Accellera FS Data Model — FMEDA 跨供应链数据互换
本质与导读
本质:ISO 26262 / IEC 61508 规定了 FMEDA "要做什么",但没规定数据用什么格式互换。Tier-1 给 OEM 的 FMEDA 是 Excel,IP 厂给 IC 厂的是 PDF + 邮件,各家 schema 不同 → 跨层手工对齐 + 重新录入 + 校验,工时大半浪费在格式。Accellera FS Working Group 2023-12 白皮书(138 页)首次给出 跨供应链的 FS 数据模型 + DSL,把 FMEDA 拆成 7 个 Object + 7 个 Process + 4 类 Mapping,让 System / Module / Component / IP 4 层 hand-off 走标准化文件,FM Effects 自动上传、Safety Manual + AoU 自动下传。这是 FS 工具链的"SystemVerilog 时刻"——Accellera 之前标了 SV / UVM,这次标的是 FS 数据。
1. 为什么需要数据模型
ISO 26262 / IEC 61508 是过程标准,告诉你"FMEDA 需要 SPFM/LFM 这些数字、需要 SM、需要追溯到 SG"。但具体数据怎么编码、用什么 schema、怎么跨厂传递——标准沉默。结果:
- Tier-1 给 OEM 交 FMEDA Excel,每家列名都不一样
- IP 厂给 IC 厂的 Safety Manual 是 PDF,集成时人工重打成 FMEDA 行
- IC 厂的 FMEDA 上传到 Module / System 时,FM 重新枚举,SM coverage 重新评估
- 跨厂校验靠邮件 + 电话,不可机器解析
Accellera 数据模型直击此痛 —— System Verilog 在 IP 互换的角色,这份白皮书在 FS 互换的角色。
2. FMEDA 7 个 Object 的数据流
FMEDA 是自底向上归纳分析(bottom-up inductive):从 DUA 元件可能的失效模式,推到对系统层的可见后果。Accellera 把这条数据流形式化成 7 个 Object 之间的 Process 链。
| Object | 含义 | 例 |
|---|---|---|
| DUA | Design Under Analysis 设计层次结构 | OR1200 CPU 完整 RTL 树 |
| FS Hierarchy | 安全相关子集(从 DUA 切出) | OR1200 中影响 SG 的部分 |
| FM Hierarchy | 每元件的失效模式枚举 | "ALU 输出 stuck-at" "FF metastable" |
| Tech Element | 失效率的物理来源(库) | digital FF / RAM bit / analog OpAmp |
| Safety Mech Library | 可用诊断机制库 | ECC / TMR / lockstep / parity |
| FM Effects | 单 FM 在 DUA 边界外的可见后果 | "ALU stuck → 算错指令 → SG 违反" |
| FMEDA Metrics | 输出 SPFM / LFM / PMHF | SPFM = 99.2% |
关键洞察:DUA(设计)和 FS Hierarchy(安全切片)两者分离——同一份 DUA 可以做出针对不同 SG 的多份 FS Hierarchy,数据复用。
3. 4 类 Mapping
Object 不是孤立的 —— Mapping 把 Object 串成可计算的图。4 类各连接不同的 Object 对:
| Mapping | 连什么 ↔ 什么 | 工程含义 |
|---|---|---|
| ① Design Mapping(FS + FM) | DUA 组件 ↔ FS / FM 节点 | 把 RTL 模块映到安全分析节点 |
| ② Technology Element | FM ↔ TE | 一个 FM 用什么 TE 表达,定 FIT 来源 |
| ③ Safety Mechanism | SM ↔ FM | 一个 SM 保护哪些 FM,定 DC |
| ④ FM Effects | FM → upstream FME | 一个 FM 在上层看到什么 |
为什么分 4 类:每类是不同的多对多关系,且演化节奏不同(SM 库稳定 / FME 频繁随集成层变),分开维护方便机器同步。
4. 供应链 4 层 hand-off
Accellera 数据模型不只是单层 FMEDA,核心价值是跨层标准化。
4 层(自顶向下):
| 层 | 定义 | 典型产品 | Design Rep |
|---|---|---|---|
| System | 整车 / 驾驶员可见 ECU 行为 | ECU + sensing + automation | System Model |
| Module | SG 一/多个,多 System 共享 | sensor / actuator / processing 模块 + PCB | System Model |
| Component | SF 一/多个,多 Module 共享 | SiP / IC / passive / SoC(单/复杂功能) | Block Diagram / SysML / IP-XACT / RTL / Gate |
| IP | SF 一/多个,多 Component 共享 | Soft IP / Hard IP / foundation lib(pads/SRAM) | 同 Component |
Intra-layer:同层不同 analysis 之间(FMEDA + DFA + FI campaign)。 Inter-layer:跨层 hand-off,FM Effects 上传 + Safety Manual + AoU 下传——AoU(Assumptions of Use)是 IP / Component 厂对 integrator 的契约"我假设你这样用,SM 才有效",必须在 Safety Manual 文档化。
5. Assumption-based vs Calculation-based FMEDA
Accellera 区分两种 FMEDA,并允许在同一 FMEDA 内混用:
- Calculation-based:每个 Technology Element 实际数清楚(SRAM bit 数、FF 数、analog 元件清单),配合 SN29500 / FIDES 库算 FIT。适合 RTL 完成后 + foundation lib 确定。
- Assumption-based:DUA 细节未知或不可见(早期概念 / 黑盒 IP),按经验比例给 TE 分布。适合 IP 厂对 Component 厂(IP 不愿暴露 RTL 细节,但给一个聚合 FIT)。
混用场景:Component FMEDA 里,自家 RTL 走 calculation,采购的第三方 IP 走 assumption(对方 Safety Manual 给定数字)。Accellera DSL 用 add_attribute + attr_expr 表达混合。
6. Annex B — Safety Library Format (SLF) DSL
数据模型只解决了 "用什么 schema",还需要"怎么序列化"。Annex B 给出原型 DSL,文件后缀 .slf(Safety Library Format)。20 多个命令,核心如下:
| 类别 | 命令 | 用途 |
|---|---|---|
| 创建 | create_fmeda / create_element / create_fm / create_te / create_sm / create_fme | 实例化 7 类 Object |
| 属性 | add_attribute / add_collection / attr_expr | 给 Object 加 FIT / DC / 自定义字段 |
| 映射 | assign_sm_fm / assign_fm_fme / assign_te_fm / assign_te_element / assign_fmeda_fmeda / assign_fmeda_element | 实例化 4 类 Mapping |
| 失效率 | define_fr_iso26262 / define_fr_iec61508 | 接 ISO 26262 / IEC 61508 失效率定义 |
| 度量 | define_metric_iso26262 / define_metric_iec61508 | SPFM / LFM / PFH_d / PMHF 公式 |
| I/O | load_slf / save_slf / set_scope / add_parameter | 序列化与作用域 |
语义关键:命令是声明式不是过程式 —— assign_sm_fm 描述"这 SM 保护这 FM",怎么算 DC 由后续 metric 命令决定。一份 .slf 可以跨工具读写。
7. 与 ISO 26262 / IEC 61508 的关系
Accellera 数据模型不替代 ISO 26262,而是补充:
| 维度 | ISO 26262 / IEC 61508 | Accellera FS Data Model |
|---|---|---|
| 性质 | 过程标准 | 数据互换格式 |
| 强制力 | 法规级(车规必合规) | 业界推荐(工具厂正在跟进) |
| 关注 | 流程 / 工作产品要求 | schema / DSL / repository |
| 输出 | Safety Case / FMEDA / SM | .slf 文件 + tooling |
| 当前状态 | 第 2 版(2018) | v0.1 white paper(2023) |
实战路径:ISO 26262 必合规 → Accellera 数据模型作为 tooling 选项,逐步迁移 Excel FMEDA 到 .slf——Synopsys / Cadence / OneSpin 等 EDA 厂在 2024-2025 跟进。
8. 何时该关注
不是所有项目都需要立刻用 Accellera 模型,触发点 3 个:
- 跨厂 FMEDA 经常对不上——同一颗 IC 在 IP / Component / Module / System 层有 N 份 FMEDA,数字不一致。这是手工传递的失败模式。
- EDA 厂已开始支持——Synopsys SLM-Safety / Cadence Midas Safety / OneSpin 360 IP Safety 等工具开始读 .slf。如果项目用这类 EDA,生态拉齐。
- FMEDA 自动化是公司 R&D 路线之一——把 RTL → FMEDA → Safety Case 跑通的自动化管线,数据模型是 schema 基线。
核心要点
- Accellera FS Data Model 2023-12 是 FMEDA 跨供应链互换的事实标准雏形,与 ISO 26262 互补。
- 7 个 Object:DUA / FS Hierarchy / FM Hierarchy / TE / SM Library / FME / Metrics。
- 4 类 Mapping:Design(FS+FM)/ Technology Element / Safety Mechanism / FM Effects。
- 4 层供应链:System / Module / Component / IP,Inter-layer 走 Safety Manual + AoU + FM Effects。
- 两种 FMEDA 类型:Calculation-based(细节清楚)+ Assumption-based(黑盒 IP),混用 OK。
- Annex B SLF DSL 提供
create_*/assign_*/define_metric_*命令,文件后缀.slf。 - ISO 26262 必合规,Accellera 是工具链选项;EDA 厂 2024-2025 跟进。
- 何时关注:跨厂 FMEDA 对不上 + EDA 工具支持 + 公司自动化路线。
Cross-references
- ← 索引
- topic-fmea — FMEA / FMEDA 方法论母章
- topic-dfa-fmeda-fta — 3 种核心分析方法
- topic-iso26262-part11-semiconductors — 半导体 FMEDA 指南
- topic-iso26262-part5-hardware — Part 5 FMEDA 度量(SPFM/LFM/PMHF)
- topic-safety-manual — Safety Manual + AoU
- topic-seooc — SEooC + AoU 契约
- topic-fit-fmeda-calculation — FIT 计算
- topic-safety-case — Accellera 数据模型可作 SC evidence 源