域交叉对安全的影响

半导体工程坐下来讨论与域交叉相关的问题与Alex Gnusin，设计验证技术Aldec；皮特·哈迪，产品管理总监节奏；Joe hupsey，产品经理和验证产品技术专家Mentor是西门子旗下的企业；Sven Beyer，产品经理，设计验证OneSpin；和应用工程科学家戈德温·马本Synopsys对此．第一部分可以找到在这里．第二部分是在这里．以下是那次讨论的节选。

SE:智能手机推动了对多个应用领域的需求。随着我们看到越来越多的公司进入汽车等领域，这是否会改变现状，并为问题增加额外的可靠性和安全性维度?你如何证明每一部分都是独立工作的，而整个系统又能保证一起工作呢?

荷迪:军事/航空领域已经考虑了很长一段时间。

SE:但他们负担得起任何解决方案。

Hupcey:你可能会大吃一惊。他们使用了大量的辐射fpga就是这样。

荷迪:对于汽车行业来说，这将是一个昂贵的解决方案。我的感觉是汽车行业仍然在关注功能安全可靠性并没有真正考虑到所有这些事情是如何结合在一起的。我觉得他们还没有完全理解所有这些事情是如何相互作用的。

Hupcey我不同意那件事。我们可以看到数据点，这个行业基本上有两种类型的客户——已经在为汽车行业服务的客户和即将为汽车行业服务的客户。有一种不可避免的感觉。现在在这个行业中的客户，是两年前第一批要求我们为CDC认证软件的客户，这是我们在整个公司中认证的第一个工具。有一些人进入这个区域，意识到这是他们必须做的另一件事，并且总是有最初的否认。他们必须雇佣和培训一批新的人才，这可能会推迟进入这个领域的时间。那些对可靠性有高要求或者对失败成本有高要求的人，他们已经有了，但是现在有很多人进入了失败成本更高的市场，这是一个机会空间。

Gnusin:我不认为我们可以为关键安全设计的CDC问题提供100%完整的解决方案。有一个小风险，但它仍然存在，我们可能错过了一些东西。最安全的方法之一是对CDC问题进行硬件验证。我说的是硬件中的CDC放大器，它使用定时随机器将信号注入实际的fpga，并在实际刺激下运行20小时。然后，您可以检查FPGA是否一直以确定的方式工作。

SE:但你仍然有一个问题，你需要确保它看到的刺激不仅具有代表性，而且涵盖了它在现实生活中可能看到的所有事物。

Gnusin:我的建议是要有比模拟跑步更多的刺激。再多的模拟也比不上FPGA测试。

Hupcey我们应该弄清楚，如果你要等到门级模拟试图解决这些问题，你就犯了一个大错误。门级有它的作用，但整个事情是堆叠的验证．我们所做的正式的在前面，我们在RTL中做它，并使它尽可能地干净，涉及所有领域。然后还有另一轮的疾病控制与预防中心的签收因为我们之前讲过的所有其他东西。门级模拟太晚了。你不能做出任何有意义的权衡。这就是RTL甚至架构分析的优点，在那里你可以省去一些关于如何安排事物、如何权衡的问题。这比任何门级方法都要简单得多。

荷迪:在Mil/Aero和汽车领域已经应用的一个领域是CDC, RDC问题不是亚稳态的唯一来源。多年来，EMI和电力线完整性也一直是这些领域的大问题。这也是我们的想法。这是这些垂直行业多年来一直在考虑的另一个方面。

Hupcey:可添加故障域。

SE:你能解释一下吗?

Hupcey你有一个设计，有一层的错分析，也就是一些人所说的错误域。这就像传统的制造故障一样，如卡滞、桥接等，但是现在您也希望找到瞬态故障，并拥有可伸缩的方法。这需要能够以一种有意义的方式注入错误的技术，并分解和隔离哪些是安全的错误，这些错误不会影响输出，也不会影响用于保护这些输出的逻辑，即安全机制，并查明它是否在工作。

SE:对于那些刚开始遇到问题的人来说，第一次处理问题的人应该如何处理这个问题?

Hupcey:供应商一直在与这样做了10年的客户合作。EDA作为一个整体已经为帮助客户做好了充分的准备。我们每个人都提供解决方案。有很多问题等待解决，或者仍在努力解决。疾控中心本身不是一个解决的问题，但它是被理解的。添加复位扩展CDC，风险相当低。我们在这里讨论的相互作用-我们都还在努力解决这些问题，并试图得到我们所能得到的最干净的方法。由于客户需求的不同，它变得复杂起来。有些人或多或少地规避风险。有些在设计中有更多的IP块。 Some are just looking at low power, which is pretty simple for them as they just turn on or off a whole channel, whereas others in the consumer and mobile application spaces are turning off every bit of circuitry that they can at every moment and they have a different level of complexity. We can tell customers that EDA is moving in this direction and is sensitive to it and can help.

Gnusin例如教育很重要。我们的重点是FPGA领域的客户，因此我们专注于该领域的教育。但我们在asic和fpga之间也有许多相同的问题。教育课程不会涉及MTBF计算的细节，有些是正式的。我们必须弄清楚什么是亚稳态问题，以及为什么我们需要就这些问题的意义和原因达成一致。对于客户来说，在使用工具之前了解这些问题非常重要。工具只是简单地展示并帮助他们发现问题，但是客户必须理解并纠正它们。

荷迪这些问题已经被理解了一段时间，但被任何给定公司的一小部分工程师所理解。随着复杂性的增加，它推动了一种真正的、可重用的IP方法，以及管理动态能力的需求。不仅仅是功率的意图，管理动态功率的需求也推动了任何尺寸的时钟设计的多样性。这些都是主要的因素使得这不仅仅是执行人员的问题。它必须被提出来，并且已经成为设计师的问题。这也是验证工程师的问题。这是无法逃避的。这些必须在流程的早期处理。

拜尔:在供应商方面，我们有义务在自动化领域做更多的工作。由于大量的豁免以及一些客户可能不得不去的范围，我们必须看看你是否可以在引擎盖下找到安全的东西。在使用正式的或其他可能增加其他安全层的技术进行结构分析之后，您根本不需要报告它。试着让事情变得更精确。我们还可以通过使分组更易于访问和使用来做更多的事情。你还需要理解。

Hupcey我们的工作需要自动化。我们可以自动化的东西还有很多。有很多进步可以做。结果和工作流程需要对进入工作岗位的人有意义。

-梅宾:你必须把它看作是任何芯片的解决方案。只看解决方案的一小部分是不够的。当我们考虑时钟和复位时，我没有看到任何设计仍然有一个时钟或复位。大多数人都理解它，这是一个已知的问题。解决方案的存在。随着增加的领域，人们需要接受教育，但他们更多地将其视为一个解决方案，而不是一个点问题，他们将能够更好地划分他们的设计。解决方案的空间正在扩大，我们还有很多工作要做。我们需要更多的自动化。最后，我们的目标是尽可能早地解决问题，并尝试在不依赖向量的情况下解决问题。结构的，形式的——我们能解决到什么程度? If I can get 99% coverage by doing this, then we are successful.

SE:怎样才能使这个问题对每个人来说更简单、更容易?共同的豁免机制?

-梅宾:它必须是在架构层面。但是有特定领域的架构师，很难找到一个soc级别的架构师，他知道所有的事情。即使一个人知道一切，他们如何将信息传递下去?这是今天所缺少的。IP聚集在一起，但不知道它将如何缝合。我如何为IP定义这些东西，以便知道如何将它们拼接在一起?

Hupcey:更高级别的元约束(高于SDC文件级别)将是有益的。它描述了每个IP，并为如何描述CDC、RDC和电源行为提供了一个标准，可以轻松地重用和传输。如果该IP被冻结，那么该特性可以用于当前设计。在一个层次结构中构建它，你不需要做一个完整的平面分析，因为IP已经告诉你它知道什么，所以它基本上以层次结构的方式实现了一种自底向上的方法。

有关的故事
这么多弃权者隐藏问题
专家在表格，第2部分:域交叉可以产生成千上万的弃权。团队如何制定处理这些问题的方法?
领域交叉噩梦
表中的专家，第1部分:目前典型的SoC中存在多少域交叉，何时是验证其正确性的合适时机?
UPF-Aware时钟域交叉
如何最小化CDC对RTL电源的影响。