점점 더 많은 산업 분야에서 안전이 문제로 대두되고 있지만, 전자 시스템이 시간이 지남에 따라 정의된 안전 수준에 도달하도록 보장하는 표준과 방법론이 마련되어 있지 않습니다. 이 중 상당 부분은 기반 기술을 제공하는 칩 산업의 어깨에 있으며, 안전을 개선하기 위해 무엇을 더 할 수 있는지에 대한 질문을 제기합니다.
원유 분류 체계 최근 안전 및 보안의 검증 및 테스트를 위해 도입되었습니다(아래 그림 1 참조). 많은 문제가 전체 매트릭스에 걸쳐 있습니다. 예를 들어, 자율 주행 차량은 제품 수명 동안 안전하고 보안이 유지되는 하드웨어와 소프트웨어를 갖추어야 하지만 하드웨어 결함이 있는 경우에도 안전하고 보안 상태를 유지해야 합니다. 안타깝게도 이 추상적인 목표가 달성되었는지 확인할 수 있는 도구가 없습니다. 대신 도구와 방법론이 하나 또는 두 개의 상자를 다루는 경향이 있으며 그 통합은 다소 임시적입니다. 그러면 몇 가지 잠재적인 문제가 균열 사이에 놓일 수 있습니다. 또한 사용된 메트릭은 현실과 느슨하게 연관되어 있습니다.
그림 1: 안전 및 보안과 관련된 문제 매트릭스. 출처: 반도체 공학
설상가상으로, 부분적으로는 낮은 우선 순위로 간주되고 부분적으로는 비용이 너무 높기 때문에 오늘날 모든 상자 또는 상자 조합이 적절하게 처리되지 않습니다. 예를 들어, 하드웨어 안전은 여러 분야의 표준으로 처리됩니다. 소프트웨어 안전도 다양한 표준에 의해 다루어지지만 결합된 하드웨어와 소프트웨어의 안전을 정의하거나 전체 시스템의 안전에 대해 언급하는 것은 없습니다. 가장 가까운 것은 소프트웨어에서 감지한 하드웨어 오류의 백분율을 표시하려는 결함 캠페인을 고려하는 것입니다. 또한 정의된 워크로드 및 시나리오에 대해 하드웨어가 최적화될수록 소프트웨어 또는 향후 소프트웨어 업데이트로 인해 하드웨어가 원래 고려하지 않은 방식으로 작동할 가능성이 커집니다. 그 결과 하드웨어가 조기에 노후화되거나 예상치 못한 취약성이 발생하는 상태가 될 수 있습니다.
결함 모델
무엇이든 측정하려면 다루기 쉽고 효과적이어야 하지만 반드시 현실에 기반할 필요는 없다는 의미에서 실용적인 척도가 필요합니다. 고장난 상태에서 멈추는 것과 같은 고장 모델은 오랜 시간 동안 하드웨어 고장을 나타내는 데 효과적임이 입증되었습니다. 개방 회로, 단락 또는 느린 작동과 같이 하드웨어가 고장날 수 있는 많은 방법이 있음에도 불구하고 말입니다. 일시적 결함은 방사로 인해 발생할 수 있는 비트 플립을 나타내기 때문에 중요합니다.
"여러 산업에 걸쳐 기능 안전에 적용되는 사양 제품군이 있습니다."라고 제품 관리 그룹 이사인 Pete Hardee는 말합니다. 운율. “일반적인 IEC 표준인 IEC 61508이 있는데 일종의 메타 표준입니다. ISO 26262 자동차 시장을 위해 더 구체적으로 만들어진 그것의 파생물이었습니다. 철도, 의료 장비, 공장 자동화, 원자력, 모든 종류의 것에 대해 동일한 메타 표준의 다른 파생물이 있습니다. 항공 우주 산업에 적용되는 DO-254가 있습니다. 점점 더 많은 사람들이 해당 영역의 공급망에 참여하고 있으며 일부 기능 안전 사양 충족을 고려해야 합니다.”
그런 다음 해당 사양을 적용할 수 있습니다. "ISO 26262, 특히 파트 5와 11은 반도체에 대한 지침입니다."라고 기능 안전 및 자율 솔루션 관리자인 Jake Wiltgen은 말합니다. Siemens Digital Industries 소프트웨어. “해당 표준에서 요구하는 특정 메트릭이 있으며 이는 커버리지 메트릭입니다. ISO에서 사용되는 용어는 진단 범위이지만 기본적으로 전체 고장률에서 감지되는 고장률입니다.”
프로세스를 수립해야 합니다. "안전에 대한 높은 수준의 확신을 얻는 것은 잘 정의된 프로세스와 엄격한 준수에 달려 있습니다."라고 설계 방법론 책임자인 Roland Jancke는 말합니다. 프라운호퍼 IIS 적응 시스템 부서의 엔지니어링. “최상의 방법 중 하나는 요구사항 엔지니어링(RE)입니다. 적절하게 정의된 안전 목표로 시작하여 각각의 요구 사항을 설정하고 이를 테스트 사례로 변환합니다. 필수 요소는 변경 사항이 있을 경우 영향을 받는 부품에 대해서만 재설계 루프로 들어가기 위해 전체 프로세스에 대한 요구 사항 추적을 설정하는 것입니다.”
자동차의 경우 시스템이 얼마나 안전해야 하는지는 자율성의 정도에 따라 다릅니다. Cadence의 Hardee는 "사람들이 목표로 삼는 ASIL 수준에 따라 다릅니다."라고 말합니다. “ASIL A는 실질적인 변화가 없지만 '프로세스 인증을 받아야 합니다.' ASIL B는 경우에 따라 거의 영향을 미치지 않을 수 있습니다. 그러나 ASIL C 및 ASIL D 수준을 충족하는 것은 상당히 어려울 수 있습니다. 사양을 확인하고 충족하는 기본 방법론은 좋은 기계를 살펴보고 기능 확인을 통해 좋은 적용 범위를 달성하는 것이기 때문에 이것은 사람들이 기능 확인을 위해 이미 수행하고 있는 것과 매우 밀접하게 관련되어 있습니다. 그런 다음 나는 결함을 도입할 나쁜 기계와 그것을 비교할 것입니다. 고장률은 작동 시간당 10의 마이너스 99이 되어야 하며 이러한 고장의 XNUMX%를 감지하고 시스템이 안전하게 실패하는지 확인할 수 있어야 합니다.”
그 방법은 디자이너에게 맡겨져 있습니다. "그 품질 목표를 달성할 수 있음을 입증할 수 있는 아키텍처, 기술 또는 솔루션을 제시하는 것은 설계자에게 달려 있습니다."라고 창립자이자 CEO인 Simon Davidmann은 말합니다. Imperas 소프트웨어. “문제는 그들이 수행한 작업의 품질을 검토하는 방법입니다. 결함이 주입된 시뮬레이션을 실행하여 소프트웨어와 하드웨어가 이러한 결함에 대해 얼마나 탄력적인지 확인할 수 있습니다. 실제 세계에서 발생하는 다양한 일을 나타내는 측면에서 결함 모델에 대해 많은 작업이 수행되었습니다.”
실용성이 발휘되는 곳입니다. EDA Group의 엔지니어링 부사장인 Manish Pandey는 "100억 개의 게이트 설계를 취하고 다양한 결함 메커니즘의 수를 살펴보면 단일 접근 방식으로 이를 다룰 수 있는 방법이 없습니다."라고 말합니다. Synopsys. “형식적인 관점에서 모든 결점을 취해서 전파하려는 것은 계산적으로 불가능합니다. 우리는 포인트 샘플링을 위한 더 나은 방법론을 얻고, 내부 고장 모드가 서로 다르며, 안전한 영역과 안전하지 않은 영역을 결정하는 등의 작업을 수행해야 합니다. 이러한 안전 방법론은 적절한 결함 캠페인을 구성하는 방법이 필요하며, 이는 매우 의식적인 방식으로 수행되어야 합니다. 마이크로 아키텍처에 대한 인식이 중요합니다.”
시간 경과에 따른 안전성
이상적인 하드웨어에서 이 작업을 수행하는 것만으로는 충분하지 않습니다. Fraunhofer의 Jancke는 “또 다른 범주는 전체 수명 동안 예상되는 기능을 보장하는 것입니다. "이것은 알려진 노화 메커니즘과 포괄적인 수명 외삽 기능에 대한 적절한 열화 모델에 의존하는 신뢰성 시뮬레이션에 의해 보장됩니다."
노화는 중요한 역할을 합니다. Siemens EDA의 Veloce, DFT 및 기능 안전 제품 관리자인 Robert Serphillips는 "제조 테스트를 보면 클록 주파수, 전력 또는 온도에 관계없이 일반적으로 절대 사양보다 20% 이상 높게 테스트합니다."라고 말합니다. “실리콘은 시간이 지남에 따라 열화되며 온도는 매우 중요합니다. 열이 높으면 장치가 물리적으로 느려집니다. 빠른 경로 및 느린 경로와 같은 것이 이제 문제가 되기 시작합니다. 안전 관점에서 장치가 주변 환경에서 작동하는 방식은 장치가 저하되는 방식, 오류가 표시되기 시작하는 방식, 회로가 실패하기 시작하는 방식에 매우 중요합니다. 우주 공간에서 쏘아지는 임의의 광자뿐만 아니라 모든 것을 설명해야 합니다. 장치가 정격 수명 동안 동일한 방식으로 작동할 수 있습니까?”
그리고 이것이 모델 고정의 사용을 지원합니까? Hardee는 "노후화를 고려할 때 회로의 임계값이 변경될 수 있습니다."라고 말합니다. "회로는 이러한 것들에 더 취약할 수 있으며 장치는 완전히 고장날 수 있으며 일반적으로 고착 오류가 발생합니다."
하지만 항상 그런 것은 아닙니다. Synopsys의 Pandey는 “5nm 또는 3nm 형상으로 가면 이러한 칩이 노화되고 고장나는 이상한 방식이 많이 있습니다. “와이어에서는 일렉트로마이그레이션이 발생하며 이로 인해 개방 회로가 생성될 수 있습니다. 우리가 알지도 못하는 몇 가지 메커니즘이 있습니다. 또 다른 흥미로운 일은 결함을 감지하는 방법과 설계에 내장된 센서가 이러한 칩의 작동 방식과 성능 저하를 모니터링하는 방법입니다. 잠재적 결함이 발생하고 있습니까? 추가 칩 모니터링 및 칩 인텔리전스로 기존 결함 캠페인 접근 방식을 보완해야 합니다.”
인칩 모니터링은 기타를 보완합니다. 비스트 기법. "고급 SLM 모니터는 분석을 통해 업그레이드되어 간헐적이고 저하되는 결함에 대한 유능한 안전 메커니즘 역할을 합니다. “다단계 접근 방식은 중요한 설계 블록에 단단히 내장된 고급 센서의 정보를 사용합니다. 경로 마진 모니터링, 사전 오류 감지, 메모리 액세스 시간 측정, ECC 및 BiST 이벤트는 적절하고 시의적절한 안전 및 품질 메트릭으로 통합적으로 평가됩니다. 그런 다음 실행 가능한 통찰력이 시스템 액추에이터에 발행되어 안전 및 신뢰성 위협을 신속하게 수정합니다. 플릿 레벨 모니터링을 위해 딥 실리콘 데이터가 에지 및 클라우드 플랫폼으로 전송됩니다. 모든 단계의 고급 분석은 매우 드물게 발생하는 이벤트와 현상에 대한 빠르고 정확한 이해를 제공하여 배포된 제품을 안전하게 사용하고 향후 설계를 위해 더 높은 품질을 가능하게 합니다.”
원격 분석은 기능 검증에 대한 요구 사항을 제시합니다. 시스템 디자인의 제품 라인 관리 수석 이사인 Johannes Stahl은 "정의된 VIN 번호가 있는 특정 자동차에 문제가 있음을 OEM에 다시 보고하고 수명 주기를 모니터링하는 것은 OEM이 원하는 것"이라고 말합니다. Synopsys의 그룹. "검증 관점에서 프리실리콘 단계에서는 이러한 메커니즘이 작동하는지 확인하고 올바른 정보를 제공해야 합니다."
AI로 확장
자율 주행 차량은 AI를 점점 더 많이 활용하고 있으며, 이로 인해 확인 및 유효성 검사에 대한 새로운 문제가 발생합니다. 이들 중 많은 부분이 오늘날 완전히 이해되지 않고 있습니다. 그림 2(아래)는 AI 시스템 검증이 기존 소프트웨어와 어떻게 다른지 정의합니다.
그림 2: V&V 관점에서 기존 알고리즘과 기계 학습 알고리즘의 대조. 출처: Rahul Razdan 등이 저술한 "PolyVerif: 자율주행 차량 검증 및 검증 연구 가속화를 위한 오픈 소스 환경"이라는 제목의 논문에서 허가를 받아 재현했습니다. IEEE 액세스 – 2023년
AI 시스템이 실패했음을 어떻게 감지합니까? "인공 지능은 통계 시스템이며 언젠가는 실패할 것입니다."라고 Pandey는 말합니다. “이러한 시스템이 계속해서 제대로 작동하는지 어떻게 확인할 수 있습니까? 이러한 AI 시스템 중 일부를 공식적으로 검증하고 범위 내에 있도록 하는 새로운 작업이 진행되고 있습니다. 이러한 시스템을 포함하는 연구가 진행 중입니다. 그러나 추가 센서 및 기타 안전 장치로 기존 시스템을 보완하는 경우 시스템이 실제로 수행해야 하는 작업을 검증하고 확인하는 데 필요한 것이 있습니다.”
앞으로는 더욱 복잡해집니다. Synopsys의 Stahl은 “철학적인 수준에서 AI 시스템은 본질적으로 학습 시스템입니다. “소프트웨어는 사람이 작성하며 오류를 포함할 수 있습니다. 철학적으로 AI는 소프트웨어보다 위험이 더 큽니까? 학습할 수 있는 AI 시스템인가요?”
결함 공간 제한
하드웨어의 결함 공간은 매우 제한적인 결함 모델을 사용하는 경우에도 엄청납니다. 따라서 실제로 고려해야 하는 결함의 수를 제한하기 위해 추가 기술을 사용해야 합니다.
"FMEDA(고장 모드 효과 및 진단 분석)는 처리 중인 회로의 신뢰성 수치를 고려합니다."라고 Hardee는 말합니다. “실패 모드와 해당 모드의 영향을 살펴보고 있습니다. 따라서 우리는 손상을 일으킬 수 있는 기능적 출력으로 전파되는 위치에서 발생할 수 있는 결함의 하위 집합만 보고 있습니다.”
이를 수행하는 가장 좋은 방법은 없습니다. "고장 시뮬레이션을 사용하면 설계에 결함을 주입하고 결함이 감지되고 관찰되는지 확인합니다."라고 Siemens의 Wiltgen은 말합니다. “하지만 그것만이 유일한 방법은 아닙니다. 이러한 메트릭에 도달하기 위해 배포할 수 있는 다른 분석 방법도 있습니다. 가능한 한 빠르고 효율적으로 이러한 메트릭에 도달하려면 정적 및 공식 공간과 시뮬레이션 공간 모두에서 다양한 도구와 방법론의 조합이 필요합니다.”
현장 테스트 및 디지털 트윈은 기존 도구를 보완할 수 있습니다. "누군가가 딥 스위치를 만지작거리며 바로 여기에 버그를 삽입한다고 말합니다."라고 마케팅 부사장인 Frank Schirrmeister는 말합니다. 동맥. “테스트에서 실제로 이 버그를 발견했는지 확인하고 싶습니다. 이는 안전 캠페인을 실행하는 것과 같지만 시스템에서 물리적으로 실행하는 것과 같습니다. 안전 및 보안 항목을 삽입하는 이와 같은 도구가 더 많이 있습니까? 아마도 가상화로 확장할 것입니다. 전자 디지털 트윈을 사용하면 무언가를 삽입하고 가상 표현이 실제 하드웨어와 일치하는지 알아낼 수 있습니다.”
결론
경험적 증거에 따르면 단순화된 오류 모델(시스템의 하드웨어 측면에 합리적으로 적용되고 잘못된 동작을 감지하고 때로는 수정하기 위한 소프트웨어 및 내장 센서와 결합됨)이 하드웨어가 수명 기간 동안 안전하도록 적절한 작업을 수행합니다. 작동할 환경과 감당할 수 있는 안전 수준에 따라 적절한 고려가 제공되는지 확인하기 위해 프로세스를 간과하는 소수의 전문가에 의존합니다.
그러나 이 프로세스는 전체 시스템 안전을 고려하지 않기 때문에 임시적이고 불완전합니다. 그것이 목표여야 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://semiengineering.com/why-its-so-difficult-to-ensure-system-safety-over-time/
