软件更新的隐藏影响

无线更新可以在较长的芯片和系统生命周期中减少过时，但这些更新也会影响可靠性、性能，并影响内存和各种处理元素等各种资源的使用方式。

互联世界非常熟悉智能手机和计算机中的无线(OTA)更新，其中的软件堆栈(固件、操作系统、驱动程序和应用程序)需要频繁地注入代码以解决工作、添加功能和新的安全威胁。但在工业机械、汽车和数据中心等应用程序中，设备的预期使用时间要长得多，这些更新可能会以意想不到的方式对设备或系统的不同部分造成压力。

与智能手机不同的是，在智能手机中，一次更新的小故障可能需要快速的后续更新，而其他软件或固件的一系列更新可能会受到这些更新的影响，当涉及安全或关键任务功能时，出错的空间要小得多。对多个系统的任何更新都可能进一步增加已经在极端条件下工作的系统的压力，以从未设计过的方式使用电路。

在机械方面，这些系统可能会受到振动和偶尔的冲击以及温度的大波动的压力。在电气方面，电路可能会受到快速启动产生的快速涌流、老化效应以及来自各种来源的多种类型噪声的压力。需要很好地理解无线更新如何影响这些系统，并且它可能因实现的不同而有所不同。

尽管如此，这些更新对于避免(或至少推迟)电子部件的物理更换是至关重要的。在汽车应用中，车辆可能会在道路上行驶几十年。在此期间，与其他车辆和基础设施交互的能力将不断发展，协议和标准也将不断发展。

更新可以改变单个电路或整个系统的基本行为。这一点在电池管理方面尤其明显，电池老化(通常是衡量充电次数和速度的指标，而不是几个月或几年)可能会减少电池充电的时间。苹果一直在提供一种“绩效管理选项会降低旧款iphone的整体性能，以弥补这些老化影响。同样的方法也可以用于电动汽车，但每次充电的续航里程通常会减少，而不是降低性能。

公司汽车测试解决方案经理Lee Harrison表示:“电池技术也是同样的过程，系统会收集电池性能数据。西门子EDA．“随着汽车的定期空中更新，他们正在调整电池管理，以根据电池的老化情况提供最佳性能。我们可以用其他的电子设备来做同样的事情。但这也依赖于一个假设，即这些系统遭受同样的老化影响。如果它是完全随机的，那么你就无法利用这些数据做太多事情。”

不过，更新并不是在所有地方都能工作，即使在它们可以工作的地方，在某些时候仍然可能需要新的硬件。

哈里森表示:“我们确实与一家OEM进行了交流，该OEM在汽车的设计周期和生命周期中至少考虑了一项硬件更换，以应对汽车生命周期中可能出现的任何挑战。”“我们试图用嵌入式分析技术做的是使其尽可能地可配置。所以你可以在车辆的整个生命周期中更新它，希望我们已经使它足够灵活，以解决一些出现的新威胁。我们不会把所有的人都抓起来，但它的灵活性足以让我们在这方面做得很好。”

计划更新
更新的影响可能远远超出单个设备或子系统。它们通常会影响供应链的其他部分。所有这些都需要在设计之初就考虑到。

“这从架构开始，”Rob Aitken说手臂．“你必须考虑CPU、周边逻辑、I/ o等实际需要呈现什么。为了提供数据，实际上必须有什么?你能用这些数据做什么?我们在物联网领域遇到的很多问题是，如果你要做某种设备管理作为硅生命周期管理的一部分，你如何进行升级?软件如何更新?设备如何信任软件提供商?云服务如何知道该信任设备?在整个过程中有很多问题和挑战。”

图1:Arm的容器化方法，现在是嵌入式边缘可伸缩开放架构(SOAFEE)的一部分，有助于隔离并最大限度地减少OTA更新的影响。来源:手臂/soafee.io

在大多数任务和安全关键应用程序中，系统都与其他系统相连。通常情况下，它们需要同步更新，这意味着更新必须经过深思熟虑。

“如果你看看汽车设计自动化，就会发现不仅仅是芯片制造商，”英特尔市场和业务发展副总裁史蒂夫·帕特拉斯说Synopsys对此．“因此，你可能会与集成商、一级供应商、原始设备制造商交谈，但也包括这些系统的最终用户。您希望随着时间的推移优化性能。所以，当你进入生命周期的后期阶段时，机会的锥体就会变得更大。”

但供应链越大、越多样化，出现数据故障的可能性就越大。“这是一个问题，因为你确实想在生命周期阶段共享数据，”Pateras说。“如果我有关于晶圆级测试的知识，或者如果我有设计特性信息，我可能想在该领域使用这些知识来了解趋势。同样，如果我得到现场故障信息，比如信号随着时间的推移而退化，我希望能够将其与原始晶圆数据交叉关联。人们肯定有向前和向后传递数据的愿望。”

这些数据涉及的不仅仅是在现场使用的芯片或系统。它还涉及用于制造这些芯片的设备，这些设备也正在进行定期的OTA更新。

微软战略合作高级总监杰伊•拉瑟特表示:“在我们相邻的领域——设计和测试——有很多协同作用，距离越远，协同作用就越难实现。心理契约．“你失败的原因是什么?”工具是否在正确的地方?食谱做的对吗?我们的数据被正确地使用了吗?这个行业的下意识反应一直是，‘有疑问的时候，就关闭数据流，把一切都放在内部。但要想更进一步，你就必须开始分享一些数据，因为这些数据需要通过整个供应链。现在，供应链比以前更加紧密，更加整合，在设计过程中发生的一些事情，过程检查将受益于了解。在检查过程中发生的一些事情将受益于了解，进一步通过老化和SLT，一直到汽车并监控数据。”

在汽车应用的情况下，芯片的寿命通常是十年或更长。对于工业设备来说，可能需要25年。设备方面的另一个挑战是，芯片可能需要在数年后被复制，但设备也必须有足够的电流与晶圆厂的其他设备一起工作。

公司的业务发展经理唐•布莱尔说:“新设计一抢而空。效果显著．“汽车行业的不同之处在于，它们在货架上停留的时间要长得多。手机的使用寿命可能是18个月，然后他们就开始研究完全不同的东西了。在汽车行业，大多数客户要求我们在10年内保证系统、仪器和系统本身的可用性，包括他们使测试单元工作所需的一切。所以我们必须保证10年的可用性。这是汽车的一个不同之处。他们总是得到新的设计，但他们往往会在很长一段时间内停留在账面上。新款汽车在设计上凭借更新的芯片获得了胜利，但他们也在多年来使用旧芯片生产同一款汽车。”

安全更新
安全在芯片生产的各个方面都发挥着重要作用，在现场也是如此。当发现漏洞时，需要安装安全更新。无论今天的安全措施有多好，十年后也不太可能被认为是最先进的安全措施。

“德国政府两年前制定了一个标签，一开始是自愿的，最初针对的是路由器。英飞凌．“其中一个条件是，你要在路由器的生命周期内更新安全性，或者至少在一段时间内更新。出于安全考虑，这是非常必要的。”

Rosteck表示，随着供应商开始将持续的安全性作为一个区别，以及被认为可接受的标准的建立，这种类型的方法可能会蔓延到其他领域。这在汽车和航空航天等领域尤为重要，因为这些领域的安全和安保紧密交织在一起。

“现在，我们从政府机构那里得到了一些问题，他们担心他们的整个汽车人口，”通用汽车的首席执行官马克·威特曼(Marc Witteman)说Riscure．“想象一下，你的国家有一个敌人，想要瘫痪你所有的汽车。那将是一场灾难。商店里的食物会卖光。公共服务将不复存在。这不仅仅是对消费者的威胁。这是一个系统威胁。”

其他行业也在努力应对这些挑战。“我们有时会看到银行使用老式的、不安全的算法，”Witteman说。“原因是有些人可能还没有通过浏览器更新，他们希望确保这些人仍然可以访问网上银行。也有黑客声称，他们可以用一片铝箔包裹在OTA天线上，入侵汽车。这将把LTE信号降低到2G，这是充满已知问题的。它没有被汽车制造商禁用的原因是，你可能正在某个城镇的背街小巷里开车，那里没有LTE覆盖。所以那些不安全的算法仍然存在。即使你有一种技术先进的心态，总是想要走在安全所能提供的最前沿，改变有时是缓慢的。有些人没有最新的技术，一些汽车制造商希望在美国或其他地方实现100%的覆盖。这就是在线旅行社如此有趣的原因。”

安全是一个持续关注的问题，许多更新至少包含一些安全修改，以跟上不断变化的网络威胁。

“安全很少是一种永久状态，”Arm架构产品管理总监马克·奈特(Mark Knight)说。2012年生产的产品在没有维护的情况下不太可能在2022年是安全的，而在2022年生产并被认为是安全的产品在2032年可能不安全。安全开发生命周期的一个重要目标是确定对可预见的安全威胁的适当响应，以便在整个预期的生命周期内保护产品。这包括了解威胁的可能性和潜在影响，以便将产品定位在风险曲线的正确部分。缓解安全风险可以采取多种形式——技术、补偿控制或商业措施。由经验丰富的第三方或独立测试实验室进行渗透测试和评估是确保产品安全抵御最新攻击技术的两种最佳方法，因此可以提高产品的耐用性。”

改进产品和流程
减少过时和提高可靠性是一个制胜的市场策略，特别是对于汽车和电器等高价商品。但技术也是基于自身的，随着越来越多的数据从该领域的终端设备获得，它可以应用于新的和现有的设备。

“公司需要数据的原因之一是改善他们的产品，”英飞凌的Rosteck说。“但如果产品随着时间的推移而改进，对用户也是有价值的。如果电机算法得到改进，它们就可以升级。作为消费者，你可以下载一些对你有直接价值的东西。或者你的机器会打电话给你或另一台机器，说它有问题。”

其他人也同意。“人们希望从芯片上获得数据，以便了解它是如何老化的，PDF的解决方案．“你开始看到知识产权行业提供额外的传感器。你需要衡量很多东西。但它与任何大型控制系统并没有太大的不同。如果你有一个大的办公楼，你会想要测量温度、湿度和空气质量。同样的事情也发生在芯片上，因为芯片需要向云报告，因为它有一个ADAS芯片，而且它老化得很快。这是一件大事，我们首先看到传感器应用于ADAS等关键任务应用。”

这可能会变得更复杂先进的包，芯片可以共享内存或I/ o或其他资源。“在汽车安全领域，我们看到越来越多的这种设计在一个包中包含多个模具，”查克·卡林(Chuck Carline)说，他是精密电源和模拟工厂应用高级经理Teradyne．“这当然会对晶圆上的测试产生影响，因为你没有所有的节点都来自封装。它们是相互联系的。一旦你把两个芯片放在一起，有些功能就无法测试了。”

这意味着封装中的芯片需要被监控，并且至少需要一种方法将它们连接到可靠性所需的任何更新。同时，这也增加了更多的挑战，需要在整个流程中保持所有内容的同步。

随着越来越多的AI被包含在设备中，它在更新方面增加了另一个层次的复杂性，因为AI算法是定期更新的。这包括从汽车中用于识别道路上物体的逻辑，到用于确保芯片得到全面检查的设备等方方面面。

公司总监兼业务经理Hector Lara表示:“我们多年前就建立了前馈算法的IP力量．“所以当我们扫描一个结构时，我们可以真正了解地形。如果我们看到任何重复，我们就开始通过一些人工智能算法来加快扫描速度，并保持在非常慢的扫描中所具有的准确性。如果存在可预测的重复结构，我们可以进一步加快研究速度。我们将其中一些应用于人工智能，我们关注的一些东西是更大的领域，使用的组合AFM和一个剖析器，都是AFM分辨率。但如果你再做同样的事情，你必须确保你不会把尖端撞到一个结构上。我们实际上是在导航到一个确切的点。”

简单地说，精确度很重要。对于供应链中的所有设备和流程以及从设计到制造的流程，更新会以意想不到的方式影响精度。

结论
尽管如此，在每一个进程中，在几乎每一个芯片中，以及在这些芯片内部或上面运行的每一级软件中，更新都是必不可少的。但OTA更新也会使芯片的长期可靠性和性能复杂化，以及与正在更新的芯片或系统接近或连接的其他芯片或系统。

在较老的节点上，由于连接性有限，芯片主要是为插座设计的，因此这种情况通常不会引起注意。但随着电子系统预期寿命的增加，以及越来越多的电子系统与安全或关键任务应用相关，要做到这一点变得越来越复杂和困难。