随着汽车电子的发展,为确保汽车驾驶的安全性,功能安全验证显得愈来愈重要。功能安全验证是一个全新的研究领域,其目的是验证芯片安全机制的有效性。目前国内外能对芯片做功能安全验证的厂商非常少,Synopsys公司由于起步较早,在该方向技术积累雄厚。本文从ISO26262安全标准和Z01X工具出发,采用功能安全验证思想,设计了功能安全验证平台。在此基础上,对汽车电子领域的RISC处理器进行功能安全验证。该RISC处理器配置了关键安全应用所必须的安全机制,安全机制虽然增加了处理器的面积,但是提升了该处理器在功能安全方面的优势。本文的主要工作如下:1)研究了该RISC处理器的安全机制。该RISC处理器配置的安全机制包括:ECC模块保护程序运行时数据的正确性和一致性;看门狗定时器模块用于检测基于时间的错误;内存保护单元保护系统资源和任务不受非法访问;Lockstep技术能够检测出处理器核由于辐射等因素产生的故障;Safety Monitor模块负责监视及报告处理器内核、总线及自身的各类错误。安全机制可以有效地检测出RISC处理器产生的相关故障,保证处理器的正确运行,本文便基于此原理验证该RISC处理器安全机制的有效性。2)基于目前业界最先进的功能安全验证故障仿真工具Z01X,完成了功能安全验证平台的设计。主要工作为对功能安全验证平台的观测点设置、激励模式选取、故障状态设置、故障位置设置、故障仿真变量设置、覆盖率定义等模块逐一进行详细设计。经过Synopsys公司多个功能安全验证项目的不断实践与完善,该平台已经成为非常完备、准确且有效的功能安全验证平台,在芯片的功能安全验证过程中发挥着越来越重要的作用。3)Z01X工具可以注入的故障类型有永久故障(stuck at)、瞬态故障(transient),这两类故障可以涵盖实际应用中的大部分故障。本文基于功能安全验证平台和Z01X工具,给没有安全机制保护和有安全机制保护的RISC处理器分别注入永久故障(stuck at)和瞬态故障(transient)。然后对上述设计进行编译、逻辑仿真、故障仿真,编译和逻辑仿真结果均没有出错,证明了待测设计逻辑的正确性,可以进行后续的故障仿真。4)基于ISO26262安全标准,分析了故障仿真结果。首先通过对比分析有、无安全机制保护的RISC处理器的故障仿真结果,发现前者的故障覆盖率更高,故障检测能力更强。其中有安全机制保护的RISC处理器,stuck at和transient两种故障类型的故障覆盖率分别能达到98.27%与98.63%,满足ISO26262标准规定的系统检测单点故障能力的ASIL C(≥97%)标准。并且该RISC处理器的故障覆盖率比市场上大多数产品遵循的ASIL B标准高了8个百分点,这对于芯片功能安全验证方向的研究是非常有意义的。综上所述,本文基于ISO26262标准和Z01X工具,引入功能安全验证思想,分析了该RISC处理器的安全机制,设计了功能安全验证平台,对RISC处理器进行了功能安全验证。故障仿真结果显示该RISC处理器的安全机制满足ISO26262规定的ASIL C标准,证明该RISC处理器的安全机制是有效的。