車用FPGA—在引擎控制單元運行中發(fā)揮可靠效能

摘　要：利用MCU，定制ASIC和體積龐大的電線束來引進及控制電子系統(tǒng)，并隨著汽車的更新?lián)Q代而擴展功能，這些方案日漸發(fā)展至接近其技術和應用極限。本文介紹了FPGA在車上的應用，解決包括舒緩產(chǎn)品更快推出市場的壓力；增加元件數(shù)目；在單一硬件平臺上實施標準化；以及不斷升級的安全要求。

關鍵詞：汽車電子，F(xiàn)PGA，引擎控制單元

　　傳統(tǒng)上，汽車電子工程師利用MCU、定制ASIC和體積龐大的電線束來引進及控制電子系統(tǒng)，并隨著汽車的更新?lián)Q代而擴展功能。然而，由于這些方案日漸發(fā)展至接近其技術和應用極限，汽車工業(yè)正面臨新的設計挑戰(zhàn)。因此，許多設計人員都轉(zhuǎn)向FPGA來解決有關問題，包括舒緩產(chǎn)品更快推出市場的壓力；增加元件數(shù)目；在單一硬件平臺上實施標準化；以及不斷升級的安全要求。

　　過去習慣于漫長的產(chǎn)品和開發(fā)周期，許多汽車制造商現(xiàn)正致力于在更短的時間內(nèi)，裝備電子消費者所需的新一代汽車。諸如GPS導航系統(tǒng)和DVD播放機等設備的使用壽命相對較短，因此，產(chǎn)品推出市場的時間非常重要。與傳統(tǒng)的汽車應用不同，這些娛樂和遠程信息處理系統(tǒng)的特點是其中等生產(chǎn)規(guī)模及上市壓力與消費市場相若。今天，采用ASIC可能會令開發(fā)周期增加30周，加上ASIC的掩模成本大幅攀升，使到器件的支出和風險也進一步提高。

　　與此同時，因為當今的汽車引入了許多標準和技術，令到ASIC的應用缺乏固有靈活性，從而增加其被廢棄和延遲應用的風險。消費者還要求享有各式的功能選項，使得汽車廠商必需以一套元件組合為基礎，再根據(jù)不同需求進行配置。為了快速實現(xiàn)這些高度集成和不斷變化的系統(tǒng)，產(chǎn)品能夠快速推出市場的FPGA為汽車廠商帶來了所需的靈活性，可在現(xiàn)場進行系統(tǒng)硬件升級，而毋須執(zhí)行昂貴的返工工程和部件更換。所以，F(xiàn)PGA現(xiàn)已應用于汽車電子中，范疇從設計驗證到制造和服務。

　　最后，隨著汽車內(nèi)的空間非常珍貴，可編程邏輯能在小型單芯片方案上集成許多不同功能的能力，也顯得極之吸引。

　　今天的汽車電子還有一個要求，就是大批量制造 (以低成本)，并且在嚴苛的環(huán)境中保持高可靠性，此外還需要在這個快速發(fā)展和競爭激烈的市場中考慮設計安全問題。評估FPGA器件的技術決策者因此需要了解所考慮器件的可靠和安全特性。

　　FPGA故障可由許多機械原因造成。其中，某些問題如ESD曝光及其它封裝和組裝是半導體器件所固有的；其它如電介質(zhì)材料隨時間發(fā)生擊穿，或者易受亞原子粒子碰撞影響的問題，則隨著工藝幾何尺寸的縮小而日益重要。所有問題都受到電子元件可靠性的傳統(tǒng)敵人 – 溫度應力 – 所影響。

　　汽車電子設計人員通過使用具有擴展溫度范圍的FPGA技術，顯著提高抵抗多種故障的能力。雖然許多元件供應商采用預防性的設計技術及限定方法來模擬和仿真環(huán)境應力，但是某些FPGA構架在承受擴展溫度范圍曝光方面仍然具有先天優(yōu)勢。舉例說，Actel以反熔絲為基礎的汽車器件能承受業(yè)界最高的結點溫度 (+150C)，為設計人員的高可靠性系統(tǒng)帶來更大的性能容限。

　　在高溫下工作的能力不僅有利于抵御故障，汽車電子應用在空間和成本上都沒有余地來加設風扇和散熱裝置，因此器件必須在沒有外部散熱裝置的情況下仍能提供所需的性能。

極端的環(huán)境往往會導致與FPGA組裝和封裝相關的故障模式，而非與裝置本身有關。所以在汽車電子系統(tǒng)的各個層面預留規(guī)格的余地非常重要。FPGA供貨商如Xilinx 和Actel等提供的產(chǎn)品具有寬廣的軍用溫度范圍，能夠更好地處理熱膨脹系數(shù)，避免熱應力的影響。

　　即使于正常的溫度和電壓下工作，在FPGA的柵極氧化膜上反復施加電壓應力最終也會使器件內(nèi)的電介質(zhì)絕緣層發(fā)生擊穿。這種隨使用時間累計而產(chǎn)生的擊穿現(xiàn)象稱為“時間相關絕緣擊穿”(TDDB)。加上深亞微米技術的使用，會增加這類故障在現(xiàn)場發(fā)生的風險。

　　問題是新工藝采用高壓應力測試進行評估。這些測試在取得氧化膜壽命的統(tǒng)計預測數(shù)據(jù)，以及探測重要的制造與工藝難度方面很有效，但在建模和預測產(chǎn)品的早期故障方面收效甚微，特別是對于偶發(fā)性的故障。早期的擊穿會在器件投入使用后很短時間內(nèi)造成嚴重的故障后果 (見圖1)，可能涉及汽車系統(tǒng)安全方面的重要問題和質(zhì)保責任。
 

 
圖1 恒壓條件下4.2 nm氧化膜的TDDB評測結果 (注意早期擊穿區(qū)域產(chǎn)生的偶發(fā)性故障)

　　找出及消除這些早期擊穿故障的原因是一大挑戰(zhàn)。從TDDB數(shù)據(jù)進行測試和驗證能得出氧化膜的真正擊穿壽命極限，但是這些數(shù)據(jù)在確定單個器件產(chǎn)品的壽命方面并不可靠。

　　即使半導體供應商有方法找出或消除早期故障，越來越多推測指出90nm器件的真正壽命周期可能不足以滿足許多商業(yè)應用的要求。如果這些理論正確，汽車產(chǎn)品設計人員可能別無選擇，只有采用更可靠幾何尺寸和工藝的器件，為了提高可靠性而被迫放棄新一代工藝的邊際效益。

　　了解汽車電子產(chǎn)品的主要物理故障風險后，在文中轉(zhuǎn)而討論安全和防竄改等問題可能顯得奇怪。

　　然而，任何影響汽車系統(tǒng)可靠性因素的討論，如果沒考慮人為干預 (有意或無意的) 的影響，都是不完整的。重要的是，我們必須確認汽車安全性和可靠性的建立是從組件層面開始。舉例說，如果黑客能夠侵入以FPGA為基礎的衛(wèi)星無線總臺接收器，并破壞用戶的身份鑒別機制，某些不道德的用戶就可以免費取用服務。系統(tǒng)的安全機制一旦被擊破，便可輕易地將有關的技術散布給大眾取用。只要登陸eBay等網(wǎng)站，您就可輕松找到各種破解收費服務的控制臺。從汽車制造商的角度來看，高風險的情況可能涉及汽車的防盜或安全系統(tǒng)。

　　或許更危險的情況是越來越多人嘗試“調(diào)較”汽車產(chǎn)品以提高性能，此舉通常會破壞地區(qū)或國家性的安全和環(huán)境標準。這類非法改裝活動經(jīng)由多種渠道提供，往往很難以控制和打擊。許多改裝者會重新校準各式車載系統(tǒng)元件的常規(guī)設置，并修改燃油輸送、電子點火時間及其它控制功能，以便增強性能。

　　當然，這些改變可能會造成汽車在違反制造商的技術規(guī)格和保修規(guī)定的情況下行駛，但聰明的改裝者卻提供選項，可以將所有改動還原，令到損壞及超標使用的汽車符合制造商的保修條款，以期獲得合法的賠償。

　　要減少這些安全問題，應從技術的選定開始。業(yè)界專家普遍同意反熔絲是現(xiàn)有最安全的可編程架構，因為要清楚讀取以反熔絲為基礎器件的狀態(tài)極之困難。例如，Actel的200萬門反熔絲FPGA包含約5,300萬個反熔絲，當中只有2-5% 會在一般的設計中進行編程。因此，若要成功讀取某項設計的內(nèi)容機會微乎其微，遑論更改其中的編程狀態(tài)。

　　一般而言，以Flash為基礎的器件也是安全的；由于Flash的半導體層面不會發(fā)生任何物理變化，因此不可能通過非法探測來得知器件的狀態(tài)。一些供應商甚至采用訪問密鑰等方案，進一步加強保護措施。Actel的新型ProASICPLUS系列便采用了79至 263 位長的密鑰，一旦用密鑰來保護后，內(nèi)容便不可能被讀取，除非對器件進行解鎖。

　　相反地，以SRAM為基礎的器件需要外加配置器件 (通常為板載PROM)，在上電時向SRAM器件發(fā)送配置位流。但這位流很容易被黑客攔截，從而進行復制或直接讀取其內(nèi)容。

Life Racing 賽車應用   

　　在眾多汽車電子系統(tǒng)開發(fā)領域中，賽車一直是FPGA大顯身手的場所。其中于汽車引擎控制單元 (ECU) 領域，F(xiàn)PGA便可協(xié)助提升靈活性、性能和可靠性。各大涉及賽車業(yè)務的機構，如先進引擎研究有限公司 (Advanced Engine Research Ltd；AER)屬下的電子設計部Life Racing，已開始在其ECU設計中引入Actel以Flash為基礎ProASIC Plus的FPGA器件。競爭性的賽車ECU需要采用復雜的調(diào)節(jié)算法，專為每個獨立的控制器而優(yōu)化，以管理引擎的定時功能。使用傳統(tǒng)的解決方案即標準定時處理單元 (TPU) 控制器，這個關鍵軟件會隨著應用要求的改變，需要進行重大的修改。然而，借助以Flash為基礎FPGA的系統(tǒng)內(nèi)可重編程功能 (ISP)，設計人員可以利用單芯片的上電運行FPGA器件取代現(xiàn)成的TPU控制器，從而縮短軟件開發(fā)時間、減少調(diào)試需求和加速產(chǎn)品的整體上市時間。
 

圖2  Life Racing的引擎控制單元

　　在ECU中，F(xiàn)PGA一般的主要功能是從機軸觸輪信號中提取引擎的位置信息。FPGA會根據(jù)抽象的機軸角度發(fā)出CPU中斷信號，而非傳統(tǒng)設計應用的觸輪齒位，因而提高了靈活性和精度。ECU通常會將燃料添加和點火動作編為定時的調(diào)度事件，并以調(diào)度代碼執(zhí)行時間的引擎工作狀況為基礎。在事件發(fā)生前改變引擎工作狀態(tài)會引起角度誤差，而調(diào)度代碼往往與當前引擎的機軸觸輪輪齒式樣密切相關。FPGA能令調(diào)度代碼不受信號式樣影響，還能通過監(jiān)測引擎工作狀況來進行事件調(diào)度和持續(xù)調(diào)節(jié)，直至事件發(fā)生。此舉能提升代碼效率和靈活性，同時改善動態(tài)狀況下的控制精度。 而且，以Flash為基礎FPGA – 如Actel的ProASIC Plus – 的上電運行功能，能助設計人員除去傳統(tǒng)需要用來阻止燃料注射驅(qū)動器或點火線圈驅(qū)動器在上電期間啟動的附加元件。

　　Life Racing專有的ECU設計F88便成功地應用于2003 年度Superfund World Series的第一輪賽事中 — 這是進入一級方程式大賽 (Formula 1) 的重要踏腳石。
 

圖3 Life Racing賽車

　　目前，商用道路車輛制造商也在考慮采用Life Racing 的ECU。這個控制單元具有高度靈活性，最適用于原型制造和研發(fā)環(huán)境，能應付各式不同的引擎設置。

　　對于汽車半導體廠家來說，最后一個并且在不斷增長中的風險是由高能中子引起的軟件和固件錯誤。向著深亞微米幾何尺寸發(fā)展的趨勢同時令到問題加深。當中子轟擊集成電路時，大多數(shù)都是直接穿過，但偶然會有一個中子干擾硅原子或摻雜原子，從而改變內(nèi)存單元或觸發(fā)器的狀態(tài)。

　　如果該內(nèi)存單元存儲著FPGA的配置信息，便可能會造成器件或所連接器件發(fā)生內(nèi)部競爭，從而產(chǎn)生過大電流，導致器件或系統(tǒng)損壞。這樣，軟錯誤變成“固件”錯誤，最終再變?yōu)椤坝布卞e誤。最低限度的情況是，F(xiàn)PGA編程改變，結果可能造成功能失效。而這問題經(jīng)已使得電信網(wǎng)絡和其它高可用性系統(tǒng)制造商著手制定新的元件要求，對軟錯誤的免疫力作出強制規(guī)定。

　　這個領域的研究仍然繼續(xù)。不過，初步的調(diào)查說明以Flash和反熔絲為基礎的FPGA具有此類錯誤的免疫功能，而以SRAM為基礎的器件則面對更嚴峻的問題。

　　FPGA正獲得廣泛接納，用于新一代汽車電子的設計方案中。在選擇FPGA的過程中深入了解各種技術的獨特性能，汽車設計人員便能從最有前景的技術中獲益，而不會影響業(yè)界在制造高可靠性和成本效益汽車方面的美譽。