車用FPGA—在引擎控制單元運行中發(fā)揮可靠效能

摘　要：利用MCU，定制ASIC和體積龐大的電線束來引進及控制電子系統(tǒng)，并隨著汽車的更新?lián)Q代而擴展功能，這些方案日漸發(fā)展至接近其技術(shù)和應(yīng)用極限。本文介紹了FPGA在車上的應(yīng)用，解決包括舒緩產(chǎn)品更快推出市場的壓力；增加元件數(shù)目；在單一硬件平臺上實施標(biāo)準(zhǔn)化；以及不斷升級的安全要求。

關(guān)鍵詞：汽車電子，F(xiàn)PGA，引擎控制單元

　　傳統(tǒng)上，汽車電子工程師利用MCU、定制ASIC和體積龐大的電線束來引進及控制電子系統(tǒng)，并隨著汽車的更新?lián)Q代而擴展功能。然而，由于這些方案日漸發(fā)展至接近其技術(shù)和應(yīng)用極限，汽車工業(yè)正面臨新的設(shè)計挑戰(zhàn)。因此，許多設(shè)計人員都轉(zhuǎn)向FPGA來解決有關(guān)問題，包括舒緩產(chǎn)品更快推出市場的壓力；增加元件數(shù)目；在單一硬件平臺上實施標(biāo)準(zhǔn)化；以及不斷升級的安全要求。

　　過去習(xí)慣于漫長的產(chǎn)品和開發(fā)周期，許多汽車制造商現(xiàn)正致力于在更短的時間內(nèi)，裝備電子消費者所需的新一代汽車。諸如GPS導(dǎo)航系統(tǒng)和DVD播放機等設(shè)備的使用壽命相對較短，因此，產(chǎn)品推出市場的時間非常重要。與傳統(tǒng)的汽車應(yīng)用不同，這些娛樂和遠程信息處理系統(tǒng)的特點是其中等生產(chǎn)規(guī)模及上市壓力與消費市場相若。今天，采用ASIC可能會令開發(fā)周期增加30周，加上ASIC的掩模成本大幅攀升，使到器件的支出和風(fēng)險也進一步提高。

　　與此同時，因為當(dāng)今的汽車引入了許多標(biāo)準(zhǔn)和技術(shù)，令到ASIC的應(yīng)用缺乏固有靈活性，從而增加其被廢棄和延遲應(yīng)用的風(fēng)險。消費者還要求享有各式的功能選項，使得汽車廠商必需以一套元件組合為基礎(chǔ)，再根據(jù)不同需求進行配置。為了快速實現(xiàn)這些高度集成和不斷變化的系統(tǒng)，產(chǎn)品能夠快速推出市場的FPGA為汽車廠商帶來了所需的靈活性，可在現(xiàn)場進行系統(tǒng)硬件升級，而毋須執(zhí)行昂貴的返工工程和部件更換。所以，F(xiàn)PGA現(xiàn)已應(yīng)用于汽車電子中，范疇從設(shè)計驗證到制造和服務(wù)。

　　最后，隨著汽車內(nèi)的空間非常珍貴，可編程邏輯能在小型單芯片方案上集成許多不同功能的能力，也顯得極之吸引。

　　今天的汽車電子還有一個要求，就是大批量制造 (以低成本)，并且在嚴(yán)苛的環(huán)境中保持高可靠性，此外還需要在這個快速發(fā)展和競爭激烈的市場中考慮設(shè)計安全問題。評估FPGA器件的技術(shù)決策者因此需要了解所考慮器件的可靠和安全特性。

　　FPGA故障可由許多機械原因造成。其中，某些問題如ESD曝光及其它封裝和組裝是半導(dǎo)體器件所固有的；其它如電介質(zhì)材料隨時間發(fā)生擊穿，或者易受亞原子粒子碰撞影響的問題，則隨著工藝幾何尺寸的縮小而日益重要。所有問題都受到電子元件可靠性的傳統(tǒng)敵人 – 溫度應(yīng)力 – 所影響。

　　汽車電子設(shè)計人員通過使用具有擴展溫度范圍的FPGA技術(shù)，顯著提高抵抗多種故障的能力。雖然許多元件供應(yīng)商采用預(yù)防性的設(shè)計技術(shù)及限定方法來模擬和仿真環(huán)境應(yīng)力，但是某些FPGA構(gòu)架在承受擴展溫度范圍曝光方面仍然具有先天優(yōu)勢。舉例說，Actel以反熔絲為基礎(chǔ)的汽車器件能承受業(yè)界最高的結(jié)點溫度 (+150C)，為設(shè)計人員的高可靠性系統(tǒng)帶來更大的性能容限。

　　在高溫下工作的能力不僅有利于抵御故障，汽車電子應(yīng)用在空間和成本上都沒有余地來加設(shè)風(fēng)扇和散熱裝置，因此器件必須在沒有外部散熱裝置的情況下仍能提供所需的性能。

極端的環(huán)境往往會導(dǎo)致與FPGA組裝和封裝相關(guān)的故障模式，而非與裝置本身有關(guān)。所以在汽車電子系統(tǒng)的各個層面預(yù)留規(guī)格的余地非常重要。FPGA供貨商如Xilinx 和Actel等提供的產(chǎn)品具有寬廣的軍用溫度范圍，能夠更好地處理熱膨脹系數(shù)，避免熱應(yīng)力的影響。

　　即使于正常的溫度和電壓下工作，在FPGA的柵極氧化膜上反復(fù)施加電壓應(yīng)力最終也會使器件內(nèi)的電介質(zhì)絕緣層發(fā)生擊穿。這種隨使用時間累計而產(chǎn)生的擊穿現(xiàn)象稱為“時間相關(guān)絕緣擊穿”(TDDB)。加上深亞微米技術(shù)的使用，會增加這類故障在現(xiàn)場發(fā)生的風(fēng)險。

　　問題是新工藝采用高壓應(yīng)力測試進行評估。這些測試在取得氧化膜壽命的統(tǒng)計預(yù)測數(shù)據(jù)，以及探測重要的制造與工藝難度方面很有效，但在建模和預(yù)測產(chǎn)品的早期故障方面收效甚微，特別是對于偶發(fā)性的故障。早期的擊穿會在器件投入使用后很短時間內(nèi)造成嚴(yán)重的故障后果 (見圖1)，可能涉及汽車系統(tǒng)安全方面的重要問題和質(zhì)保責(zé)任。
 

 
圖1 恒壓條件下4.2 nm氧化膜的TDDB評測結(jié)果 (注意早期擊穿區(qū)域產(chǎn)生的偶發(fā)性故障)

　　找出及消除這些早期擊穿故障的原因是一大挑戰(zhàn)。從TDDB數(shù)據(jù)進行測試和驗證能得出氧化膜的真正擊穿壽命極限，但是這些數(shù)據(jù)在確定單個器件產(chǎn)品的壽命方面并不可靠。

　　即使半導(dǎo)體供應(yīng)商有方法找出或消除早期故障，越來越多推測指出90nm器件的真正壽命周期可能不足以滿足許多商業(yè)應(yīng)用的要求。如果這些理論正確，汽車產(chǎn)品設(shè)計人員可能別無選擇，只有采用更可靠幾何尺寸和工藝的器件，為了提高可靠性而被迫放棄新一代工藝的邊際效益。

　　了解汽車電子產(chǎn)品的主要物理故障風(fēng)險后，在文中轉(zhuǎn)而討論安全和防竄改等問題可能顯得奇怪。

　　然而，任何影響汽車系統(tǒng)可靠性因素的討論，如果沒考慮人為干預(yù) (有意或無意的) 的影響，都是不完整的。重要的是，我們必須確認(rèn)汽車安全性和可靠性的建立是從組件層面開始。舉例說，如果黑客能夠侵入以FPGA為基礎(chǔ)的衛(wèi)星無線總臺接收器，并破壞用戶的身份鑒別機制，某些不道德的用戶就可以免費取用服務(wù)。系統(tǒng)的安全機制一旦被擊破，便可輕易地將有關(guān)的技術(shù)散布給大眾取用。只要登陸eBay等網(wǎng)站，您就可輕松找到各種破解收費服務(wù)的控制臺。從汽車制造商的角度來看，高風(fēng)險的情況可能涉及汽車的防盜或安全系統(tǒng)。

　　或許更危險的情況是越來越多人嘗試“調(diào)較”汽車產(chǎn)品以提高性能，此舉通常會破壞地區(qū)或國家性的安全和環(huán)境標(biāo)準(zhǔn)。這類非法改裝活動經(jīng)由多種渠道提供，往往很難以控制和打擊。許多改裝者會重新校準(zhǔn)各式車載系統(tǒng)元件的常規(guī)設(shè)置，并修改燃油輸送、電子點火時間及其它控制功能，以便增強性能。

　　當(dāng)然，這些改變可能會造成汽車在違反制造商的技術(shù)規(guī)格和保修規(guī)定的情況下行駛，但聰明的改裝者卻提供選項，可以將所有改動還原，令到損壞及超標(biāo)使用的汽車符合制造商的保修條款，以期獲得合法的賠償。

　　要減少這些安全問題，應(yīng)從技術(shù)的選定開始。業(yè)界專家普遍同意反熔絲是現(xiàn)有最安全的可編程架構(gòu)，因為要清楚讀取以反熔絲為基礎(chǔ)器件的狀態(tài)極之困難。例如，Actel的200萬門反熔絲FPGA包含約5,300萬個反熔絲，當(dāng)中只有2-5% 會在一般的設(shè)計中進行編程。因此，若要成功讀取某項設(shè)計的內(nèi)容機會微乎其微，遑論更改其中的編程狀態(tài)。

　　一般而言，以Flash為基礎(chǔ)的器件也是安全的；由于Flash的半導(dǎo)體層面不會發(fā)生任何物理變化，因此不可能通過非法探測來得知器件的狀態(tài)。一些供應(yīng)商甚至采用訪問密鑰等方案，進一步加強保護措施。Actel的新型ProASICPLUS系列便采用了79至 263 位長的密鑰，一旦用密鑰來保護后，內(nèi)容便不可能被讀取，除非對器件進行解鎖。

　　相反地，以SRAM為基礎(chǔ)的器件需要外加配置器件 (通常為板載PROM)，在上電時向SRAM器件發(fā)送配置位流。但這位流很容易被黑客攔截，從而進行復(fù)制或直接讀取其內(nèi)容。

Life Racing 賽車應(yīng)用   

　　在眾多汽車電子系統(tǒng)開發(fā)領(lǐng)域中，賽車一直是FPGA大顯身手的場所。其中于汽車引擎控制單元 (ECU) 領(lǐng)域，F(xiàn)PGA便可協(xié)助提升靈活性、性能和可靠性。各大涉及賽車業(yè)務(wù)的機構(gòu)，如先進引擎研究有限公司 (Advanced Engine Research Ltd；AER)屬下的電子設(shè)計部Life Racing，已開始在其ECU設(shè)計中引入Actel以Flash為基礎(chǔ)ProASIC Plus的FPGA器件。競爭性的賽車ECU需要采用復(fù)雜的調(diào)節(jié)算法，專為每個獨立的控制器而優(yōu)化，以管理引擎的定時功能。使用傳統(tǒng)的解決方案即標(biāo)準(zhǔn)定時處理單元 (TPU) 控制器，這個關(guān)鍵軟件會隨著應(yīng)用要求的改變，需要進行重大的修改。然而，借助以Flash為基礎(chǔ)FPGA的系統(tǒng)內(nèi)可重編程功能 (ISP)，設(shè)計人員可以利用單芯片的上電運行FPGA器件取代現(xiàn)成的TPU控制器，從而縮短軟件開發(fā)時間、減少調(diào)試需求和加速產(chǎn)品的整體上市時間。
 

圖2  Life Racing的引擎控制單元

　　在ECU中，F(xiàn)PGA一般的主要功能是從機軸觸輪信號中提取引擎的位置信息。FPGA會根據(jù)抽象的機軸角度發(fā)出CPU中斷信號，而非傳統(tǒng)設(shè)計應(yīng)用的觸輪齒位，因而提高了靈活性和精度。ECU通常會將燃料添加和點火動作編為定時的調(diào)度事件，并以調(diào)度代碼執(zhí)行時間的引擎工作狀況為基礎(chǔ)。在事件發(fā)生前改變引擎工作狀態(tài)會引起角度誤差，而調(diào)度代碼往往與當(dāng)前引擎的機軸觸輪輪齒式樣密切相關(guān)。FPGA能令調(diào)度代碼不受信號式樣影響，還能通過監(jiān)測引擎工作狀況來進行事件調(diào)度和持續(xù)調(diào)節(jié)，直至事件發(fā)生。此舉能提升代碼效率和靈活性，同時改善動態(tài)狀況下的控制精度。 而且，以Flash為基礎(chǔ)FPGA – 如Actel的ProASIC Plus – 的上電運行功能，能助設(shè)計人員除去傳統(tǒng)需要用來阻止燃料注射驅(qū)動器或點火線圈驅(qū)動器在上電期間啟動的附加元件。

　　Life Racing專有的ECU設(shè)計F88便成功地應(yīng)用于2003 年度Superfund World Series的第一輪賽事中 — 這是進入一級方程式大賽 (Formula 1) 的重要踏腳石。
 

圖3 Life Racing賽車

　　目前，商用道路車輛制造商也在考慮采用Life Racing 的ECU。這個控制單元具有高度靈活性，最適用于原型制造和研發(fā)環(huán)境，能應(yīng)付各式不同的引擎設(shè)置。

　　對于汽車半導(dǎo)體廠家來說，最后一個并且在不斷增長中的風(fēng)險是由高能中子引起的軟件和固件錯誤。向著深亞微米幾何尺寸發(fā)展的趨勢同時令到問題加深。當(dāng)中子轟擊集成電路時，大多數(shù)都是直接穿過，但偶然會有一個中子干擾硅原子或摻雜原子，從而改變內(nèi)存單元或觸發(fā)器的狀態(tài)。

　　如果該內(nèi)存單元存儲著FPGA的配置信息，便可能會造成器件或所連接器件發(fā)生內(nèi)部競爭，從而產(chǎn)生過大電流，導(dǎo)致器件或系統(tǒng)損壞。這樣，軟錯誤變成“固件”錯誤，最終再變?yōu)椤坝布卞e誤。最低限度的情況是，F(xiàn)PGA編程改變，結(jié)果可能造成功能失效。而這問題經(jīng)已使得電信網(wǎng)絡(luò)和其它高可用性系統(tǒng)制造商著手制定新的元件要求，對軟錯誤的免疫力作出強制規(guī)定。

　　這個領(lǐng)域的研究仍然繼續(xù)。不過，初步的調(diào)查說明以Flash和反熔絲為基礎(chǔ)的FPGA具有此類錯誤的免疫功能，而以SRAM為基礎(chǔ)的器件則面對更嚴(yán)峻的問題。

　　FPGA正獲得廣泛接納，用于新一代汽車電子的設(shè)計方案中。在選擇FPGA的過程中深入了解各種技術(shù)的獨特性能，汽車設(shè)計人員便能從最有前景的技術(shù)中獲益，而不會影響業(yè)界在制造高可靠性和成本效益汽車方面的美譽。