How to Satisfy Functional Safety Requirements with BIST
자동차, 보안 및 퍼베이시브 컴퓨팅
기능안전성 요건을 BIST로 충족시키는 법
ISO 26262 인증 위한 IC 테스트와 기능안전성 지표 정렬
기능안전성 메커니즘은 모든 자동차 IC의 안전설계 단계에서 극히 중요한 부분이다. 로직 BIST는 매우 효율적인 안전 메커니즘으로서, 디지털 로직 기반의 IP에 대해 넓은 점검범위를 제공한다. 게다가 제조 테스트 솔루션 역할도 겸할 수 있으므로 로직 BIST를 안전 메커니즘으로 이용하면 면적 오버헤드도 줄어든다. 기능안전성 분석 툴과 DFT 기술의 통합으로 ISO 26262 인증 프로세스가 개선되는데, 이는 디자이너가 진단 지표를 정확하게 추출할 수 있게 되기 때문이다.
글|리 해리슨(Lee Harrison) 매니저, 자동차 IC Test Solutions, 멘토 Tessent 그룹
오늘날의 차량에서 반도체 컨텐츠 탑재량이 급속히 증가함에 따라 IC 디자이너들은 ISO 26262 표준에서 정의하는 기능안전성 요건을 충족시키기 위한 프로세스를 개선해야하게 됐다.
ISO 26262 표준에서는 차량 안전성 보전 등급(ASIL: Automotive Safety Integrity Level)이라고 하는 기능안전성 수준을 정의하고 있는데, 이는 자동차 시스템 설계 프로세스에 있어서 필수적인 부분이다. ASIL의 범주는 안전 필수성이 가장 낮은 애플리케이션에 대한 A로부터 안전 필수성이 가장 높은 애플리케이션에 대한 D에 이르기까지 다양하다. 예를 들어, 차량 내 인포테인먼트 시스템의 ISO 26262 인증을 위한 ASIL 요건은 자동 제동장치의 경우와는 다르다(그림 1).
그림 1|애플리케이션에 따른 ASIL 분류의 정의
필요한 ASIL 수준에 도달하기 위해서는 광범위한 시뮬레이션을 통해 설계를 분석해 무작위적 결함의 발생 가능성을 알아내야 한다. 설계 내에서 발생할 수 있는 무작위적 결함은 설계의 안전 기능에 영향을 미칠 수 있기 때문이다. 이러한 프로세스는 DFT(design-for-test) 분야에서 이미 일반적으로 사용되고 있는 결함 시뮬레이션 프로세스와 유사하다. 하지만 기능안전성이라는 맥락에서는 모든 결함이 동일하지는 않다. DFT 지표와 기능안전성 지표가 달라지는 것은 이 때문이다. 그 동안은 서로 다른 두 지표를 손쉽게 정렬시킬 방법이 없었다. 하지만 이제 디자이너는 로직 BIST(built-in-self-test)를 이용해 정확한 기능안전성 지표를 손에 넣음으로써 ISO 26262 요건을 충족시킬 수 있게 되었다.
기능안전성 요건의 충족
ISO 26262 자동차 표준에 부응하기 위해 자동차 IC 디자이너는 자신들의 디자인에 안전 메커니즘이라고 하는 특정 회로를 추가함으로써 차량 운행 시의 정적 결함과 일시적 결함을 모두 감지해 이에 대응하거나 안전하게 운행을 정지시켜야 한다. 안전 메커니즘은 애플리케이션에 따라 여러 가지 형태를 취할 수 있다(그림 2). 특정한 안전 메커니즘을 선택하기 위해서는 풍부한 설계 지식이 요구되지만, 설계 자동화 툴을 이용하면 보다 용이해진다. 자동화 소프트웨어의 채택은 안전 설계 프로세스 및 기능안전성 설계 흐름의 일환으로서 더욱 폭 넓게 이루어지고 있다.
ISO 26262 표준은 일반적인 안전 메커니즘 다수의 효율성에 대한 지침을 제공한다. 안전 메커니즘을 선택할 때는 다음과 같은 여러 요소들 간에 절충해야 한다.
적용 범위 - 결함/고장 감지의 효율성
테스트 시간 - 테스트를 실행해 결함/고장을 감지해내는 데 필요한 시간
실리콘 면적 - 테스트 구현에 필요한 다이 면적에 미치는 영향
중단 - 테스트로 인해 정상적인 작동에 초래되는 중단의 정도
정정 - 고장을 감지 및/또는 감지하고 바로잡는 기능
그림 2|칩 수준에서 구현되는 다양한 기능안전성 메커니즘.
중복/락스텝(DCLS: duplication/lockstep) 및 TMR(logic triplication)과 같은 안전 메커니즘은 실리콘 면적, 전력 및 비용에 상당한 영향을 미친다. 이 때문에 디자이너는 기능안전성 테스트와 제조 테스트에 모두 사용할 수 있는 회로를 찾는 경우가 많은데, 로직 BIST와 메모리 BIST 같은 구조물이 여기에 포함된다.
로직 BIST는 제조 및 시스템 내 테스트 요건의 일부로서 칩에 이미 구현되어 있는 경우가 많으며, 자동 테스트 장비(ATE)는 IEEE 1149.1 TAP 컨트롤러를 통해 이를 이용함으로써 테스트를 실행하고 모니터링 할 수 있다(그림 3).
그림 3|자동차 설계의 BIST 인프라
로직 BIST는 스캔 ATPG 압축을 이용한 하이브리드 접근 방법의 일환으로 사용할 수 있는데, 이 방법에서는 서로 다른 두 테스트 시스템이 동일한 로직 구조물의 상당 부분을 공유하게 된다(그림 4). 이 시스템들은 또한 디자인에 구현되어 있는 동일한 스캔 체인 구조물을 제조 테스트에 사용할 수 있다. 로직 BIST는 테스트 패턴을 내부적으로 생성할 수 있다는 이점이 있으므로 시스템 내 테스트 솔루션으로 사용하기에 좋으며, 기능안전성 메커니즘으로 활용할 수 있다.
그림 4|ATPG/로직 BIST 하이브리드 컨트롤러 아키텍처
로직 BIST는 설계에 테스트 포인트를 추가해 무작위적 저항성 결함의 탐지를 돕지 않으면 ATPG와 동일한 수준의 테스트 품질과 범위에 이를 수 없지만 안전 메커니즘으로서는 극히 효과적이다. 로직 BIST는 테스트 대상 로직에 대해 매우 넓은 진단 범위(Diagnostics Coverage, DC)를 제공할 수 있으며, 맞춤형 안전 메커니즘에 거의 필적하는 자동화 솔루션이다.
로직 BIST가 검출하게 되는 무작위적 결함 유형 중에는 다중점 결함이 있는데, 잠재 결함과 검출된/인식된 결함이 모두 여기에 포함된다. 잠재 결함은 안전 메커니즘 내에서 발생하며, 이 결함을 잡아낼 추가적인 안전 메커니즘이 없을 경우에 발생한다. 검출된/인식된 결함은 추가적인 안전 메커니즘에 의해 보호되는 안전 메커니즘에서 발생하는 결함으로서, 이를 일반적으로 2차 안전 메커니즘이라고 한다.
로직 BIST는 보통 키온(key-on) 또는 키오프(key-off) 이벤트 시에 잠재 결함을 점검한다. 하지만 검출된/인지된 결함의 경우에는 장치의 기능이 작동하고 있는 동안에 실행된다. 로직 BIST는 활성화 될 경우 파괴적인 기술로서, 회로의 작동을 변경해야 스캔 체인을 활성화 시킬 수 있으므로 디자인의 메모리 요소에 저장되어 있는 데이터가 파괴된다. 따라서 로직 BIST를 실행한 후에는 회로를 리셋시켜야 한다. 이처럼 기능 작동을 중단시킨다는 것은 이상적이지 못하다.
로직 BIST로 단일점 결함도 점검할 수 있다. 파괴적이기는 하지만, 런타임 동작 시에 BIST 기술을 실행할 수 있는 시간대가 존재하는 애플리케이션 수는 늘어나고 있다. 로직 BIST를 단일점 결함 검출에 재사용할 수 있는지 여부를 결정하는 것은 안전 설계자나 안전 관리자의 몫이다.
적용범위 지표의 정렬
이제까지는 테스트 적용범위와 결함 검출률 같은 DFT 지표와 진단 범위, 단일점 결함 지표(SPFM: single-point fault metric) 및 잠재 결함 지표(LFM: latent fault metric)와 같은 기능안전성 지표를 상호 연관시킬 수 있는 좋은 방법이 없었다. 하지만 디자이너는 기존의 DFT 및 기능안전성 분석 소프트웨어를 사용해 고장 모드 영향 및 진단 분석(FMEDA: Failure Mode Effects and Diagnostics Analysis)에 포함시키기 위해 필요한 지표를 생성함으로써 정확한 고장률, 고장 모드 및 진단 기능을 알아낼 수 있다.
로직 BIST의 DFT 지표 ----------- 소제로직 BIST의 테스트 및 결함 검출률 계산은 테스트 대상인 IC 디자인이나 IC 디자인 블록의 한계 내에서 발생 가능한 모든 결함의 전체 목록으로 시작되며, 대상이 되는 특정 결함 모델을 토대로 한다. 로직 BIST 패턴의 결함 시뮬레이션을 수행하는 동안에 전체 결함 목록을 분석 및 시뮬레이션 하여 각각의 잠재 결함을 특정 결함으로 분류한다. 이러한 분류를 통해 전체 테스트 적용범위와 결함 검출률의 계산을 수행하게 된다.
기능안전성 지표 ----------소제기능안전성 진단 범위(DC) 지표에서는 애플리케이션의 안전 목표에 직접적으로 영향을 미칠 수 있는 결함만이 고려된다. 따라서 첫 번째 단계는 디자인 내의 결함을 안전 결함 λs, 위험 결함 λspf와 다중점 결함 λmpf로 분류한 뒤에 결함 시뮬레이션을 수행함으로써 안전 메커니즘이 성공적으로 구현되어 안전 필수 결함을 검출해내는지 알아내는 것이다.
로직 BIST의 진단 범위 계산 ------------소제디자이너는 기능안전성 분석에서 얻은 안전 필수 결함 목록을 로직 BIST 결함 시뮬레이션에 적용해 로직 BIST를 성공적으로 구현함으로써 단일점 결함 지표 진단 범위를 정확하게 계산해낼 수 있다.
그림 5|기능안전성 로직 BIST의 결함 시뮬레이션 흐름
그에 따른 진단 범위는 다음 공식에 따라 계산된다.
로직 BIST의 기능안전성 흐름을 이용해 기능안전성 결함 분류를 디자인 내의 다양한 구조물에 추가하게 되며, 이를 통해 ISO 26262 기능안전성 지표를 위한 정확한 수준의 보고가 가능해진다.
기능안전성 메커니즘은 모든 자동차 IC의 안전설계 단계에서 극히 중요한 부분이다. 로직 BIST는 매우 효율적인 안전 메커니즘으로서, 디지털 로직 기반의 IP에 대해 넓은 점검범위를 제공한다. 게다가 제조 테스트 솔루션 역할도 겸할 수 있으므로 로직 BIST를 안전 메커니즘으로 이용하면 면적 오버헤드도 줄어든다. 기능안전성 분석 툴과 DFT 기술의 통합으로 ISO 26262 인증 프로세스가 개선되는데, 이는 디자이너가 진단 지표를 정확하게 추출할 수 있게 되기 때문이다.
<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>