安全加保障:新挑战

从来没有人仅仅因为自己喜欢就把安全或安保功能集成到他们的设计中。通常情况下，需要连续的高调攻击才能引起行业的注意。在那之后，人们并不总是清楚如何最好地实施解决方案，也不清楚成本、性能和风险与收益之间的权衡是什么。

将安全性和安全性放在一个篮子里是mil/aero之外的一个新趋势，它增加了芯片设计的复杂性和混乱。首先，这两个领域的成熟度不同。其次，许多公司认为他们只需要处理其中一个问题。但正如汽车行业所认识到的那样，安全影响安全，这两者是紧密联系在一起的。有趣的是，德语用同一个词来表示两者——sicherheit。

将安全和保障整合到产品中并不是一个工具或一个附加部件知识产权．它需要在工作流程中进行更改，这使得它比由最新技术节点引起的新的规范项或工作流程步骤更加困难。它还需要改变思维方式，首先如何进行设计，因为安全和保障都需要从一开始就纳入设计中。

DSG集团的产品管理总监Rob Knoth说:“对人们来说，重新定位他们的优先事项并了解权衡是很重要的。节奏．“甚至设计进度也必须考虑在内。可能会有一个上市时间窗口，在已经具有挑战性的设计计划之上考虑安全问题是很困难的。”

对于越来越多的产品来说，忽视安全和保障不再是一个问题。MIPS公司MIPS事业部业务发展高级经理Tim Mace指出:“随着芯片变得越来越强大，并被用于更完全自主的系统中，在许多情况下，正确、快速地分析环境并对其做出反应变得越来越重要，在许多情况下至关重要。想象力的技术．“如果不能做到这一点，可能是由于设计中的错误，无论是在设计时还是在操作过程中，或者是故意的恶意。因此，它变得越来越重要，越来越要求他们解决安全和保障问题。这些系统和芯片的要求、风险和应对措施必须充分理解和合格。”

在考虑安全问题时，必须考虑三种类型的故障——随机故障、系统故障和恶意故障。每一个都需要不同的方法，不同类型的分析，每一个都会对产品进度和成本产生不同的影响。

随机故障
也许最容易分析的类别是随机故障，并且有一系列工具和技术可以用于在硬件中防范这些故障。这种方法类似于以前用于半导体测试的技术扫描测试采用技术。创建了一个故障模型，其中包含至少每个停留在0和1的节点，以及一个故障模拟用于查明功能是否发生变化。对于一个安全关键的设备，你希望每一个故障要么被检测到，要么对操作没有影响。“这提供了保护，免受诸如电迁移(EM)故障或产品整个生命周期内的短暂故障，”Knoth解释说。

来源:ArterisIP

问题是如何做到这一点。“为了创建一个极其安全的系统，人们可以简单地复制或三倍系统中的所有芯片，甚至每个芯片上的所有IP系统(我们已经在实践中看到了这一点!)”库尔特·舒勒(Kurt Shuler)解释道Arteris．“像这样盲目地创建冗余系统可以保证ASIL D资格，但在性能损失、模具面积和软件复杂性方面付出了极高的代价。”

更好的方法是可能的，这就是公司如何相互竞争。梅斯指出:“并非所有增加的冗余都是简单地复制设计。“对于通信和存储，冗余可以是奇偶校验或ECC保护的形式，而功能层面的冗余可以通过再次使用现有硬件来检查操作来支持——这增加了一些功率，但不需要增加面积。”

有些地方需要冗余。“冗余是为了让一个可以检查另一个，当预测行为的状态复杂性与任务本身一样复杂时，你就可以这样做，”at的CTO解释道超音速．“你可以复制控制逻辑的某些部分，而不是做整个块。用于片上网络(NoC)的技术与其他类型的逻辑没有本质上的不同，除了你必须认识到NoC中复杂的逻辑操作往往是围绕控制而不是围绕数据。”

挑战在于知道硬件的哪些部分应该集中精力。“这可能包括冗余寄存器文件，内存中增加的ECC保护，冗余CPU核心，这样你就可以锁步了，”该公司产品管理总监阿什什·达巴里说OneSpin解决方案．虽然您可以添加一个锁步CPU，但您可能不需要复制所有寄存器文件。这里应用了很多设计体系结构知识。挑战在于衡量它是否有效。”

而且还有隐患。克诺斯补充道:“你不需要天才就能明白，你需要对使用复制的内容和方式保持敏锐。“你可以迅速将硅面积扩大一倍。这并不能直接使产品更安全。这使得产品更复杂，更容易出错。这是一门精细的科学。”

Shuler总结了最常用的技术。“只有在对功能安全诊断覆盖有最大影响的情况下，才添加冗余硬件块，并且仅针对没有其他足够保护的IP。为了确定安全目标以及在哪里实施功能安全特性，需要对潜在的系统故障模式进行全面分析，然后定量地证明安全机制是否涵盖了这些故障。”

正确的平衡点也取决于目标市场。”物联网OneSpin公司的达巴里说:“我们不能只是在小型设备上增加冗余。“在一半的情况下，你需要这些设备非常小，并具有良好的功率特性。”

在航空电子设备中，安全是通过复制来保证的，它利用了多样化的设计和架构。这增加了相当大的设计和验证费用和不合理的大多数市场。

舒勒说:“安全和安保保护是有代价的。“如果一个系统不能满足接近实时的延迟要求和巨大的处理吞吐量要求，那么人们可能会受伤或死亡。但是，如果该系统的开发和部署成本太高，那么整个行业可能就失去了拯救人类生命的机会。”

增加随机故障保护的一个含义是，原来半导体测试的许多方面现在必须集成到产品中。Knoth说:“现在你可以看到产品功能中包含了测试功能。“它不再只是制造测试，它是现场测试，是开机测试。团队需要做的RTLLBIST和MBIST的插入和所有的测试能力，如时钟控制。如果你在RTL不这样做，你的验证就会缺少系统的一个关键部分。”

除了故障模拟，形式化验证也开始发挥更大的作用。“你可以使用故障模拟器，也可以使用正式的，然后你就可以准确地估计哪些是可观察到的断层，哪些是不可观察到的，”Darbari说。“我们的目标是尽可能精确地缩小分析范围，这样就不会留下任何未知数。”

在RT级别的设计过程中，并非所有故障都是可见的，并且故障模拟无法评估系统级别的所有故障。这意味着与系统级和实现级相比，应用于块级和IP级的技术不同。

有自顶向下的方法来评估系统故障的可能性。“失效模式影响缺陷分析(FMEDA)是一个严格的正式过程，它可以检查系统，了解每个组件的可靠性，了解你要插入什么安全机制，插入多少报道你能从中摆脱出来吗?你能抓住失败的总体信心是多少?”Knoth解释道。“这是一种有效的机制，从系统架构开始，一直到位置和路线，在这里你会担心冗余等问题通过．这是一个有助于指导各方面安全的过程。”

系统性故障
发现系统故障是现代验证的基石挑战，简单地说就是如何确定设计符合规范中的所有要求并满足所有要求。虽然该行业有大量的工具来应对这一挑战，但这是该行业面临的最严峻的挑战之一。

“我们怎么知道我们已经做得够多了?”Darbari问道。“覆盖范围可以让你发现差距，但你也需要考虑完整性。是否所有的需求都得到了正确的验证?是否存在过度约束testbench在执行过程中是否存在隐藏的漏洞?”这些问题让验证工程师夜不能寐。

这个主题仍然是EDA投入最多的领域之一。新的工具和技术一直在开发中，不断增加工具的容量、性能和功能。正式核查是近年来取得很大进展的一个领域。

验证一个简单的概念。它是对两个独立开发的模型进行比较，因此两个模型中出现共同设计错误的概率很小。这两个模型通常被定义为设计和测试平台。然后，工具帮助执行比较的部分，因为我们缺乏正式证明两者功能相同的能力，或者一个是包含在另一个(测试台)中的行为(设计)的子集。

该行业正越来越接近这种能力。Darbari解释道:“顺序等效性检查允许你取两个设计副本，并证明它们在功能上是等效的。”您可能在C中有一个模型，在RTL中有另一个模型。基本情况没有太大变化。解决这个问题的方法没有改变。但我们可以在设计流程的早期就做到这一点，我们现在有技术，比如正式，这是一个巨大的帮助。”

此外,Accellera正在研究便携式刺激标准。“这使得验证意图的模型可以在更高的抽象级别上定义，而不是使用当前的UVM方法，”的首席执行官解释道Breker．这个模型定义了整个系统的所有功能路径，并将有助于确保系统级验证的完成。该模型还将在未来实现许多其他类型的分析，例如系统级故障注入和不可能实现的功能定义。”

硬件只是系统的一半。Knoth补充道:“我希望软件方面也能采用同样的严格措施来防止系统错误。”“系统性错误更加隐蔽，也更难发现。”

此外，新的硬件架构对验证的某些方面提出了质疑。“在执行类似任务的高度复杂多处理芯片中实现功能安全特性神经网络自动驾驶的处理是一个特别的挑战，”Shuler指出。“即使系统没有故障，安全性也会受到系统性能过载或天气条件等外部影响，这可能会导致对传入数据的误解。”

有一个ISO 26262工作组正在研究解决这一问题的方法。Shuler补充道:“我们称之为‘预期功能的安全性(SOTIF)’。“该团队正试图解决如何证明一个系统是安全的问题，尽管它是如此复杂，几乎不可能完全正确地验证。”

今天，消除系统错误的所有方法都是功能验证过程之上的增量步骤。Darbari说:“如果你有正确的流程，正确的技术被正确的人使用来正确地捕获需求，并且你正确地构建测试平台——那么就没有太多的开销。”“是的，为了安全，我们需要满足合规要求。对于ISO 26262合规性有更多的文档，对于随机故障有额外的工作要做。但对于系统故障分析，你只需要一个比功能验证更具包容性的心态。”

恶意的缺点
对于随机和系统的安全分析，该行业有一个跟踪记录，并建立了解决方案，帮助他们解决问题，但是安全是一个不断发展的领域。在理解问题、构建解决方案、分析影响和衡量有效性方面，安全性明显落后。

安全是指保护系统不受恶意攻击，这超出了功能验证的概念。功能验证是关于确保预期的功能正确工作。安全性是指确保不存在可以利用的弱点，从而使系统执行意想不到的功能。这是关于如何处理已知的未知和未知的未知。

“业内有一些最佳实践，但没有一套好的指标来评估某物的安全程度，”该公司技术人员迈克•博尔扎(Mike Borza)表示Synopsys对此的安全IP。“人们倾向于对它做出定性的陈述，他们也倾向于使用最佳实践来评估设备的安全性。您会发现诸如安全审计之类的东西，旨在评估我们所知道的常见漏洞，以及正在采取哪些措施来减轻或消除这些漏洞。不幸的是，这是最先进的技术。”

Darbari试图建立一个分析框架。“在安全方面，我们关注的是单故障影响，我们知道完全覆盖意味着什么。我们可以分析，每一个故障都是使用许多机制检测到的。但是为了安全起见，攻击并不等同于单个故障。我们如何衡量安全保护的有效性?如果我们可以建模并指定交互需要是什么，什么必须发生，什么不能发生——有意的和无意的，那么您就可以提出一组可以指定的良好检查。安全性是更系统的分析，但对完整性总是很难把握。”

随着越来越多的电子内容进入汽车、医疗和工业应用领域，以及这些系统越来越多地连接到其他可能安全也可能不安全的系统，这也是该行业必须应对的重大挑战之一。这些系统中数据的价值很高，而且还在不断增长，这使得它成为非常老练的黑客越来越有吸引力的目标。

第2部分:解决方案和方法。

有关的故事
验证和物联网
与会专家，第1部分:特定应用程序的验证，以及为什么不同市场的质量可能不同;为什么不同型号在不同时间准备好。
汽车安全和技术问题依然存在
随着生态系统的谨慎发展，自动驾驶汽车的普及可能会放缓。
低功耗设备安全吗?
对低功耗、高性能设备的需求也要求采取安全措施。