其實(shí),我們?nèi)粘3鲂兴蕾嚨钠嚺c太空中的衛(wèi)星系統(tǒng)之間,存在著許多共通之處,而且這些共通點(diǎn)可能比我們想象中的還要多。究其緣由,汽車和衛(wèi)星系統(tǒng)都需要具備超高可靠性,以確保長(zhǎng)時(shí)間的穩(wěn)定運(yùn)行。此外,汽車和衛(wèi)星系統(tǒng)都涉及到了極端環(huán)境下的運(yùn)行,因此,更有可能出現(xiàn)微電子漏洞等問(wèn)題。
航空航天是芯片最早最重要的應(yīng)用領(lǐng)域,或者說(shuō),早年時(shí)代的芯片,就是為航天事業(yè)服務(wù)的(了解詳情,請(qǐng)戳傳送門《【了不起的芯片】芯片的征途不止于星辰大?!罚榱巳〈教炱髦畜w積巨大的機(jī)械或是分立的電子原件,上個(gè)世紀(jì)五十年代末,世界上第一顆集成電路芯片出現(xiàn)了。兩相比較下,雖然航空航天行業(yè)在生產(chǎn)安全可靠的飛行器方面有著悠久的歷史,但汽車行業(yè)作為一個(gè)龐大的產(chǎn)業(yè),在安全可靠的微電子設(shè)計(jì)創(chuàng)新方面投入了更多的資源和資金,于是航空航天界的開發(fā)者也開始越來(lái)越多地向汽車行業(yè)學(xué)習(xí),通過(guò)借鑒汽車行業(yè)在可靠性和功能安全等方面的經(jīng)驗(yàn)和技術(shù),來(lái)提升自己的項(xiàng)目水平。例如,為滿足汽車行業(yè)需求而開發(fā)的EDA工具和IP基礎(chǔ)結(jié)構(gòu),也可以應(yīng)用于航空航天的設(shè)計(jì),更加高效地實(shí)現(xiàn)關(guān)鍵任務(wù)。
作為高可靠性半導(dǎo)體設(shè)計(jì)的幾大重要元素,可靠性和魯棒性、信息安全和抗輻射性、以及軟件安全可以同時(shí)適用于汽車和航空航天領(lǐng)域。同樣地,汽車領(lǐng)域的重要標(biāo)準(zhǔn)和技術(shù),特別是功能安全I(xiàn)P,也可以應(yīng)用于航空航天設(shè)計(jì)中。那么應(yīng)該如何開發(fā)可靠的SoC,確保無(wú)論在哪種環(huán)境中使用,都能在整個(gè)生命周期內(nèi)安全可靠地運(yùn)行?
1、汽車級(jí)IP如何助力航空航天SoC設(shè)計(jì)
SoC的故障時(shí)有發(fā)生,甚至可能造成嚴(yán)重的影響,而且由于SoC內(nèi)部包含大量的晶體管和連接,因此一個(gè)典型的SoC中可能存在多個(gè)故障。芯片的漏洞可能來(lái)源于多個(gè)方面,包括系統(tǒng)性故障和隨機(jī)故障、制造缺陷和惡意攻擊。無(wú)論設(shè)備是用于乘用車內(nèi)還是載客飛機(jī)內(nèi),任何故障和缺陷都可能導(dǎo)致安全關(guān)鍵型子系統(tǒng)無(wú)法正常工作,進(jìn)而可能導(dǎo)致汽車剎車失靈,或客機(jī)航向出錯(cuò)。更糟糕的是,系統(tǒng)故障可能導(dǎo)致致命的后果。想象一下,如果在汽車或客機(jī)高速行駛時(shí)出現(xiàn)控制系統(tǒng)故障,那會(huì)是多么的危險(xiǎn)。但往往汽車或者客機(jī)都會(huì)使用很多年,汽車通常至少為15年,而飛機(jī)的使用時(shí)間則會(huì)更長(zhǎng)。因此,這些系統(tǒng)必須能夠長(zhǎng)時(shí)間安全可靠地運(yùn)行。
為滿足功能安全標(biāo)準(zhǔn)而開發(fā)的汽車級(jí)IP可以應(yīng)用于航空航天中,以實(shí)現(xiàn)安全可靠的長(zhǎng)期運(yùn)行。在一項(xiàng)針對(duì)新思科技高速SerDes IP和內(nèi)存IP輻射束測(cè)試性能評(píng)估中, 汽車IP被集成到使用格芯22FDX(全耗盡型絕緣體上硅)平臺(tái)開發(fā)的測(cè)試芯片中。測(cè)試結(jié)果表明,如果恰當(dāng)?shù)厥褂闷嘔P,電離總劑量(TID)水平有望能夠滿足大多數(shù)航空航天任務(wù)要求。此外,似乎沒(méi)有任何器件因?yàn)閱瘟W渔i定而出現(xiàn)永久性損壞。未來(lái),為了適應(yīng)太空運(yùn)行,設(shè)備還需要考慮緩解單粒子效應(yīng)的影響。
新思科技的航空航天工具流程借鑒了汽車行業(yè)的技術(shù),可對(duì)汽車IP進(jìn)行針對(duì)性定制,以便用在航空航天應(yīng)用中。比如,在通信衛(wèi)星上實(shí)現(xiàn)多個(gè)獨(dú)立安全級(jí)別的隔離區(qū)域,或?qū)⒒?a class="article-link" target="_blank" href="/tag/%E7%A1%AC%E4%BB%B6/">硬件的擦除功能嵌入太空SoC平臺(tái)中。
2、在各種環(huán)境中保持系統(tǒng)安全可靠
除了IP之外,還可以通過(guò)電子設(shè)計(jì)自動(dòng)化(EDA)解決方案來(lái)減輕故障的影響。例如:
系統(tǒng)故障通常發(fā)生在硬件和軟件層面,這些故障往往是確定性的,也就是說(shuō),可以通過(guò)修改設(shè)計(jì)、制造工藝、操作程序和/或文檔來(lái)確定根源并消除故障。在這個(gè)過(guò)程中,魯棒的設(shè)計(jì)、實(shí)現(xiàn)工具和流程,以及功能驗(yàn)證工具和流程會(huì)非常有用。解決系統(tǒng)故障問(wèn)題還需要定義明確的開發(fā)生命周期流程,這包括安全計(jì)劃、高級(jí)失效模式與影響分析(FMEA)、失效模式、影響和診斷分析(FMEDA)、驗(yàn)證計(jì)劃以及根據(jù)已知標(biāo)準(zhǔn)管理軟件開發(fā)的能力。
對(duì)于硬件層面的制造缺陷,目標(biāo)是通過(guò)可制造性設(shè)計(jì)和可測(cè)性設(shè)計(jì)解決方案來(lái)減少缺陷數(shù)量(單位為十億分率)。在半導(dǎo)體領(lǐng)域,可以通過(guò)采用計(jì)算機(jī)輔助設(shè)計(jì)技術(shù)(TCAD)等魯棒的設(shè)計(jì)方法和高質(zhì)量制造工藝來(lái)實(shí)現(xiàn)這一目標(biāo)。
在汽車和飛機(jī)安全領(lǐng)域以及輻射環(huán)境中,也可能出現(xiàn)隨機(jī)故障。這些故障包括永久性故障和瞬態(tài)故障,可能發(fā)生在產(chǎn)品生命周期的任何時(shí)候,無(wú)法進(jìn)行預(yù)測(cè),并可能導(dǎo)致硬件故障。用于確保汽車安全的技術(shù)和工具,好比自動(dòng)化冗余和緩解、故障管理驗(yàn)證以及制造和操作監(jiān)視器,也可用于航空航天中。
緩解隨機(jī)故障還需要一種安全感知架構(gòu),該架構(gòu)應(yīng)具備可靠性機(jī)制,可以防止、監(jiān)測(cè)、檢測(cè)和糾正故障。EDA流程可以用于執(zhí)行故障注入和驗(yàn)證,以進(jìn)行建模和仿真并防止因隨機(jī)故障而引起產(chǎn)品故障。惡意攻擊可以利用軟件和硬件漏洞,而且隨著時(shí)間的推移,攻擊者的技術(shù)會(huì)進(jìn)步,經(jīng)驗(yàn)也會(huì)不斷積累,因此他們或許能更輕松地發(fā)起攻擊。對(duì)于惡意攻擊,也可以采取類似于系統(tǒng)性故障和隨機(jī)故障的預(yù)防和緩解措施。
故障注入測(cè)試是故障驗(yàn)證工具箱中的一種工具。此類測(cè)試可以在設(shè)計(jì)階段使用,用于測(cè)量功能安全運(yùn)行、評(píng)估軟錯(cuò)誤漏洞以及測(cè)量惡意攻擊對(duì)芯片的影響。除了故障注入測(cè)試外,還可從汽車領(lǐng)域借鑒其他成熟方法,包括通過(guò)靜態(tài)和形式化分析減少故障,以及使用功能驗(yàn)證測(cè)試平臺(tái)進(jìn)行故障仿真。因此,借助現(xiàn)代仿真和硬件加速工具,也可以在流片前進(jìn)行故障注入測(cè)試,以支持故障驗(yàn)證和預(yù)防。
3、標(biāo)準(zhǔn)指導(dǎo)實(shí)踐
汽車領(lǐng)域存在OEM、一級(jí)供應(yīng)商和二級(jí)供應(yīng)商,與此類似,航空航天領(lǐng)域也由許多參與者組成。汽車設(shè)計(jì)中的風(fēng)險(xiǎn)緩解技術(shù)、流程和工具不僅可以增強(qiáng)航空航天各供應(yīng)鏈之間的數(shù)據(jù)交流,還可以提高開發(fā)周期的效率。而功能安全分析便是其中一項(xiàng)重要的技術(shù),可用于識(shí)別潛在的隨機(jī)硬件故障。
ISO 26262標(biāo)準(zhǔn)是汽車功能安全方面的國(guó)際標(biāo)準(zhǔn),其中將“功能安全”這一概念定義為“避免因?yàn)殡姎?電子系統(tǒng)故障行為而導(dǎo)致出現(xiàn)危險(xiǎn)的不合理風(fēng)險(xiǎn)”。在汽車領(lǐng)域,風(fēng)險(xiǎn)水平及相應(yīng)的緩解措施通常用汽車安全完整性等級(jí)(ASIL)來(lái)表示,其中ASIL D是最為嚴(yán)格的等級(jí)。以功能安全標(biāo)準(zhǔn)為指導(dǎo)的設(shè)計(jì)方法假定故障會(huì)發(fā)生,并提出應(yīng)對(duì)這些潛在故障的方式,以確保安全運(yùn)行。
同樣,航空航天行業(yè)也存在各種標(biāo)準(zhǔn),例如航空電子硬件和軟件設(shè)計(jì)保證標(biāo)準(zhǔn),即DO-254和DO-178。航空航天行業(yè)也有類似于MIL-PRF-38535這樣的標(biāo)準(zhǔn),用于規(guī)定芯片在太空環(huán)境下的運(yùn)行要求,其中的一個(gè)重要的挑戰(zhàn)是不同系統(tǒng)之間存在廣泛差異。航空航天行業(yè)也正在逐步認(rèn)識(shí)到,為汽車行業(yè)制定的功能安全指南可用于開發(fā)容錯(cuò)系統(tǒng)。
長(zhǎng)期以來(lái),航空航天行業(yè)的開發(fā)者一直使用安全和可靠性機(jī)制,包括使用糾錯(cuò)碼來(lái)識(shí)別和修復(fù)故障,使用奇偶校驗(yàn)和三模冗余來(lái)緩解故障,以及使用邏輯電路和存儲(chǔ)器電路的內(nèi)置自測(cè)(BIST)來(lái)監(jiān)測(cè)故障。如今,航空航天行業(yè)開始使用符合ASIL B和ASIL D標(biāo)準(zhǔn)的汽車級(jí)IP,以實(shí)現(xiàn)具有更高信息安全和軟件安全性、質(zhì)量和可靠性的SoC。ASIL策略雖然旨在符合ISO 26262標(biāo)準(zhǔn),但也適用于飛機(jī)安全性并可用于應(yīng)對(duì)輻射效應(yīng)。
新思科技擁有符合ASIL B和ASIL D標(biāo)準(zhǔn)的汽車IP核組合,該IP核組合有助于防范系統(tǒng)性和隨機(jī)硬件故障,并支持先進(jìn)工藝技術(shù)。此外,新思科技還擁有安全I(xiàn)P核組合,包括真隨機(jī)數(shù)生成器(TRNG)、加密、可信處理和安全接口等。
4、總結(jié)
如今,有經(jīng)驗(yàn)的開發(fā)者會(huì)綜合運(yùn)用來(lái)自汽車和航空航天的不同技術(shù)和方法,就像上文我們討論的航空航天領(lǐng)域是如何從汽車領(lǐng)域借鑒技術(shù)。但實(shí)際上,這種借鑒是雙向的。例如,目前汽車行業(yè)廣泛使用的技術(shù),如激光雷達(dá)、LED照明和全球定位系統(tǒng)(GPS),都源于航空航天領(lǐng)域的先進(jìn)技術(shù)。這兩個(gè)行業(yè)的主要關(guān)聯(lián)在于,它們都需要高度可靠且具有信息安全與軟件安全性的SoC和Multi-Die解決方案。汽車開發(fā)者已經(jīng)建立了一些實(shí)踐和技術(shù)來(lái)滿足質(zhì)量標(biāo)準(zhǔn),而航空航天領(lǐng)域的同行也注意到了這一點(diǎn)。通過(guò)借鑒汽車可靠性和功能安全設(shè)計(jì)方面的經(jīng)驗(yàn),以及采用軟件安全和功能安全的汽車IP解決方案,航空航天領(lǐng)域的開發(fā)者可以確保他們?cè)O(shè)計(jì)的飛機(jī)等設(shè)備能夠向新的高度發(fā)起挑戰(zhàn)。