CN116802640A - 用于确定安全相关逻辑中的故障类型的结构分析 - Google Patents
用于确定安全相关逻辑中的故障类型的结构分析 Download PDFInfo
- Publication number
- CN116802640A CN116802640A CN202280012136.7A CN202280012136A CN116802640A CN 116802640 A CN116802640 A CN 116802640A CN 202280012136 A CN202280012136 A CN 202280012136A CN 116802640 A CN116802640 A CN 116802640A
- Authority
- CN
- China
- Prior art keywords
- circuit
- safety
- cone
- subset
- circuit elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012916 structural analysis Methods 0.000 title description 6
- 238000013461 design Methods 0.000 claims abstract description 191
- 238000000034 method Methods 0.000 claims abstract description 88
- 230000015654 memory Effects 0.000 claims description 55
- 231100001261 hazardous Toxicity 0.000 claims 2
- 238000011156 evaluation Methods 0.000 description 73
- 238000004458 analytical method Methods 0.000 description 60
- 230000000875 corresponding effect Effects 0.000 description 40
- 230000000694 effects Effects 0.000 description 40
- 238000012545 processing Methods 0.000 description 30
- 230000008569 process Effects 0.000 description 21
- 238000003860 storage Methods 0.000 description 13
- 238000004519 manufacturing process Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000012795 verification Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000001459 lithography Methods 0.000 description 4
- 230000000116 mitigating effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000012938 design process Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000013138 pruning Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000013440 design planning Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000011058 failure modes and effects analysis Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004451 qualitative analysis Methods 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 235000013599 spices Nutrition 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
- G06F30/3323—Design verification, e.g. functional simulation or model checking using formal methods, e.g. equivalence checking or property checking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/221—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test buses, lines or interfaces, e.g. stuck-at or open line faults
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2117/00—Details relating to the type or aim of the circuit design
- G06F2117/02—Fault tolerance, e.g. for transient fault suppression
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2119/00—Details relating to the type or aim of the analysis or the optimisation
- G06F2119/02—Reliability analysis or reliability optimisation; Failure analysis, e.g. worst case scenario performance, failure mode and effects analysis [FMEA]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Geometry (AREA)
- Quality & Reliability (AREA)
- Tests Of Electronic Circuits (AREA)
- Design And Manufacture Of Integrated Circuits (AREA)
Abstract
一种用于确定电路设计中的故障类型的方法,包括:获得电路元件、第一电路元件的第一观察点和第一安全电路设备的第一诊断点。方法还包括:基于第一观察点,确定包括电路元件的第一子集的第一影响锥。电路元件的第一子集包括第一电路元件。此外,方法包括:基于第一诊断点,确定包括电路元件的第二子集的第一安全锥。第一安全锥包括第一安全电路设备。方法还包括:基于第一影响锥和第一安全锥之间的交集,确定与电路元件相关联的故障类型。
Description
技术领域
本公开涉及电路逻辑分析,并且更具体地涉及用于安全相关电路逻辑的结构分析以推断故障类型。
背景技术
在集成电路(IC)设计(例如,片上系统(SoC)设计等)中,功能安全是取决于所实现的IC设计的应用类型的重要指标。在机动车实现(应用)中,IC设计包括基于IC设计的尺寸、功能和变量的添加逻辑(例如,安全机制),这增加了IC设计的复杂性。添加逻辑用于检测IC设计产生的IC设备内的故障。在机动车实现中,IC设计利用附加电路元件来进行实现,附加电路元件监测和检测IC设计内的故障。在机动车实现中,由于人类、电子设备和机器彼此实时交互,因此IC被设计成处理和监测由人类、电子设备和机器交互提供的输入数据,以确保安全操作。
发明内容
在一个示例中,一种方法包括:获得电路设计的电路元件、第一观察点和第一诊断点。第一观察点在电路设计的电路元件中的第一电路元件的输出处。第一诊断点在电路设计的第一安全电路设备的输出处。方法还包括:基于第一观察点,确定包括电路元件的第一子集的第一影响锥。电路元件的第一子集包括第一电路元件。此外,方法包括:基于第一诊断点,确定包括电路元件的第二子集的第一安全锥。第一安全锥包括第一安全电路设备。方法还包括:基于第一影响锥和第一安全锥之间的交集,确定与电路元件相关联的故障类型。
在一个示例中,一种方法包括:获得电路设计的电路元件、第一观察点和第一诊断点。第一观察点在电路设计的电路元件中的第一电路元件的输出处。第一诊断点在电路设计的第一安全电路设备的输出处。方法还包括:基于第一观察点,确定包括电路元件的第一子集的第一影响锥。第一子集包括第一电路元件。此外,方法包括:基于第一诊断点,确定包括电路元件的第二子集的第一安全锥。第一安全锥包括第一安全电路设备。方法还包括:确定第一影响锥内的电路元件的第一子集与危险故障类型相关联,危险故障类型影响电路设计的安全目标。此外,方法包括:基于电路元件的第一子集与电路元件之间的比较,确定在第一影响锥之外的电路元件的第三子集。电路元件的第三子集与非危险故障类型相关联,非危险故障类型不影响电路设计的安全目标。方法还包括:确定第一安全锥内的电路元件的第二子集与第一安全电路设备可检测的危险故障类型相关联,以及基于电路元件的第一子集与电路元件的第二子集的比较,确定与第一安全电路设备无法检测的不可检测危险故障类型相关联的电路元件的第四子集。
在一个示例中,一种系统包括存储指令的存储器和处理器。处理器与存储器耦合并且被配置成执行指令。指令在被执行时使得处理器获得电路设计的电路元件、第一观察点和第一诊断点。第一观察点在电路设计的电路元件中的第一电路元件的输出处。第一诊断点在电路设计的第一安全电路设备的输出处。还使得处理器基于第一观察点来确定包括电路元件的第一子集的第一影响锥。电路元件的第一子集包括第一电路元件。还使得处理器基于第一诊断点来确定包括电路元件的第二子集的第一安全锥。第一安全锥包括第一安全电路设备。此外,使得处理器基于第一影响锥和第一安全锥之间的交集,来确定与电路元件相关联的故障类型。
附图说明
根据下面给出的详细描述以及根据本公开的实施例的附图,将更充分地理解本公开。附图用于提供本公开的实施例的知识和理解,并且不将本公开的范围限制于这些特定实施例。此外,附图不一定按比例绘制。
图1描绘了根据本公开的一些实施例的电路评估系统的框图。
图2描绘了根据本公开的一些实施例的确定电路设备的诊断覆盖的流程图。
图3描绘了根据本公开的一些实施例的示出影响锥和安全锥之间的交集的电路设计。
图4描绘了根据本公开的一些实施例的示出影响锥和安全锥之间的交集的另一种电路设计。
图5描绘了根据本公开的一些实施例的示出两个安全锥的电路设计。
图6描绘了根据本公开的一些实施例的示出安全锥之间的交集的电路设计。
图7描绘了根据本公开的一些实施例的确定电路设备的诊断覆盖的流程图。
图8描绘了根据本公开的一些实施例的在集成电路的设计和制造期间使用的各种过程的流程图。
图9描绘了本公开的实施例可以在其中操作的示例计算机系统的图。
具体实施方式
本公开的方面涉及用于确定安全相关逻辑中的故障类型的结构分析。
集成电路(IC)设计包括用于检测IC设计内的故障的安全电路设备(例如,安全机制)。IC设计可以是片上系统(SoC)设计。安全电路设备检测与影响锥相关联的故障。用于安全电路设备的影响锥可以被称为安全锥。影响锥包括IC设计的一个或多个观察点(例如,输出)、IC设计的一个或多个输入,以及耦合在一个或多个观察点和一个或多个输入之间的IC设计的一个或多个电路元件。安全电路设备是IC设计的安全相关特征的一部分,安全电路设备被实现以检测IC设备内的故障或失效。例如,故障可能是由于信号损坏和/或电路元件故障等。所检测的故障可以通过调整对应IC设备的功能来缓解。在其他示例中,可以应用其他缓解技术。然而,并不是所有故障都能被相关联的安全电路设备检测到。相关联的安全电路设备对应于故障的故障锥。因此,这种故障可能降低对应IC设备的安全分析评级。
在IC设计过程期间,数据基于故障而被收集,并且用于确定功能安全相关方面。功能安全相关方面可以包括设计故障模式影响和分析(DFMEA)或故障树分析(FTA)。
DFMEA过程包括:捕获IC设计中的各种故障模式,以及确定每种故障模式的影响。IC设计包括安全相关设计元件,安全相关设计元件包括非安全关键逻辑和安全关键逻辑。非安全关键逻辑中出现的故障被认为不会引起对IC设计中的安全目标的违反。这种故障可以被称为安全故障。故障是IC设计的电路元件或信号内的故障。当电路元件故障时,电路元件的功能与预期的不同。此外,信号中的故障对应于具有意外值的信号。
安全目标对应于对应电路设备的期望功能。例如,安全目标对应于信号的正确传输和/或信号的接收等。在一个或多个示例中,当涉及数据传输的电路元件(例如,逻辑)有故障时,会出现对安全目标的违反。安全电路设备或另一监测设备(例如,外部电路或电路元件)可以用于检测故障。在一个示例中,对安全目标的违反可能对信号的传输和/或信号的接收产生负面影响。这种违反可能导致传输错误和/或接收错误等。安全故障不会导致IC设计内的故障(例如,传输错误和/或接收错误等)。导致对安全目标的违反的故障被认为是危险故障。可以确定这种故障出现在IC设计内的安全关键逻辑内。
DFMEA过程针对IC设计中的不同层级在硬件子部分级别处完成。给定的硬件子部件可以具有多种故障模式和对应的影响。安全电路设备(例如,安全机制)在IC设备内部或外部实现,以防止故障导致单点故障并且防止故障成为潜在故障。单点故障是元件(例如电路组件)中的硬件故障,单点故障直接导致对安全目标的违反。单点故障是安全电路设备未覆盖(例如,监测或检测)的危险故障。在一个示例中,单点故障是一种阻止对应的IC设备或系统按期望运行的故障。潜在故障是由于安全电路设备中的可能缺陷而无法被有故障的安全电路设备检测到的个体故障。由电路元件(例如,电路组件)中的故障和安全电路中的独立故障引起的这种个体潜在故障也被称为双点故障。
安全电路设备具有输出端口(例如,诊断点或端口),输出端口可以被监测以确定对应IC设备内是否存在故障。安全电路设备的输出对于确定应用于解决任何故障的缓解方案有用。
诸如国际标准化组织(ISO)26262rev.2018-12(“ISO 26262”)的标准,提供了用于对IC和/或对应系统内的故障进行检测和/或管理的框架。在一个示例中,在故障的检测和/或管理中使用定性过程。然而,定性过程对于实施测试的个体来说是主观的。例如,定性过程包括专家判断,并且包括故意故障的采样。在专家判断方法中,设计者指定适合检测故障模式的影响锥内的所有故障的安全电路设备。故障模式的锥包括一个或多个观察点(例如,输出)、一个或多个输入,以及耦合在观察点和输入之间的电路元件。故意故障的采样包括通过基于系统的外部脚本或仿真来执行路径分析,以确定注入的故障(例如,故意故障)是否被对应安全电路设备检测到。
然而,使用定性方法在IC设计内进行检测和/或管理具有许多限制。具体地,定性方法可能是不完整的,因为定性方法对于执行所有故障模式的详尽分析、检测潜在故障和/或跨越IC设计的多个层级的故障模式的成本过高。此外,定性方法提供不准确的价值风险,并且缺乏可追溯的证据来支持故障模式影响和诊断分析(FMEDA)中提供的分布,FMEDA是一种用于获得IC设计的故障率、故障模式和诊断能力的系统分析技术。
在下文中,本公开描述了用于提供IC设计中的故障检测的系统和方法。IC设计内的安全电路设备的影响锥被确定,并且被用来标识IC设计内的可检测危险故障、不可检测危险故障和安全故障。可检测危险故障由IC设计的安全电路设备检测。危险故障影响IC设计的安全目标,并且安全故障不影响IC设计的安全目标。所标识的可检测危险故障、不可检测危险故障和安全故障用于确定IC设计的诊断覆盖。此外,如下文更详细描述的,IC设计利用冗余(例如,次级)安全电路装置来改进IC设计的故障检测。冗余安全电路装置可以是被添加到IC设计的附加安全电路装置,和/或另一个影响锥的安全电路装置。在一个或多个示例中,IC设计内的故障模式的影响锥和安全电路装置的影响锥被确定。此外,故障模式的影响锥和安全电路装置的影响锥之间的重叠区域被确定。基于确定故障与特定安全电路设备的影响锥是否重叠,来确定故障的可检测性。落在安全电路设备的影响锥内的故障被确定为可由该安全电路设备检测。不在安全电路设备的影响锥内的故障无法被对应安全电路设备检测。在一个示例中,安全电路设备的影响锥可以用于检测针对每种潜在故障的主安全电路装置和次级安全电路装置,从而改进对应IC设计的安全分析和故障性能。
图1图示了根据一个或多个示例的电路评估系统100。电路评估系统100可以是电子设计自动化(EDA)系统,或其他电路评估系统、电路评估系统或电路设计系统。电路评估系统100在电路设计的设计和/或验证期间被使用。电路评估系统100包括一个或多个处理器(例如,图9的处理设备902),处理器执行存储在存储器(例如,图9的主存储器904和/或机器可读介质924)中的指令(例如,图9的指令926),以分析电路设计(例如,IC设备的电路设计)、标识电路设计内的故障以及电路设计内所标识的故障的类型。在一个或多个示例中,电路评估系统100接收电路设计,确定与输入和观察点(例如,诊断点和其他输出)相关联的影响锥,以及确定电路设计内与不同类型的故障相关联的组件(例如,包括逻辑门、触发器的电路元件以及其他电路元件)。在一个示例中,从观察点到输入的影响锥与电路设计的故障模式相关联。这种影响锥可以被称为故障模式锥。在一个示例中,影响锥与从诊断点到输入的电路设计的安全电路设备(例如,安全机制)相关联。这种影响锥可以被称为安全锥。故障模式锥内的故障被称为危险故障。出现在安全电路设备的影响锥内的故障可以被安全电路设备检测,并且出现在安全电路设备的影响锥之外的故障不能被安全电路设备检测。在故障模式锥的影响锥与其安全电路设备的影响锥的交集内出现的故障可以被称为危险可检测故障。此外,出现在安全电路设备的影响锥之外并且在其故障模式锥内的故障可以被称为危险不可检测故障。在一个示例中,电路评估系统100基于对应影响锥的交集,来确定第一安全电路设备不可检测的一个或多个故障可由第二安全电路设备检测。相对于第一安全电路设备(例如,主安全电路设备),第二安全电路设备可以被称为冗余、备用或次级安全电路设备。在一个示例中,冗余安全电路设备能够在第一安全电路设备内出现故障或失效时检测故障。因此,改进了对应IC设计的安全分析和故障性能。
在一个或多个示例中,电路评估系统100通过对电路设计执行结构分析来确定设计数据。设计数据可以用于确定针对单点故障和潜在故障的诊断覆盖。对于潜在故障,电路评估系统100标识主安全电路设备的次级(或冗余或备用)安全电路设备。在一个示例中,可以分析针对单点故障和潜在故障的诊断覆盖,以确定安全级别或分类,诸如机动车安全完整性级别(ASIL)或另一种安全分类。
图1的电路评估系统100包括评估引擎110、分析引擎120和存储器130。评估引擎110包括一个或多个处理器(例如,图9的处理设备902),处理器执行存储在存储器(例如,存储器130、图9的主存储器904和/或机器可读介质924)中的指令(例如,图9的指令926)。评估引擎110从存储器130获得电路设计132。在另一个示例中,评估引擎110从连接到电路评估系统100的另一个系统(例如,电路评估系统100外部的系统或电路评估系统100的一部分)接收电路设计132。电路设计132可以从外部系统被接收并且被存储在存储器130内。在另一个示例中,电路设计132由评估引擎110直接接收,并且电路设计132不被存储在存储器130中。
电路设计132包括多个电路元件。例如,电路设计132包括时钟信号、功率信号、输入针脚(或端口)、输出针脚(或端口)、电路块、逻辑元件和模块(例如,存储器模块)等。
评估引擎110基于输入和观察点来确定电路设计132的影响锥。例如,如下文更详细描述的,评估引擎110确定与诊断点和观察点和对应输入相关联的影响锥。例如,可以使用从诊断点或观察点到输入的后向追踪和/或从输入到诊断点或观察点的前向追踪,来确定影响锥,以标识被包括在对应影响锥内的组件。
分析引擎120包括一个或多个处理器(例如,图9的处理设备902),处理器执行存储在存储器(例如,存储器130、图9的主存储器904和/或机器可读介质924)中的指令(例如,图9的指令926)。分析引擎120评估影响锥以标识故障并且确定故障的类型,如下文将更详细描述的。此外,如下文将更详细描述的,分析引擎120标识主安全电路设备的一个或多个次级或备用安全电路设备。
存储器130可以被配置成类似于图9的主存储器904和/或图9的机器可读介质924的配置。存储器130可由评估引擎110和分析引擎120访问。此外,存储器130存储电路设计132。
图2图示了根据一个或多个示例的用于检测电路设计内的故障的方法200的流程图。方法200可以由图1的电路评估系统100执行。例如,电路评估系统100的一个或多个处理器执行存储在存储器中的指令以执行方法200。
在方法200的210处,获得电路设计的第一观察点和第二观察点。例如,评估引擎110的一个或多个处理器执行存储在存储器内的指令,以从存储器130获得电路设计132的观察点。图3描绘了根据本公开的一些实施例的示出影响锥和安全锥之间的交集的电路设计。参考图3,评估引擎110获得电路设计300的观察点303和305以及诊断点304。在一个示例中,用户或设计者提供观察点303和305以及诊断点304,并且将观察点303和305以及诊断点304存储在存储器130内。在一个示例中,电路评估系统100基于电路设计132内的电路元件和安全电路设备,来确定或标识观察点和诊断点。
在方法200的220处,基于第一观察点,确定电路设计的第一影响锥。例如,评估引擎110的一个或多个处理器执行存储在存储器内的指令,以基于电路设计132的第一观察点来确定第一影响锥。在方法200的230处,基于第二观察点,确定电路设计的第二影响锥。例如,评估引擎110的一个或多个处理器执行存储在存储器内的指令,以基于电路设计132的第二观察点来确定第二影响锥。
参考图3,通过后向追踪从观察点303和305到输入301-302的传播路径,来确定影响锥(例如,影响锥310)。
在一个或多个示例中,影响锥是电路设计的单元的集合,该单元的集合可以影响一个或多个观察点。影响锥可以被叠加在电路设计的一部分上,以标识对给定观察点具有潜在影响的电路设计的单元。在一个或多个示例中,通过沿着从一个或多个输入到一个或多个观察点的传播路径,前向追踪电路设计的连接性,来标识影响锥的单元。在另一个示例中,通过沿着电路设计的从一个或多个观察点到一个或多个对应输入的传播路径,后向追踪连接性,来标识影响锥的单元。在一个或多个示例中,通过对电路设计的连接性进行后向追踪和前向追踪来定义影响锥的单元。一个或多个观察点和/或一个或多个输入可以用于定义影响锥。在一个示例中,观察点是被评估的电路设计的块的输出。此外,影响锥的一个或多个单元可以被包括在另一个影响锥中。
贯穿以下描述,影响锥可以被称为锥。在一个或多个示例中,确定(雕刻或追踪)影响锥包括:沿输入和观察点之间的传播路径标识(例如,标记)电路元件(例如,组件)。此外,确定影响锥包括:跨越定时硬件子部分点,如沿着传播路径的触发器、端口和层级。例如,基于对应的锥,来标识从输入到观察点的传播路径的电路元件和互连节点。
参考图3,评估引擎110基于观察点303和观察点305和输入301-302来确定影响锥310。在一个示例中,评估引擎110沿着从观察点303和305到输入301-302的传播路径执行后向追踪,以确定影响锥310。在另一个示例中,评估引擎110沿着从输入301-302到观察点303和305的传播路径执行前向追踪,以确定影响锥310。在其他示例中,后向追踪和前向追踪两者都用于确定影响锥310。在一个示例中,可以首先使用后向追踪来确定影响锥310,并且可以使用前向追踪来确认影响锥310。在其他示例中,可以使用后向追踪和前向追踪的其他组合。
在一个示例中,确定影响锥310将电路元件311、312、313、314、315、316和317标识为影响锥310的一部分。电路元件311-317是电路设计300的组件。在一个示例中,电路元件311-317包括逻辑门(例如,AND门、OR门、XOR门和NAND门等)和触发器。影响锥310是第一故障模式。电路元件311-317内的节点(即,节点A、B、Z或D、Q、clk)可以被标识为该第一故障模式锥内的故障。这些故障可以被称为第一故障模式锥内的可检测危险故障。
进一步参考图3所示,基于诊断点304和输入302,确定影响锥320。诊断点304是安全电路设备330的输出。影响锥320包括从诊断点304到输入302的传播路径。此外,影响锥320包括沿着诊断点304和输入302之间的传播路径的电路元件314、315、316和317。影响锥320可以被称为安全锥或安全影响锥。电路元件314-317内的节点(即节点A、B、Z或D、Q、clk)可以被标识为该第一故障模式锥内的故障。这些故障可以被称为安全锥内的危险可检测故障。在一个示例中,评估引擎110执行沿从诊断点304到输入302的一个或多个传播路径的后向追踪,以确定影响锥320。在另一个示例中,评估引擎110执行沿从输入302到诊断点304的一个或多个传播路径的前向追踪,以确定影响锥320。在其他示例中,后向追踪和前向追踪两者都用于确定影响锥320。在一个示例中,前向追踪可以在不考虑如端口、触发器和层级等的定时点的情况下进行追踪,以检查到达安全电路设备的输入的可行性。这种静态分析可以避免运行费力的故障仿真的需要。在一个或多个示例中,如果元件和安全电路设备330之间的路径可行(例如,元件和安全电路设备330之间存在路径),则沿着该路径的故障被视为可被安全电路设备330检测,并且被标识为危险可检测故障。
进一步参考图2,在方法200的240处,基于第一影响锥和第二影响锥,确定与第一故障类型相关联的第一组件和与第二故障类型相关联的第二组件。例如,分析引擎120的一个或多个处理器执行存储在存储器内的指令,以基于第一影响锥和第二影响锥,来确定与第一故障类型的第一故障相关联的第一组件和与第二故障类型的第二故障相关联的第二元件。故障类型包括危险故障类型、非危险故障类型、潜在可检测故障类型和潜在不可检测故障类型。参考图3,分析引擎120确定电路元件311-313是与单点故障(SPF)相关联的危险不可检测故障,并且确定电路元件314-317是危险可检测故障。单点故障是元件中的硬件故障,该故障直接导致对安全目标的违反,并且任何安全电路设备都无法检测到该故障。
例如,分析引擎120基于影响锥310和影响锥320的比较,确定图3中的电路元件311-313不与安全电路设备相关联。分析引擎120确定电路元件311-313不被包括在与安全电路设备330或任何其他安全电路设备相关联的影响锥320内。因此,电路元件311-313内出现的故障被确定为未被安全电路设备检测到,并且这种故障可以被称为单点故障。
此外,分析引擎120基于影响锥310和/或影响锥320,确定图3中的电路元件314-317是与安全电路设备330相关联的影响锥320的一部分。分析引擎120确定电路元件314-317被包括在与安全电路设备330相关联的影响锥320内。因此,电路元件314-317内出现的故障被安全电路设备330检测到。这种故障可以被称为危险可检测故障。
在一个示例中,方法200的240还可以包括:确定电路元件是否与冗余安全电路设备相关联,如关于图7的方法700描述的。
图2的方法200描述了由电路评估系统100执行的过程,该过程解决了用于评估和分析电路设计的当前过程的限制。与用于评估和分析电路设计的当前过程相比,方法200的过程基于结构分析来确定设计数据。方法200由电路评估系统100执行,以确定单点故障和潜在故障的诊断覆盖的定量分析。在一个或多个示例中,对于与潜在故障相关联的元件,电路评估系统100标识可以用作主安全电路设备的备份的次级(例如,备份)安全电路设备。此外,如本文公开获得的定量结果可以为较高ASIL水平的安全性的行业标准提供分析证据。
进一步参考图3,在一个示例中,影响锥310与第一故障模式相关联。影响锥310内的单元(例如,电路元件)的节点是影响锥310的故障模式内的故障位置。在一些实施例中,可以通过仅标识故障的源或目的地,而不是对故障传播的源和目的地重复计数,来修剪唯一的故障位置。可以使用故障修剪来避免重复计数。例如,电路元件311的输出(例如,节点Z)和电路元件312的输入(例如,节点A)通过导线(例如,迹线)连接。因此,电路元件311的输出和电路元件312的对应输入实际上相同,通过导线连接。出现在电路元件311的输出或对应电路元件312中的任一个中的故障将出现在观察点303处。因此,出现在电路元件311的输出或电路元件312的对应输入之一处的故障可以被修剪。修剪故障避免了可能对电路设计300的诊断覆盖产生负面影响的错误计数。诊断覆盖是关于一个或多个安全电路设备(例如,安全电路设备330)的故障的可检测性的度量。诊断覆盖内包括的重复故障可能会导致诊断覆盖的确定不正确。
图4描绘了根据本公开的一些实施例的示出影响锥和安全锥之间的交集的另一种电路设计。电路设计400包括电路设计300的电路元件和电路元件402-404。如上面关于图3描述那样来确定影响锥310和影响锥320。如上面关于图3的描述指出的,影响锥320是影响锥310的子集。此外,如上所述,基于影响锥310和影响锥320的交集,可以确定不同类型的故障。在一个示例中,影响锥310和影响锥320之间的交集内可能出现的故障可由安全电路设备330检测。例如,如上所述,与电路元件314-317相关联的故障可由安全电路设备330检测。此外,与未被包括在影响锥320中的电路元件相关联的故障无法被安全电路设备330检测到,并且这些故障是单点故障。例如,与电路元件311-313相关联的故障无法被安全电路设备330检测到,并且被称为单点故障。
在一个示例中,进一步参考图2,在方法200的250处,确定不与任何故障模式相关联的电路元件。例如,参考图4,影响锥310之外的电路元件与不可检测故障相关联。可以确定影响锥310内的电路元件与电路设计300内的总电路元件之间的差异。确定影响锥310内的电路元件与电路设计300内的总电路元件之间的差异,确定了影响锥310之外的电路元件。例如,电路元件402-404被确定为在影响锥310之外。
电路元件402-404耦合在输入401和输出端口405之间。电路元件402-404不被包括在影响锥310或影响锥320内。因此,与电路元件402-404相关联的故障不在任何故障模式锥中。因此,电路元件402-404是非安全相关(NSR)逻辑。确定电路元件402-404是非安全相关逻辑包括:标识块中不是任何故障模式锥的一部分的所有电路元件(例如,逻辑)。在图4中,观察点303和305构成影响锥(例如,故障模式锥)310中的电路元件。故障模式锥310内的电路元件是电路设计400中的安全相关逻辑。沿着输入401和输出端口405之间的传播路径的电路元件(例如,电路元件402-404)与非危险故障相关联。非危险故障可以被称为安全故障。因此,电路元件402-404可以被称为非安全相关(NSR)逻辑。此外,与电路元件402-404相关联的故障被确定为不违反电路设计400的任何安全目标的安全故障。例如,与电路元件402-404相关联的故障不会对信号的传输和/或接收产生负面影响。
因此,与用于确定电路设计的诊断覆盖的其他方法相比,通过收集影响锥310和影响锥320内的所有故障位置,可以在更少的时间内和/或通过使用更少的处理资源来实现电路设计内的对应故障模式的诊断覆盖。在一个或多个示例中,确定诊断覆盖导致产生作为用于推导ASIL的指标之一的单点故障指标(SPFM)。
图5描绘了根据本公开的一些实施例的示出两个安全锥的电路设计500。在图5中,电路设计500包括输入501-508以及观察点510和512。电路设计500还包括电路元件522-528、电路元件542-546、安全电路设备530和安全电路设备550。由于输出511和513分别是安全电路设备530和550的输出,因此输出511和513是诊断点。影响锥520对应于观察点510和输入501-504之间的传播路径。此外,影响锥520对应于诊断点511和输入501-504之间的传播路径。
影响锥540对应于观察点512和输入505-508之间的传播路径。此外,影响锥540对应于诊断点513和输入505-508之间的传播路径。
安全电路设备530确定影响锥520的诊断覆盖。因此,与电路元件522-528相关联的故障被安全电路设备530检测到。影响锥520与其中出现的故障可以被安全电路设备530检测到的对应故障模式锥相关联。安全电路设备530的故障模式锥与影响锥520重叠。
安全电路设备550确定影响锥540的诊断覆盖。因此,与电路元件542-546相关联的故障被安全电路设备550检测到。此外,影响锥540与其中出现的故障可以被安全电路设备550检测到的对应故障模式锥相关联。安全电路设备550的故障模式锥与影响锥540重叠。
在一个或多个示例中,故障可能出现在安全电路设备530和550内。在一个示例中,当安全电路设备530无故障时,影响锥520中的所有电路元件(例如,单元)(例如,元件522-528)可由安全电路设备530在诊断点511处检测。因此,与影响锥520相关联的诊断覆盖是100%,因为当安全电路设备550内未出现故障时,可以检测到关于电路元件522-528出现的100%的故障。例如,安全电路设备530可检测到故障525。此外,在安全电路设备550无故障的示例中,影响锥540中的所有电路元件(例如,单元)(例如,元件542-546)可由安全电路设备550在诊断点513处检测。因此,与影响锥540相关联的诊断覆盖为100%,因为当安全电路设备550内未出现故障时,可以检测到关于电路元件542-546出现的100%的故障。
在安全电路设备530或550内出现故障的示例中,安全电路设备530或550无法检测到在相应影响锥(例如,影响锥520或影响锥540)内出现的故障。例如,如图5中所示,故障551出现在安全电路设备550内。因此,影响锥540内出现的故障(例如,故障547)未被安全电路设备550检测到。在这种示例中,故障547可以引起观察点512处的安全目标违反。因此,故障547变成潜在故障。
电路设计500的诊断覆盖(例如,潜在故障指标(LFM)或其他指标)可以具有相对较低的值,因为安全电路设备530和/或550内的故障可能导致故障未被检测到。在一个示例中,诊断覆盖对应于相对于故障的总数目检测的故障数目。诊断覆盖的低值对应于检测到的故障的数目较低。通常,小于大约50%的诊断覆盖被认为较低。然而,如果冗余安全电路设备与安全电路设备530和/或550结合使用,则LFM值会增加。冗余安全电路设备可以用于缓解安全电路设备530和/或安全电路设备550内出现的故障,这增加了对应电路设计500的诊断覆盖。
图6描绘了根据本公开的一些实施例的示出安全锥之间的交集的电路设计。电路设计600包括输入601、602、603和604以及观察点605-610、电路元件650-664以及安全电路设备612、622和632。如下文中进一步详细描述的,安全电路设备612、622和632中的一个或多个安全电路设备可以用作安全电路设备612、622和632中的另外的一个或多个安全电路设备的冗余安全电路设备。
在一个或多个示例中,具有冗余安全电路设备的电路设计,可以被配置成使得用于一种故障模式的安全电路设备可以用作用于相邻故障模式的次级安全电路设备。然后,每种故障模式与一个以上安全电路设备相关联。具有冗余安全电路设备的这种架构用于在主安全电路设备故障的情况下缓解潜在故障。可以根据某些实施例来执行这种冗余安全电路设备的分析。
当主安全电路设备内出现故障时,冗余安全电路设备可以用于检测电路元件的故障。例如,当安全电路设备622中出现故障(例如,故障673)时,安全电路设备622无法检测电耦合到安全电路设备622的电路元件(例如,电路元件655-662)中出现的故障。例如,基于故障673,安全电路设备622无法检测到电路元件655内出现的故障671。然而,电路元件655附加地电耦合到安全电路设备612。因此,安全电路设备612用作电路元件655的冗余安全电路设备,并且可以用于检测电路元件655处的故障671。如果安全电路设备612没有检测到故障671,则故障671是潜在故障。因此,对应电路设计600的诊断覆盖可能减小。然而,通过使用安全电路设备612作为冗余安全电路设备,故障671是可检测的,因此缓解了电路设计600的诊断覆盖的减小。
电路设计600包括三种故障模式,每种故障模式与安全电路设备612、622和632以及相关影响锥620、630和640中的相应一个相关联。影响锥620对应于第一故障模式,影响锥630对应于第二故障模式,并且影响锥640对应于第三故障模式。评估引擎110基于观察点605-610来确定影响锥620、630和640。观察点605-610可以由用户定义,或者基于电路元件650-664和/或安全电路设备612、622和632确定。通过从观察点605、607和609到输入601-604的后向追踪和/或从输入601-604到观察点605、607和609的前向追踪,来确定影响锥620、630和640。每种故障模式与安全电路设备612、622和632中的相应的一个安全电路设备相关联。此外,安全电路设备612、622和632中的每个安全电路设备与安全锥相关联,该安全锥与影响锥620、630和640中的相应一个影响锥重叠。在一个或多个示例中,一个或多个安全锥与相应影响锥(例如,如由图3的影响锥310和320所示)部分重叠。通过从诊断点606到输入601-602的后向追踪,和/或从输入601-602到诊断点606的前向追踪,来确定安全电路设备612的安全锥。安全电路设备612的安全锥与影响锥620重叠。通过从诊断点608到输入602-603的后向追踪,和/或从输入602-603到诊断点608的前向追踪,来确定安全电路设备622的安全锥。安全电路设备632的安全锥与影响锥640重叠。通过从诊断点610到输入603-604的后向追踪,和/或从输入603-604到诊断点610的前向追踪,来确定安全电路设备632的安全锥。安全电路设备632的安全锥与影响锥640重叠。由于安全电路设备612、622和632的安全锥与影响锥620、630和640中的相应影响锥完全重叠,因此当参考图6时,术语影响锥和安全锥可以被互换使用。
电路元件655-657被包括在影响锥620和630两者内,此外,电路元件660-662被包括在影响锥640和630两者内。因此,电路元件655-657内出现的故障可以被安全电路设备612和安全电路设备622检测到。此外,电路元件660-662内出现的故障可以被安全电路设备622和安全电路设备632检测到。在一个示例中,安全电路设备622是用户或设计者预期用于电路元件655-657的主安全电路设备,并且安全电路设备612是用于电路元件655-657的次级安全电路设备(或冗余安全电路设备)。因此,当安全电路设备622内出现故障时,电路元件655-657内出现的故障可以被安全电路设备612检测到。安全电路设备622是用于电路元件660-662的主安全电路设备,并且安全电路设备632是用于电路元件660-662的次级安全电路设备。因此,当安全电路设备632内出现故障时,电路元件660-662内出现的故障可以被安全电路设备622检测到。电路元件655-657中的故障可以被称为潜在可检测故障。在一个示例中,设计者或用户、电路评估系统100内的引擎或外部处理系统指示安全电路设备中的哪个安全电路设备是主安全电路设备,并且指示对应的电路元件。
电路元件650-654电连接到安全电路设备612,并且未电连接到次级安全电路设备。因此,当安全电路设备612内出现故障时,电路元件650-654内出现的故障变成潜在故障并且未被检测到。电路元件658-659电连接到安全电路设备622,并且未电连接到次级安全电路设备。因此,当安全电路设备622内出现故障(例如,故障673)时,电路元件658-659内出现的故障变成潜在故障并且未被检测到,并且可以被称为潜在不可检测故障。电路元件663-667电连接到安全电路设备632,并且未电连接到次级安全电路设备。因此,当安全电路设备632内出现故障时,电路元件663-667内出现的故障变成潜在故障并且未被检测到。
在一个或多个示例中,可以设计并且随后分析安全电路设备(例如,安全电路设备612、622和632)的安全锥的交集(例如,重叠的区域),以便获得并且正确分析足够的缓解重叠。通过确定对应于两个以上安全电路设备的安全锥的交集,在预期安全电路设备故障的情况下,在检测故障时,使用两个以上安全电路设备之间的冗余。在其他示例中,可以通过前向路径追踪,来确认主安全电路设备中的故障对于另一个安全机制锥的诊断覆盖的可检测性。
在一个或多个示例中,主安全电路设备和次级安全电路设备可检测和不可检测的故障的诊断覆盖的信息以及故障可检测性对主安全电路设备和次级安全电路设备的映射,作为数据文件被存储在存储器130中。在其他示例中,主安全电路设备和次级安全电路设备可检测和不可检测的故障的诊断覆盖的信息以及故障可检测性对主安全电路设备和次级安全电路设备的映射,被输出到连接到电路评估系统100的处理系统。在一个示例中,主安全电路设备和次级安全电路设备可检测和不可检测的故障的诊断覆盖的信息以及故障可检测性对主安全电路设备和次级安全电路设备的映射,被用在准备电路设备600的FMEDA中。
在一个或多个示例中,可以通过使用后向追踪和/或前向追踪,来确定两个以上安全电路设备的安全锥中包括的电路元件。因此,根据冗余安全电路设备是否可用,可以将故障确定为安全故障、不可检测危险故障(例如,单点故障)以及当安全电路设备有故障时不可检测的危险故障(例如,潜在故障)。为了确定冗余电路设备是否可用,分析引擎120分析安全锥,以确定安全锥之间的重叠区域。此外,安全锥内的故障被隔离,以确定冗余安全电路设备是否可用于该故障。
在一个或多个示例中,评估引擎110获得存储在存储器130内的电路设计132的观察点。此外,评估引擎110从存储器130获得安全电路设备和安全电路设备的位置。观察点可以由设计者或用户、另一个处理系统,或电路评估系统100的其他引擎提供。此外,安全电路设备可以由设计者或用户、另一个处理系统,或电路评估系统100的其他引擎提供。观察点包括安全电路设备的诊断点。评估引擎110执行从观察点到对应输入的后向追踪,以确定影响锥以及每个影响锥内的对应电路元件。在一个示例中,确定影响锥跨越了电路元件(例如,触发器电路元件、端口和子层级)的定时硬件。在一个示例中,分析引擎120标识安全电路设备的安全锥之间的交集。例如,分析引擎120确定是否存在两个以上影响锥。基于存在两个以上影响锥,分析引擎120确定锥之间的交集区域。此外,分析引擎120标识主安全电路设备和次级安全电路设备可检测的故障,并且标识主安全电路设备和次级安全电路设备不可检测的故障。此外,主安全电路设备可以由设计者或用户、另一个处理系统,或电路评估系统100的其他引擎提供。分析引擎120将可检测故障和不可检测故障保存在存储器130内。例如,分析引擎120生成包括可检测故障和不可检测故障的文件,并且将该文件存储在存储器130内。在另一个示例中,包括可检测故障和不可检测故障的文件被输出到电路评估系统100的另一个引擎,或被输出到连接到电路评估系统100的处理系统。
图7图示了根据一个或多个示例的用于确定电路设备的诊断覆盖的方法700的流程图。方法700可以由电路评估系统100执行。例如,电路评估系统100的一个或多个处理器执行存储在存储器中的指令以执行方法700。
在一个示例中,执行方法700使用影响锥和安全锥以及锥之间的交集来执行安全逻辑的分析,以标识每种故障模式中的故障的类型(例如,安全故障、单点故障和潜在故障)。每种故障模式包括对应的主安全电路设备,主安全电路设备检测每种故障模式锥中的故障。此外,每种故障模式包括相关联的次级安全电路设备,当电路评估系统100的一个或多个处理器评估主安全设备内出现故障时,次级安全电路设备能够检测故障。
在710处,获得故障模式的指示。例如,评估引擎110获得故障模式的指示。故障模式的指示可以从存储器130、电路评估系统100内的另一个元件或者电路评估系统100外部的系统获得。在一个示例中,故障模式的指示由设计者或用户提供。在一个示例中,在设计者、电路评估系统100的引擎或另一个处理系统对对应的电路设计(例如,电路设计600)执行安全分析之后,提供故障模式的指示。在一个示例中,安全分析的非限制性示例包括电路设计的安全相关逻辑的DFMEA和故障树分析(FTA)。在一个示例中,DFMEA涉及定性分析,包括确定故障模式和故障模式影响的步骤。通过标识电路设计中易受随机硬件故障影响的一个或多个硬件子部分,来确定故障模式,如果随机硬件故障未被检测到,则可能导致故障。故障模式影响是故障模式对硬件子部分的影响的简要描述。
故障模式和故障模式影响被确定,以准备安全相关电路元件(例如,安全电路设备)的DFMEA或FMEDA。例如,故障模式是图5的影响锥520和影响锥540。在一个或多个示例中,电路设计内的故障模式的数目是2以上。此外,电路设计内的安全电路设备的数目对应于故障模式的数目(该数目是1以上)。
在方法700的720处,接收一个或多个观察点。例如,评估引擎110从存储器130接收一个或多个观察点。在其他示例中,从电路评估系统100的另一个引擎或连接到电路评估系统100的处理系统接收一个或多个观察点。观察点对应于一种或多种故障模式。每个观察点对应于一种或多种故障模式。观察点是电路设计的一部分的输出端口,在该部分中,故障影响是可检测的(或可观察的)。在每种故障模式的分析期间确定这些观察点。在一个或多个示例中,每种故障模式可以存在一个以上观察点。例如,参考图6,观察点605被标识为用于第一故障模式,并且观察点607被标识为用于第二故障模式。
在730处,每种故障模式的影响锥被确定。例如,评估引擎110确定每种故障模式的影响锥。影响锥可以用于确定故障和故障的类型(例如,安全故障或危险故障)。在一个示例中,评估引擎110执行从故障模式的观察点到对应的一个或多个输入的后向追踪,以确定故障模式的影响锥。在另一个示例中,作为后向追踪的替代或补充,可以使用前向追踪来确定影响锥。后向追踪和/或前向追踪继续至超过任何中间定时停止点,如触发器电路或锥内的任何子层级的端口。在一个示例中,标识影响锥包括:标识该影响锥内的所有故障位置。故障位置通常是影响锥内的电路元件(例如,门或触发器)的输出针脚。例如,关于图5,影响锥520基于观察点510而被确定并且对应于第一故障模式,并且影响锥540基于观察点512而被确定。参考图6,影响锥620、630和640分别基于观察点605、607和609被确定。影响锥620、630和640中的每个影响锥对应于不同的故障模式。
此外,在图7的730处,危险故障和安全故障被确定。危险故障是在故障模式的观察点处可观察到的故障。安全故障是不属于故障模式的一部分的故障。参考图4,危险故障与电路元件311-313相关联,电路元件311-313与影响锥310的故障模式相关联,并且安全故障与电路元件402-403相关联,电路元件402-403不与任何故障模式相关联。在一个或多个示例中,危险故障是来自电路设计中的所有故障模式锥的所有独特故障的集合。在方法700的730处,尚未确定危险故障是否可被安全电路设备检测到。安全故障的数目等于所有故障的数目与故障模式内的故障的数目之间的差。例如,参考图4,安全故障的数目是总故障的数目(例如,总共10个故障)减去影响锥310的故障模式的故障的数目(例如,总共7个故障)。因此,图4中的安全故障的数目是3(例如,与在影响锥310之外的电路元件402、403和404相关联的故障)。由于与电路元件402、403和404相关联的故障不涉及任何故障模式,因此该些故障不违反任何安全目标并且被认为是安全故障。
在方法700的740处,获得一个或多个安全电路设备以及一个或多个对应诊断点。还指定了旨在作为故障模式的主安全电路的安全电路。例如,评估引擎110从存储器130、电路评估系统100内的另一个引擎,和/或连接到电路评估系统100的处理系统,获得一个或多个主安全电路设备和/或一个或多个对应诊断点。在一个示例中,基于故障模式和故障模式影响来提供主安全电路设备和诊断点。所提供的主安全电路设备能够检测和指示对应影响锥内出现的故障。诊断点是安全电路设备的输出端口,并且指示故障检测。在一个示例中,每个安全电路设备具有一个诊断点。在另一个示例中,安全电路设备具有一个以上诊断点。在一个或多个示例中,每种故障模式与安全电路设备相关联。在另一个示例中,每种故障模式与一个以上安全电路设备相关联。具有相对较高诊断覆盖值(例如,大约99%的诊断值)的电路设计,对于每种故障模式具有至少一个主安全电路设备。每个安全电路设备和对应诊断点由设计者、电路评估系统100内的引擎或连接到电路评估系统的系统指定。例如,参考图5,安全电路设备530和诊断点511被确定为用于影响锥520,并且安全电路设备550和诊断点513被确定为用于影响锥540。在各种示例中,每个影响锥可以与一个以上安全电路设备和诊断点相关联。
在方法700的750处,确定每个安全电路设备的影响锥和故障类型。在一个示例中,评估引擎110确定每个安全电路设备的影响锥,并且分析引擎120确定每个故障的类型。评估引擎110基于诊断点和输入采用后向追踪、前向追踪或两者的组合,来确定每个安全电路设备的影响锥。在一个或多个示例中,电路元件可以被包括在一个以上影响锥中。例如,如图6中所示,电路元件655-657被包括在影响锥620和影响锥630中。此外,电路元件660-662和电路元件665-667分别被包括在影响锥630和640中。
分析引擎120确定安全电路设备的影响锥的危险可检测故障。例如,参考图6,分析引擎120确定与安全电路设备612相关联的影响锥620的危险可检测故障、与安全电路设备622相关联的影响锥630的危险可检测故障,以及与安全电路设备632相关联的影响锥640的危险可检测故障。基于确定从与故障相关联的电路元件到主安全电路设备的输入的传播路径,故障被确定为是安全电路设备(例如,安全电路设备612、622和632)的危险可检测故障。例如,分析引擎120确定存在从与故障671相关联的电路元件655到安全电路设备622的传播路径。因此,故障671被确定为是危险可检测故障。对于每个单独的主安全电路设备,分析引擎120通过使用安全电路设备的影响锥内的前向追踪,来检测危险可检测故障的位置。这种过程可以检测安全电路设备的所有独特故障。例如,参考图6,电路元件665-667被确定为与安全电路设备632的独特故障相关联。
单点故障是任何主安全电路设备都无法检测的危险故障。分析引擎120基于所有故障模式的影响锥中的所有独特危险故障位置的并集与每个安全电路设备的每个影响锥的所有独特危险故障位置的并集之间的差异,来确定单点故障。任何安全电路设备都无法检测的危险故障被标识为单点故障。例如,图4中的电路元件402-404可以被确定为单点故障(或危险不可检测故障)。危险故障的位置可以在计算对应故障模式的SPFM时被使用。此外,单点故障的位置可以用于确定单点故障是否可以通过添加更多安全电路设备而可检测,来改进SPFM得分。
在一个示例中,分析引擎120确定主安全电路设备不可检测的危险故障(例如,单点故障)是否可以被缓解。如果确定不可检测危险故障可以被缓解,则分析引擎120将故障可以被缓解的指示存储在存储器130中,将该指示提供给电路评估系统100的另一个元件,或者将该指示提供给连接到电路评估系统100的另一个系统。
在方法700的760处,确定潜在故障和次级安全电路设备。例如,分析引擎120基于每个安全电路设备的影响锥、可检测危险故障和不可检测危险故障(例如,单点故障),来确定潜在故障和次级安全电路设备。分析引擎120使用危险可检测故障的位置和安全电路设备的诊断点,来通过前向路径追踪,对从与故障模式相关联的影响锥内的每个危险可检测故障位置,到另一个故障影响锥内的、不是危险可检测故障位置的主安全电路设备的一个或多个安全电路设备的诊断点的路径可行性执行静态检查。例如,参考图6,分析引擎120执行电路元件655与安全电路设备612和安全电路设备632之间的路径可行性的静态检查,以确定在电路元件655与安全电路设备612和安全电路设备632中的任一个之间是否存在传播路径。基于图6的电路设计600,分析引擎120确定在电路元件655(和与电路元件655相关联的故障)与安全电路设备612之间存在传播路径,并且确定在电路元件655(和与电路元件655相关联的故障)与安全电路设备632之间不存在传播路径。因此,安全电路设备612被确定为电路元件655的次级安全电路设备。在一个示例中,使用前向追踪和/或后向追踪,来确定故障位置和安全电路设备之间是否存在路径。
确定次级安全电路设备的可用性确保了:如果主安全电路设备有故障(例如,主安全电路设备内出现故障),则在危险可检测位置中出现的故障可由次级安全电路设备检测。因此,该故障不是潜在故障,因为当主安全电路设备内出现故障时,该故障可由次级电路设备检测到。例如,参考图6,基于安全电路设备622中出现故障,安全电路设备622无法检测电路元件655处出现的故障671,但故障671可以由次级安全电路设备612检测到。
在一个示例中,主安全电路设备和次级安全电路设备具有至少部分重叠的安全锥(例如,影响锥)。与主安全电路设备和次级安全电路设备之间的交集区域内包括的电路元件相关联的故障,可由主安全电路设备和次级安全电路设备两者检测。此外,在电路元件与主安全电路设备和次级安全电路设备之间存在传播路径。
在一个示例中,如果检测到从主安全电路设备的安全锥内的危险可检测故障位置到非主(例如,次级)安全电路设备的诊断点的路径,则次级安全电路设备能够检测危险可检测故障位置处的故障。因此,次级安全电路设备被标识为能够检测危险可检测故障位置处的故障。分析引擎120将次级安全电路设备能够检测危险可检测故障位置处的故障的指示存储在存储器130内,将该指示提供给电路评估系统100内的另一个引擎,或者将该指示提供给耦合到电路评估系统100的处理系统。在一个或多个示例中,分析引擎120将可由次级安全电路设备检测的危险可检测故障位置标识为潜在可检测故障。分析引擎120将次级安全电路设备可以用于缓解潜在可检测故障的指示存储在存储器130内,将该指示提供给电路评估系统100内的另一个引擎,或者将该指示提供给耦合到电路评估系统100的处理系统。
参考图6,分析引擎120确定:当安全电路设备622内出现故障时,与电路元件655-657和660-662相关联的故障是与电路元件655-657相关联的潜在可检测故障(例如,故障671)并且可由安全电路设备612检测到,并且确定:当安全电路设备622内出现故障时,与电路元件660-662相关联的故障(例如,故障672)可由安全电路设备632检测到。分析引擎120确定与电路元件650-654相关联的故障是潜在不可检测故障,因为这些故障不能被次级安全电路设备检测到。例如,如果安全电路设备612内出现故障,则与电路元件650-654相关联的任何故障是不可检测的并且保持潜在。分析引擎120确定与电路元件663-667相关联的故障是潜在不可检测故障,因为该些故障不能被次级安全电路设备检测到。例如,如果安全电路设备632内出现故障,则与电路元件663-667相关联的任何故障是不可检测的并且保持潜在。此外,分析引擎120确定与电路元件658和659相关联的故障是潜在不可检测故障,因为这些故障不能被次级安全电路设备检测到。例如,如果安全电路设备622内出现故障,则与电路元件658-659相关联的任何故障是不可检测的并且保持潜在。
在一个示例中,分析引擎120基于潜在不可检测故障的严重性来确定是否添加附加的安全电路设备。决定是否添加安全电路设备是基于FMEDA的初步结果来进行的,FMEDA的结果揭示了满足如潜在故障指标(LFM)的指标的任何缺陷。例如,在方法700的760处,潜在不可检测故障被用来确定是否在740中添加附加的安全电路设备(例如,次级安全电路设备)。附加的安全电路设备被添加到电路设计,以检测与未连接到次级安全电路设备的电路元件相关联的潜在不可检测故障。基于故障分析,添加附加的安全电路设备增加了对应电路设计内的潜在故障的诊断覆盖。
参考图6,附加安全电路设备被添加到电路设计600,使得附加安全电路设备能够检测与电路元件650-654相关联的故障。附加安全电路设备可以连接到电路元件654的输出。因此,与电路元件650-654相关联的故障可由附加安全电路设备检测到,并且现在变为潜在可检测故障。此外,附加安全电路设备被添加到电路设计600,使得附加安全电路设备能够检测到与电路元件663-667相关联的故障。附加安全电路设备可以连接到电路元件664的输出。因此,与电路元件663-667相关联的故障可由附加安全电路设备检测到,并且现在变为潜在可检测故障。
在方法700的770处,生成诊断覆盖报告。例如,分析引擎120确定针对单点故障和潜在故障指标的诊断覆盖报告。基于电路设计内的不可检测潜在故障的数目和/或位置以及可检测潜在故障的数目和/或位置,来确定单点故障和/或潜在故障指标。此外,基于电路设计内的单点故障的数目、潜在故障的数目、双点故障的数目以及安全故障的数目,来确定单点故障和/或潜在故障指标。在一个示例中,参考总故障率,基于电路设计内的危险故障(例如,电路元件内的故障和/或安全电路设备内的故障)和安全故障的数目,来确定单点故障指标。总故障率是故障的概率密度除以安全相关电路的生存概率。总故障率与故障的总数目成比例。例如,基于电路设计内的双点故障和安全故障的总和(或某种其他组合)除以总故障率,来确定单点故障指标。参考总的双点故障和安全故障,基于电路设计的双点故障和安全故障,来确定潜在故障指标。在一个示例中,基于电路设计的双点故障和安全故障的总和(或某种其他组合)除以总的双点故障和安全故障,来确定潜在故障指标。单点故障指标和双点故障指标进一步根据国际组织标准化(ISO)26262来进行确定。
图8图示了在诸如集成电路的制品的设计、验证和制造期间使用的、用于变换和验证表示集成电路的设计数据和指令的过程800的示例集合。这些过程中的每个过程可以被构造和使能为多个模块或操作。术语‘EDA’表示术语‘电子设计自动化’。这些过程从创建具有由设计者提供的信息的产品构思810开始,该信息被转换以创建使用EDA过程集合812的制品。当设计完成时,设计被流片834,这是当集成电路的原图(例如,几何图案)被发送到制造设施以制造掩模集时发生的,然后掩模集被用于制造集成电路。在流片之后,制造半导体裸片836,并且执行封装和组装工艺838以产生完成的集成电路840。
电路或电子结构的规范的范围可以从低级晶体管材料布局到高级描述语言。技术安全概念和FMEA的发展是多个规范,这些规范捕获安全相关设计的故障模式和安全电路设备。可以在如本提案中描述的故障分析期间使用这种信息。高级表示可以用于使用硬件描述语言(‘HDL’)(诸如VHDL、Verilog、SystemVerilog、SystemC、MyHDL或OpenVera)来设计电路和系统。HDL描述可以被变换为逻辑级寄存器传输级(‘RTL’)描述、门级描述、布局级描述或掩模级描述。因此,在这种阶段需要实现安全电路设备。作为更具体的描述的每个较低级别将更有用的细节添加到设计描述中,例如,针对包括描述的模块的更多细节。作为更具体描述的较低级别的表示可以由计算机生成、从设计库导出,或者由另一设计自动化过程创建。用于指定更详细描述的表示语言的较低级别的规范语言的示例是SPICE,SPICE用于具有许多模拟组件的电路的详细描述。在每个表示级别的描述被使得能够由该层的对应工具(例如,正式核实工具)使用。设计过程可以使用图8中描绘的序列。通过EDA产品(或工具)实现所描述的工艺。
在系统设计814期间,要制造的集成电路的功能被指定。可以针对期望的特性(诸如功耗、性能、面积(代码的物理和/或线)以及成本的降低等)来优化设计。将设计划分成不同类型的模块或组件可以在该阶段出现。
在逻辑设计和功能验证816期间,以一个或多个描述语言指定电路中的模块或组件,并且检查规范的功能准确性。内部安全电路设备在设计中实现,或者如果安全电路设备在外部,则在测试平台中建模。例如,可以验证电路的组件以生成与所设计的电路或系统的规范的要求相匹配的输出。功能验证可以使用仿真器和其他程序,诸如测试台生成器、静态HDL检验器和正式检验器。在一些实施例中,被称为‘仿真器’或‘原型系统’的组件的特殊系统用于加速功能验证。
在测试818的合成和设计期间,HDL代码被转换为网表。在一些实施例中,网表可以是图形结构,其中图形结构的边缘表示电路的组件,并且其中图形结构的节点表示组件如何互连。HDL代码和网表都是可以由EDA产品使用以验证集成电路在制造时根据指定设计执行的制造的分层制品。可以针对目标半导体制造技术优化网表。网表内的节点可以是用于对单点进行分析的故障,也可以是基于观察点和诊断点的潜伏故障,如前所述。另外,可以测试完成的集成电路以验证集成电路满足规范的要求。
在网表验证820期间,检查网表是否符合时序约束并符合HDL代码。在设计规划822期间,针对定时和顶层路由构建和分析集成电路的整体平面图。
在布局或物理实现824期间,出现物理放置(诸如晶体管或电容器的电路组件的定位)和布线(通过多个导体连接电路组件),并且可以执行从库中选择单元以实现特定逻辑功能。如本文中所使用,术语‘单元’可以指定提供布尔逻辑功能(例如,AND、OR、NOT、XOR)或存储功能(诸如,触发器或锁存器)的一组晶体管、其它组件和互连。如本文中所使用,电路‘块’可以指两个以上单元。单元和电路块两者都可以被称为模块或组件,并且被实现为物理结构和仿真两者。针对所选择的单元(基于‘标准单元’)指定参数(诸如大小),并且使其能够在数据库中访问以供EDA产品使用。
在分析和提取826期间,在布局层级处验证电路功能,这允许布局设计的改进。在物理验证828期间,检查布局设计以确保制造约束是正确的,诸如DRC约束、电约束、光刻约束,并且电路设备的功能匹配HDL设计规范。在分辨率增强830期间,转换布局的几何形状以改进如何制造电路设计。
在流片期间,创建要用于(如果适当的话,在应用光刻增强之后)光刻掩模的生产的数据。在掩模数据准备832期间,‘流片’数据用于产生光刻掩模,这些光刻掩模用于产生完成的集成电路。
计算机系统(诸如,图9的计算机系统)的存储子系统可以用于存储由本文描述的EDA产品中的一些或全部EDA产品使用的程序和数据结构,以及用于库的单元的开发以及用于使用库的物理和逻辑设计的产品。
图9图示了计算机系统900的示例机器,在该示例机器中可以执行用于使机器执行本文所讨论的方法中的任何一个或多个方法的指令集。在备选实施方式中,机器可以连接(例如,联网)到LAN、内联网、外联网和/或因特网中的其他机器,机器可以在客户端-服务器网络环境中的服务器或客户端机器的容量下操作,作为对等(或分布式)网络环境中的对等机器,或者作为云计算基础设施或环境中的服务器或客户端机器操作。
机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、web设备、服务器、网络路由器、交换机或网桥,或者能够执行指定要由该机器采取的动作的一组指令(顺序地或以其他方式)的任何机器。此外,虽然示出了单个机器,但是术语“机器”还应当被认为包括单独地或联合地执行指令的集合(或多个集合)以执行本文所讨论的任何一个或多个方法的机器的任何集合。
示例计算机系统900包括处理设备902(其执行如针对图1中的分析引擎120所描述的任务)、主存储器904(例如,只读存储器(ROM)、闪存、诸如同步DRAM(SDRAM)的动态随机存取存储器(DRAM)、静态存储器906(例如,闪存、静态随机存取存储器(SRAM)等))和数据存储设备918,它们经由总线930彼此通信。这些存储器参与执行如图1的存储器130中描述的任务。
处理设备902表示一个或多个处理器,诸如微处理器、中央处理单元等。更具体地,处理设备可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器,或实现其他指令集的处理器,或实现指令集的组合的处理器。处理设备902还可以是一个或多个专用处理设备,诸如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。处理设备902可以被配置成执行用于执行本文描述的操作和步骤的指令926。
计算机系统900还可以包括网络接口设备908以通过网络920进行通信。计算机系统900还可以包括视频显示单元910(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备912(例如,键盘)、光标控制设备914(例如,鼠标)、图形处理单元922、信号生成设备916(例如,扬声器)、图形处理单元922、视频处理单元928以及音频处理单元932。
数据存储设备918可以包括机器可读存储介质924(也称为非暂态计算机可读介质),其上存储有体现本文所描述的方法或功能中的任何一个或多个的一个或多个指令集926或软件。指令926还可以在其由计算机系统900执行期间完全或至少部分地驻留在主存储器904内和/或处理设备902内,主存储器904和处理设备902也构成机器可读存储介质。
在一些实施方式中,指令926包括用于实现与本公开相对应的功能的指令。虽然机器可读存储介质924在示例实现中被示为单个介质,但是术语“机器可读存储介质”应当被认为包括存储一个或多个指令集的单个介质或多个介质(例如,集中式或分布式数据库和/或相关联的高速缓存和服务器)。术语“机器可读存储介质”还应当被认为包括能够存储或编码指令集的任何介质,所述指令集用于由机器执行并且使得机器和处理设备902执行本公开的任何一个或多个方法。因此,术语“机器可读存储介质”应当被认为包括但不限于固态存储器、光学介质和磁性介质。
已经根据对计算机存储器内的数据位的操作的算法和符号表示呈现了前述详细描述的一些部分。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域的其他技术人员的方式。算法可以是导致期望结果的操作的序列。操作是需要对物理量进行物理操纵的操作。这种量可以采取能够被存储、组合、比较和以其他方式操纵的电信号或磁信号的形式。这种信号可以被称为位、值、元素、符号、字符、项、数字等。
然而,应当记住,所有这些和类似的术语将与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非特别声明,否则如从本公开明显的,应当理解,在整个说明书中,某些术语指的是计算机系统或类似电子计算设备的动作和过程,其将计算机系统的寄存器和存储器内表示为物理(电子)量的数据操纵和变换成计算机系统存储器或寄存器或其他这种信息存储设备内类似地表示为物理量的其他数据。
本公开还涉及用于执行本文中的操作的设备。该设备可以被专门构造用于预期目的,或者其可以包括由存储在计算机中的计算机程序选择性地激活或重新配置的计算机。这种计算机程序可以存储在计算机可读存储介质中,诸如但不限于任何类型的磁盘,包括软盘、光盘、CD-ROM和磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡,或适于存储电子指令的任何类型的介质,每个都耦合到计算机系统总线。
本文呈现的算法和显示并不固有地与任何特定计算机或其他设备相关。各种其他系统可以与根据本文的教导的程序一起使用,或者可以证明对于构造更专用的设备来执行方法是方便的。另外,不参考任何特定编程语言来描述本公开。应当理解,可以使用各种编程语言来实现如本文所述的本公开的教导。
本公开可以被提供为计算机程序产品或软件,其可以包括其上存储有指令的机器可读介质,所述指令可以用于对计算机系统(或其他电子设备)进行编程以执行根据本公开的过程。机器可读介质包括用于以机器(例如,计算机)可读的形式存储信息的任何机制。例如,机器可读(例如,计算机可读)介质包括机器(例如,计算机)可读存储介质,诸如只读存储器(“ROM”)、随机存取存储器(“RAM”)、磁盘存储介质、光存储介质、闪存设备等。
在前述公开内容中,已经参考本公开内容的特定示例实现方式描述了本公开内容的实现方式。将明显的是,在不脱离所附权利要求中阐述的本公开的实施方式的更广泛的精神和范围的情况下,可以对其进行各种修改。在本公开涉及单数形式的一些元件的情况下,在附图中可以描绘一个以上的元件,并且相同的元件用相同的附图标记而被标记。因此,本公开和附图应被视为说明性意义而非限制性意义。
Claims (20)
1.一种方法,包括:
获得电路设计的电路元件、第一观察点和第一诊断点,
其中所述第一观察点在所述电路设计的所述电路元件中的第一电路元件的输出处,并且其中所述第一诊断点在所述电路设计的第一安全电路设备的输出处;
基于所述第一观察点,确定包括所述电路元件的第一子集的第一影响锥,
其中所述电路元件的所述第一子集包括所述第一电路元件;基于所述第一诊断点,确定包括所述电路元件的第二子集的第一安全锥,其中所述第一安全锥包括所述第一安全电路设备;以及
基于所述第一影响锥和所述第一安全锥之间的交集,确定与所述电路元件相关联的故障类型。
2.根据权利要求1所述的方法,还包括:
确定所述第一影响锥内的所述电路元件的所述第一子集与危险故障类型中的故障类型相关联,所述危险故障类型影响所述电路设计的安全目标。
3.根据权利要求2所述的方法,还包括:
确定在所述第一影响锥之外的所述电路元件的第三子集,其中所述电路元件的所述第三子集与非危险故障类型中的故障类型相关联,所述非危险故障类型不影响所述电路设计的所述安全目标,并且其中基于所述电路元件与所述电路元件的所述第一子集之间的差异,来确定所述电路元件的所述第三子集。
4.根据权利要求1所述的方法,还包括:
确定所述第一安全锥内的所述电路元件的所述第二子集与所述第一安全电路设备能够检测的危险故障类型中的故障类型相关联。
5.根据权利要求4所述的方法,还包括:
确定从所述第一安全锥排除的所述电路元件的第四子集,其中所述电路元件的所述第四子集与所述第一安全电路设备无法检测的危险故障类型相关联,并且其中基于所述电路元件的所述第一子集与所述第二子集之间的差异,来确定所述电路元件的所述第四子集。
6.根据权利要求1所述的方法,还包括:
获得所述电路设计的第二诊断点;以及
基于所述第二诊断点,确定包括所述电路元件的第三子集的第二安全锥,其中所述第二安全锥包括第二安全电路设备。
7.根据权利要求6所述的方法,还包括:确定所述电路元件中的、在所述第一安全锥和所述第二安全锥之间的所述电路元件的交集内的一个电路元件,所述电路元件中的所述一个电路元件与潜在可检测故障类型中的故障类型相关联,所述潜在可检测故障类型在所述第一安全电路设备有故障的情况下,能够由所述第二安全电路设备检测。
8.根据权利要求6所述的方法,还包括:确定所述电路元件的所述第二子集中的、在所述第一安全锥内并且在所述第二安全锥之外的一个电路元件,所述电路元件的所述第二子集中的所述一个电路元件与潜在不可检测故障类型中的故障类型相关联,所述潜在不可检测故障类型在所述第一安全电路设备有故障的情况下,无法由所述第二安全电路设备检测。
9.根据权利要求1所述的方法,其中确定所述第一影响锥包括至少执行以下中的一者或多者:从所述第一观察点到所述电路设计的第一输入的后向追踪,以及从所述第一输入到所述第一观察点的前向追踪。
10.根据权利要求1所述的方法,其中确定所述第一安全锥包括至少执行以下中的一者或多者:从所述第一诊断点到所述电路设计的第一输入的后向追踪,以及从所述第一输入到所述第一诊断点的前向追踪。
11.一种方法,包括:
获得电路设计的电路元件、第一观察点和第一诊断点,其中所述第一观察点在所述电路设计的所述电路元件中的第一电路元件的输出处,并且其中所述第一诊断点在所述电路设计的第一安全电路设备的输出处;
基于所述第一观察点,确定包括所述电路元件的第一子集的第一影响锥,所述第一子集包括所述第一电路元件;
基于所述第一诊断点,确定包括所述电路元件的第二子集的第一安全锥,其中所述第一安全锥包括所述第一安全电路设备;
确定所述第一影响锥内的所述电路元件的所述第一子集与危险故障类型相关联,所述危险故障类型影响所述电路设计的安全目标;
基于电路元件的所述第一子集与所述电路元件之间的比较,确定在所述第一影响锥之外的所述电路元件的第三子集,其中所述电路元件的所述第三子集与非危险故障类型相关联,所述非危险故障类型不影响所述电路设计的所述安全目标;
确定所述第一安全锥内的所述电路元件的所述第二子集与所述第一安全电路设备能够检测的危险故障类型相关联;以及
基于所述电路元件的所述第一子集与所述电路元件的所述第二子集的比较,确定与所述第一安全电路设备无法检测的不可检测危险故障类型相关联的所述电路元件的第四子集。
12.根据权利要求11所述的方法,还包括:
获得所述电路设计的第二诊断点,所述第二诊断点在所述电路设计的第二安全电路设备的输出处;以及
基于所述第二诊断点,确定包括所述电路元件的第五子集的第二安全锥,其中所述第二安全锥包括所述第二安全电路设备。
13.根据权利要求12所述的方法,还包括:确定所述电路元件中的、在所述第一安全锥和所述第二安全锥之间的交集中的一个电路元件,所述电路元件中的所述一个电路元件与潜在可检测故障类型相关联,所述潜在可检测故障类型在所述第一安全电路设备有故障的情况下,能够由所述第二安全电路设备检测。
14.根据权利要求12所述的方法,还包括:确定在所述电路元件的所述第二子集内并且在所述第五子集之外的第二电路元件,所述第二电路元件与潜在不可检测故障类型相关联,所述潜在不可检测故障类型在所述第一安全电路设备有故障的情况下,无法由所述第二安全电路设备检测。
15.根据权利要求11所述的方法,其中确定所述第一影响锥包括至少执行以下中的一者或多者:从所述第一观察点到所述电路设计的第一输入的后向追踪,以及从所述第一输入到所述第一观察点的前向追踪,其中所述第一子集中的每个电路元件沿着所述第一观察点和所述第一输入之间的传播路径。
16.根据权利要求11所述的方法,其中确定所述第一安全锥包括至少执行以下中的一者或多者:从所述第一诊断点到所述电路设计的第二输入的后向追踪,以及从所述第二输入到所述第一诊断点的前向追踪,其中所述第二子集中的每个电路元件沿着所述第一诊断点和所述第二输入之间的传播路径。
17.一种系统,包括:
存储指令的存储器;以及
处理器,与所述存储器耦合并且被配置成执行所述指令,所述指令在被执行时,使得所述处理器:
获得电路设计的电路元件、第一观察点和第一诊断点,其中所述第一观察点在所述电路设计的所述电路元件中的第一电路元件的输出处,并且其中所述第一诊断点在所述电路设计的第一安全电路设备的输出处;
基于所述第一观察点,确定包括所述电路元件的第一子集的第一影响锥,其中所述电路元件的所述第一子集包括所述第一电路元件;
基于所述第一诊断点,确定包括所述电路元件的第二子集的第一安全锥,其中所述第一安全锥包括所述第一安全电路设备;以及
基于所述第一影响锥和所述第一安全锥之间的交集,确定与所述电路元件相关联的故障类型。
18.根据权利要求17所述的系统,其中还使得所述处理器:
确定所述第一影响锥内的所述电路元件的所述第一子集与危险故障类型中的故障类型相关联,所述危险故障类型影响所述电路设计的安全目标;以及
确定在所述第一影响锥之外的所述电路元件的第三子集,其中所述电路元件的所述第三子集与非危险故障中的故障类型相关联,所述非危险故障不影响所述电路设计的所述安全目标。
19.根据权利要求17所述的系统,其中还使得所述处理器:
确定所述第一安全锥内的所述电路元件的所述第二子集与所述第一安全电路设备能够检测的危险故障类型中的故障类型相关联;以及
确定从所述第一安全锥排除的所述电路元件的第四子集,其中所述电路元件的所述第四子集与所述第一安全电路设备无法检测的危险故障类型相关联。
20.根据权利要求17所述的系统,其中还使得所述处理器:
获得所述电路设计的第二诊断点;
基于所述第二诊断点,确定包括所述电路元件的第三子集的第二安全锥,其中所述第二安全锥包括第二安全电路设备;以及
确定所述电路元件中的、在所述第一安全锥和所述第二安全锥之间的所述电路元件的交集内的一个电路元件,所述电路元件中的所述一个电路元件与潜在可检测故障类型中的故障类型相关联,所述潜在可检测故障类型在所述第一安全电路设备有故障的情况下,能够由所述第二安全电路设备检测;以及
确定所述电路元件的所述第二子集中的、在所述第一安全锥内并且在所述第二安全锥之外的一个电路元件,所述电路元件的所述第二子集中的所述一个电路元件与潜在不可检测故障类型中的故障类型相关联,所述潜在不可检测故障类型在所述第一安全电路设备有故障的情况下,无法由所述第二安全电路设备检测。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202163153779P | 2021-02-25 | 2021-02-25 | |
US63/153,779 | 2021-02-25 | ||
PCT/US2022/017781 WO2022182922A1 (en) | 2021-02-25 | 2022-02-24 | Structural analysis for determining fault types in safety related logic |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116802640A true CN116802640A (zh) | 2023-09-22 |
Family
ID=80738666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280012136.7A Pending CN116802640A (zh) | 2021-02-25 | 2022-02-24 | 用于确定安全相关逻辑中的故障类型的结构分析 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220269846A1 (zh) |
EP (1) | EP4281896A1 (zh) |
KR (1) | KR20230145329A (zh) |
CN (1) | CN116802640A (zh) |
WO (1) | WO2022182922A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024076417A1 (en) * | 2022-10-03 | 2024-04-11 | Ronbus Corporation | Pickleball paddle with reinforced edge |
-
2022
- 2022-02-24 CN CN202280012136.7A patent/CN116802640A/zh active Pending
- 2022-02-24 WO PCT/US2022/017781 patent/WO2022182922A1/en active Application Filing
- 2022-02-24 US US17/680,226 patent/US20220269846A1/en active Pending
- 2022-02-24 KR KR1020237025966A patent/KR20230145329A/ko unknown
- 2022-02-24 EP EP22710249.8A patent/EP4281896A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4281896A1 (en) | 2023-11-29 |
WO2022182922A1 (en) | 2022-09-01 |
US20220269846A1 (en) | 2022-08-25 |
KR20230145329A (ko) | 2023-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11567126B2 (en) | Methods and systems for fault injection testing of an integrated circuit hardware design | |
JP2008292467A (ja) | 集積回路の故障モード・影響分析を実行するための方法、およびそのためのコンピュータプログラム製品 | |
US20230098071A1 (en) | Functional safety mechanisms for input/output (io) cells | |
US10275548B1 (en) | Interactive diagnostic modeling evaluator | |
US11416662B1 (en) | Estimating diagnostic coverage in IC design based on static COI analysis of gate-level netlist and RTL fault simulation | |
US11379649B2 (en) | Advanced cell-aware fault model for yield analysis and physical failure analysis | |
US11789077B2 (en) | Single-pass diagnosis for multiple chain defects | |
Wang et al. | An ATPG method for double stuck-at faults by analyzing propagation paths of single faults | |
US11907631B2 (en) | Reset domain crossing detection and simulation | |
US9404972B2 (en) | Diagnosis and debug with truncated simulation | |
US20220269846A1 (en) | Structural analysis for determining fault types in safety related logic | |
US20220382943A1 (en) | Identifying association of safety related ports to their safety mechanisms through structural analysis | |
US11842134B2 (en) | Automated determinaton of failure mode distribution | |
US11550979B2 (en) | Implementing and verifying safety measures in a system design based on safety specification generated from safety requirements | |
CN113204932A (zh) | 用于良率分析和物理故障分析的先进单元感知故障模型 | |
Biswal et al. | A discrete event system approach to on-line testing of digital circuits with measurement limitation | |
US20220366120A1 (en) | Automation for functional safety diagnostic coverage | |
US11755802B2 (en) | Detecting shared rescources and coupling factors | |
US20230325570A1 (en) | Determining the location of safety mechanism within a circuit design | |
US20220335187A1 (en) | Multi-cycle test generation and source-based simulation | |
Lu et al. | SoC-Level Safety-Oriented Design Process in Electronic System Level Development Environment | |
CN116685976A (zh) | 检测共享资源和耦合因子 | |
Gerlin et al. | Bits, Flips and RISCs | |
Evans et al. | A Standards Based Approach to the Reliability Specification of IP Components |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |