為什么保證芯片系統(tǒng)長期安全如此困難

越來越多的行業(yè)正在關注安全問題，但目前還沒有標準和方法來確保電子系統(tǒng)隨著時間的推移達到規(guī)定的安全水平。這一任務很大程度上落到了芯片行業(yè)肩上，因為它提供了基礎技術，也發(fā)出了還能做些什么來提高安全性的問題。

最近引入了一種粗略的分類法，用于驗證和測試安全性 (見下文圖 1)。許多問題跨越了整個矩陣。例如，自動駕駛汽車必須在產(chǎn)品的整個生命周期內擁有安全可靠的硬件和軟件，但即使在出現(xiàn)硬件故障的情況下，它也必須保持安全可靠。不幸的是，沒有工具可以確定這個抽象目標是否已經(jīng)實現(xiàn)。相反，工具和方法傾向于覆蓋其中的一兩個盒子，而這些盒子的整合在某種程度上是臨時的。這反過來又讓一些潛在的問題被遺漏了。此外，所使用的指標與現(xiàn)實的關聯(lián)也很松散。

圖 1：與安全和安保相關的問題矩陣。來源：Semiconductor Engineering

更糟糕的是，今天并非所有的問題都得到了充分處理，部分原因是人們認為它們的優(yōu)先級較低，部分原因是成本太高。例如，硬件安全就是由多個領域的標準處理的。軟件安全也涵蓋在不同的標準中，但沒有任何內容定義硬件和軟件組合的安全性或談及整個系統(tǒng)的安全性。最接近的方法是考慮顯示軟件檢測到的硬件錯誤百分比的故障活動。此外，針對已定義的工作負荷和場景優(yōu)化的硬件越多，軟件或未來的軟件更新就越有可能導致硬件以最初未考慮的方式運行。這反過來又會造成硬件過早老化，或使其處于產(chǎn)生意外漏洞的狀態(tài)。

錯誤模型

測量任何東西都需要一個實用的度量標準，即某物必須是可處理和有效的，但不一定要基于現(xiàn)實。故障模型（如故障卡住模型）已經(jīng)存在了很長時間，并被證明可以有效地表示硬件故障——盡管硬件可能會發(fā)生故障的方式有很多，例如開路，短路或運行緩慢。瞬態(tài)故障也很重要，因為它們代表了輻射可能引起的位翻轉。

「有一系列規(guī)范適用于多個行業(yè)的功能安全，」Cadence 產(chǎn)品管理集團總監(jiān) Pete Hardee 說。「有一個通用的 IEC 標準，IEC 61508，這是一種元標準。ISO 26262 是其衍生產(chǎn)品，更具體地針對汽車市場。對于鐵路、醫(yī)療設備、工廠自動化、核能等等，同樣的元標準還有其他衍生物，有適用于航空航天工業(yè)的 DO-254。越來越多的人進入這些領域的供應鏈，因此不得不考慮滿足一些功能安全規(guī)范。」

然后，我們可以推進這些規(guī)范。「ISO 26262，特別是第 5 部分和第 11 部分，是半導體的指南，」西門子數(shù)字工業(yè)軟件功能安全和自主解決方案經(jīng)理 Jake Wiltgen 表示。「這些標準要求特定的指標，即覆蓋率指標。ISO 中使用的術語是診斷覆蓋率，但本質上是檢測到的故障率超過總故障率。」

需要建立流程。「對安全性的高度信任依賴于定義良好的流程以及對流程的嚴格遵守。」Fraunhofer IIS 自適應系統(tǒng)工程部設計方法負責人 Roland Jancke 說。「最好的方法之一是需求工程（RE）。它從適當定義的安全目標開始，接著建立各自的需求，并將它們轉換為測試用例。一個基本要素是在整個過程中建立需求跟蹤，以便在發(fā)生任何變化時僅針對受影響的部件進入重新設計循環(huán)。」

對汽車來說，系統(tǒng)需要的安全程度取決于自動駕駛的程度。「這實際上取決于人們的目標 ASIL 水平，」Cadence 的 Hardee 說。「ASIL A 并沒有真正改變，但'我必須讓我的流程獲得認證'。在某些情況下，ASIL B 的影響也很小。但是，當涉及到滿足 ASIL C 和 ASIL D 水平時，它可能變得非常具有挑戰(zhàn)性。這與人們?yōu)楣δ茯炞C所做的工作非常一致，因為驗證和滿足規(guī)范的基本方法是查看一臺好的機器，并通過功能驗證實現(xiàn)良好的覆蓋率。」

如何做到這一點是留給設計師的。Imperas Software 創(chuàng)始人兼首席執(zhí)行官 Simon Davidmann 表示:「這取決于設計人員提出的架構、技術或解決方案，以證明他們能夠滿足這些質量目標。挑戰(zhàn)在于他們如何評估自己所做工作的質量。他們可能想要運行模擬，注入故障，以查看他們的軟件和硬件對這些故障有多大彈性。我們在故障模型上做了很多工作，以表示現(xiàn)實世界中發(fā)生的這些不同事情。」

這就是實用性發(fā)揮作用的地方。「如果你采用 1 億個門的設計，看看不同故障機制的數(shù)量，任何一種方法都無法涵蓋這一點，」Synopsys 的 EDA 集團工程副總裁 Manish Pandey 說。「從形式的角度看，獲取所有錯誤并嘗試傳播它在計算上是不可行的。我們需要更好的采樣方法，有不同的內部故障模式，確定安全和不安全的區(qū)域，等等。這種安全方法需要構建適當?shù)墓收线\動途徑，并且必須以非常有意識的方式完成。對微架構的認識至關重要。」

隨時間推移的安全性

在理想的硬件上做到這一點是不夠的。「另一個類別是保證整個生命周期的預期功能，」Fraunhofer 的 Jancke 說。「可靠性仿真可以確保這一點，而可靠性仿真又依賴于已知老化機制的適當退化模型和全面的壽命外推能力。」

老化起著至關重要的作用。西門子 EDA 的 Veloce、DFT 和功能安全產(chǎn)品經(jīng)理 Robert Serphillips 表示:「如果你看一下制造測試，他們通常會測試超過絕對規(guī)格的 20%，無論是時鐘頻率、功率還是溫度。硅會隨著時間推移而降解，溫度是非常關鍵的。在高溫下，設備的物理速度會變慢。像快速路徑和慢路徑這樣的東西現(xiàn)在開始變得有問題了。從安全角度來看，設備在周圍環(huán)境中的行為方式對于設備如何降級、故障如何開始出現(xiàn)以及電路如何開始失效至關重要。所有這些都必須納入考量，而不僅僅是從外太空射出的隨機光子。這款設備能否在其額定使用壽命內保持不變?」

「當我們考慮老化時，電路的閾值可能發(fā)生改變，」Hardee 說。「電路可能更容易受到這些東西的影響，設備可能會直接失效，這通常會造成卡住一類的故障。」但并非總是如此。「當你采用 5nm 或 3nm 的節(jié)點時，這些芯片會以許多奇怪的方式老化和失效，」Synopsys 的 Pandey 說。「在電線中，有電子遷移，這可能會產(chǎn)生開路。有些機制我們甚至都不知道。另一件有趣的事情是你如何檢測故障，以及設計中的嵌入式傳感器如何監(jiān)控這些芯片的行為，它們是如何退化的。是否有潛在的故障蔓延？我們將不得不通過額外的芯片監(jiān)控和芯片智能來補充傳統(tǒng)的故障預警方法。」

片內監(jiān)控是對其他 BiST 技術的補充。「先進的 SLM 監(jiān)測器通過分析升級，可以作為應對間歇性和降級故障的安全機制，」Synopsys 戰(zhàn)略系統(tǒng)工程可靠性核心團隊負責人 Dan Alexandrescu 表示。「多階段方法使用來自高級傳感器的信息，這些傳感器緊密嵌入關鍵設計模塊中。路徑裕量監(jiān)控、錯誤前檢測、內存訪問時間測量、ECC 和 BiST 事件被統(tǒng)一評估為相關的、及時的安全和質量指標。然后向系統(tǒng)執(zhí)行器發(fā)布可操作的見解，以及時糾正安全性和可靠性威脅。芯片內數(shù)據(jù)被發(fā)送到邊緣和云平臺，以進行車隊級監(jiān)控。所有階段的高級分析都可以快速準確地了解非常罕見的事件和現(xiàn)象，幫助安全使用已部署的產(chǎn)品，并為未來的設計提供更高的質量。」

遠程分析對功能驗證提出了要求。Synopsys 系統(tǒng)設計集團產(chǎn)品線管理高級總監(jiān) Johannes Stahl 說:「原始設備制造商希望對具有特定 VIN 號的特定汽車進行生命周期監(jiān)控，并向他們報告故障。」「從驗證的角度來看，在硅前階段，你必須確保這些機制有效，并提供正確的信息。」

擴展到人工智能

自動駕駛汽車越來越多地使用人工智能，這給驗證和確認帶來了一系列新的挑戰(zhàn)。其中許多今天還無法完全理解。圖 2(下圖) 定義了 AI 系統(tǒng)驗證與傳統(tǒng)軟件的不同之處。

圖 2：從 V&V 的角度對比傳統(tǒng)算法和機器學習算法。來源：《PolyVerif：自動駕駛汽車驗證和驗證研究加速的開源環(huán)境》

如何檢測 AI 系統(tǒng)是否出現(xiàn)故障?「人工智能是一個統(tǒng)計系統(tǒng)，它會在某個時間點失敗，」Pandey 說。「我們如何確保這些系統(tǒng)繼續(xù)表現(xiàn)良好? 有一類工作正在興起，就是正式驗證這些人工智能系統(tǒng)并確保它們在限制范圍內。同樣，有研究正在進行，以包含這些系統(tǒng)。但是，如果我們用額外的傳感器和其他故障安全機制來補充傳統(tǒng)系統(tǒng)，就需要一些東西來驗證并確保系統(tǒng)真正做它們應該做的事情。」

在未來，它會變得更加復雜。人工智能系統(tǒng)本質上是一個學習系統(tǒng)，」Synopsys 的 Stah 表示。「軟件是由人編寫的，可能包含錯誤。那么人工智能是否比軟件有更高的風險? 它是一個可以學習的人工智能系統(tǒng)嗎?」

限制故障空間

硬件的故障空間是巨大的，即使有高度受限的故障模型也是如此。所以必須使用其他技術來限制實際需要考慮的故障數(shù)量。

「故障模式效應和診斷分析 (FMEDA) 考慮到了你正在處理的電路的可靠性數(shù)據(jù)，」Hardee 說。「你正在研究失敗的模式和這些模式的影響。因此，我們實際上只關注故障的子集，這些故障可能發(fā)生在傳播到可能造成傷害的功能輸出的地方。」

沒有最好的方法來做到這一點。「通過故障模擬，你可以將故障輸入到設計中，看看它們是否能被檢測到或觀察到，」西門子的 Wiltgen 說。「但這不是唯一的方法。還可以部署其他分析方法來獲得這些指標。它需要在靜態(tài)空間、形式空間和模擬空間中結合不同的工具與方法，以盡可能快速有效地達到這些指標。」

現(xiàn)場測試和數(shù)字孿生可以補充現(xiàn)有工具。「有人撥弄了一下變光開關，說我在這里插入了一個錯誤，」Arteris 營銷副總裁 Frank Schirrmeister 說。「想檢查測試是否真的發(fā)現(xiàn)了這個錯誤。就像是在進行一場安全活動，只不過是在系統(tǒng)中進行。會有更多這樣的工具插入安全和安保項中嗎？也許，并且會擴展到虛擬化中。有了電子數(shù)字孿生，就可以插入一些東西，看看虛擬表示是否與真實硬件相匹配。」

結論

經(jīng)驗證據(jù)表明，簡化的故障模型——合理地應用于系統(tǒng)的硬件方面，再加上軟件和內置傳感器來進行檢測，有時也糾正錯誤行為——可以充分確保硬件在其使用壽命內是安全的。它依靠一些專家來監(jiān)督這個過程，以確保根據(jù)它所處的環(huán)境和可以提供的安全程度給予充分考慮。

然而，該過程是臨時的和不完整的，因為它沒有考慮整個系統(tǒng)的安全性。這應該成為我們的目標。