車用FPGA—在引擎控制單元運(yùn)行中發(fā)揮可靠效能
摘 要:利用MCU,定制ASIC和體積龐大的電線束來(lái)引進(jìn)及控制電子系統(tǒng),并隨著汽車的更新?lián)Q代而擴(kuò)展功能,這些方案日漸發(fā)展至接近其技術(shù)和應(yīng)用極限。本文介紹了FPGA在車上的應(yīng)用,解決包括舒緩產(chǎn)品更快推出市場(chǎng)的壓力;增加元件數(shù)目;在單一硬件平臺(tái)上實(shí)施標(biāo)準(zhǔn)化;以及不斷升級(jí)的安全要求。
關(guān)鍵詞:汽車電子,F(xiàn)PGA,引擎控制單元
傳統(tǒng)上,汽車電子工程師利用MCU、定制ASIC和體積龐大的電線束來(lái)引進(jìn)及控制電子系統(tǒng),并隨著汽車的更新?lián)Q代而擴(kuò)展功能。然而,由于這些方案日漸發(fā)展至接近其技術(shù)和應(yīng)用極限,汽車工業(yè)正面臨新的設(shè)計(jì)挑戰(zhàn)。因此,許多設(shè)計(jì)人員都轉(zhuǎn)向FPGA來(lái)解決有關(guān)問(wèn)題,包括舒緩產(chǎn)品更快推出市場(chǎng)的壓力;增加元件數(shù)目;在單一硬件平臺(tái)上實(shí)施標(biāo)準(zhǔn)化;以及不斷升級(jí)的安全要求。
過(guò)去習(xí)慣于漫長(zhǎng)的產(chǎn)品和開(kāi)發(fā)周期,許多汽車制造商現(xiàn)正致力于在更短的時(shí)間內(nèi),裝備電子消費(fèi)者所需的新一代汽車。諸如GPS導(dǎo)航系統(tǒng)和DVD播放機(jī)等設(shè)備的使用壽命相對(duì)較短,因此,產(chǎn)品推出市場(chǎng)的時(shí)間非常重要。與傳統(tǒng)的汽車應(yīng)用不同,這些娛樂(lè)和遠(yuǎn)程信息處理系統(tǒng)的特點(diǎn)是其中等生產(chǎn)規(guī)模及上市壓力與消費(fèi)市場(chǎng)相若。今天,采用ASIC可能會(huì)令開(kāi)發(fā)周期增加30周,加上ASIC的掩模成本大幅攀升,使到器件的支出和風(fēng)險(xiǎn)也進(jìn)一步提高。
與此同時(shí),因?yàn)楫?dāng)今的汽車引入了許多標(biāo)準(zhǔn)和技術(shù),令到ASIC的應(yīng)用缺乏固有靈活性,從而增加其被廢棄和延遲應(yīng)用的風(fēng)險(xiǎn)。消費(fèi)者還要求享有各式的功能選項(xiàng),使得汽車廠商必需以一套元件組合為基礎(chǔ),再根據(jù)不同需求進(jìn)行配置。為了快速實(shí)現(xiàn)這些高度集成和不斷變化的系統(tǒng),產(chǎn)品能夠快速推出市場(chǎng)的FPGA為汽車廠商帶來(lái)了所需的靈活性,可在現(xiàn)場(chǎng)進(jìn)行系統(tǒng)硬件升級(jí),而毋須執(zhí)行昂貴的返工工程和部件更換。所以,F(xiàn)PGA現(xiàn)已應(yīng)用于汽車電子中,范疇從設(shè)計(jì)驗(yàn)證到制造和服務(wù)。
最后,隨著汽車內(nèi)的空間非常珍貴,可編程邏輯能在小型單芯片方案上集成許多不同功能的能力,也顯得極之吸引。
今天的汽車電子還有一個(gè)要求,就是大批量制造 (以低成本),并且在嚴(yán)苛的環(huán)境中保持高可靠性,此外還需要在這個(gè)快速發(fā)展和競(jìng)爭(zhēng)激烈的市場(chǎng)中考慮設(shè)計(jì)安全問(wèn)題。評(píng)估FPGA器件的技術(shù)決策者因此需要了解所考慮器件的可靠和安全特性。
FPGA故障可由許多機(jī)械原因造成。其中,某些問(wèn)題如ESD曝光及其它封裝和組裝是半導(dǎo)體器件所固有的;其它如電介質(zhì)材料隨時(shí)間發(fā)生擊穿,或者易受亞原子粒子碰撞影響的問(wèn)題,則隨著工藝幾何尺寸的縮小而日益重要。所有問(wèn)題都受到電子元件可靠性的傳統(tǒng)敵人 – 溫度應(yīng)力 – 所影響。
汽車電子設(shè)計(jì)人員通過(guò)使用具有擴(kuò)展溫度范圍的FPGA技術(shù),顯著提高抵抗多種故障的能力。雖然許多元件供應(yīng)商采用預(yù)防性的設(shè)計(jì)技術(shù)及限定方法來(lái)模擬和仿真環(huán)境應(yīng)力,但是某些FPGA構(gòu)架在承受擴(kuò)展溫度范圍曝光方面仍然具有先天優(yōu)勢(shì)。舉例說(shuō),Actel以反熔絲為基礎(chǔ)的汽車器件能承受業(yè)界最高的結(jié)點(diǎn)溫度 (+150C),為設(shè)計(jì)人員的高可靠性系統(tǒng)帶來(lái)更大的性能容限。
在高溫下工作的能力不僅有利于抵御故障,汽車電子應(yīng)用在空間和成本上都沒(méi)有余地來(lái)加設(shè)風(fēng)扇和散熱裝置,因此器件必須在沒(méi)有外部散熱裝置的情況下仍能提供所需的性能。
極端的環(huán)境往往會(huì)導(dǎo)致與FPGA組裝和封裝相關(guān)的故障模式,而非與裝置本身有關(guān)。所以在汽車電子系統(tǒng)的各個(gè)層面預(yù)留規(guī)格的余地非常重要。FPGA供貨商如Xilinx 和Actel等提供的產(chǎn)品具有寬廣的軍用溫度范圍,能夠更好地處理熱膨脹系數(shù),避免熱應(yīng)力的影響。
即使于正常的溫度和電壓下工作,在FPGA的柵極氧化膜上反復(fù)施加電壓應(yīng)力最終也會(huì)使器件內(nèi)的電介質(zhì)絕緣層發(fā)生擊穿。這種隨使用時(shí)間累計(jì)而產(chǎn)生的擊穿現(xiàn)象稱為“時(shí)間相關(guān)絕緣擊穿”(TDDB)。加上深亞微米技術(shù)的使用,會(huì)增加這類故障在現(xiàn)場(chǎng)發(fā)生的風(fēng)險(xiǎn)。
問(wèn)題是新工藝采用高壓應(yīng)力測(cè)試進(jìn)行評(píng)估。這些測(cè)試在取得氧化膜壽命的統(tǒng)計(jì)預(yù)測(cè)數(shù)據(jù),以及探測(cè)重要的制造與工藝難度方面很有效,但在建模和預(yù)測(cè)產(chǎn)品的早期故障方面收效甚微,特別是對(duì)于偶發(fā)性的故障。早期的擊穿會(huì)在器件投入使用后很短時(shí)間內(nèi)造成嚴(yán)重的故障后果 (見(jiàn)圖1),可能涉及汽車系統(tǒng)安全方面的重要問(wèn)題和質(zhì)保責(zé)任。
圖1 恒壓條件下4.2 nm氧化膜的TDDB評(píng)測(cè)結(jié)果 (注意早期擊穿區(qū)域產(chǎn)生的偶發(fā)性故障)
找出及消除這些早期擊穿故障的原因是一大挑戰(zhàn)。從TDDB數(shù)據(jù)進(jìn)行測(cè)試和驗(yàn)證能得出氧化膜的真正擊穿壽命極限,但是這些數(shù)據(jù)在確定單個(gè)器件產(chǎn)品的壽命方面并不可靠。
即使半導(dǎo)體供應(yīng)商有方法找出或消除早期故障,越來(lái)越多推測(cè)指出90nm器件的真正壽命周期可能不足以滿足許多商業(yè)應(yīng)用的要求。如果這些理論正確,汽車產(chǎn)品設(shè)計(jì)人員可能別無(wú)選擇,只有采用更可靠幾何尺寸和工藝的器件,為了提高可靠性而被迫放棄新一代工藝的邊際效益。
了解汽車電子產(chǎn)品的主要物理故障風(fēng)險(xiǎn)后,在文中轉(zhuǎn)而討論安全和防竄改等問(wèn)題可能顯得奇怪。
然而,任何影響汽車系統(tǒng)可靠性因素的討論,如果沒(méi)考慮人為干預(yù) (有意或無(wú)意的) 的影響,都是不完整的。重要的是,我們必須確認(rèn)汽車安全性和可靠性的建立是從組件層面開(kāi)始。舉例說(shuō),如果黑客能夠侵入以FPGA為基礎(chǔ)的衛(wèi)星無(wú)線總臺(tái)接收器,并破壞用戶的身份鑒別機(jī)制,某些不道德的用戶就可以免費(fèi)取用服務(wù)。系統(tǒng)的安全機(jī)制一旦被擊破,便可輕易地將有關(guān)的技術(shù)散布給大眾取用。只要登陸eBay等網(wǎng)站,您就可輕松找到各種破解收費(fèi)服務(wù)的控制臺(tái)。從汽車制造商的角度來(lái)看,高風(fēng)險(xiǎn)的情況可能涉及汽車的防盜或安全系統(tǒng)。
或許更危險(xiǎn)的情況是越來(lái)越多人嘗試“調(diào)較”汽車產(chǎn)品以提高性能,此舉通常會(huì)破壞地區(qū)或國(guó)家性的安全和環(huán)境標(biāo)準(zhǔn)。這類非法改裝活動(dòng)經(jīng)由多種渠道提供,往往很難以控制和打擊。許多改裝者會(huì)重新校準(zhǔn)各式車載系統(tǒng)元件的常規(guī)設(shè)置,并修改燃油輸送、電子點(diǎn)火時(shí)間及其它控制功能,以便增強(qiáng)性能。
當(dāng)然,這些改變可能會(huì)造成汽車在違反制造商的技術(shù)規(guī)格和保修規(guī)定的情況下行駛,但聰明的改裝者卻提供選項(xiàng),可以將所有改動(dòng)還原,令到損壞及超標(biāo)使用的汽車符合制造商的保修條款,以期獲得合法的賠償。
要減少這些安全問(wèn)題,應(yīng)從技術(shù)的選定開(kāi)始。業(yè)界專家普遍同意反熔絲是現(xiàn)有最安全的可編程架構(gòu),因?yàn)橐宄x取以反熔絲為基礎(chǔ)器件的狀態(tài)極之困難。例如,Actel的200萬(wàn)門反熔絲FPGA包含約5,300萬(wàn)個(gè)反熔絲,當(dāng)中只有2-5% 會(huì)在一般的設(shè)計(jì)中進(jìn)行編程。因此,若要成功讀取某項(xiàng)設(shè)計(jì)的內(nèi)容機(jī)會(huì)微乎其微,遑論更改其中的編程狀態(tài)。
一般而言,以Flash為基礎(chǔ)的器件也是安全的;由于Flash的半導(dǎo)體層面不會(huì)發(fā)生任何物理變化,因此不可能通過(guò)非法探測(cè)來(lái)得知器件的狀態(tài)。一些供應(yīng)商甚至采用訪問(wèn)密鑰等方案,進(jìn)一步加強(qiáng)保護(hù)措施。Actel的新型ProASICPLUS系列便采用了79至 263 位長(zhǎng)的密鑰,一旦用密鑰來(lái)保護(hù)后,內(nèi)容便不可能被讀取,除非對(duì)器件進(jìn)行解鎖。
相反地,以SRAM為基礎(chǔ)的器件需要外加配置器件 (通常為板載PROM),在上電時(shí)向SRAM器件發(fā)送配置位流。但這位流很容易被黑客攔截,從而進(jìn)行復(fù)制或直接讀取其內(nèi)容。
Life Racing 賽車應(yīng)用
在眾多汽車電子系統(tǒng)開(kāi)發(fā)領(lǐng)域中,賽車一直是FPGA大顯身手的場(chǎng)所。其中于汽車引擎控制單元 (ECU) 領(lǐng)域,F(xiàn)PGA便可協(xié)助提升靈活性、性能和可靠性。各大涉及賽車業(yè)務(wù)的機(jī)構(gòu),如先進(jìn)引擎研究有限公司 (Advanced Engine Research Ltd;AER)屬下的電子設(shè)計(jì)部Life Racing,已開(kāi)始在其ECU設(shè)計(jì)中引入Actel以Flash為基礎(chǔ)ProASIC Plus的FPGA器件。競(jìng)爭(zhēng)性的賽車ECU需要采用復(fù)雜的調(diào)節(jié)算法,專為每個(gè)獨(dú)立的控制器而優(yōu)化,以管理引擎的定時(shí)功能。使用傳統(tǒng)的解決方案即標(biāo)準(zhǔn)定時(shí)處理單元 (TPU) 控制器,這個(gè)關(guān)鍵軟件會(huì)隨著應(yīng)用要求的改變,需要進(jìn)行重大的修改。然而,借助以Flash為基礎(chǔ)FPGA的系統(tǒng)內(nèi)可重編程功能 (ISP),設(shè)計(jì)人員可以利用單芯片的上電運(yùn)行FPGA器件取代現(xiàn)成的TPU控制器,從而縮短軟件開(kāi)發(fā)時(shí)間、減少調(diào)試需求和加速產(chǎn)品的整體上市時(shí)間。
圖2 Life Racing的引擎控制單元
在ECU中,F(xiàn)PGA一般的主要功能是從機(jī)軸觸輪信號(hào)中提取引擎的位置信息。FPGA會(huì)根據(jù)抽象的機(jī)軸角度發(fā)出CPU中斷信號(hào),而非傳統(tǒng)設(shè)計(jì)應(yīng)用的觸輪齒位,因而提高了靈活性和精度。ECU通常會(huì)將燃料添加和點(diǎn)火動(dòng)作編為定時(shí)的調(diào)度事件,并以調(diào)度代碼執(zhí)行時(shí)間的引擎工作狀況為基礎(chǔ)。在事件發(fā)生前改變引擎工作狀態(tài)會(huì)引起角度誤差,而調(diào)度代碼往往與當(dāng)前引擎的機(jī)軸觸輪輪齒式樣密切相關(guān)。FPGA能令調(diào)度代碼不受信號(hào)式樣影響,還能通過(guò)監(jiān)測(cè)引擎工作狀況來(lái)進(jìn)行事件調(diào)度和持續(xù)調(diào)節(jié),直至事件發(fā)生。此舉能提升代碼效率和靈活性,同時(shí)改善動(dòng)態(tài)狀況下的控制精度。 而且,以Flash為基礎(chǔ)FPGA – 如Actel的ProASIC Plus – 的上電運(yùn)行功能,能助設(shè)計(jì)人員除去傳統(tǒng)需要用來(lái)阻止燃料注射驅(qū)動(dòng)器或點(diǎn)火線圈驅(qū)動(dòng)器在上電期間啟動(dòng)的附加元件。
Life Racing專有的ECU設(shè)計(jì)F88便成功地應(yīng)用于2003 年度Superfund World Series的第一輪賽事中 — 這是進(jìn)入一級(jí)方程式大賽 (Formula 1) 的重要踏腳石。
圖3 Life Racing賽車
目前,商用道路車輛制造商也在考慮采用Life Racing 的ECU。這個(gè)控制單元具有高度靈活性,最適用于原型制造和研發(fā)環(huán)境,能應(yīng)付各式不同的引擎設(shè)置。
對(duì)于汽車半導(dǎo)體廠家來(lái)說(shuō),最后一個(gè)并且在不斷增長(zhǎng)中的風(fēng)險(xiǎn)是由高能中子引起的軟件和固件錯(cuò)誤。向著深亞微米幾何尺寸發(fā)展的趨勢(shì)同時(shí)令到問(wèn)題加深。當(dāng)中子轟擊集成電路時(shí),大多數(shù)都是直接穿過(guò),但偶然會(huì)有一個(gè)中子干擾硅原子或摻雜原子,從而改變內(nèi)存單元或觸發(fā)器的狀態(tài)。
如果該內(nèi)存單元存儲(chǔ)著FPGA的配置信息,便可能會(huì)造成器件或所連接器件發(fā)生內(nèi)部競(jìng)爭(zhēng),從而產(chǎn)生過(guò)大電流,導(dǎo)致器件或系統(tǒng)損壞。這樣,軟錯(cuò)誤變成“固件”錯(cuò)誤,最終再變?yōu)椤坝布卞e(cuò)誤。最低限度的情況是,F(xiàn)PGA編程改變,結(jié)果可能造成功能失效。而這問(wèn)題經(jīng)已使得電信網(wǎng)絡(luò)和其它高可用性系統(tǒng)制造商著手制定新的元件要求,對(duì)軟錯(cuò)誤的免疫力作出強(qiáng)制規(guī)定。
這個(gè)領(lǐng)域的研究仍然繼續(xù)。不過(guò),初步的調(diào)查說(shuō)明以Flash和反熔絲為基礎(chǔ)的FPGA具有此類錯(cuò)誤的免疫功能,而以SRAM為基礎(chǔ)的器件則面對(duì)更嚴(yán)峻的問(wèn)題。
FPGA正獲得廣泛接納,用于新一代汽車電子的設(shè)計(jì)方案中。在選擇FPGA的過(guò)程中深入了解各種技術(shù)的獨(dú)特性能,汽車設(shè)計(jì)人員便能從最有前景的技術(shù)中獲益,而不會(huì)影響業(yè)界在制造高可靠性和成本效益汽車方面的美譽(yù)。
評(píng)論