为外太空设计和保护芯片

在太空中使用的硬件的设计考虑远远超出了辐射硬化。这些设备必须在极端的温度变化下工作多年，并且在预计寿命内可能会被太空垃圾或漂浮在太空中的其他粒子撞击。

太空中的可靠性增加了一套完全不同的设计考虑因素。例如，一旦设备被发射到太空，虽然不太可能有人会对硬件进行物理篡改，但还有其他方法。通信可能会中断，数据可能会被盗，恶意软件可能会远程上传。此外，由于粒子碰撞或老化而导致的部件故障或退化可能会为发射时不存在的攻击开辟新的途径。由于这些设备很难修复，特别是如果它们是无人驾驶的，它们必须在第一次就高度安全。这对长寿命设备来说尤其是个挑战，因为网络安全是一个不断发展的领域。

尾气排放是另一个需要考虑的问题。Synopsys航空航天和国防垂直解决方案高级总监伊恩·兰德(Ian Land)说:“当物体进入太空时，它们是在真空中运行的。”“我们在半导体制造过程中引入了大量气体。一旦它在太空中，你实际上可以看到气体从包装中的金属和模具本身的金属中出来。气体会影响包装内部。在过去，人们习惯用密封的包装来处理废气。现在我们要做的是创建一个包，允许放气。它暴露在环境中，但它的设计也是为了应对这种情况。”

容量有限也是一个问题。对于高性能的太空飞行计算机，芯片可能会在有限的数量上进行定制设计，具有最大的抗辐射能力。这通常涉及多个处理元素执行相同的计算。如果一个处理器的结果与其他两个处理器的结果不同，那么异常值计算将被视为错误而不予考虑。理想情况下，这三者都会返回相同的结果，但要确保随着时间的推移发生，需要良好的建模和严格的制造流程，因为没有足够的容量来解决问题，而且更换无法正常工作的设备太昂贵且困难。

Arteris IP解决方案和业务发展副总裁Frank Schirrmeister表示:“你需要确保你所构建的设计像平台一样工作。“你必须弄清楚所有东西是如何与系统连接的，从太空安全的角度来看更是如此。与空间相关的领域寻求流程的可预测性和可重复性，有时在应用更高级别的技术(如基于模型的系统工程)时更成功，因为他们想要在项目早期模拟的东西不是由下一个消费者周期驱动的。它必须遵守非常具体的安全要求。这种可预测性变得非常重要，因为所发生的事情非常复杂。他们比其他领域更深入地关注需求的可追溯性。”

完全定制的电子产品可设计为最高的辐射耐受性。然而，除了高性能处理器之外，外太空还使用了许多其他芯片，通常用于执行更常规的功能。

在过去，这是使用成熟节点芯片进行辐射加固。但是最近技术论文美国橡树岭国家实验室的研究人员研究了用于近地轨道和深空传感、仪器仪表和通信的宽带隙结门fet与CMOS设计的芯片相比如何。他们得出的结论是，这些宽带隙结门fet在安全性和可靠性方面更胜一筹，而且它们的使用寿命比硅基fet长得多。

图1:现有的和新的空间防辐射电子设备。资料来源:橡树岭国家实验室

安全问题
网络攻击是设计太空芯片的另一个考虑因素，因为一旦发射，许多设备将无人看管多年，没有立即的保护。与汽车和卡车一样，卫星和其他空间电子设备上的软件也需要更新，以跟上新的安全威胁的步伐，并在硬件或固件故障时提供变通办法。但在太空中，这面临着额外的挑战。

Schirrmeister说:“无线更新的概念也成为了一个话题。“数字孪生在这个领域尤其相关，其中某些方面与验证相关，而其他方面则与预测性维护相关。”

在太空中，安全可能涉及物理或网络攻击，系统需要设计以应对任何事件。“硬件安全正变得越来越重要，而且它确实依赖于应用程序，”Land说。“这是一个基于我们认为这些东西暴露程度的定制领域。如果有一个可信的供应链，包括物流，那么硬件安全是低担忧。但如果它在运输中被搁置，那么你就需要担心硬件攻击了。”

安全和保障是紧密相连的。“你总是会有一个问题，‘他们会在哪里攻击系统?’”Schirrmeister补充说，在某些情况下，系统安全可以同时解决一些安全漏洞，从而产生“安全光环效应”。“
保持内存的安全是一个特别的挑战。“深入到芯片层面，查看内存和内存访问，并进行适当的验证是非常重要的。你甚至可以考虑给这些交易贴上标签，以确定在这种情况下是否有任何不洁的事情发生。”

太空安全可由六个概念构成——预测、预防、探测、抵御、响应和适应。

兰德说:“这是一个了解迄今为止所做的事情，然后预测可以做些什么来挫败现有和未来的袭击。”“如果我们能想象他们会做什么，我们就能建立预防机制来阻止这种情况的发生。我们可以通过隔离等技术抵御威胁，所以如果威胁进入该地区，你仍然有一个更敏感的地区受到保护。你必须做出回应，然后理想情况下，你有一种方法来适应未来的时间。我们每天都在思考如何管理安全、管理空间，以及如何同时管理这些事情。”

幸运的是，关于哪种威胁最有可能攻击太空硬件，有相当多的预测。一旦硬件进入太空，物理攻击和故障电源攻击就不太可能发生，但当设备仍在实验室时，它们就有可能发生。远程攻击是网络安全的主要问题之一，包括远程激活的目标故障。

评估这些攻击需要另一个概念框架。兰德说:“我们关心的是袭击的严重程度和发生的可能性。”“一旦我们了解了这个级别的细节，下一个级别就是硬件、软件，然后是随着时间的推移的安全性。当人们有更多的时间来攻击一个设备时，他们就会做得更好。通常情况下，这是在地面的实验室里完成的，但我们也见过设备在通过网络后受到远程攻击的例子，一些设备以一种意想不到的方式受到控制。”

Land指出，一般情况下，针对目标故障的相同方法也可以用于故障管理。
“我们可以使用故障注入之类的东西来了解目标故障的影响。我们可以做一些事情，比如插入有益的代码，和/或传感器和实体，这样东西就不会受到攻击。我们可以把设备上的区域分开，这样更敏感的区域与外界的联系就会比与内部世界的联系更紧密。我们可以进行一系列测试来防止攻击，然后我们也可以在它们服役时进行监控和击沉这些攻击。”

图2:通过故障注入解决硬件安全挑战。来源:Synopsys对此

在一个纸在去年的GOMACTech上，兰德和现任高通工程总监梅拉夫·尼赞(Meirav Nitzan)总结道，从汽车行业收集到的安全和安保经验也可以应用于航空航天和国防工业。航空航天和国防方面的相关关键标准包括DO-254(机载电子硬件设计保证)、DO-178(机载系统软件考虑)、NTSS (NASA技术标准系统)、MIL-PRF-38535 (IC封装可靠性)。

在本文中，作者讨论了故障注入技术在测量随机故障影响方面的有用性。他们说，这种方法也可以用来解决对硅的恶意故障攻击。该技术从故障减少开始，其中执行静态分析和形式分析。

Land指出，Synopsys正在与DARPA合作开展安全硅自动实现(AISS)项目，使设计人员能够轻松地为设备添加安全性，包括那些用于太空的设备。“太空和安全世界很少无聊。坏人真的很聪明。他们所做的事情非常聪明和创新。站在另一边是一个有趣的挑战。”

结论
在太空中使用的电子产品过去相对简单，几乎完全基于在太空中得到验证的成熟节点开发的芯片。但随着送入太空的设备变得更小、更轻、功能更强，芯片设计的复杂性达到了一个全新的水平，涉及到新材料、新功能和更多具有本地化计算的传感器。为这一领域设计的芯片也在发生变化，以使这些设备更可预测、更有弹性、更便宜。

未来的太空芯片设计可能与过去开发的芯片非常不同。辐射硬化很可能发生在多芯片设计的高级封装级别，或者这些芯片可以使用由于汽车应用的发展而成为主流的不同衬底和架构来构建。无论如何，太空中的电子设备将变得和地球上的电子设备一样先进，它们可能会面临许多相同类型的问题，包括变化、加速老化和安全风险，以及一些太空特有的额外问题。