功能安全问题日益突出

为汽车、工业和医疗等安全关键市场开发半导体，需要在制造前和制造后采取越来越多的额外步骤，以确保产品的完整性、可靠性和安全性。

这导致了几个重大变化:

•设计变得越来越复杂，因为它们需要故障转移和冗余等功能。
•设计在生产前会经历多次更改，因为规范和标准要么仍在开发中，要么不断更新。
•涉及功能安全的系统正变得越来越昂贵，因为验证、测试和制造这些设备的成本正在上升。

由于这些市场需要更多的问责制，企业也需要更长的时间才能看到投资回报，而且无法保证设计出来的芯片或系统最终投产时会符合要求。在汽车行业尤其如此，因为许多技术都是全新的，需要不断审查和修改，以优化或降低成本。

该公司功能安全经理乔•戴利(Joe Dailey)表示:“在所有这些市场中，汽车行业的产量最高Mentor是西门子旗下的企业．“他们现在要做的是制作一款可以跨多个平台运行的产品，以降低研发成本，并为其添加优化和功能。上市时间正在缩短，他们更专注于重用和优化IP。”

不过，仍有不少公司在争夺这块市场。对于能够在整个系统中赢得一个插座或一席之地的公司来说，它可以带来长期的回报。但能否取胜则是另一回事，因为为汽车、工业或医疗市场开发芯片与为智能手机或消费设备开发芯片截然不同。

“汽车被认为是一个利润丰厚的市场，我们看到新公司从美国和中国涌入，”的CTO Ty Garibay说ArterisIP．“其他人正在进入市场的新变种，他们在历史上熟悉汽车。这些公司面临的问题是，他们在其他市场(如微控制器或深度嵌入式处理器)开发的技能能否扩展到多核处理器和加速器，以及是否有公司能够跟上规格的变化。”

Ranjit Adhikary，营销副总裁ClioSoft在IP方面，微软也在关注类似的情况。“许多公司都在使用内部电子表格来跟踪IP。对IP进行限定有很多复杂之处。在汽车行业，集成更为严格，你必须与多家供应商合作。”

安全问题
进入这些市场仅仅是个开始。在所有的功能安全市场中，定期会有新的法规加入。这些更新和变化的一个关键驱动因素是安全问题，这是一个巨大且日益严重的问题。虽然安全在许多市场被认为是一种附加功能，但它可能直接关系到高速公路上行驶的汽车的安全，或者核电站或炼油厂等工业设施中使用的机械的安全。

“我们看到的最大挑战是软件，”FASTR(未来汽车安全技术研究)的执行董事克雷格·赫斯特(Craig Hurst)说英特尔、Aeris和Uber。“你甚至能给出软件起源的完整清单吗?对于一些原始设备制造商来说，这是一个极端的练习。汽车中有1亿多行代码。整个供应链都需要参与进来。”

他说，还需要定义什么是可接受的风险水平。“如果你看看医疗行业，他们已经定义了可接受的参数。汽车行业需要量化和理解这意味着什么，因为可能永远不会有100%安全的汽车。归根结底就是要了解风险因素和动机。”

图1:整个汽车供应链的安全风险。来源:FASTR

在大多数系统中，安全性是限制对通信通道的访问并确保数据中没有异常的功能。对于在这一领域拥有深厚专业知识的芯片制造商来说，这是最大的机会。

福特汽车业务开发和架构总监安德鲁•克劳斯(Andrew Klaus)表示:“有有线和无线方式渗透到系统中迈威尔公司．“在芯片层面，你要确保所有应该通过的数据都能通过，不应该在那里的数据包不会进入系统，或者你不能搞砸已经在那里的数据包。”

他说，这需要安全硬件配置的组合，以关闭外部访问，深度数据包检查，以及黑名单和白名单的数据。实际上，它需要OSI通信栈七层中的六层的完全安全实现。第一层被认为很难用今天的工具破解，尽管这种情况可能会改变。

图2:开放系统互连(OSI)标准通信模型。来源:Webopedia

克劳斯说:“其他行业也在发生这种情况。“在家里，你已经有了网络地址转换，你设置了防火墙。在工业领域，你希望任何你连接的东西都能即插即用。但在汽车行业，你需要一个固定的架构。没有即插即用。例如，您知道“端口3”可能会连接到轮胎传感器，而您最多只需要1兆比特的数据。任何其他试图访问系统的东西都需要被拒之门外。”

有许多供应商为这些挑战提供解决方案。Marvell的方法是基于硬件的包过滤。Arm的任务是确保芯片的基本启动和编译器软件的安全。

“人们需要自适应巡航控制和车道偏离预警技术，”该公司产品经理保罗·布莱克说手臂编译器。“另一方面，有很多遗留软件。每个制造商已经开发发动机控制软件20年了。但是标准正在发生变化，而安全是这种变化的主要驱动力之一。如果软件不安全，系统也不会安全。”

虽然不可能完全消除这种风险，但大多数公司认为它是可控的。更大的问题将出现在机器学习/人工智能方面，用于系统的集中式逻辑。

“有了构建的代码，就有了审计跟踪，所以你可以分析它是如何构建的并对其进行测试，”Black说。“但如果以其他方式生成代码，这将非常具有挑战性。您在汽车领域拥有大量的测试用例资源。问题是它的测试有多好，以及您有多确定您已经覆盖了足够数量的测试用例。你可以用模拟做很多事情，甚至是一个独特的事件序列，你可以建立大量的角落测试用例，特别是在汽车领域。但这也适用于火车线路、机器人和医疗设备，这些领域的测试用例较少。”

另一个不太明显的挑战是，让企业在安全措施可用时加以利用。

“许多芯片供应商在他们的硬件中包含了不错的安全性，但原始设备制造商并没有使用它，”英特尔产品管理高级总监Asaf Ashkenazi说Rambus“安全司。“如今几乎所有芯片都免费提供某种程度的安全，比如加密功能。但如何将其转化为软件，尤其是如何将其集成到云计算中，是很困难的。所以你看到的是大量的死硅，因为人们不再使用它。”

冗余
冗余一直是解决电子学问题的一种昂贵但有效的方法。冗余可以追溯到20世纪50年代早期，在计算中引入了容错技术，其中磁鼓使用继电器连接。但即使是冗余也有其局限性。1998年，一颗PanAmSat通信卫星在其第三个冗余处理器短路后，由于锡须生长而突然停止工作，导致北美数千万个寻呼机停止工作。

图3:锡晶须。来源:ReMAP Networks

在安全关键系统中建立冗余被认为是必不可少的。最大的问题是冗余应该放在哪里，以及系统实际上需要多少冗余?

“在汽车行业，任何关键路径都必须具有主动和被动安全，”福特汽车业务部门高级主管杰夫·赫顿(Jeff Hutton)说Synopsys对此．“所以公共汽车需要ECC。如果你翻转一点，它就会自我修正。但也有一些被动的事情不得不发生。所以它可能不会纠正位，但你可能需要确定它是否是一个有效的信号。每个关键系统都必须有故障转移机制。如果芯片中间的触点只有25%的有效性，并且在三四年后失效，那么芯片的自检应该会标记出这一点。如果触点断开，汽车应该能够将自己置于安全状态。最大的问题是，当一辆汽车完全自动驾驶时，它将如何表现，因为当道路上既有自动驾驶的汽车，也有手动驾驶的汽车时，危险就来了。前面或后面的自动驾驶汽车会知道汽车是否处于安全状态，但司机可能不知道。”

当然，这提高了系统的价格。业内专家表示，由于冗余和额外的测试和验证，这些成本可能会增加20%到50%。

Hutton说:“设计成本更高，因为封装中有更多的硅，更高的可靠性，键合线和金属间距更大。”“如果你采取冗余措施，规模可能会扩大两倍以上。”

然而，普遍的共识是，这里的任何路线图都是好事。

“对于汽车行业，我们需要遵循ISO 26262标准。Kilopass．“我们认为，随着市场转向自动驾驶，这是一种趋势。这包括工具、最终结果管理和质量保证。最重要的是，我们需要提供安全保障。这一点正变得越来越重要。安全对于保持信任的根源，防止自动驾驶汽车出现各种各样的问题非常重要。”

独特的需求
到目前为止，还不清楚在一个安全关键市场开发的设备是否适用于另一个市场。总的概念是一样的，但标准是不同的。例如，要判断正在解决的问题在工业操作和自动驾驶汽车中是否相同还为时过早。

然而，从工具和流程的角度来看，肯定是有重叠的，这就是可以在各个市场实现规模经济的地方。

Mentor的Dailey说:“你仍然需要分别测试安全气囊、ADAS和其他安全关键系统。“这需要一个严格的测试程序，在安全性方面，你需要对高价值目标进行测试。你还需要优化像mcu这样的设备来实现特定的功能。你需要更多地关注考试，因为考试时间是花钱的。测试时间需要缩短，因为整体研发在增加。你需要合适的架构来配合这一切。”

但FASTR的赫斯特表示，基于半导体甚至汽车开发的标准指标，也很难量化成本。“自动驾驶的好处是可以量化的，这将抵消开发成本，因为你将开始看到更多的汽车作为一种服务。问题是人们愿意为不同级别的服务支付多少钱。你也会在其他市场看到这种情况，比如采矿、卡车运输和物流。市场将完全吸收这些成本，就像公共交通和农业一样。”

结论
对安全至关重要的市场通常是根据法律和标准进行管理的，这些法律和标准旨在保护公共安全。改变的是设备内部安全管理的数量。通过功能安全电子设备，而不是机械设备或外部规则和人为监督，这一比例正在显著增长。

这将产生深远的影响，远远超出半导体行业的范畴。例如，在涉及功能安全的事故中，责任可能从个人转移到制造商或设计公司，法院将不得不决定是否遵循了最佳实践，或者是否涉及疏忽。但在不久的将来，重点是使系统比现在更可靠、更安全、更安全。对于那些能够在这场变革漩涡中找到一席之地的公司来说，未来几年似乎还有很多机会。

有关的故事
重新思考汽车设计
自动驾驶汽车的功能安全需要在方法、工具、商业实践和风险评估方面做出重大转变。
质量问题扩大
日益增长的复杂性、不同的市场需求和上市时间压力正迫使公司重新思考如何处理缺陷。
联网汽车有什么新动向
物联网技术将对汽车至关重要，但连接是有代价的。
重新思考汽车认证
两部分中的第二部分:为什么规模经济在安全关键的市场不起作用。
安全加保障:新挑战
首先:在产品中增加安全和保障是要付出代价的，但你如何评估和控制它?其影响是深远的，并不是所有的技术都能提供相同的回报。