Optima Design Automation Funktionale Sicherheit neu gedacht

Jamil Mazzawi, Optima Design Automation: »Dank einer Beschleunigung von einem Faktor von 1000 – und dieser Wert ist konservativ, wir können sicherlich noch schneller werden – lassen sich Fehlersimulationen innerhalb von wenigen Stunden anstatt von Wochen oder Monaten durchführen. Somit können Halbleiterhersteller selbst sehr große, komplexe ASIL-D-Chips entwickeln.«

Aus der Sicht von Jamil Mazzawi, President und CEO von Optima Design Automation, sind die aktuellen Fehleranalysemethoden für eine Zertifizierung nach ISO 26262 veraltet und angesichts heutiger Zeitpläne viel zu langsam.

Damit will das Unternehmen jetzt Schluss machen. Viele Entwicklungen im Automotive-Markt zielen in Richtung „autonomes Fahren“. Aber Unfälle wie von Uber oder Tesla zeigen, was passieren kann, wenn der funktionalen Sicherheit nicht genüge getan wird«, erklärt Mazzawi. Laut seiner Aussage könnten Halbleiterhersteller derzeit keine großen komplexen Chips entwickeln, die den Vorgaben von ASIL D entsprechen. Also müssten die Systemhersteller den Weg der Redundanz gehen, um die funktionale Sicherheit zu erhöhen.

»In der Wertschöpfungskette im Automotive-Markt herrscht eine Dichotomie: Safety ist zwar kritisch, aber sie kostet viel Zeit. Die Minimierung des Risikos steht einem beschleunigten Time-to-Market gegenüber. Derzeitige ISO-26262-Methodiken und Tools verlängern den Entwicklungsprozess um Monate«, so Mazzawi weiter.

Emulation ist nicht des Rätsels Lösung

Mazzawi weiter: »Große EDA-Unternehmen empfehlen, statt einer Simulation eine Emulation durchzuführen. Aber auch dieser Ansatz ist nicht zielführend. Denn die Emulation ist teuer, eine Ausführung benötigt mehrere Emulatoren, die parallel arbeiten, und eine Fehlerinjektion ist nicht einfach und führt außerdem dazu, dass die Algorithmen deutlich langsamer werden. Es ist also vielmehr ein Ansatz notwendig, der genau auf die Besonderheiten des Automotive-Marktes zugeschnitten ist und diese Probleme löst.«

Und das soll Optima Design Automation mit seiner Optima Safety Platform erreicht haben. Dabei handelt es sich um eine Plattform, mit der Systeme auf ASIL D getrimmt werden können, ohne auf teure Redundanzansätze zurückgreifen zu müssen. Die Optima Safety Platform basiert auf der selbst entwickelten FIE-Technologie (FIE: Fault Injection Engine), ein Fehlersimulator mit komplett neuen Algorithmen der ganz anderen Art.

Fehlersimulation beschleunigen

Eine Safety-Analyse für ISO 26262 oder andere Sicherheitsnormen benötigt Simulationen und die Injektion von Fehlern, um deren Auswirkungen auf das System zu überprüfen. Mazzawi bezeichnet die Fehlersimulation als eine von Natur aus langsame Aufgabe, da bislang die grundlegende Methode darin besteht, das gesamte Design ohne Fehler zu simulieren und dann nacheinander Fehler auf bestimmte Signale einzuspeisen und die Simulation nach jedem einzelnen injizierten Fehler erneut auszuführen, um nach Verhaltensänderungen zu suchen. Mazzawi: »Das führt zu enormen Zeitaufwänden, die keiner leisten kann.« Das gelte auch dann, wenn die Fehlersimulation optimiert wurde (beispielsweise durch Fehler-Pruning). Darüber hinaus basierten heutige Fehlersimulationen auf 30 Jahre alten Fertigungstests und seien dementsprechend hoffnungslos veraltet und ungeeignet, um den Anforderungen hinsichtlich Leistungsfähigkeit und Analysemöglichkeiten auf dem Automotive-Markt zu genügen.

Optima wiederum hat mit seiner FIE neue Algorithmen entwickelt, die moderne Verifikationstechniken einschließlich einer parallelen Simulation, formalen Verifikation, Fehlerlistenoptimierung etc. kombiniert, um die Leistung zu maximieren. Darüber hinaus werden Fehlerbewertungsmethoden, die speziell auf die Art der Sicherheitsfehleranalyse abgestimmt sind, angewandt, um die Analysezeit weiter zu reduzieren. Dank dieser Technologien konnte Optima eine deutliche Beschleunigung erreichen. Mazzawi: »Mit unserer FIE-Technologie lässt sich die Analyse bei realen, kommerziellen Entwürfen um einen Faktor von bis zu 1000 gegenüber dem nächstbesten alternativen Fehlersimulator beschleunigen.«