当前位置：首页 > article >正文

【汽车芯片功能安全分析与故障注入实践 06】Startpoint、Endpoint、Cone：安全分析的结构骨架

article 2026/5/10 9:32:47

作者Darren H. Chen方向汽车芯片功能安全分析与故障注入实践DemoD06_sp_ep_cone_extract标签汽车芯片功能安全SP/EP/Cone结构分析FITDCDemo 说明D06_sp_ep_cone_extract的目标是把功能安全分析中最关键的结构对象抽象出来Startpoint Endpoint Cone对应的通用工具名称为safeic-structure这个工具的作用不是做完整的 EDA 级网表分析而是建立一个可解释的结构分析原型输入 RTL / 简化 netlist / graph 输出 SP、EP、Cone 结构文件为 FIT contribution、DC 计算和 fault list 生成提供基础在功能安全分析中如果没有 SP/EP/Cone 这样的结构骨架FIT、DC、安全机制选择和故障注入都会变成孤立动作无法形成一条可追溯的证据链。1. 为什么需要结构骨架功能安全分析表面上是在算指标FIT Diagnostic Coverage SPFM LFM PMHF但这些指标不能凭空计算。它们必须依赖设计结构。如果只知道一个模块有多少 gate、多少 flop、多少 memory bit最多只能做粗粒度估算。真正进入芯片级安全分析时需要回答更细的问题哪个状态元素可能成为故障传播起点哪个状态元素输入或输出端口可能成为安全影响点哪些组合逻辑位于故障传播路径上哪个 endpoint 连接的逻辑最多、风险权重最大某个 safety mechanism 到底覆盖了 EP、SP 还是 cone这些问题都指向同一个核心功能安全指标不是只由数量决定而是由结构连接关系决定。因此在 FIT/DC 计算之前需要先把设计拆成可分析的结构对象。2. 三个基本对象SP、EP、Cone在芯片结构分析中可以先用三个对象建立统一模型。对象中文含义典型来源安全分析意义Startpoint, SP起点状态元素输出、黑盒输出、顶层输入故障传播起点Endpoint, EP终点状态元素输入、黑盒输入、顶层输出故障影响观察点Cone组合逻辑锥SP 到 EP 之间的组合逻辑故障传播路径和权重来源更直观地看Startpoint - Combinational Cone - Endpoint例如一个简单路径always (posedge clk) begin r1 in; r2 (r1 enable) ^ mask; end可以抽象为r1.Q Startpoint AND/XOR Cone r2.D Endpoint如果r1.Q发生随机硬件故障错误可能通过 AND/XOR 组合逻辑传播到r2.D并在下一个时钟边沿被r2捕获。这个过程中r1.Q、组合逻辑、r2.D分别承担不同的功能安全意义。3. 结构图视角下面用 Mermaid 表示一个最小结构模型Primary InputCombinational ConeReg1.Q / SPReg2.D / EPPrimary Output / EPReg2.Q / SP in next stage这个图里有两个关键点Endpoint 在一个阶段是终点同一个寄存器在下一个阶段又可以成为 Startpoint例如Reg2.D 是当前 cone 的 Endpoint Reg2.Q 是下一段 cone 的 Startpoint这也是为什么安全分析不能只看单个寄存器而要看整个结构传播网络。4. 为什么 Endpoint 是 FIT/DC 的关键锚点在功能安全分析中Endpoint 通常是最重要的锚点。原因是故障最终是否影响安全目标通常要看它是否传播到某个 endpointEndpoint 可以是寄存器输入 latch 输入黑盒输入顶层输出如果一个故障只在组合逻辑内部短暂出现但没有被任何 endpoint 捕获也没有到达安全相关输出那么它可能被认为是 masked 或不形成实际安全影响。反过来如果一个故障到达了 endpoint并且该 endpoint 对安全目标相关那么这个 endpoint 对 FIT/DC 的贡献就需要被认真评估。这可以理解为SP 负责产生或携带错误 Cone 负责传播错误 EP 负责把错误变成可持续状态或可观察输出5. Cone 的作用为什么组合逻辑也要算权重有时容易误以为只有寄存器和 memory 才是安全分析对象。实际上组合逻辑同样重要。原因是组合逻辑决定了故障传播能力一个小 cone 只影响一个 endpoint 一个大 cone 可能影响多个 endpoint 一个高扇出 cone 可能把一个错误扩散到多个功能路径例如SP_A - cone_1 - EP_1 SP_B - cone_2 - EP_2, EP_3, EP_4, EP_5虽然 SP_A 和 SP_B 都只是一个状态元素输出但 SP_B 后面的传播范围更大安全风险权重也更高。结构分析中常见的权重因素包括endpoint 数量 fanout 数量 cone 内 gate 数量是否连接安全相关输出是否连接 blackbox 是否连接 alarm/checker 路径是否跨越模块边界6. SP/EP/Cone 与安全机制覆盖范围不同安全机制覆盖的结构范围不同。例如安全机制可能覆盖的对象说明Endpoint parityEP检查寄存器输入或输出的一致性Duplication checkerEP Cone复制逻辑并比较结果LockstepSP Cone EP比较两个执行通道ECCMemory bits memory output EP保护存储单元和读出数据End-to-end protection跨模块路径保护数据从源到目的的完整性这也是为什么 Diagnostic Coverage 不能只写一个全局百分比。更合理的方式是SM 对 EP 的覆盖率是多少 SM 对 SP 的覆盖率是多少 SM 对 Cone 的覆盖率是多少 SM 是否只在当前 module 内有效 SM 是否跨越多个 module这样DC 计算才可以从“拍脑袋比例”变成结构化推导。7. D06 Demo 的输入输出设计D06_sp_ep_cone_extract可以先采用简化输入不必一开始直接支持完整 Verilog 语法。推荐输入结构D06_sp_ep_cone_extract/ inputs/ design_graph.yaml module_hierarchy.yaml safety_scope.yaml outputs/ sp.csv ep.csv cone.csv structure_graph.json structure_graph.md scripts/ safeic_structure.pydesign_graph.yaml示例nodes:-name:top.u_ctrl.r_state.Qtype:reg_q-name:top.u_ctrl.next_state_logictype:comb-name:top.u_ctrl.r_state.Dtype:reg_d-name:top.error_flagtype:outputedges:-from:top.u_ctrl.r_state.Qto:top.u_ctrl.next_state_logic-from:top.u_ctrl.next_state_logicto:top.u_ctrl.r_state.D-from:top.u_ctrl.next_state_logicto:top.error_flag输出sp.csvsp_id,node,type,module SP_0001,top.u_ctrl.r_state.Q,reg_q,top.u_ctrl SP_0002,top.input_valid,primary_input,top输出ep.csvep_id,node,type,module,safety_related EP_0001,top.u_ctrl.r_state.D,reg_d,top.u_ctrl,true EP_0002,top.error_flag,primary_output,top,true输出cone.csvcone_id,from_sp,to_ep,gate_count,fanout_count CONE_0001,SP_0001,EP_0001,12,1 CONE_0002,SP_0001,EP_0002,18,28. 工具架构设计safeic-structure可以拆成五个内部步骤Read Design GraphClassify NodesDetect StartpointsDetect EndpointsTrace ConesGenerate Structure Reports每一步的职责要单一步骤作用Read Design Graph读取 RTL/netlist 抽象图Classify Nodes判断节点类型reg_q、reg_d、comb、memory、portDetect Startpoints找状态输出、顶层输入、黑盒输出Detect Endpoints找状态输入、顶层输出、黑盒输入Trace Cones建立 SP 到 EP 的路径和 coneGenerate Reports输出 CSV/JSON/Markdown这种设计的好处是后续可以替换前端 parser 核心结构算法可以保持不变 Demo 可以先用 YAML graph 跑通未来再接 Yosys JSON 或 netlist parser9. 结构分析中的工程边界第一版 Demo 不建议追求完整商用级能力。可以先明确边界支持同步时序设计支持寄存器 Q/D 识别支持顶层输入输出支持组合逻辑 cone 追踪暂不支持复杂 generate 层次展开暂不支持完整 SystemVerilog 语义暂不支持 analog/mixed-signal 内部结构这样更利于快速落地。更重要的是文章和 Demo 要说明一个方法论先建立结构分析的统一数据模型再逐步增强前端解析能力。这比一开始就试图解析所有 Verilog 语法更稳。10. 方法论总结SP/EP/Cone 是汽车芯片功能安全分析的结构骨架。它们把抽象指标和真实设计连接起来FIT 需要知道 endpoint 和结构规模 DC 需要知道安全机制覆盖了 EP、SP 还是 cone Fault list 需要知道哪些节点值得注入 Fault campaign 需要知道故障传播到哪里 Report 需要能够解释为什么某个 fault 被分类为 detected、safe 或 unsafeD06_sp_ep_cone_extract的核心作用就是建立这套结构语言。当 SP/EP/Cone 被提取出来之后后续的 Endpoint FIT Contribution、Diagnostic Coverage、Safety Mechanism Selection 和 Fault List Generation 才有了统一的数据基础。

【汽车芯片功能安全分析与故障注入实践 06】Startpoint、Endpoint、Cone：安全分析的结构骨架

相关文章：

【汽车芯片功能安全分析与故障注入实践 06】Startpoint、Endpoint、Cone：安全分析的结构骨架

独立开发者如何通过Taotoken管理多个项目的API密钥与用量

McpMux：统一管理AI工具链，告别MCP配置碎片化与安全隐患

ChatGPT辅助Python爬虫开发：从零到一的数据抓取实战指南

可解释AI赋能脑机接口：从黑箱模型到透明决策的实践路径

OpenClaw智能体实战：开源自动化与AI的融合应用

果蝇大脑启发持续学习：主动遗忘与多专家协同算法解析

项目介绍 MATLAB实现基于河马优化算法（HOA）求解旅行商问题（含模型描述及部分示例代码）专栏近期有大量优惠还请多多点一下关注加油谢谢你的鼓励是我前行的动力谢谢支持加油谢谢

别再傻傻关进程了！Quartus II 13.1 NCO IP核卡住？这才是根本解决思路

R6900P/R7000P刷梅林固件前必读：商家定制版与官方版的区别，以及如何安全备份防变砖

MCP协议实战：让AI助手直接操作SQL Server数据库

在Android Studio里集成MediaPipe手势识别，从编译AAR到跑通Demo的完整避坑指南

XUnity自动翻译器：3步解决Unity游戏语言障碍的智能方案

别再只调参了！复盘‘生活垃圾分类’目标检测赛：那些被忽略的数据问题与模型泛化思考

如何快速管理中文文献：Jasminum Zotero插件终极指南

5分钟掌握AMD Ryzen终极调试工具：SMUDebugTool完整快速入门指南

Windows驱动管理终极指南：DriverStore Explorer完全使用手册

医疗AI模型可解释性实践：用LIME与SHAP打开随机森林黑箱

Crosside Sync：本地化同步VSCode与Cursor配置的终极方案

Dify插件开发全攻略：从模型接入到工具集成实战指南

构建AI智能体技能库：模块化设计、核心实现与工程实践

手把手教你用S7TCP驱动搞定西门子S7-200/300与Intouch的以太网通讯（保姆级图文）

Agent Checkpoint：为AI编程助手构建可验证的工程化协作流程

开源科学大模型SuGPT-kexue：从数据处理到部署的全栈实践

一站式终极方案：Nintendo Switch NAND管理与备份恢复完全指南

NDK r19之后，在Windows上用CLion配置CMake编译Android原生库的保姆级教程

别急着改代码！先搞懂Eclipse C/C++索引器（Indexer）的工作原理

AMD Ryzen处理器系统管理单元调试工具深度解析：硬件级性能调优技术揭秘

基于LLM与Neo4j的AI知识图谱构建与自然语言查询实践

STM32H7实战：用FMC+DMA双缓冲驱动AD7606，实现8通道同步采样的避坑指南