AI met la sécurité fonctionnelle à l'avant-plan

Dans un monde d'automatisation croissante des machines, piloté par l'intelligence artificielle (IA), la sécurité fonctionnelle est un élément essentiel du processus d'ingénierie des véhicules autonomes, de l'IdO industriel, de la robotique et de nombreux autres domaines.

Il peut - et doit en fait - être considéré comme une partie essentielle du processus de développement des systèmes et de leurs composantes respectives de propriété intellectuelle.

Le modèle d'affaires IP

L'IP réutilisable est un élément critique dans l'activité de conception SoC.

Les intégrateurs SoC bénéficient de deux manières: ils économisent de l'argent en concédant des licences IP pour un coût nettement inférieur au coût de développement et de support de cette adresse IP et ils gagnent du temps car l'IP est déjà conçue et vérifiée.

Les développeurs IP peuvent concentrer leurs activités sur la propriété intellectuelle, où ils ont des connaissances et une expérience spécialisées.

Ils octroient des licences à la propriété intellectuelle à un coût inférieur aux coûts de développement de cette propriété intellectuelle, mais ils l'accordent à de nombreux intégrateurs SoC pour obtenir un retour sur investissement suffisant.

Pour maximiser la valeur de la propriété intellectuelle, l'intégrateur SoC doit pouvoir l'utiliser sans avoir à investir du temps et des efforts pour comprendre les détails de la conception.

Pour cela, le fournisseur IP fournit un package pour faciliter le processus d'intégration et d'utilisation, notamment:

• support et maintenance y compris la documentation
• environnement de simulation.
• Scripts à soutenir: analyse de puissance; simulation; analyse temporelle; la synthèse; sécurité fonctionnelle.

Les progrès de l'IA, en particulier à l'aide de réseaux de neurones artificiels, ont entraîné une croissance spectaculaire de la demande de systèmes électroniques intelligents.

Lorsque ces systèmes utilisent cette intelligence pour comprendre leur environnement et utilisent ces connaissances pour contrôler l'équipement de manière autonome, le risque potentiel pour la vie doit être géré à des niveaux acceptables.

L'un des domaines où cette considération est la plus importante est dans l'industrie automobile, avec les systèmes avancés d'aide à la conduite (ADAS) et l'évolution vers des véhicules entièrement autonomes.

La gestion des risques est réalisée par l'adoption de considérations de sécurité fonctionnelle dans la conception de ces systèmes automatisés, la norme de sécurité fonctionnelle ISO 26262 étant une dérivée spécifique de la norme de sécurité fonctionnelle générique CEI 61508 pour les systèmes électriques et électroniques.

Sécurité fonctionnelle

La sécurité fonctionnelle est intrinsèquement de bout en bout afin de garantir que le système fonctionne pour minimiser les risques de blessures en présence de défauts pouvant survenir. Ces défauts tombent dans deux catégories principales: systématique et aléatoire.

Des défauts systématiques sont présents dans toutes les implémentations, probablement en raison d'un défaut de conception. Ces erreurs sont traitées grâce à des méthodologies de développement efficaces pilotées par un système de gestion de la qualité qui est documenté pour permettre une traçabilité et un audit indépendants et s'applique à la fois au système global et à chaque PI.

Les défauts aléatoires sont des défauts transitoires, tels que des erreurs logicielles dues à des rayonnements et des interférences résultant d'interférences électromagnétiques ou de parasites électriques; fautes permanentes à la suite de courts métrages; les défauts dépendants dus à des pannes ou des éléments connexes dans un système; et les failles latentes où l'impact de la faille peut ne pas être observé pendant un certain temps. Ces erreurs sont traitées grâce à une combinaison de capacités d'auto-test, de mécanismes de sécurité du matériel et de redondance fonctionnelle.

Le niveau de sécurité fonctionnelle au niveau du système est déterminé par des modes de défaillance détaillés, des effets et une analyse diagnostique (FMEDA), et dépend de l'analyse de chaque IP.

La technique FMEDA considère:

• tous les éléments du dessin;
• la fonctionnalité de chaque élément;
• les modes de défaillance de chaque élément;
• l'effet du mode de défaillance de chaque composant sur la fonctionnalité du produit;
• la capacité de tout diagnostic automatique à détecter l'échec;
• la résistance de conception (déclassement, facteurs de sécurité); et
• le profil opérationnel (facteurs de stress environnementaux).

La norme de sécurité fonctionnelle ISO 26262 définit les niveaux d'intégrité de la sécurité automobile (ASIL) pour soutenir cette analyse de ASIL A jusqu'au niveau le plus robuste, ASIL D.

Au niveau du système, les exigences de sécurité peuvent être mappées en éléments indépendants. Cela permet au système d'atteindre un niveau de sécurité fonctionnel élevé tel que ASIL D avec des composants qui obtiennent indépendamment un niveau de sécurité fonctionnelle décomposé inférieur tel que ASIL B [D].La norme de sécurité fonctionnelle ISO 26262 de la partie 2, 9 permet à cette décomposition ASIL de faciliter le processus de développement de chacun des éléments indépendants.

Ce mécanisme est particulièrement utile pour les IP complexes, tels que le processeur multicœur à hautes performances MIPS I6500F conçu pour ASIL B décomposé de D: ASIL B (D).

L'utilisation de FMEDA au niveau du système nécessite son utilisation au niveau des composants et doit donc faire partie du paquet IP.

Élément de sécurité hors contexte

Le modèle d'entreprise IP repose sur l'octroi de licences à la même adresse IP à de nombreux clients.

Une grande partie de la valeur de l'IP est basée sur la capacité du client à l'utiliser sans nécessiter une connaissance détaillée de cette adresse IP ou l'obligation de modifier cette adresse IP.

La norme de sécurité fonctionnelle ISO 26262 décrit un élément de sécurité hors contexte (SEooC) dans la norme ISO 26262-10, article 9 en tant qu'élément relatif à la sécurité qui n'est pas développé pour un objet spécifique (c'est-à-dire dans le contexte d'un véhicule particulier).

Un SEooC peut être un système, un ensemble de systèmes, un sous-système, un composant logiciel ou un composant matériel.

La qualification d'un noyau IP en tant que SEooC à un niveau de sécurité fonctionnel spécifique tel qu'ASIL B [D], comme l'a fait Imagination avec le multiprocesseur MIPS I6500F hétérogène et performant, permet de prendre en charge la sécurité fonctionnelle avec une IP réutilisable.

Il y a deux avantages significatifs pour un intégrateur SoC de l'utilisation d'une tierce partie IP en tant que SEooC:

L'intégrateur SoC peut utiliser l'analyse FMEDA documentée fournie dans le cadre du paquet IP SEooC directement dans son analyse au niveau du système, ce qui représente un gain de temps et de coûts considérable, tout en préservant les avantages de l'utilisation de la propriété intellectuelle par un tiers.

• Le développeur IP a une connaissance et un accès complets à la conception IP afin qu'ils puissent implémenter les fonctionnalités de sécurité fonctionnelle beaucoup plus efficacement que l'intégrateur SoC.
• La sécurité fonctionnelle doit faire partie intégrante du processus de développement du système et de chaque composant IP. Fournir IP en tant que SEooC permet cela, tout en préservant les avantages mutuels du modèle d'entreprise IP réutilisable.

A propos de l'auteur

Tim Mace est directeur principal du développement des affaires chez MIPS chez Imagination Technologies