【芯片设计中的 eFuse 与 OTP:安全存储的最后一道防线】

发布时间:2026/7/1 19:18:29
【芯片设计中的 eFuse 与 OTP:安全存储的最后一道防线】 一、什么是 eFuse 和 OTP在芯片设计中eFuse电子熔丝和OTPOne-Time Programmable一次性可编程存储器是两种至关重要的非易失性存储 IP。它们的核心使命只有一个在芯片出厂后安全、永久地保存关键数据。eFuse芯片里的电子保险丝eFuse 由 IBM 于 2004 年发明其原理就像家里的保险丝一样——芯片出厂时所有比特位默认为1导通状态。当需要写入数据时通过施加高电流密度利用电迁移EM效应将金属或多晶硅熔丝熔断从而将对应位永久改写为0。这个过程是不可逆的一旦熔断再也无法恢复。OTP更广义的一次性编程概念OTP 本质上指的是只允许编程一次的存储器特性而非特定技术。在当前的 SoC 设计中OTP 通常有两种实现方式eFuse 型 OTP基于熔丝熔断机制Anti-Fuse 型 OTP反熔丝通过高压在薄栅氧上形成导电路径将高阻态变为低阻态两者的物理状态和逻辑状态恰好相反eFuse 默认导通存1OTPAnti-Fuse默认断开存0。二、核心功能与应用场景. 安全启动Secure Boot这是 eFuse/OTP 最重要的应用。现代芯片的安全启动链建立在信任根之上信任链建立过程1eFuse/OTP 存储根密钥AES 对称密钥或 RSA/ECC 公钥哈希2Boot ROM不可修改读取 eFuse验证 SFlash 的完整性3Flash Boot 用公钥验证第一级用户代码FSBL的签名4FSBL 再验证 Application 的合法性一旦芯片 Lifecycle 切换到 SECURE 模式这条信任链便不可回退。任何篡改都会导致芯片进入 Dead 模式从根本上保护知识产权。. 芯片参数校准与修复电压/频率 Trim芯片初次上电时读取 eFuse 中的电压字段调节外部电源管理器输出Memory Repair存储冗余替换的修复数据Redundancy 配置用于模拟电路的后期调整. 设备唯一标识存储芯片版本号、生产日期、唯一序列号、DAP 配置等便于产品追溯和版本管理。三、eFuse vs Anti-Fuse OTP深度对比. 编程机制特性eFuseAnti-Fuse OTP原理电迁移熔断金属/多晶硅雪崩击穿使栅极-源极短路编程电压I/O 电压高压薄栅氧击穿可重试次数仅 1 次约 18 次eFuse 编程失败意味着良率直接损失Anti-Fuse 可多次重试有助于提升良率。. 安全性关键差异这是两者最显著的差异eFuse编程位在电子显微镜下清晰可见熔断痕迹一目了然存储内容易被破解Anti-Fuse OTP在显微镜下完全无法区分编程位和未编程位通过 FIB聚焦离子束也检测不到电压热点对于存储加密密钥、安全哈希等敏感数据Anti-Fuse OTP 的安全性远超 eFuse。. 功耗与面积eFuse默认导通静态功耗较高Cell 面积大通常仅支持小容量 512 bitAnti-Fuse默认断开静态功耗极低Cell 面积小可支持大容量数 MB 级随着先进工艺节点5nm 及以下的普及eFuse 的面积劣势和可靠性问题日益突出。. 读取可靠性eFuse 存在一个长期隐患熔丝碎屑回生长。编程期间产生的金属碎屑可能随时间反向生长导致原本断开的熔丝重新连接造成数据错误。这限制了 eFuse 的读取次数和长期可靠性。四、芯片设计中的注意事项. ESD 保护设计eFuse/OTP IP 通常不带 IO 和 ESD 保护。在后端实现时必须自行添加 ESD Clamp Cell并确保 ESD 路径电阻小于 eFuse 路径电阻确保外部大电流走 ESD 保护分支。. 编程电压规划Anti-Fuse 需要高压编程电源设计必须满足 IP 规格要求。建议在芯片架构阶段就预留足够的电压裕量。. 冗余位预留无论选择哪种 OTP都建议预留冗余位修复编程失败的单元支持后续功能扩展提高整体良率. 生命周期管理一旦芯片切换到 SECURE 模式不可回退。量产前务必验证完整的启动链确认公钥哈希正确注入测试所有安全启动失败路径. 成本考量eFuse通常由 Foundry 免费提供适合小容量、低成本场景Anti-Fuse OTP多为第三方 IP 厂商提供需要授权费用但性价比随容量增加而提升五、选型建议优先选择 Anti-Fuse OTP 的场景高安全性要求加密芯片、安全 MCU、支付终端大容量存储需求 1 KB超低功耗应用IoT、可穿戴设备先进工艺节点7nm 及以下可考虑 eFuse 的场景小容量动态配置防回滚计数器、少量 Trim 参数成本极度敏感的低端芯片需要运行时动态调整的功能IBM 最初的设计意图六、行业趋势随着半导体工艺进入 5nm 时代eFuse 的局限性愈发明显. 面积效率eFuse 无法随工艺等比例缩小Anti-Fuse 可同比例缩放. 可靠性HKMGHigh-K Metal Gate工艺中多晶硅层消失eFuse 需改用金属层进一步增加面积. 安全性需求物联网、汽车电子、AI 芯片对安全启动的要求越来越高NVM IP 的行业趋势是Anti-Fuse OTP 逐渐成为主流eFuse 逐步被限制在小容量、非安全敏感场景。结语eFuse 和 OTP 是芯片安全设计的最后一道防线。它们虽小却承载着整个系统的信任根基。理解它们的工作原理、差异和注意事项对于芯片架构师、安全工程师和验证工程师都至关重要。在选型时不要只看成本更要综合考虑安全性、功耗、面积、可靠性和长期可维护性。毕竟一旦芯片流片OTP 里的数据就永远写定了。