信息化觀察網(wǎng)

本文來自微信公眾號“半導(dǎo)體產(chǎn)業(yè)縱橫”，由半導(dǎo)體產(chǎn)業(yè)縱橫（ID:ICVIEWS）編譯自semiengineering。

利用在汽車設(shè)計中學(xué)到的知識，使太空設(shè)備更加可靠。

太空中使用的硬件的設(shè)計考慮遠遠超出了輻射硬化。這些設(shè)備必須在極端溫度變化下完美運行多年，并可能在其預(yù)計壽命內(nèi)被漂浮在虛空中的太空垃圾或其他粒子撞毀。

太空中的可靠性增加了一套完全不同的設(shè)計考慮因素。例如，一旦設(shè)備被發(fā)射到太空，任何人都不太可能對硬件進行物理篡改，但還有其他的外界因素。通信可能會中斷，數(shù)據(jù)可能會被盜，惡意軟件可能會被遠程上傳。此外，由于粒子碰撞或老化而導(dǎo)致的組件故障或退化可能會為發(fā)射時不存在的攻擊打開新的途徑。由于很難修復(fù)這些設(shè)備，特別是當它們是無人駕駛的時，因此它們必須在最開始就高度安全。對于長壽命設(shè)備來說，這是一個挑戰(zhàn)，因為網(wǎng)絡(luò)安全是一個不斷發(fā)展的領(lǐng)域。

氣體排放是另一個需要考慮的問題。新思科技航空航天和國防垂直解決方案高級總監(jiān)Ian Land表示：“當物體進入太空時，它們是在真空中運行的。在半導(dǎo)體制造過程中引入了大量氣體，一旦芯片進入太空，實際上可以看到氣體從封裝中的金屬和模具本身的金屬中散發(fā)出來。該氣體會影響內(nèi)部的封裝。在過去，人們習(xí)慣于做密封封裝來管理廢氣?，F(xiàn)在我們要做的是創(chuàng)建一個允許排氣的封裝。它暴露在環(huán)境中，而它正是為應(yīng)對這種情況而設(shè)計的。”

還有一個問題是產(chǎn)量有限。對于高性能太空飛行計算機，芯片很可能是定制設(shè)計的，數(shù)量有限，具有最大的輻射耐受性。這通常涉及多個處理元素執(zhí)行相同的計算。如果一個處理器的結(jié)果與其他兩個不同，異常值計算將作為錯誤而被忽略。理想情況下，這三者都將返回相同的結(jié)果，但要確保隨著時間的推移發(fā)生這種情況，需要良好的建模和嚴格的制造過程，因為沒有足夠的體積來解決扭結(jié)問題，而且更換設(shè)備太昂貴且難以做到。

“需要確保構(gòu)建的設(shè)計像平臺一樣工作，”Arteris IP解決方案和業(yè)務(wù)開發(fā)副總裁Frank Schirrmeister說。“必須弄清楚所有東西如何與系統(tǒng)交互，從太空安全的角度來看更是如此。尋找流程可預(yù)測性和可重復(fù)性的空間相關(guān)領(lǐng)域有時在應(yīng)用更高級別的技術(shù)（如基于模型的系統(tǒng)工程）時更成功，因為他們想要在項目早期模擬的內(nèi)容不是由下一個消費周期驅(qū)動的。它必須遵守非常具體的安全和安保要求。這種可預(yù)測性變得非常重要，因為正在發(fā)生的事情非常復(fù)雜。他們比其他領(lǐng)域更深入地研究需求的可追溯性。

全定制電子產(chǎn)品可以設(shè)計為可達到的最高輻射耐受性。然而，除高性能處理器外，外層空間還使用了許多其他芯片，通常用于執(zhí)行更多常規(guī)功能。過去，這是使用抗輻射的成熟節(jié)點芯片完成的。但在最近的一篇技術(shù)論文中，橡樹嶺國家實驗室的研究人員研究了與CMOS設(shè)計的芯片相比，寬帶隙結(jié)柵FET如何用于近地軌道和深空的傳感、儀器儀表和通信。他們得出的結(jié)論是，這些寬帶隙結(jié)型柵極FET在安全性和可靠性方面更勝一籌，而且它們的性能比硅同類產(chǎn)品要長得多。

圖1：太空中抗輻射電子設(shè)備的現(xiàn)有和新選擇。來源：橡樹嶺國家實驗室

安全問題

網(wǎng)絡(luò)攻擊是設(shè)計太空芯片時增加的另一個考慮因素，因為一旦推出，其中許多設(shè)備將無人看管多年，沒有立即保護。與汽車和卡車一樣，衛(wèi)星和其他空間電子設(shè)備中的軟件需要更新，以跟上新的安全威脅，并在硬件或固件故障時提供解決方法。但在太空中，這帶來了額外的挑戰(zhàn)。

Schirrmeister說：“能夠進行更改的無線更新的整個概念也成為一個話題。數(shù)字孿生在這個領(lǐng)域尤其重要，其中的某些方面與驗證更相關(guān)，而其他方面則做預(yù)測性維護等事情。”

在太空中，安全可能涉及物理攻擊或網(wǎng)絡(luò)攻擊，系統(tǒng)的設(shè)計需要能夠應(yīng)對任何事件。“硬件安全正變得越來越重要，而且它確實取決于應(yīng)用程序，”Land說。“這是一個定制領(lǐng)域，基于我們認為這些東西的暴露程度。如果有包括物流在內(nèi)的可信供應(yīng)鏈，那么硬件安全問題就不大了。”

安全與保障密切相關(guān)。Schirrmeister說：“他們會在哪里攻擊系統(tǒng)？”系統(tǒng)安全在某些情況下可以同時解決一些安全漏洞，從而產(chǎn)生“安全光環(huán)效應(yīng)”。保持內(nèi)存安全是一項特殊的挑戰(zhàn)。“深入到芯片級別來查看內(nèi)存和內(nèi)存訪問并進行適當?shù)尿炞C非常重要。”

太空安全可以用六個概念來界定——預(yù)測、預(yù)防、檢測、承受、響應(yīng)和適應(yīng)。

“了解迄今為止所做的事情的問題，然后預(yù)測可以做些什么來阻止現(xiàn)有和未來的攻擊，”Land說。“如果我們能想象他們要做什么，我們就可以建立預(yù)防機制來阻止這種情況的發(fā)生。我們可以通過隔離等技術(shù)來抵御威脅，這樣如果威脅進入該區(qū)域，仍然有一個更敏感的區(qū)域受到保護。你必須做出回應(yīng)，然后理想情況下你有辦法隨著時間的推移在未來適應(yīng)。我們每天都在思考如何管理安全、管理空間，以及如何一起管理這些事情。”

幸運的是，對于最有可能攻擊太空硬件的威脅類型，可以進行大量預(yù)測。一旦硬件進入太空，物理攻擊和故障電源攻擊就不太可能發(fā)生，但當設(shè)備仍在實驗室中時，它們就有可能發(fā)生。遠程攻擊是網(wǎng)絡(luò)安全方面的主要問題之一，包括遠程激活的目標故障。

評估這些攻擊需要另一個概念框架。“我們關(guān)心的是攻擊的嚴重程度與發(fā)生的可能性之類的事情，”Land說。“一旦我們了解了該級別的細節(jié)，下一個級別就是硬件、軟件，然后是安全性。隨著人們有更多的時間來攻擊設(shè)備，他們就會變得更好。通常，這是在地面上的實驗室中完成的，但我們已經(jīng)看到設(shè)備在通過網(wǎng)絡(luò)后受到遠程攻擊的情況，并且某些設(shè)備以意想不到的方式受到控制。”

Land指出，針對目標故障的相同方法通?？捎糜诠收瞎芾怼?ldquo;我們可以使用故障注入之類的方法來了解目標故障的影響。我們可以做一些事情，比如插入有益的代碼和/或傳感器和實體，以避免受到攻擊。我們可以將設(shè)備上的區(qū)域分開，使更敏感的區(qū)域與外部更加隔離。我們可以運行一些測試來預(yù)防攻擊，然后我們也可以在這些攻擊正在運行時對其進行監(jiān)控和擊沉。”

圖2：故障注入解決的硬件安全挑戰(zhàn)。來源：新思科技

在去年GOMACTech上發(fā)表的一篇論文中，Land和現(xiàn)任高通工程總監(jiān)的Meirav Nitzan得出結(jié)論，從汽車行業(yè)收集的安全和保障經(jīng)驗也可以應(yīng)用于航空航天和國防行業(yè)。航空航天和國防方面的相關(guān)關(guān)鍵標準包括DO-254（機載電子硬件設(shè)計保證）、DO-178（機載系統(tǒng)軟件考慮因素）、NTSS（美國宇航局技術(shù)標準體系）、MIL-PRF-38535（IC封裝可靠性）。

在論文中，作者討論了故障注入技術(shù)在測量隨機故障影響方面的有用性。他們表示，該方法還可用于解決對芯片的惡意故障攻擊。該技術(shù)從故障減少開始，其中執(zhí)行靜態(tài)分析和形式分析。Land指出，Synopsys正在與DARPA合作開展安全硅自動實施(AISS)計劃，使設(shè)計人員能夠輕松地為設(shè)備增加安全性，包括那些用于太空的設(shè)備。

結(jié)論

太空中使用的電子設(shè)備過去相對簡單，幾乎完全基于在太空中經(jīng)過驗證的成熟節(jié)點開發(fā)的芯片。但隨著送入太空的設(shè)備變得更小、更輕且功能更強大，芯片設(shè)計正呈現(xiàn)出全新的復(fù)雜性，涉及新材料、新功能以及更多具有本地化計算的傳感器。為這個領(lǐng)域設(shè)計芯片同樣也在發(fā)生變化，以使這些設(shè)備更可預(yù)測、更有彈性且成本更低。

太空芯片的未來設(shè)計可能看起來與過去開發(fā)的芯片有很大不同。輻射硬化很可能發(fā)生在多芯片設(shè)計的高級封裝層面，或者這些芯片可以使用不同的基板和架構(gòu)構(gòu)建，這些基板和架構(gòu)由于汽車應(yīng)用的發(fā)展而成為主流。無論哪種方式，太空中的電子設(shè)備都將變得與地球上的電子設(shè)備一樣先進，它們可能會面臨許多相同的問題，包括變化，加速老化和安全風(fēng)險，以及一些特定于太空的其他問題。