航空SoC设计,如何“取经”汽车行业? | 新思科技的航空航天工具流程借鉴汽车行业的技术
航空SoC设计,如何“取经”汽车行业?
其实,我们日常出行所依赖的汽车与太空中的卫星系统之间,存在着许多共通之处,而且这些共通点可能比我们想象中的还要多。究其缘由,汽车和卫星系统都需要具备超高可靠性,以确保长时间的稳定运行。此外,汽车和卫星系统都涉及到了极端环境下的运行,因此,更有可能出现微电子漏洞等问题。
航空航天是芯片最早最重要的应用领域,或者说,早年时代的芯片,就是为航天事业服务的(了解详情,请戳传送门《【了不起的芯片】芯片的征途不止于星辰大海》)。为了取代航天器中体积巨大的机械或是分立的电子原件,上个世纪五十年代末,世界上第一颗集成电路芯片出现了。两相比较下,虽然航空航天行业在生产安全可靠的飞行器方面有着悠久的历史,但汽车行业作为一个庞大的产业,在安全可靠的微电子设计创新方面投入了更多的资源和资金,于是航空航天界的开发者也开始越来越多地向汽车行业学习,通过借鉴汽车行业在可靠性和功能安全等方面的经验和技术,来提升自己的项目水平。例如,为满足汽车行业需求而开发的EDA工具和IP基础结构,也可以应用于航空航天的设计,更加高效地实现关键任务。
作为高可靠性半导体设计的几大重要元素,可靠性和鲁棒性、信息安全和抗辐射性、以及软件安全可以同时适用于汽车和航空航天领域。同样地,汽车领域的重要标准和技术,特别是功能安全IP,也可以应用于航空航天设计中。那么应该如何开发可靠的SoC,确保无论在哪种环境中使用,都能在整个生命周期内安全可靠地运行?
汽车级IP如何助力航空航天SoC设计
SoC的故障时有发生,甚至可能造成严重的影响,而且由于SoC内部包含大量的晶体管和连接,因此一个典型的SoC中可能存在多个故障。芯片的漏洞可能来源于多个方面,包括系统性故障和随机故障、制造缺陷和恶意攻击。无论设备是用于乘用车内还是载客飞机内,任何故障和缺陷都可能导致安全关键型子系统无法正常工作,进而可能导致汽车刹车失灵,或客机航向出错。更糟糕的是,系统故障可能导致致命的后果。想象一下,如果在汽车或客机高速行驶时出现控制系统故障,那会是多么的危险。但往往汽车或者客机都会使用很多年,汽车通常至少为15年,而飞机的使用时间则会更长。因此,这些系统必须能够长时间安全可靠地运行。
为满足功能安全标准而开发的汽车级IP可以应用于航空航天中,以实现安全可靠的长期运行。在一项针对新思科技高速SerDes IP和内存IP辐射束测试性能评估中, 汽车IP被集成到使用格芯22FDX(全耗尽型绝缘体上硅)平台开发的测试芯片中。测试结果表明,如果恰当地使用汽车IP,电离总剂量(TID)水平有望能够满足大多数航空航天任务要求。此外,似乎没有任何器件因为单粒子锁定而出现永久性损坏。未来,为了适应太空运行,设备还需要考虑缓解单粒子效应的影响。
新思科技的航空航天工具流程借鉴了汽车行业的技术,可对汽车IP进行针对性定制,以便用在航空航天应用中。比如,在通信卫星上实现多个独立安全级别的隔离区域,或将基于硬件的擦除功能嵌入太空SoC平台中。
在各种环境中保持系统安全可靠
除了IP之外,还可以通过电子设计自动化(EDA)解决方案来减轻故障的影响。例如:
系统故障通常发生在硬件和软件层面,这些故障往往是确定性的,也就是说,可以通过修改设计、制造工艺、操作程序和/或文档来确定根源并消除故障。在这个过程中,鲁棒的设计、实现工具和流程,以及功能验证工具和流程会非常有用。解决系统故障问题还需要定义明确的开发生命周期流程,这包括安全计划、高级失效模式与影响分析(FMEA)、失效模式、影响和诊断分析(FMEDA)、验证计划以及根据已知标准管理软件开发的能力。
对于硬件层面的制造缺陷,目标是通过可制造性设计和可测性设计解决方案来减少缺陷数量(单位为十亿分率)。在半导体领域,可以通过采用计算机辅助设计技术(TCAD)等鲁棒的设计方法和高质量制造工艺来实现这一目标。
在汽车和飞机安全领域以及辐射环境中,也可能出现随机故障。这些故障包括永久性故障和瞬态故障,可能发生在产品生命周期的任何时候,无法进行预测,并可能导致硬件故障。用于确保汽车安全的技术和工具,好比自动化冗余和缓解、故障管理验证以及制造和操作监视器,也可用于航空航天中。
缓解随机故障还需要一种安全感知架构,该架构应具备可靠性机制,可以防止、监测、检测和纠正故障。EDA流程可以用于执行故障注入和验证,以进行建模和仿真并防止因随机故障而引起产品故障。恶意攻击可以利用软件和硬件漏洞,而且随着时间的推移,攻击者的技术会进步,经验也会不断积累,因此他们或许能更轻松地发起攻击。对于恶意攻击,也可以采取类似于系统性故障和随机故障的预防和缓解措施。
故障注入测试是故障验证工具箱中的一种工具。此类测试可以在设计阶段使用,用于测量功能安全运行、评估软错误漏洞以及测量恶意攻击对芯片的影响。除了故障注入测试外,还可从汽车领域借鉴其他成熟方法,包括通过静态和形式化分析减少故障,以及使用功能验证测试平台进行故障仿真。因此,借助现代仿真和硬件加速工具,也可以在流片前进行故障注入测试,以支持故障验证和预防。
标准指导实践
汽车领域存在OEM、一级供应商和二级供应商,与此类似,航空航天领域也由许多参与者组成。汽车设计中的风险缓解技术、流程和工具不仅可以增强航空航天各供应链之间的数据交流,还可以提高开发周期的效率。而功能安全分析便是其中一项重要的技术,可用于识别潜在的随机硬件故障。
ISO 26262标准是汽车功能安全方面的国际标准,其中将“功能安全”这一概念定义为“避免因为电气/电子系统故障行为而导致出现危险的不合理风险”。在汽车领域,风险水平及相应的缓解措施通常用汽车安全完整性等级(ASIL)来表示,其中ASIL D是最为严格的等级。以功能安全标准为指导的设计方法假定故障会发生,并提出应对这些潜在故障的方式,以确保安全运行。
同样,航空航天行业也存在各种标准,例如航空电子硬件和软件设计保证标准,即DO-254和DO-178。航空航天行业也有类似于MIL-PRF-38535这样的标准,用于规定芯片在太空环境下的运行要求,其中的一个重要的挑战是不同系统之间存在广泛差异。航空航天行业也正在逐步认识到,为汽车行业制定的功能安全指南可用于开发容错系统。
长期以来,航空航天行业的开发者一直使用安全和可靠性机制,包括使用纠错码来识别和修复故障,使用奇偶校验和三模冗余来缓解故障,以及使用逻辑电路和存储器电路的内置自测(BIST)来监测故障。如今,航空航天行业开始使用符合ASIL B和ASIL D标准的汽车级IP,以实现具有更高信息安全和软件安全性、质量和可靠性的SoC。ASIL策略虽然旨在符合ISO 26262标准,但也适用于飞机安全性并可用于应对辐射效应。
新思科技拥有符合ASIL B和ASIL D标准的汽车IP核组合,该IP核组合有助于防范系统性和随机硬件故障,并支持先进工艺技术。此外,新思科技还拥有安全IP核组合,包括真随机数生成器(TRNG)、加密、可信处理和安全接口等。
总结
如今,有经验的开发者会综合运用来自汽车和航空航天的不同技术和方法,就像上文我们讨论的航空航天领域是如何从汽车领域借鉴技术。但实际上,这种借鉴是双向的。例如,目前汽车行业广泛使用的技术,如激光雷达、LED照明和全球定位系统(GPS),都源于航空航天领域的先进技术。这两个行业的主要关联在于,它们都需要高度可靠且具有信息安全与软件安全性的SoC和Multi-Die解决方案。汽车开发者已经建立了一些实践和技术来满足质量标准,而航空航天领域的同行也注意到了这一点。通过借鉴汽车可靠性和功能安全设计方面的经验,以及采用软件安全和功能安全的汽车IP解决方案,航空航天领域的开发者可以确保他们设计的飞机等设备能够向新的高度发起挑战。
我要收藏
个赞
评论排行