验证网络物理系统的巨大挑战

半导体工程公司坐下来讨论网络物理系统，以及如何验证他们与Jean-Marie Brunet，仿真部门的高级主管西门子EDA；Frank Schirrmeister，解决方案营销高级集团总监节奏；Reply研发经理Maurizio Griva;意法半导体(STMicroelectronics)系统和架构专家Laurent Maillet-Contoz。这个讨论在最近的欧洲设计自动化和测试(DATE)会议上举行。

SE:什么是信息物理系统?

Schirrmeister目前公认的定义是:“这是一种由基于计算机的算法控制或监控机制的计算机系统。”所以物理和软件组件是紧密交织在一起的，它能够在不同的空间和时间尺度上运行，表现出多个区域的行为模式，并以随环境变化的方式相互作用。例子包括智能电网、汽车、自动汽车系统、医疗/工业机器人和自动驾驶。因此，它远远超出了电子领域，进入了我们所说的计算软件领域。硬件/软件是过去十年的一个话题，我们都担心硬件和软件如何交互。现在再加上这些物理因素，电磁效应，流动性效应，热效应。所以它的范围更广。

Griva传感器正在彻底改变我们过去20年的电子设计。计算机中有一部分专门用于实时捕捉物理世界中的信息，并实时进行操作，这完全改变了游戏规则。你正在设计一个电子系统，它不仅仅是一个传感器、计算机或微控制器。所有这些东西加在一起，再加上将数据传输到其他系统所需的推断和电源控制。CPS本身有一个广泛的定义，但它正在推动电子设计方面的革命。

深色的:我们将CPS称为a数字双．这在某些垂直领域尤其重要，比如汽车和工业，我们看到了许多不同的领域。一个是传感器世界，你需要感知。你需要能够通过视觉或任何类型的传感器捕捉数据，并在本地计算你所感知到的数据。这是用某种类型的算法计算出的数据的原始融合，因此需要进行一些活动。可以是无线的，也可以是有线的。数字双胞胎的有趣之处在于它有助于维护和支持。你想用一个非常先进的模型进行数字化设计，看看物理上发生了什么。但是，当系统上发生某些事情时，它还有助于跟踪远程连接，因此我们能够在基本问题发生之前抢先创建维护报告。这种传感、计算和激活的概念，基于非常具体的高级模型，具有不同的保真度，我们看到这只是一个刚刚起步的行业。

Maillet-Contoz:我同意CPS基本上由传感器、执行器、一些带有微控制器的本地计算能力和通信组成。一个完整的CPS系统不仅仅是一个节点。它是协同工作以开发和提供系统功能的节点的集合。它们有多种功能特性，它们能量低，它们可能有细胞通信，整个系统必须有弹性。因此，我们需要确保系统的全部功能，这对系统的设计和维护方式有深刻的影响。

SE:这是我们过去认为的物联网和边缘的融合吗?现在我们正在从相当愚蠢的可以通信的设备转向这些设备内部的更多处理，并有可能增加移动性?

Schirrmeister:这是一部分。我不会称之为物联网。从命名的角度来看，物联网一直存在问题。有些人认为它是垂直的。但它确实具有大量传感器连接的特点。从消费设备到超大规模计算引擎，再到移动网络、汽车、工业和健康，所有垂直领域都需要创建这些数据。但它不只是一个组成部分。这是一个连接这些物品的完整网络。在它们的生命周期中有不同类型的表示。有不同类型的数字双胞胎用于设计和开发，用于制造，用于整个产品生命周期的预测性维护，甚至用于回收和报废。 That’s one dimension, which is where in the product lifecycle you apply that cyber physical system and how you connect all of those. You have to decide how much processing to do at the device, at the sensor, or at the far edge, and what do you move into the data center. There’s a lot of wiggle room from an architecture perspective.

SE:我们现在处理的是运行中的电子系统。我们也开始在这些设备中加入人工智能、机器学习和深度学习等技术。这是一个非常复杂的设计问题，因为你不能再采取分而治之的方法。我们现在必须考虑系统，它们如何随时间变化，以及它们如何与其他系统交互。这对设计过程有何影响?

Maillet-Contoz:我们需要考虑系统中的层次。在一个典型的物联网系统，我们将有独立的节点，这些节点将相互通信以创建一个完整的系统。所以当它处理数字双胞胎时，我们可以考虑不同的层次。您可能会想到一个非常抽象的模型，其中每个节点只是一个功能块，为整个系统提供某种功能。但是对于这样一个抽象的模型，您将永远无法验证硬件/软件集成。因此，你也可以考虑另一种模型，在这种模型中，你将拥有每个节点的架构模型，以便能够实现和验证系统的硬件和软件部分。您可以组合所有这些不同的模型和高级抽象级别，但这也可能对模拟的全局系统性能产生影响。您需要做出正确的建模选择，这取决于您的模型的目标用例。我怀疑我们还需要重新审视我们思考模型的方式，根据您想要关注的内容以及您想要用模型验证的内容来确定不同级别的准确性。

深色的:我同意。我们认为这是一个复杂的建模问题。你需要正确的模型和正确的保真度，正确的可访问性和可用性。当涉及到软件和硬件之间的交互时，系统的验证是困难的。似乎软件现在决定了半导体的行为和成功。它正在改变芯片验证的方式。它们实际上是基于软件性能和分析，而软件和硬件之间的交互是关键。那么如何验证呢?我们认为CPS或数字双胞胎的验证对我们来说是一个巨大的挑战，也是一个关键的机会。当今一些设备的本地计算量是惊人的。 Verifying a chip design within the context of a digital twin for a car or medical devices starts with the software, and how the hardware is going to interact with the software. So we see a huge need for system verification and validation, in addition to the semiconductor within the context of the software.

Schirrmeister从工业的角度来看，这也带来了新的问题。软件/硬件方面是其中之一。但你也有所有的物理数据。在同样的背景下，像热这样的影响，就成了一个大问题。无论如何，我不认为硬件/软件问题已经解决了。但现在我们也必须考虑到所有的物理方面。这就是为什么从市场的角度来看，我们现在正在与具有机械和系统背景的人交谈。

Griva:完全正确。与几年前相比，在早期阶段，软件/硬件设计以及机制之间有了更多互动。特别是，我们看到无线领域对电池知识的强烈需求，因为两者相互影响。自持物联网设备的电池续航时间至关重要。此外，运行的软件，能够开关并使其进入深度睡眠模式，会影响性能和电池的消耗。那么，如何从一开始就把这些东西放在一起呢?这真的非常非常困难。这样你就能更早地完成硬件设计。在过去，你会有三到四个原型机，第四个原型机，也就是我们所说的P4，是进入大规模生产前的最后一个原型机。现在你可能有P10，因为东西不能在早期阶段测试。 And I’m really scared about AI algorithms going into that and executing programs in real-time from one node to another, because this complexity of systems can only be tested in the very late phases of the overall design phase. Unfortunately, that also can impact the choice of the components and even the microprocessor in the early phases. So we need to find a way of modeling these kinds of things much better. Otherwise, the test and validation efforts in the different phases will explode, and the cost of the solution will explode, and it will a negative impact on the stability and availability of those devices.

Schirrmeister一个关键的问题是您在哪个抽象级别上对这些项建模。Philippe Magarshack(意法半导体微控制器和数字ic集团副总裁)谈到了晶圆厂的管理，在那里他们有3tb的数据正在生成，成千上万的机器人每天做成千上万条路径。你不能用所有低级的软件来模拟机器人马达的电流。因此，您将拥有混合抽象，其中一些元素将在更高级别上进行完整的详细建模。对于如何组合执行环境，这是一整套新的选项。

深色的:这些模型不是一直都有。我们来自半导体背景，视图和模型必须是可用的。否则，流的其余部分将无法运行。在汽车或医疗等行业，有时这种模式甚至不存在。所以现在市场对先进的建模，以及保证模型的准确性和稳定性有很大的需求。有时我们和某些垂直领域的客户交谈，他们甚至不明白RTL模型是什么，或者如何创建一个模型。模型的获取和可用性都是有问题的。

Maillet-Contoz:另一个挑战是价值链和阐明CPS建模方法的社区没有使用相同的工具。有些行业从来没有使用过我们在半导体行业使用的那种工具。我们还需要考虑使用价值工具和价值范式对相同的系统建模，并且我们需要确保在同一设备或同一组设备中使用的所有这些模型层之间具有全局一致性。还需要将这些模型连接在一起，以便您可以在一种混合模式中模拟值模拟模式的不同精度级别。根据目标用途，对使用这些模型的人的要求是什么?以及我们如何为社区服务，以确保模型将以我们能达到的最佳模拟性能服务于目的，同时也提供正确的准确性，以便人们可以从模型中获得价值。

深色的这是非常重要的，因为当你进入汽车市场的OEM层面时，例如，没有单一的供应商。它们的模型由许多不同提供商提供的不同类型的软件执行。如果解决方案是尝试观察系统，并说所有东西都必须用我自己的工具移动，就像我们在半导体领域看到的封闭流，它在这个领域不起作用。你真的需要能够集成各种各样的模型，各种各样不同的工具，这些工具在EDA领域有时是有竞争力的。CPS正在推动许多像我们这样的提供商与许多不同类型的模型集成。用我们的工具它是否运行得更好并不重要。我们需要能够集成到一个完整的系统视图中。所以生态系统整合的水平比我们过去看到的要重要得多。

SE:我们面临的一个挑战是，在过去，我们设计的芯片会被应用到智能手机或电脑中，我们会有数十亿个相同设计的芯片。我们现在看到的是，为CPS开发的芯片因不同的市场而不同，但不同的供应商也有很大的不同。最重要的是，我们需要了解这些设备是如何老化的，以及它们是如何随着时间的推移相互作用的。作为一个产业，我们该如何向前发展?

Maillet-Contoz:部分答案是定义正确的接口。因此，我们当然需要在标准方面取得巨大进步，以便能够更好地将价值模拟模型集成在一起。如果一家汽车制造商想要整合所有车型的所有部件，那么他们就需要以无缝的方式将所有这些集成起来。否则，我不认为有任何可能得到一个完整的系统集成。

Schirrmeister标准是一个非常大的项目。在几年前的一次小组讨论中，一家汽车OEM对一家一级供应商说，我有不同的半导体供应商，他们的型号彼此不兼容。’然后他们都看着EDA提供商说，‘哦，你的工具不起作用，因为它没有正确地将所有这些模型组合在一起。所以这是一个标准化的挑战。但问题超出了标准化的范畴。它还涉及知识共享的新层次。我从小是做硬件设计的软件工程师，但现在我也要处理机械问题。也许机械效应需要在电机的背景下建模，这涉及到不同抽象级别上的新接口级别。但是其中一些接口还不存在，或者至少它们还不为人所知。因此，所有产品的标准化成为一个大问题。然后，一定程度的跨职能教育是必要的，因为人们至少需要理解和理解其他挑战和需求。所以，硬件开发人员不仅来自火星，软件开发人员来自金星，或者任何你想分配给他们的星球。 Now you have new classes of engineers from other planets, who have different ways of talking about things. And they all need to be brought together in this context of a cyber-physical system from a modeling perspective and a verification perspective.

深色的有一些类型的标准化会做得很好。例如，FMI(功能模拟接口)就是一个合适的标准。事务级建模(TLM)在接口相对干净的地方很有用。模型是否由竞争对手的工具运行并不重要。所以我同意一些标准化工作是必要的，但我也认为这正在发生。我们还没有达到市场说‘没有办法在不同工具和不同模式之间传达你的标准’的地步。

Griva接口的主题绝对是一切的核心。希望我们没有那么多不同的设备，我们尽可能多地重用现有的模型，并在我们定义其中一个时立即升级它们。但对于制造商的工程部门和合同制造商之间的接口，标准对他们来说是极其重要的。如果我们有各种各样的产品要生产和销售，那么生产最终产品的合同制造商就会有大量的客户。标准在这个层面上很重要。拥有一个合适的接口是绝对正常的，因为制造商会推动设计上的改变，以降低成本和制造速度。因此，我们必须尽可能地分解我们的设计。它必须灵活地进行替换，因为我们正在制造新产品，或者因为我们的客户要求特定的子模块或子功能以保持竞争力。这是我们在早期阶段做模型时必须考虑到的问题。

相关的
延长芯片寿命的设计问题(上述圆桌会议第二部分)
让系统运行几十年可能会导致各种问题，从兼容性和更新的完整性到意外的安全漏洞。
更长的芯片生命周期增加安全威胁
更新可以改变一切，无论是一个系统还是与该系统相连的东西。