安全的验证和测试

功能验证成本设计,但新功能都堆积到一个已经强调验证方法,使分散的和不完整的解决方案。

在一个完美的世界中,半导体器件将根据其完成验证操作规范,并继续操作正确的使用寿命。然而,事实是这是变得更加困难。芯片被部署在多任务紧迫和高安全性的应用程序时。装置几何图形使随机故障的可能性更大。随着时间的推移老化会导致芯片降解。这已经成为非常有利可图的迫使设备做事情在他们的目标功能。

新问题广泛的列表。通常,附加功能是插入一个设计来处理这些问题。这地方额外负担的验证和测试设备,在设计阶段和在整个产品的生命周期。

整个主题领域是巨大的,但它可以在一个非常简化的形式可视化三维矩阵(见图1),在轴和post-silicon,安全,硬件和软件。许多问题跨越大片总数的矩阵,尽管其中一些可能被分别的今天,他们都是紧密交织在一起。例如,许多公司会有不同的安全专家,但你不能有一个安全的系统是不安全的。也有硬件和软件团队之间的分离,尽管设计依靠集成提高能力和性能。和之间的连续性和post-silicon提供了一个新兴的机会。

图1:矩阵与安全相关的问题。来源:半导体工程

“安全、安全、可靠的产品需要先进的方法,”罗兰Jancke说设计方法论的头弗劳恩霍夫IIS的自适应系统分部工程。“这些需要建立公司内部以及整个供应链,实现各自的设计工具,并遵循完整的开发和验证过程中。”

但设计行业已经避免添加必要的方法和电路,因为它们是昂贵的。“安全不是免费的,”杰克Wiltgen说功能安全和自主解决方案经理西门子数字行业软件。“会有实力、性能、面积的影响。什么是你的安全目标,对硅足迹的影响,和你的功率预算是什么?这是一个平衡。”

其他人也同意。“安全需要大量的投资,”罗伯特·Serphillips说,快速的产品经理,在西门子DFT、和功能安全。“这是一个很多人的时间,很多蹒跚前行的模拟和仿真来证明这些东西。安全不是一个工具,你出去买。它是一个整个改变你思考的方式设计芯片和建立你的芯片,验证你的芯片。”

在过去,验证设备去tape-out之前完成。现在需要发生在整个设计流程中,甚至在某些情况下。“安全性和可靠性的需求需要被理解和管理一组广泛的操作条件和日益延长产品寿命,”Dan Alexandrescu说,研发工程师,资深员工Synopsys对此。“前所未有的使用尖端科技制造流程,先进的ip,和复杂的设计使汽车IC和解决方案提供商的风险过程的可变性,造成老化、退化。”

标准只会增加成本和潜在的破坏。“你需要一大堆新的过程,因为有规定,你需要坚持,”约翰内斯·斯塔尔说,高级主管的产品线管理系统设计小组Synopsys对此。“导致一定数量的新工作,或者你可以称之为开销。这是验证开销团队之前没有意识到。他们不得不重新考虑他们的流动,基本上做更多的验证以确保运行不仅功能缺陷被抓,而且安全相关的场景正在接受调查。其中有许多涉及到软件和硬件。”

总有一条清晰的自我认证是被允许的。“有时候你需要有人单独看,“弗兰克Schirrmeister说,负责营销的副总裁Arteris IP。“有企业,专注于认证和遵从性——看一个独立的组织你一直在做什么。增加消费者的舒适水平,或者你的产品的买家。有些是可执行的标准,比如系统准备就绪,在硬件软件的角度延伸到诸如可扩展的开放式体系结构的嵌入式边缘(SOAFEE)合作汽车。”

但仅仅模拟是不够的。“模拟可以帮助安全、合格的弹性都是如何错误,和安全,”Simon Davidmann说创始人兼首席执行官治之软件。“故障模拟不是新技术,但是现在许多人第一次使用它。在硬件未来更好的技术,需要新的验证技术和用不同的方法思考将事情完成。当我们搬到更好的硬件架构,我们需要建立更好的验证和分析的技术。”

安全与安全
安全有很多相似和重叠。“有差异,需要考虑“西门子Wiltgen说。“当我们想到安全,威胁空间是静态的。众所周知,往往是相当广阔的。有很多方法和工具必须确保——至少从安全的角度来看,在运行时操作的集成电路或一个更大的系统,它将正确地运作。这不仅仅是正常需求,但也表现正确的随机硬件故障。这是一个已知的威胁空间,甚至在开发过程中,往往是难以接近。它不同于安全,你现在需要处理新的攻击向量。问题变成了动态的。”

你不能有一个没有。“如果你有一个安全问题,您可以在一个设计错误。突然,因为这样的错,你现在的系统是不安全的,都会被各种各样的安全内容,“说Manish Pandey,负责工程的副总裁Synopsys对此EDA小组。“两者之间存在密切联系。有各种方法处理两个部分,但是我不认为我有看到任何好,统一的方法,这两个问题被认为是在一起。错误可以有一个相当对安全产生重大影响。”

“,反之亦然,”Synopsys对此“斯特尔补充道。“有人可以篡改系统和进入你的系统,然后你的安全是影响。这是一个在两个方向上都依赖从技术角度来看,但学科专业。公司的人关心功能安全,人们关心安全,非常专业,甚至还不清楚如果他们说话。”

威胁意味着未来的动态特性设计中可能不得不考虑的事情。“这是集成电路的反馈循环操作期间生活很重要,”Wiltgen说。“这将继续增长的重要性,能够看数据,预测数据,观察正在发生的事情在运行时,数据反馈回开发生命周期,这样您就可以了解故障发生时,甚至发生之前预测的失败。”

矩阵的其他方面除了安全也今天是分开的。“安全实践必须被扩展,“说Synopsys对此Pandey。“今天这也是区分在硬件方面和软件方面,通过完整的堆栈,并进一步区分。未来的系统,当你可以推断他们,真的应该考虑整个硬件、固件、软件堆栈。这就是越来越多的安全与安全措施将标题。”

预处理和post-silicon
在功能验证和安全使用专门pre-silicon完成,保持这种分离变得越来越困难。老龄化不仅影响安全,有时在未知的方式,但新的安全威胁往往需要通过设备更新固件或软件补丁。

“安全是一种多层次的方法,从设计开始,经过验证,通过生产试验,通过投入生产,“西门子Serphillips说。“这不是一个产品。安全不是事后你可以想想。你不能建立一个芯片,然后添加一些安全软件。这是在这个行业吗?是的,但是有很多的挑战与这有关。”

用来制造缺陷被发现在测试时间,假设一个老化的过程是用来清除婴儿死亡率、设备预计将继续工作为他们指定的一生。“制造缺陷或电路敏感性涉及过程、电压或温度,测试过程中检测到,“Serphillips补充道。“那些都是你定义的操作条件,但是一旦你进入这个领域,你不能总是保证所有部分表现相同的方式。你可以测试逃跑或电路敏感性在测试工作得很好,但当你把它在现实世界中,车辆或塔之类的,它开始比你预期的表现略有不同的受控环境。”

标准正在迎头赶上。”来解决这些新的挑战,工作组ISO / TR 9839,“公路车辆——应用预见性维护硬件与ISO 26262 - 5,“建立一个推荐列表ISO 26262的第三版,”Dan Alexandrescu说,可靠性核心团队领袖在Synopsys对此战略系统工程。“在这个提议,退化老化导致的间歇性故障必须具有类似管理永久和瞬态故障,从早期的建模和设计阶段攷虑。”

新工艺几何图形展示了短寿命由于生理效应。”功能验证可以用于资格的一部分,但我怎么监视这一生,以满足更高ASIL水平像C,特别是D ?”皮特问荷迪,集团产品管理主管节奏。“你需要将故障检测电路。可以记忆阿拉伯学者,逻辑阿拉伯学者,这些东西。,以满足更高的水平,对实际设计过程的影响意味着你有更多的内置测试。这不是制造测试。你不是检测的缺点,介绍了在生产阶段。你检测故障发生由于老化,阈值的变化,失败由于组件的生命结束。”

硬件和软件
据说很多次,现代系统是由他们的软件,而软件和硬件仍然分离筒仓中产生。他们很少聚在一起为一个统一的验证阶段,前或者post-silicon,一起和他们肯定不认证。

标准与ISO 26262只讨论硬件。“在汽车行业,我们也以硬件为中心为观点,“说Synopsys对此Pandey。“如果你看看一些superscalers建造的基础设施,他们有成千上万的机器和硬件不断失败。系统几乎没有下降,因为他们已经建立了一个复杂的软件层。他们有分布式系统在此之上,以确保系统高可用性,防止多个错误。这些技术将日益成为采纳。尽管硬件故障,他们自动隔离坏硬件。软件堆栈在汽车和其他关键系统已经进化。”

但即使这样说,软件需要当故障注入测试硬件。说:“有些公司正在这样做Davidmann治之”。“他们试图软件是否有弹性的东西像翻转。位翻转可以精确模拟的虚拟平台,因为软件不能告诉它不是真正的硬件上运行。”

了解硬件和软件两个方面的相互作用是至关重要的。“在硬件软件系统相结合的情况下,你真的要采取分析的硬件水平在最初的架构阶段,引入边界清晰,清晰的描述是在硬件处理,会在软件处理,这些事情将如何相互作用,”Mike Borza说,科学家Synopsys对此的解决方案。“一些由软件提供完整的自动化集团并不根深蒂固级别的工作。这不是批评他们正在做的工作。它更多的是反映了不同的市场,因为他们的很多市场真正关心的是最终用户应用程序。它适合那些看世界作为一个主要软件世界相当大的计算设备的类上运行。”

但是软件应该认证过程的一部分吗?“这也许是更大的问题比功能安全,网络安全”节奏的荷迪说。“功能安全,虽然我们知道软件可以车和软件可以有不同的反应不同的输入,软件没有破坏机理以同样的方式随着时间的推移,硬件。功能安全的角度,引入软件升级可以引入问题如果你开始使用硬件比不是检测的方式。但是没有真正的测试。认证,至少在组件级别,纯粹是在硬件。”

结论
本文定义了空间很难封装的问题陈述。如何解决这些问题需要关注架构的硬件和软件,开发流程和使用的工具。越来越多,这是不离开当前的验证技术,但是被扩展到除了硬件支持的设备,可以监视和识别和处理所发生的故障或入侵。

该行业还处在一个学习阶段。许多标准和实践的使用是不完整的或理想。甚至在公司内部,种族隔离的团队和责任很难创建统一的方法来处理问题。行业学习时也许是必要的,但它需要意识到这不是一个理想情况和寻找方法来尽快一起带来必要的学科。