，它們受制于電路規(guī)模，不可能找到所有故障的結(jié)果6。另一種技術(shù)是使用故障仿真，它能提供全面而具體的結(jié)果。但這種方法的缺點(diǎn)在于，需要依賴于高翻轉(zhuǎn)率的輸入激勵(lì)，并且需要大量計(jì)算資源。即便如此，這仍是 ISO 26262 的優(yōu)先方法。da Silva 等人的著作6 將這兩種方法與自動(dòng)測(cè)試向量生成 (ATPG) 技術(shù)相結(jié)合，實(shí)現(xiàn)了非常高的覆蓋率。雖然他們?cè)诜治鲋袑?shí)現(xiàn)了很高的覆蓋率，但所用的設(shè)計(jì)復(fù)雜性一般。據(jù)我們所知，針對(duì)工業(yè)規(guī)模的設(shè)計(jì)，目前還沒有任何公開的功能安全評(píng)估工作結(jié)果。

在本文中，我們將展示利用近 300 萬個(gè)故障對(duì)一個(gè)完整的工業(yè)規(guī)模核進(jìn)行的全面功能安全評(píng)估，助其獲得 ISO 26262 ASIL-B 認(rèn)證（要求 SPFM ≥ 90% 且 LFM ≥ 60%）。我們根據(jù) ISO 26262 的建議，通過故障仿真進(jìn)行了此項(xiàng)評(píng)估。從文獻(xiàn)中可以清楚地看到，完成這一認(rèn)證過程頗具挑戰(zhàn)性，對(duì)于如此規(guī)模的設(shè)計(jì)而言更是如此。在本文中，我們將介紹注錯(cuò)分析和仿真的關(guān)鍵參數(shù)，以優(yōu)化執(zhí)行時(shí)間；以及在注錯(cuò)仿真之外采用的技術(shù)，以盡可能地減少未分類的故障。我們實(shí)現(xiàn)了 91.9% 的平均 SPFM 和 75% 的估計(jì) LFM，達(dá)成了 ASIL-B 目標(biāo)。