延长芯片寿命的设计问题

《半导体工程》杂志坐下来讨论了在复杂系统中使用的芯片在较长时间内所面临的无数挑战西门子EDA；Frank Schirrmeister，解决方案营销高级集团总监节奏；Reply研发经理Maurizio Griva;意法半导体(STMicroelectronics)系统和架构专家Laurent Maillet-Contoz。这个讨论在最近的欧洲设计自动化和测试(DATE)会议上举行。如需查看第一部分，请单击在这里．

SE:复杂系统中的芯片预计会比过去的寿命长得多。在汽车领域，这个数字超过了10年。在工业机器人领域，已经超过20年了。这将如何改变设计和验证?

Schirrmeister:我们看到了早期开发的左移，然后出现了反馈循环，这导致了特定领域的架构。所以你在一定程度上建立了维护和升级的能力。这是长生命周期市场理念的一部分，包括航空航天和国防，在产品的整个生命周期中，你有各种各样的升级。分而治之是其中一个方面。您需要确保各个组件的接口随着时间的推移是足够稳定的，以便您可以更改其中的某些内容。但是您还需要构建升级的灵活性。这就是可配置处理概念的由来。对于软件，你如何确保你有足够的空间进行升级?它为性能和成本设计的整个概念带来了新的挑战。如果您设计的组件的性能负载水平在95%到99%之间，然后您需要在以后添加一些东西，这就构成了一个挑战，因为您必须替换一个更大的组件才能做到这一点。 Those are new design considerations. And that leads to the whole notion of interfacing of EDA tools to tools from the systems world, like the whole PLM domain.

深色的直到几年前，当你的车有问题时，你会把它拿到汽车经销商那里。而且大多数时候需要更换硬件。现在，你可以看到一些公司通过与你的汽车进行空中通信来重启软件。软件完全改变了。真正发生的是他们在做预防性维护。但是，为了能够连接到某些高科技组件，并在系统上进行本地预防性维护，您需要从一开始就进行设计。硬件和软件必须具有灵活性才能做到这一点，技术必须能够连接。这是软件和硬件的完全集成。但从设计之初就需要这种灵活性。

Laurent Maillet-Contoz这就需要新的设计方法。我们为测试而设计。现在我们设计了可升级性。这应该在设备级或组件级考虑，但这还不够。您还需要提前考虑和验证您计划部署的设计是否确实能够达到这些目标。您需要预测您在通信能力方面可能面临的问题。在汽车的情况下，你需要在一个地方，你确定将下载和安装正确。如果你通过空中进行，你需要确保你有适当的安全系统来确保升级的完整性。您需要确保在功能方面，升级后的系统将继续正确执行。因此，在部署之前，您需要有适当的机制，以确保此升级是可行的。

Griva:安全的空中升级现在是一个必须具备的功能。在过去，这是一个不错的功能。当苹果进入手机市场时，它颠覆了整个市场。当时的领导者是诺基亚和摩托罗拉，但他们没有开发出一种可以下载应用程序甚至升级软件的系统。苹果在基层就这么做了。它不是某些特定应用程序的附加功能。这是一件你可以经常做，也必须经常做的事情。所以在设备上准备好OTA是“必须的”。”Older devices that have wireless connectivity, or least have some kind of connectivity with proximity nodes or with central systems, now are required to be upgradeable. But changing the software on such systems creates a lot of challenges. First, you must be 100% sure you don’t break the system. Imagine if your Tesla reboots during the night with the wrong version of software, and the car simply doesn’t switch on again. That means you have to get somebody to come there. If it’s in your garage, it’s simple. If it’s in the middle of a place where you spent the night, it’s much more complex. Trying to ‘unbreak’ the system is not acceptable. Another problem is that we not only must be able to change the applications, but we must be able to patch the operating system and the DSP. All the libraries that are needed are now part of the group of things that you must change over the air. How can you really be 100% sure that your signature software is secure and nobody can break into it and provide a fake version of your PLC software, which may run a turbine on a plane or the engine on your car? A second part of the reliability of a system involves the speed and the quantity of the data you must change. You need to be sure the data from the customer — like security keys or neural networks that have been taught to recognize speech on the device — are not changed because they are specific to that device.

Schirrmeister:应用程序的特殊性驱动了这些需求。在家庭旅行中无法使用的iPad和在工业环境中无法使用的iPad有着巨大的区别，在工业环境中，工厂里的机器人覆盖了数千英里。如果你在错误的时间升级一个机器人，它将花费你很多晶圆。如果我的车正在启动，突然我有紧急情况，我需要在更新运行时离开我的车库，那是不可能的。因此，它的应用变得非常具体，在健康和医疗电子产品的情况下，它甚至可能危及生命。

SE:在过去的许多设计中，安全性确实没有得到解决。但随着cyber-physical系统在美国，安全可能会影响人类的生活。在过去，安全通常集中在软件上。它越来越需要涉及硬件。有固件更新，更紧密的软硬件集成，这对人工智能训练和推理都有影响。需要改变什么才能从一开始就将其添加进来?

Griva:过去，我们从软件开发、系统开发、生命周期设计开始安全设计。然后我们说，‘好吧，让我们从完全没有安全性开始，我们稍后会添加它。这绝对损害了在一开始就把事情做得更好的方法。物联网的设计完全没有安全性，这从一开始就在模式和流程的系统开发生命周期中提出了问题。
我说的不是航空航天和航空电子设备等高水平、设计安全的行业。但是汽车，从电子的角度来看是相当安全的，可以通过can总线攻破，模拟网络上的一个合法节点。工业世界的很多东西都没有安全保障，或者几乎没有安全保障。这显然不再只是一个软件问题了。这正成为一个硬件问题，因为软件开发人员希望为安全数据(pki和证书)以及用于节点和云之间相互识别的片上身份验证提供一个安全区域。所以所有这些东西如果留在硬件中会更安全。

Schirrmeister你还有更多“为之设计”的方面。你有针对测试的设计，针对可升级性的设计。其中一个影响就是在下一个项目中考虑上一个项目。如果我在当前的项目中发现了一些问题，特别是在安全环境中，我可以针对当时已知的威胁进行设计。你可以创造性地想象黑客可能会想出什么。但这是一个反反复复的过程，因为黑客总是会尝试一些新的东西。所以对于下一个项目，也就是随着时间的推移，你需要考虑这些因素。其中一些可能是可升级的。在硬件/软件上下文中，其中一些需要设计到硬件中。现在有很多关于如何将硬件安全机制与运行在其之上的安全软件相结合的讨论，涉及到密钥存储和所有这些项目。

深色的:有针对测试的设计和针对安全的设计。但无论人们采用何种技术，我们都能看到两件事。首先，验证的挑战正在急剧增加，因为您需要添加与我们过去处理的不同的测试设备的考虑因素。因此，更多的验证周期是关键。就向量的深度而言，它们可以更深入，但它在全局上有更多的循环。其次，它为客户消耗了大量的额外容量。他们必须把他们的设备放在一定的配置下，基本上不会真正限制设计的大小，而是总是随着设计的大小而增加。因此，循环次数和容量是验证提供者面临的重要挑战。
在安全方面，我认为目前还没有明确的赢家，即哪种方法适用于安全设计。我们看到许多与特定硬件和软件实现相关的专有和保密解决方案。提供通用的东西是一个挑战。作为硬件辅助验证解决方案的提供者，我们看到了更多的周期，更多的复杂性，以及更多关于如何将设计置于特定测试下的考虑，这需要更大的容量。

Schirrmeister:为此你需要更多的虚拟物理原型和仿真。新的方法正在不断发展。人们进行红蓝队的攻击，你创造一个早期的场景，在这个场景中，你尽可能多地创建硬件和软件的原型，然后你让人们向它发射飞镖。但是你需要建模并尽早运行它。

SE:如果你必须与其他产品适应一个安全架构，有多少实际上是在芯片设计方面?如何跟上安全变化的步伐?

Laurent Maillet-Contoz:我们当然要在设计和设计方法中考虑到这种情况。使用设备模型可能会有所帮助。所以对于EDA行业来说，这可以让他们卖出更多的容量。但我们也需要从一个新颖的角度来考虑验证。我们还需要设想描述场景的新方法，而不是运行可能呈现一些随机缺陷或定向场景的场景。因此，我们还可以从另一个角度测试系统，比如黑客如何针对系统，并试图从功能的角度找出什么场景是有意义的。从体系结构的角度来看，有哪些场景?从微架构的角度来看，场景是什么?我们需要以这样一种方式实现所有这些，你可以尽早了解要在设备上运行哪些测试，同时也可以测试设备的模型。这样，我们就可以尽早发现潜在的故障并修复它们。

SE:回到升级周期，你如何划分它并说它现在已经完成了?你是增加了整个冗余级别，还是说，‘到目前为止已经完成了?”

Schirrmeister:这是逻辑和功能分区。但也存在过时的问题。如果你有一个20年或10年的市场，你必须储存那么多零件，以应对更换。但在某些时候，这些东西会过时。我们已经看到了集成请求。“我有几个子系统，在开发时它们的复杂性还在合理的范围内，但现在它们已经过时了。“所以你想要设计和替换它们。这实际上是一个就地替换的过程，在这个过程中，你需要重新验证硬件和软件，而且你可能需要弄清楚你的软件是否仍然可以运行。我需要重新认证吗?因此，它成为一种逻辑分区，具有在其中进行升级的能力，可以替换几个组件，并可能将它们与最新的技术功能集成在一起。但除此之外还有硬件/软件方面的问题，这些都是必须考虑的。 ‘Does my software now break? Do I need to upgrade? That’s a hot topic these days. When you look at aerospace and defense, the planes developed two decades ago still may be state-of-the-art today, but you have to upgrade subsystems in place. So you have stable interfaces you need to design to, but then you can do more integration underneath.

SE:在制造工厂会发生什么，你有一些设备已经升级了一些设备还没有升级。所有东西都必须在同一时间升级吗?当他们使用的版本不同时会发生什么呢?

Griva工业设备的使用寿命是几十年。在制造工厂中，我们发现了一系列不同年代和设备。所以你有封闭的系统，半开放的系统，机电系统，没有电子设备，其中一些上面有某种智能和软件。一开始，在制造工厂里，你可以放任何东西。但你不能要求工厂的所有者在系统安装到位后更换所有系统，甚至不能要求他们将软件升级到最新版本。我们仍然可以找到Windows 95。我们必须升级那些可以升级的东西，我们可以把最新的技术放在那里，改造和改造机器，添加一些新功能，并为这些系统添加新的通信系统和新的传感器，使它们进入工业4.0网络。但我们也必须确保我们不会引入一个不安全的系统。仅仅因为一个系统是开放的就连接它并不是一个好主意。从短期来看，这可能是个好主意，因为它更容易做到，但从中期和长期来看，这不是一个好主意，因为它会成为一个弱点，因此它可能会被工业网络上的入侵者攻击。 So we apply a schema when we have a consistent network. Let’s say all the nodes would be able to speak the same language. So they typically have TCP-IP on that machinery. But it’s not like it was 10 years ago, when that was an elite communications system.

相关的
第1部分:验证网络物理系统的巨大挑战
与会专家:模型和标准很少且不充分，这使得很难考虑硬件-软件和系统级的交互以及物理效应。
更长的芯片生命周期增加安全威胁
更新可以改变一切，无论是一个系统还是与该系统相连的东西。
可靠性设计
芯片应该工作多长时间是设计团队需要考虑的问题，包括他们对老化模型的信任程度。