用于架构探索和功能安全分析的虚拟样机平台

作者：Deepak Shankar，Mohini Yadav

由于大流行，大多数（如果不是全部）员工都经历过在家工作 （WFH），导致传统开发和全球协作方法暂时停止。需要软件和硬件团队协作的替代方式。在保持社交距离的时代，远程开发可能是一个挑战，因为访问远程和恐吓硬件以及用于开发和测试的系统很困难。一个可行的解决方案可能是虚拟原型设计，可以用硬件的软件等效模型替换硬件;随时随地。

日益复杂的硬件和软件的集成是半导体和OEM公司开发下一代无线、消费和汽车设备的重大挑战。传统的序列化硬件和软件开发方法（绝大多数软件在芯片设计完成后进行开发和验证）往往无法满足紧迫的产品开发计划。虚拟原型是完整系统的快速、功能齐全的软件模型，可执行未经修改的生产代码并提供无与伦比的调试效率。

汽车公司的解决方案应该能够将设计和集成测试结合到一个虚拟原型平台中。用户可以确定设计和集成过程是否会成功，而不是在集成测试中经常导致设计问题的开环设计过程。这里选择的平台是 VisualSim 架构师 （VSA），它可以通过闭环设计/集成流程来实现这一点，因为它能够对完整的端到端设计进行建模。端到端设计使用许多预构建、预测试的汽车库，这些库生成预定义的报告以加快开发速度以及集成测试。用户可以评估延迟、吞吐量、子系统利用率和关键子系统的功耗。

其他汽车解决方案专注于算法测试、软件开发和软件测试。这些解决方案可作为指令集模拟器提供，无需开发板即可执行软件代码，SysML 可记录软件序列、C 代码生成、数学正确性模型，并通过在原型板上加载软件来测试解决方案。

上述解决方案在设计过程的后期使用。硬件和软件故障是由于不正确的规格而不是不正确的制造而发生的。这些替代解决方案正在验证针对不完美规范的正确性。功能安全测试在设计周期的后期进行，制造变更会影响产品质量。当前的技术不允许在真正的分布式系统中发生多次故障。在集成或软件开发阶段对体系结构进行大规模更改既耗时又昂贵，并且会延迟进度。

VisualSim满足以下标准：

优化规格以满足时序、功耗和功能要求。

为 OEM 和供应商创建通用的可执行规范。

引入了 ISO-26262 第 4、5 和 6 部分，用于设计和验证。

集成现有工具和模拟器，包括 MatLab 和 C 代码，以实现时间驱动的分析。

支持的故障类型包括：

电源故障：突然的电源尖峰，电池寿命缩短

硬件故障：电路板完全关闭或核心故障

冗余影响：在发生故障时处理增加的负载

软件故障：内存值修改、资源匮乏

RTOS 失败：上一个任务的溢出导致当前任务失败

网络故障：消息损坏或网络拥塞

网络安全：模拟攻击并评估系统吞吐量的算法质量

分析硬件故障模型

根据 ISO 26262，不同的故障分为硬件、软件、网络、RTOS 和电源。我们将采用一个来分析其结果。处理内核丢失、存储有限、存储设备减少或丢失或总线过载/信号不正确、硬件资源、内存和总线接口的共享和独占使用都可能是硬件故障的原因。

通过使用系统建模工具，我们可以在具有大型硬件和软件建模组件库的图形离散事件仿真平台中非常快速地组装虚拟原型。该原型用于提供支持，以根据标准测试架构，识别系统中不可恢复的故障并提供早期反馈，进行时序、吞吐量、功耗和服务质量权衡。该模型生成故障，测试系统的行为，并以符合标准要求的电子表格或图形格式报告结果。

从三个流量块生成的数据包（任务）映射到资源 （CPU） 1、2 和 3 进行处理。与此模型集成的两种故障场景：

资源不可用：如果将进程分配给没有任何内存来处理任务的资源，则会生成错误。例如，如果资源 1 的缓冲区长度为 30，并且缓冲区已满，则在处理未完成的数据包之前，它无法接受新数据包。

资源失败：如果其中一个资源发生故障，则必须在剩余资源之间平衡负载。对该模型的分析是时序截止时间和缓冲区使用量的增加。

通过设置顶级模型参数，可以启用所选的汽车平台进行设计、集成测试或两者兼而有之。这样，开发和集成测试可以同时执行。设计组可以改进其端到端模型版本的集成问题，而集成测试可以继续测试设计的先前端到端模型。这减少了两组的闲暇时间。在最终版本中，将满足所有设计约束，并在统一平台中满足所有集成测试。管理层可以对继续制造原型或制造工厂更有信心。

所使用的平台包含模拟电子设备、软件任务、流量和传感器、C 代码包装器、自定义模型生成器和电源的库组件。生成的报告包括延迟、缓冲区占用、吞吐量、功耗、电池使用情况和生命周期以及执行跟踪。该平台应使设计人员能够从软件的抽象模型开始，将应用程序映射到目标分布式硬件平台，模拟测试以达到规范，在软件可用后评估软件结果的正确性，并在部署后从现场回放跟踪。

虚拟原型通过识别规范阶段的错误、电子设备的尺寸、配置网络拓扑、构建分布式应用程序、测试时序截止时间、确定发生多次故障时的可靠性以及软件输出的正确性，消除了集成过程中的意外情况。生成的报告用于设计新的诊断，验证现有诊断，并添加符合ISO26262的测试。原型平台集成了系统设计人员、硬件架构师和软件开发人员，以处理单个定义，并成为 OEM、一级供应商和软件供应商之间的标准通信媒介。

模型输出是经过充分验证的技术数据，可以作为早期认证过程的证据。该原型是在硬件和软件不可用的设计过程的早期构建的。该原型能够及早识别、确定优先级和最小化系统规格，以及系统行为中的故障和错误。该虚拟原型可帮助公司根据车辆、功能、列表和价格点的需求维护单个代码库和细分。

用户从抽象的体系结构模型开始，在可用时添加更多详细信息，可视化分布式系统行为，构建硬件要求并评估计时截止时间。该方法从应用程序的虚拟模型开始。应用程序的任务映射到ECU资源模型网络上。此模型用于识别系统瓶颈，创建应用程序的最佳映射，并获取基本硬件要求。可以将任务映射到不同的配置，并且可以针对不同的故障模式、最低性能要求和任务序列流的跟踪来测试模型。

在这种VisualSim方法中，软件是使用传统方法开发的。MatLab/Simulink 模型或软件可以在可用时替换抽象模型。当数据由于网络拥塞而延迟到达时，可以测试这些模型的结果的正确性，更高优先级的任务抢占流，并研究分布式系统中存在多个故障时的行为。硬件模型还可以捕获详细的ECU设计，并评估资源效率和功耗。部署后，同一模型可用于在现场回放操作并确定故障原因。

审核编辑：郭婷