利用在汽車設(shè)計(jì)中學(xué)到的知識(shí)，使太空設(shè)備更加可靠。

太空中使用的硬件的設(shè)計(jì)考慮遠(yuǎn)遠(yuǎn)超出了輻射硬化。這些設(shè)備必須在極端溫度變化下完美運(yùn)行多年，并可能在其預(yù)計(jì)壽命內(nèi)被漂浮在虛空中的太空垃圾或其他粒子撞毀。

太空中的可靠性增加了一套完全不同的設(shè)計(jì)考慮因素。例如，一旦設(shè)備被發(fā)射到太空，任何人都不太可能對(duì)硬件進(jìn)行物理篡改，但還有其他的外界因素。通信可能會(huì)中斷，數(shù)據(jù)可能會(huì)被盜，惡意軟件可能會(huì)被遠(yuǎn)程上傳。此外，由于粒子碰撞或老化而導(dǎo)致的組件故障或退化可能會(huì)為發(fā)射時(shí)不存在的攻擊打開新的途徑。由于很難修復(fù)這些設(shè)備，特別是當(dāng)它們是無人駕駛的時(shí)，因此它們必須在最開始就高度安全。對(duì)于長(zhǎng)壽命設(shè)備來說，這是一個(gè)挑戰(zhàn)，因?yàn)榫W(wǎng)絡(luò)安全是一個(gè)不斷發(fā)展的領(lǐng)域。

氣體排放是另一個(gè)需要考慮的問題。新思科技航空航天和國(guó)防垂直解決方案高級(jí)總監(jiān) Ian Land 表示：“當(dāng)物體進(jìn)入太空時(shí)，它們是在真空中運(yùn)行的。在半導(dǎo)體制造過程中引入了大量氣體，一旦芯片進(jìn)入太空，實(shí)際上可以看到氣體從封裝中的金屬和模具本身的金屬中散發(fā)出來。該氣體會(huì)影響內(nèi)部的封裝。在過去，人們習(xí)慣于做密封封裝來管理廢氣。現(xiàn)在我們要做的是創(chuàng)建一個(gè)允許排氣的封裝。它暴露在環(huán)境中，而它正是為應(yīng)對(duì)這種情況而設(shè)計(jì)的。”

還有一個(gè)問題是產(chǎn)量有限。對(duì)于高性能太空飛行計(jì)算機(jī)，芯片很可能是定制設(shè)計(jì)的，數(shù)量有限，具有最大的輻射耐受性。這通常涉及多個(gè)處理元素執(zhí)行相同的計(jì)算。如果一個(gè)處理器的結(jié)果與其他兩個(gè)不同，異常值計(jì)算將作為錯(cuò)誤而被忽略。理想情況下，這三者都將返回相同的結(jié)果，但要確保隨著時(shí)間的推移發(fā)生這種情況，需要良好的建模和嚴(yán)格的制造過程，因?yàn)闆]有足夠的體積來解決扭結(jié)問題，而且更換設(shè)備太昂貴且難以做到。

“需要確保構(gòu)建的設(shè)計(jì)像平臺(tái)一樣工作，”Arteris IP解決方案和業(yè)務(wù)開發(fā)副總裁Frank Schirrmeister說。“必須弄清楚所有東西如何與系統(tǒng)交互，從太空安全的角度來看更是如此。尋找流程可預(yù)測(cè)性和可重復(fù)性的空間相關(guān)領(lǐng)域有時(shí)在應(yīng)用更高級(jí)別的技術(shù)（如基于模型的系統(tǒng)工程）時(shí)更成功，因?yàn)樗麄兿胍陧?xiàng)目早期模擬的內(nèi)容不是由下一個(gè)消費(fèi)周期驅(qū)動(dòng)的。它必須遵守非常具體的安全和安保要求。這種可預(yù)測(cè)性變得非常重要，因?yàn)檎诎l(fā)生的事情非常復(fù)雜。他們比其他領(lǐng)域更深入地研究需求的可追溯性。

全定制電子產(chǎn)品可以設(shè)計(jì)為可達(dá)到的最高輻射耐受性。然而，除高性能處理器外，外層空間還使用了許多其他芯片，通常用于執(zhí)行更多常規(guī)功能。過去，這是使用抗輻射的成熟節(jié)點(diǎn)芯片完成的。但在最近的一篇技術(shù)論文中，橡樹嶺國(guó)家實(shí)驗(yàn)室的研究人員研究了與 CMOS 設(shè)計(jì)的芯片相比，寬帶隙結(jié)柵 FET 如何用于近地軌道和深空的傳感、儀器儀表和通信。他們得出的結(jié)論是，這些寬帶隙結(jié)型柵極 FET 在安全性和可靠性方面更勝一籌，而且它們的性能比硅同類產(chǎn)品要長(zhǎng)得多。

圖 1：太空中抗輻射電子設(shè)備的現(xiàn)有和新選擇。來源：橡樹嶺國(guó)家實(shí)驗(yàn)室

安全問題

網(wǎng)絡(luò)攻擊是設(shè)計(jì)太空芯片時(shí)增加的另一個(gè)考慮因素，因?yàn)橐坏┩瞥觯渲性S多設(shè)備將無人看管多年，沒有立即保護(hù)。與汽車和卡車一樣，衛(wèi)星和其他空間電子設(shè)備中的軟件需要更新，以跟上新的安全威脅，并在硬件或固件故障時(shí)提供解決方法。但在太空中，這帶來了額外的挑戰(zhàn)。

Schirrmeister 說：“能夠進(jìn)行更改的無線更新的整個(gè)概念也成為一個(gè)話題。數(shù)字孿生在這個(gè)領(lǐng)域尤其重要，其中的某些方面與驗(yàn)證更相關(guān)，而其他方面則做預(yù)測(cè)性維護(hù)等事情。”

在太空中，安全可能涉及物理攻擊或網(wǎng)絡(luò)攻擊，系統(tǒng)的設(shè)計(jì)需要能夠應(yīng)對(duì)任何事件。“硬件安全正變得越來越重要，而且它確實(shí)取決于應(yīng)用程序，”Land 說。“這是一個(gè)定制領(lǐng)域，基于我們認(rèn)為這些東西的暴露程度。如果有包括物流在內(nèi)的可信供應(yīng)鏈，那么硬件安全問題就不大了。”

安全與保障密切相關(guān)。Schirrmeister 說：“ 他們會(huì)在哪里攻擊系統(tǒng)？”系統(tǒng)安全在某些情況下可以同時(shí)解決一些安全漏洞，從而產(chǎn)生“安全光環(huán)效應(yīng)”。保持內(nèi)存安全是一項(xiàng)特殊的挑戰(zhàn)。“深入到芯片級(jí)別來查看內(nèi)存和內(nèi)存訪問并進(jìn)行適當(dāng)?shù)尿?yàn)證非常重要。”

太空安全可以用六個(gè)概念來界定——預(yù)測(cè)、預(yù)防、檢測(cè)、承受、響應(yīng)和適應(yīng)。

“了解迄今為止所做的事情的問題，然后預(yù)測(cè)可以做些什么來阻止現(xiàn)有和未來的攻擊，”Land說。“如果我們能想象他們要做什么，我們就可以建立預(yù)防機(jī)制來阻止這種情況的發(fā)生。我們可以通過隔離等技術(shù)來抵御威脅，這樣如果威脅進(jìn)入該區(qū)域，仍然有一個(gè)更敏感的區(qū)域受到保護(hù)。你必須做出回應(yīng)，然后理想情況下你有辦法隨著時(shí)間的推移在未來適應(yīng)。我們每天都在思考如何管理安全、管理空間，以及如何一起管理這些事情。”

幸運(yùn)的是，對(duì)于最有可能攻擊太空硬件的威脅類型，可以進(jìn)行大量預(yù)測(cè)。一旦硬件進(jìn)入太空，物理攻擊和故障電源攻擊就不太可能發(fā)生，但當(dāng)設(shè)備仍在實(shí)驗(yàn)室中時(shí)，它們就有可能發(fā)生。遠(yuǎn)程攻擊是網(wǎng)絡(luò)安全方面的主要問題之一，包括遠(yuǎn)程激活的目標(biāo)故障。

評(píng)估這些攻擊需要另一個(gè)概念框架。“我們關(guān)心的是攻擊的嚴(yán)重程度與發(fā)生的可能性之類的事情，”Land說。“一旦我們了解了該級(jí)別的細(xì)節(jié)，下一個(gè)級(jí)別就是硬件、軟件，然后是安全性。隨著人們有更多的時(shí)間來攻擊設(shè)備，他們就會(huì)變得更好。通常，這是在地面上的實(shí)驗(yàn)室中完成的，但我們已經(jīng)看到設(shè)備在通過網(wǎng)絡(luò)后受到遠(yuǎn)程攻擊的情況，并且某些設(shè)備以意想不到的方式受到控制。”

Land 指出，針對(duì)目標(biāo)故障的相同方法通常可用于故障管理。“我們可以使用故障注入之類的方法來了解目標(biāo)故障的影響。我們可以做一些事情，比如插入有益的代碼和/或傳感器和實(shí)體，以避免受到攻擊。我們可以將設(shè)備上的區(qū)域分開，使更敏感的區(qū)域與外部更加隔離。我們可以運(yùn)行一些測(cè)試來預(yù)防攻擊，然后我們也可以在這些攻擊正在運(yùn)行時(shí)對(duì)其進(jìn)行監(jiān)控和擊沉。”

圖 2：故障注入解決的硬件安全挑戰(zhàn)。來源：新思科技

在去年 GOMACTech 上發(fā)表的一篇論文中，Land 和現(xiàn)任高通工程總監(jiān)的 Meirav Nitzan 得出結(jié)論，從汽車行業(yè)收集的安全和保障經(jīng)驗(yàn)也可以應(yīng)用于航空航天和國(guó)防行業(yè)。航空航天和國(guó)防方面的相關(guān)關(guān)鍵標(biāo)準(zhǔn)包括 DO-254（機(jī)載電子硬件設(shè)計(jì)保證）、DO-178（機(jī)載系統(tǒng)軟件考慮因素）、NTSS（美國(guó)宇航局技術(shù)標(biāo)準(zhǔn)體系）、MIL-PRF-38535（IC封裝可靠性）。

在論文中，作者討論了故障注入技術(shù)在測(cè)量隨機(jī)故障影響方面的有用性。他們表示，該方法還可用于解決對(duì)芯片的惡意故障攻擊。該技術(shù)從故障減少開始，其中執(zhí)行靜態(tài)分析和形式分析。Land 指出，Synopsys 正在與 DARPA 合作開展安全硅自動(dòng)實(shí)施 (AISS) 計(jì)劃，使設(shè)計(jì)人員能夠輕松地為設(shè)備增加安全性，包括那些用于太空的設(shè)備。

結(jié)論

太空中使用的電子設(shè)備過去相對(duì)簡(jiǎn)單，幾乎完全基于在太空中經(jīng)過驗(yàn)證的成熟節(jié)點(diǎn)開發(fā)的芯片。但隨著送入太空的設(shè)備變得更小、更輕且功能更強(qiáng)大，芯片設(shè)計(jì)正呈現(xiàn)出全新的復(fù)雜性，涉及新材料、新功能以及更多具有本地化計(jì)算的傳感器。為這個(gè)領(lǐng)域設(shè)計(jì)芯片同樣也在發(fā)生變化，以使這些設(shè)備更可預(yù)測(cè)、更有彈性且成本更低。

太空芯片的未來設(shè)計(jì)可能看起來與過去開發(fā)的芯片有很大不同。輻射硬化很可能發(fā)生在多芯片設(shè)計(jì)的高級(jí)封裝層面，或者這些芯片可以使用不同的基板和架構(gòu)構(gòu)建，這些基板和架構(gòu)由于汽車應(yīng)用的發(fā)展而成為主流。無論哪種方式，太空中的電子設(shè)備都將變得與地球上的電子設(shè)備一樣先進(jìn)，它們可能會(huì)面臨許多相同的問題，包括變化，加速老化和安全風(fēng)險(xiǎn)，以及一些特定于太空的其他問題。

審核編輯 ：李倩