其實，我們日常出行所依賴的汽車與太空中的衛星系統之間，存在著許多共通之處，而且這些共通點可能比我們想象中的還要多。究其緣由，汽車和衛星系統都需要具備超高可靠性，以確保長時間的穩定運行。此外，汽車和衛星系統都涉及到了極端環境下的運行，因此，更有可能出現微電子漏洞等問題。

航空航天是芯片最早最重要的應用領域，或者說，早年時代的芯片，就是為航天事業服務的（了解詳情，請戳傳送門《【了不起的芯片】芯片的征途不止于星辰大海》）。為了取代航天器中體積巨大的機械或是分立的電子原件，上個世紀五十年代末，世界上第一顆集成電路芯片出現了。兩相比較下，雖然航空航天行業在生產安全可靠的飛行器方面有著悠久的歷史，但汽車行業作為一個龐大的產業，在安全可靠的微電子設計創新方面投入了更多的資源和資金，于是航空航天界的開發者也開始越來越多地向汽車行業學習，通過借鑒汽車行業在可靠性和功能安全等方面的經驗和技術，來提升自己的項目水平。例如，為滿足汽車行業需求而開發的EDA工具和IP基礎結構，也可以應用于航空航天的設計，更加高效地實現關鍵任務。

作為高可靠性半導體設計的幾大重要元素，可靠性和魯棒性、信息安全和抗輻射性、以及軟件安全可以同時適用于汽車和航空航天領域。同樣地，汽車領域的重要標準和技術，特別是功能安全IP，也可以應用于航空航天設計中。那么應該如何開發可靠的SoC，確保無論在哪種環境中使用，都能在整個生命周期內安全可靠地運行？

汽車級IP如何助力航空航天SoC設計

SoC的故障時有發生，甚至可能造成嚴重的影響，而且由于SoC內部包含大量的晶體管和連接，因此一個典型的SoC中可能存在多個故障。芯片的漏洞可能來源于多個方面，包括系統性故障和隨機故障、制造缺陷和惡意攻擊。無論設備是用于乘用車內還是載客飛機內，任何故障和缺陷都可能導致安全關鍵型子系統無法正常工作，進而可能導致汽車剎車失靈，或客機航向出錯。更糟糕的是，系統故障可能導致致命的后果。想象一下，如果在汽車或客機高速行駛時出現控制系統故障，那會是多么的危險。但往往汽車或者客機都會使用很多年，汽車通常至少為15年，而飛機的使用時間則會更長。因此，這些系統必須能夠長時間安全可靠地運行。

為滿足功能安全標準而開發的汽車級IP可以應用于航空航天中，以實現安全可靠的長期運行。在一項針對新思科技高速SerDes IP和內存IP輻射束測試性能評估中， 汽車IP被集成到使用格芯22FDX（全耗盡型絕緣體上硅）平臺開發的測試芯片中。測試結果表明，如果恰當地使用汽車IP，電離總劑量（TID）水平有望能夠滿足大多數航空航天任務要求。此外，似乎沒有任何器件因為單粒子鎖定而出現永久性損壞。未來，為了適應太空運行，設備還需要考慮緩解單粒子效應的影響。

新思科技的航空航天工具流程借鑒了汽車行業的技術，可對汽車IP進行針對性定制，以便用在航空航天應用中。比如，在通信衛星上實現多個獨立安全級別的隔離區域，或將基于硬件的擦除功能嵌入太空SoC平臺中。

在各種環境中保持系統安全可靠

除了IP之外，還可以通過電子設計自動化（EDA）解決方案來減輕故障的影響。例如：

• 系統故障通常發生在硬件和軟件層面，這些故障往往是確定性的，也就是說，可以通過修改設計、制造工藝、操作程序和/或文檔來確定根源并消除故障。在這個過程中，魯棒的設計、實現工具和流程，以及功能驗證工具和流程會非常有用。解決系統故障問題還需要定義明確的開發生命周期流程，這包括安全計劃、高級失效模式與影響分析（FMEA）、失效模式、影響和診斷分析（FMEDA）、驗證計劃以及根據已知標準管理軟件開發的能力。
  

• 在汽車和飛機安全領域以及輻射環境中，也可能出現隨機故障。這些故障包括永久性故障和瞬態故障，可能發生在產品生命周期的任何時候，無法進行預測，并可能導致硬件故障。用于確保汽車安全的技術和工具，好比自動化冗余和緩解、故障管理驗證以及制造和操作監視器，也可用于航空航天中。
  

• 緩解隨機故障還需要一種安全感知架構，該架構應具備可靠性機制，可以防止、監測、檢測和糾正故障。EDA流程可以用于執行故障注入和驗證，以進行建模和仿真并防止因隨機故障而引起產品故障。惡意攻擊可以利用軟件和硬件漏洞，而且隨著時間的推移，攻擊者的技術會進步，經驗也會不斷積累，因此他們或許能更輕松地發起攻擊。對于惡意攻擊，也可以采取類似于系統性故障和隨機故障的預防和緩解措施。

故障注入測試是故障驗證工具箱中的一種工具。此類測試可以在設計階段使用，用于測量功能安全運行、評估軟錯誤漏洞以及測量惡意攻擊對芯片的影響。除了故障注入測試外，還可從汽車領域借鑒其他成熟方法，包括通過靜態和形式化分析減少故障，以及使用功能驗證測試平臺進行故障仿真。因此，借助現代仿真和硬件加速工具，也可以在流片前進行故障注入測試，以支持故障驗證和預防。

標準指導實踐

汽車領域存在OEM、一級供應商和二級供應商，與此類似，航空航天領域也由許多參與者組成。汽車設計中的風險緩解技術、流程和工具不僅可以增強航空航天各供應鏈之間的數據交流，還可以提高開發周期的效率。而功能安全分析便是其中一項重要的技術，可用于識別潛在的隨機硬件故障。

ISO 26262標準是汽車功能安全方面的國際標準，其中將“功能安全”這一概念定義為“避免因為電氣/電子系統故障行為而導致出現危險的不合理風險”。在汽車領域，風險水平及相應的緩解措施通常用汽車安全完整性等級（ASIL）來表示，其中ASIL D是最為嚴格的等級。以功能安全標準為指導的設計方法假定故障會發生，并提出應對這些潛在故障的方式，以確保安全運行。

同樣，航空航天行業也存在各種標準，例如航空電子硬件和軟件設計保證標準，即DO-254和DO-178。航空航天行業也有類似于MIL-PRF-38535這樣的標準，用于規定芯片在太空環境下的運行要求，其中的一個重要的挑戰是不同系統之間存在廣泛差異。航空航天行業也正在逐步認識到，為汽車行業制定的功能安全指南可用于開發容錯系統。

長期以來，航空航天行業的開發者一直使用安全和可靠性機制，包括使用糾錯碼來識別和修復故障，使用奇偶校驗和三模冗余來緩解故障，以及使用邏輯電路和存儲器電路的內置自測（BIST）來監測故障。如今，航空航天行業開始使用符合ASIL B和ASIL D標準的汽車級IP，以實現具有更高信息安全和軟件安全性、質量和可靠性的SoC。ASIL策略雖然旨在符合ISO 26262標準，但也適用于飛機安全性并可用于應對輻射效應。

新思科技擁有符合ASIL B和ASIL D標準的汽車IP核組合，該IP核組合有助于防范系統性和隨機硬件故障，并支持先進工藝技術。此外，新思科技還擁有安全IP核組合，包括真隨機數生成器（TRNG）、加密、可信處理和安全接口等。

總結

如今，有經驗的開發者會綜合運用來自汽車和航空航天的不同技術和方法，就像上文我們討論的航空航天領域是如何從汽車領域借鑒技術。但實際上，這種借鑒是雙向的。例如，目前汽車行業廣泛使用的技術，如激光雷達、LED照明和全球定位系統（GPS），都源于航空航天領域的先進技術。這兩個行業的主要關聯在于，它們都需要高度可靠且具有信息安全與軟件安全性的SoC和Multi-Die解決方案。汽車開發者已經建立了一些實踐和技術來滿足質量標準，而航空航天領域的同行也注意到了這一點。通過借鑒汽車可靠性和功能安全設計方面的經驗，以及采用軟件安全和功能安全的汽車IP解決方案，航空航天領域的開發者可以確保他們設計的飛機等設備能夠向新的高度發起挑戰。