毫無疑問，現代汽車行業正在朝著全電動和自動駕駛汽車的方向發展。這類汽車中包括大量的電子控制單元，而且隨著技術的進步，其數量還在持續增加。雖然這種轉型帶來了許多優勢，但隨之而來的也有各種功能安全和信息安全威脅方面的新問題。自動駕駛汽車的 ECU 一旦出現故障，就可能會危及生命安全。此外，智能汽車還引入了一系列新的漏洞，容易遭受網絡攻擊1 。因此，設計可靠且安全的硬件已成為當務之急。ISO 26262 標準定義了多種程序和要求，以確保處于不同的汽車功能安全完整性級別 (ASIL) 的系統的可靠性。該標準定義了幾個指標來證明系統的可靠性，其中包括單點故障指標 (SPFM) 和潛在故障指標 (LFM)。

即使實現最低認證要求，也是一項頗具挑戰性的任務2。關于如何根據 ISO 26262 標準進行功能安全評估，業界已經發表了多項著作3, 4, 5, 6。Grosse 等人的著作5 中提出了適用于功能安全評估的形式驗證方法。這些方法的缺點在于，由于狀態爆炸的問題，它們受制于電路規模，不可能找到所有故障的結果6。另一種技術是使用故障仿真，它能提供全面而具體的結果。但這種方法的缺點在于，需要依賴于高翻轉率的輸入激勵，并且需要大量計算資源。即便如此，這仍是 ISO 26262 的優先方法。da Silva 等人的著作6 將這兩種方法與自動測試向量生成 (ATPG) 技術相結合，實現了非常高的覆蓋率。雖然他們在分析中實現了很高的覆蓋率，但所用的設計復雜性一般。據我們所知，針對工業規模的設計，目前還沒有任何公開的功能安全評估工作結果。

在本文中，我們將展示利用近 300 萬個故障對一個完整的工業規模核進行的全面功能安全評估，助其獲得 ISO 26262 ASIL-B 認證（要求 SPFM ≥ 90% 且 LFM ≥ 60%）。我們根據 ISO 26262 的建議，通過故障仿真進行了此項評估。從文獻中可以清楚地看到，完成這一認證過程頗具挑戰性，對于如此規模的設計而言更是如此。在本文中，我們將介紹注錯分析和仿真的關鍵參數，以優化執行時間；以及在注錯仿真之外采用的技術，以盡可能地減少未分類的故障。我們實現了 91.9% 的平均 SPFM 和 75% 的估計 LFM，達成了 ASIL-B 目標。