本文来自微信公众号“半导体产业纵横”,由半导体产业纵横(ID:ICVIEWS)编译自semiengineering。
利用在汽车设计中学到的知识,使太空设备更加可靠。
太空中使用的硬件的设计考虑远远超出了辐射硬化。这些设备必须在极端温度变化下完美运行多年,并可能在其预计寿命内被漂浮在虚空中的太空垃圾或其他粒子撞毁。
太空中的可靠性增加了一套完全不同的设计考虑因素。例如,一旦设备被发射到太空,任何人都不太可能对硬件进行物理篡改,但还有其他的外界因素。通信可能会中断,数据可能会被盗,恶意软件可能会被远程上传。此外,由于粒子碰撞或老化而导致的组件故障或退化可能会为发射时不存在的攻击打开新的途径。由于很难修复这些设备,特别是当它们是无人驾驶的时,因此它们必须在最开始就高度安全。对于长寿命设备来说,这是一个挑战,因为网络安全是一个不断发展的领域。
气体排放是另一个需要考虑的问题。新思科技航空航天和国防垂直解决方案高级总监Ian Land表示:“当物体进入太空时,它们是在真空中运行的。在半导体制造过程中引入了大量气体,一旦芯片进入太空,实际上可以看到气体从封装中的金属和模具本身的金属中散发出来。该气体会影响内部的封装。在过去,人们习惯于做密封封装来管理废气。现在我们要做的是创建一个允许排气的封装。它暴露在环境中,而它正是为应对这种情况而设计的。”
还有一个问题是产量有限。对于高性能太空飞行计算机,芯片很可能是定制设计的,数量有限,具有最大的辐射耐受性。这通常涉及多个处理元素执行相同的计算。如果一个处理器的结果与其他两个不同,异常值计算将作为错误而被忽略。理想情况下,这三者都将返回相同的结果,但要确保随着时间的推移发生这种情况,需要良好的建模和严格的制造过程,因为没有足够的体积来解决扭结问题,而且更换设备太昂贵且难以做到。
“需要确保构建的设计像平台一样工作,”Arteris IP解决方案和业务开发副总裁Frank Schirrmeister说。“必须弄清楚所有东西如何与系统交互,从太空安全的角度来看更是如此。寻找流程可预测性和可重复性的空间相关领域有时在应用更高级别的技术(如基于模型的系统工程)时更成功,因为他们想要在项目早期模拟的内容不是由下一个消费周期驱动的。它必须遵守非常具体的安全和安保要求。这种可预测性变得非常重要,因为正在发生的事情非常复杂。他们比其他领域更深入地研究需求的可追溯性。
全定制电子产品可以设计为可达到的最高辐射耐受性。然而,除高性能处理器外,外层空间还使用了许多其他芯片,通常用于执行更多常规功能。过去,这是使用抗辐射的成熟节点芯片完成的。但在最近的一篇技术论文中,橡树岭国家实验室的研究人员研究了与CMOS设计的芯片相比,宽带隙结栅FET如何用于近地轨道和深空的传感、仪器仪表和通信。他们得出的结论是,这些宽带隙结型栅极FET在安全性和可靠性方面更胜一筹,而且它们的性能比硅同类产品要长得多。
图1:太空中抗辐射电子设备的现有和新选择。来源:橡树岭国家实验室
安全问题
网络攻击是设计太空芯片时增加的另一个考虑因素,因为一旦推出,其中许多设备将无人看管多年,没有立即保护。与汽车和卡车一样,卫星和其他空间电子设备中的软件需要更新,以跟上新的安全威胁,并在硬件或固件故障时提供解决方法。但在太空中,这带来了额外的挑战。
Schirrmeister说:“能够进行更改的无线更新的整个概念也成为一个话题。数字孪生在这个领域尤其重要,其中的某些方面与验证更相关,而其他方面则做预测性维护等事情。”
在太空中,安全可能涉及物理攻击或网络攻击,系统的设计需要能够应对任何事件。“硬件安全正变得越来越重要,而且它确实取决于应用程序,”Land说。“这是一个定制领域,基于我们认为这些东西的暴露程度。如果有包括物流在内的可信供应链,那么硬件安全问题就不大了。”
安全与保障密切相关。Schirrmeister说:“他们会在哪里攻击系统?”系统安全在某些情况下可以同时解决一些安全漏洞,从而产生“安全光环效应”。保持内存安全是一项特殊的挑战。“深入到芯片级别来查看内存和内存访问并进行适当的验证非常重要。”
太空安全可以用六个概念来界定——预测、预防、检测、承受、响应和适应。
“了解迄今为止所做的事情的问题,然后预测可以做些什么来阻止现有和未来的攻击,”Land说。“如果我们能想象他们要做什么,我们就可以建立预防机制来阻止这种情况的发生。我们可以通过隔离等技术来抵御威胁,这样如果威胁进入该区域,仍然有一个更敏感的区域受到保护。你必须做出回应,然后理想情况下你有办法随着时间的推移在未来适应。我们每天都在思考如何管理安全、管理空间,以及如何一起管理这些事情。”
幸运的是,对于最有可能攻击太空硬件的威胁类型,可以进行大量预测。一旦硬件进入太空,物理攻击和故障电源攻击就不太可能发生,但当设备仍在实验室中时,它们就有可能发生。远程攻击是网络安全方面的主要问题之一,包括远程激活的目标故障。
评估这些攻击需要另一个概念框架。“我们关心的是攻击的严重程度与发生的可能性之类的事情,”Land说。“一旦我们了解了该级别的细节,下一个级别就是硬件、软件,然后是安全性。随着人们有更多的时间来攻击设备,他们就会变得更好。通常,这是在地面上的实验室中完成的,但我们已经看到设备在通过网络后受到远程攻击的情况,并且某些设备以意想不到的方式受到控制。”
Land指出,针对目标故障的相同方法通常可用于故障管理。“我们可以使用故障注入之类的方法来了解目标故障的影响。我们可以做一些事情,比如插入有益的代码和/或传感器和实体,以避免受到攻击。我们可以将设备上的区域分开,使更敏感的区域与外部更加隔离。我们可以运行一些测试来预防攻击,然后我们也可以在这些攻击正在运行时对其进行监控和击沉。”
图2:故障注入解决的硬件安全挑战。来源:新思科技
在去年GOMACTech上发表的一篇论文中,Land和现任高通工程总监的Meirav Nitzan得出结论,从汽车行业收集的安全和保障经验也可以应用于航空航天和国防行业。航空航天和国防方面的相关关键标准包括DO-254(机载电子硬件设计保证)、DO-178(机载系统软件考虑因素)、NTSS(美国宇航局技术标准体系)、MIL-PRF-38535(IC封装可靠性)。
在论文中,作者讨论了故障注入技术在测量随机故障影响方面的有用性。他们表示,该方法还可用于解决对芯片的恶意故障攻击。该技术从故障减少开始,其中执行静态分析和形式分析。Land指出,Synopsys正在与DARPA合作开展安全硅自动实施(AISS)计划,使设计人员能够轻松地为设备增加安全性,包括那些用于太空的设备。
结论
太空中使用的电子设备过去相对简单,几乎完全基于在太空中经过验证的成熟节点开发的芯片。但随着送入太空的设备变得更小、更轻且功能更强大,芯片设计正呈现出全新的复杂性,涉及新材料、新功能以及更多具有本地化计算的传感器。为这个领域设计芯片同样也在发生变化,以使这些设备更可预测、更有弹性且成本更低。
太空芯片的未来设计可能看起来与过去开发的芯片有很大不同。辐射硬化很可能发生在多芯片设计的高级封装层面,或者这些芯片可以使用不同的基板和架构构建,这些基板和架构由于汽车应用的发展而成为主流。无论哪种方式,太空中的电子设备都将变得与地球上的电子设备一样先进,它们可能会面临许多相同的问题,包括变化,加速老化和安全风险,以及一些特定于太空的其他问题。
