宇宙射線對(duì)汽車電子系統(tǒng)的損傷分析

設(shè)想一下：如果你驅(qū)車以每小時(shí)75英里的速度在高速公路上疾馳，一邊駕駛著2006才購(gòu)買的新車，一邊欣賞著Steve Miller的Greatest Hits樂(lè)曲。突然間，引擎管理系統(tǒng)或穩(wěn)定控制系統(tǒng)失效。

如果出現(xiàn)這一幕，您不僅僅可能會(huì)遭遇嚴(yán)重或可能是致命的車禍，而且車廠也可能被毀譽(yù)一旦，假設(shè)類似情況不止你一個(gè)的話。

隨著汽車從純機(jī)械設(shè)備向現(xiàn)代高度集成的線控駕駛汽車電子系統(tǒng)發(fā)展，設(shè)計(jì)工程現(xiàn)在面臨越來(lái)越多的挑戰(zhàn)。它們必須持續(xù)把復(fù)雜的電子設(shè)備添加到每一個(gè)后續(xù)車型年，與此同時(shí)，仍然要維持高標(biāo)準(zhǔn)的品質(zhì)和可靠性，并滿足嚴(yán)格的低成本和大批量生產(chǎn)的要求。

傳統(tǒng)上，這些開發(fā)商一直采用微控制器(MCU)、ASIC和碩大的線束來(lái)實(shí)現(xiàn)和控制這些系統(tǒng)并擴(kuò)展每一代汽車的性能。目前，這些技術(shù)已經(jīng)逼近了它們的極限，并因復(fù)雜性呈指數(shù)增長(zhǎng)而引發(fā)了對(duì)可靠性問(wèn)題的關(guān)注。為了解決這些問(wèn)題，許多設(shè)計(jì)工程師正在轉(zhuǎn)向采用FPGA作為下一代汽車電子設(shè)計(jì)的靈活和低成本的解決方案。

太空射線引發(fā)的故障

為了確?，F(xiàn)代汽車中各種系統(tǒng)的功能運(yùn)轉(zhuǎn)正常，必須對(duì)元器件提出可靠性數(shù)據(jù)的要求。雖然人們掌握元器件可靠性的大部分原理，但是，在選擇可編程邏輯器件如FPGA的過(guò)程中，要把一些獨(dú)特的問(wèn)題納入應(yīng)該考慮的因素。

明確地說(shuō)，技術(shù)決策人要預(yù)見(jiàn)到將影響可編程邏輯系統(tǒng)的故障源。雖然來(lái)自太空(宇宙射線)的中子轟擊的概念聽(tīng)起來(lái)就像蹦出Star Trek的插曲，中子導(dǎo)致的錯(cuò)誤現(xiàn)實(shí)上對(duì)許多類型的電子設(shè)備都有危害。

中子導(dǎo)致的固件錯(cuò)誤(firm error)已經(jīng)從一件麻煩事變?yōu)橹卮髥?wèn)題。例如，如果中子導(dǎo)致基于SRAM(基于靜態(tài))的FPGA的(以下簡(jiǎn)稱：SRAM FPGA)配置單元被擾亂，就可能導(dǎo)致功能喪失。如果出現(xiàn)這種情況，它就可能造成主系統(tǒng)失常。展望未來(lái)，這種問(wèn)題將更為嚴(yán)重，因?yàn)閷?lái)的深亞微米制造工藝將持續(xù)為基于FPGA的汽車電子系統(tǒng)的設(shè)計(jì)工程師帶來(lái)實(shí)實(shí)在在的挑戰(zhàn)。

在集成電路內(nèi)部由中子造成的單事件擾亂(SEU)可能在各種類型非易失性存儲(chǔ)單元中都會(huì)出現(xiàn)。上述SRAM FPGA采用內(nèi)部存儲(chǔ)單元來(lái)保持FPGA的配置狀態(tài)或(個(gè)性)。這些存儲(chǔ)器單元面對(duì)更為嚴(yán)重的可靠性威脅。當(dāng)內(nèi)容被改變的時(shí)候，它被稱為“軟錯(cuò)誤”，因?yàn)槭菙?shù)據(jù)錯(cuò)誤，而功能不受影響。雖然該器件可以采用校正數(shù)據(jù)成功地重新寫入，對(duì)SRAM數(shù)據(jù)和寄存器可以分別采用EDAC(錯(cuò)誤檢測(cè)和校正)或TMR(隧道磁阻)。軟錯(cuò)誤可能導(dǎo)致數(shù)據(jù)丟失或“系統(tǒng)出現(xiàn)意外故障”。

如果SRAM FPGA配置存儲(chǔ)器單元受到破壞，那就稱為“固件錯(cuò)誤”，因?yàn)檫@些錯(cuò)誤不易檢測(cè)或校正并且本質(zhì)上不是瞬時(shí)現(xiàn)象。一旦在FPGA中出現(xiàn)固件錯(cuò)誤，必須采用初始配置對(duì)該器件進(jìn)行重新載入。在一些情況下，必須重新上電以清除故障，然后，重新配置。

這些配置單元中，只要有一個(gè)遭遇中子導(dǎo)致的SEU，后果都是嚴(yán)重的。如果配置為被擾亂并改變狀態(tài)，它可能會(huì)改變整個(gè)器件的功能，導(dǎo)致重大數(shù)據(jù)崩潰或向系統(tǒng)中的其它電路發(fā)送虛假的信號(hào)。在極端情況下，如果固件錯(cuò)誤長(zhǎng)期未被檢測(cè)到其存在，那么，就能變成“硬故障(hard errors)”并對(duì)器件本身或包含該器件的系統(tǒng)造成破壞。這類問(wèn)題的常見(jiàn)例子是：中子導(dǎo)致的穩(wěn)故障把信號(hào)導(dǎo)向錯(cuò)誤的路徑，從而造成短路。

對(duì)于采用SRAM FPGA的、執(zhí)行重要任務(wù)的汽車電子應(yīng)用系統(tǒng)，中子導(dǎo)致的錯(cuò)誤有著重要的影響。現(xiàn)有的檢測(cè)技術(shù)，每隔一定間隔讀回FPGA的配置，對(duì)防止系統(tǒng)內(nèi)的錯(cuò)誤毫無(wú)幫助。

此外，能夠檢測(cè)受破壞配置的讀回電路本身就易于遭受SEU或破壞。進(jìn)一步說(shuō)，在檢查汽車系統(tǒng)抗中子導(dǎo)致的錯(cuò)誤中，隨著易受影響的FPGA技術(shù)的廣泛應(yīng)用，人們要求把創(chuàng)新的質(zhì)量認(rèn)證體系添加到AEC-Q100標(biāo)準(zhǔn)之中，以補(bǔ)充JEDEC標(biāo)準(zhǔn) 89的不足。當(dāng)前檢測(cè)和校正FPGA固件錯(cuò)誤的方案增加了系統(tǒng)設(shè)計(jì)的額外復(fù)雜性，并增加了電路板的大小和物料的成本，從而增加了發(fā)現(xiàn)中子導(dǎo)致的錯(cuò)誤的“成本”。

中子導(dǎo)致的固件錯(cuò)誤可能對(duì)整個(gè)系統(tǒng)按時(shí)間計(jì)算的故障(FIT)率影響很大。由于難以檢測(cè)和幾乎不可能診斷，軟和穩(wěn)故障可能引發(fā)維護(hù)和服務(wù)問(wèn)題，從而有可能造成擔(dān)保費(fèi)用攀升。在三種主流FPGA技術(shù)