智能汽車國產(chǎn)芯片，迎來底層設(shè)計的黃金時代

汽車智能化趨勢下，芯片作為核心組件，正迎來底層設(shè)計的黃金時代，而安全是至關(guān)重要的根基。

從物聯(lián)網(wǎng)的安全實(shí)踐來看，早期的物聯(lián)網(wǎng)設(shè)備存在一定的安全問題，比如容易受到攻擊、產(chǎn)生數(shù)據(jù)泄露等。為了解決這些問題和潛在風(fēng)險，IP和芯片供應(yīng)商開始從底層技術(shù)出發(fā)，尋求安全性的向上突破，包括主導(dǎo)安全芯片推廣、進(jìn)行安全認(rèn)證等，例如：Arm平臺安全架構(gòu)（PSA）認(rèn)證計劃，以及包含蘋果、Arm、ST、高通、恩智浦等約100家成員公司共同制定的SESIP安全評估方法等。在物聯(lián)網(wǎng)的發(fā)展過程中，正是通過引入安全芯片和可信執(zhí)行環(huán)境等重要的安全手段，才保護(hù)了芯片和系統(tǒng)設(shè)備的安全，有了全球物聯(lián)網(wǎng)生態(tài)的繁榮。

借鑒物聯(lián)網(wǎng)安全的演進(jìn)過程，同樣，智能汽車必須高度重視安全性，特別是對于高速發(fā)展的國產(chǎn)汽車市場，對安全的重視和考慮，必須從一開始就融入到芯片的底層設(shè)計規(guī)劃中，才能進(jìn)一步推動國產(chǎn)智能汽車生態(tài)的欣欣向榮，確保未來汽車的安全性能和用戶體驗(yàn)。

國產(chǎn)汽車芯片迎來黃金時代，安全是根基

智能汽車作為未來的趨勢之一，具有網(wǎng)聯(lián)化、智能化等特點(diǎn)。一方面，智能駕駛輔助系統(tǒng)、物聯(lián)網(wǎng)連接、車載信息娛樂系統(tǒng)、自動駕駛等功能的實(shí)現(xiàn)都需要大量的芯片，對安全的需求越來越強(qiáng)；另一方面，隨著汽車電子電氣架構(gòu)的不斷演進(jìn)，計算硬件單元將更加集中，對計算芯片的性能和安全要求也越來越高，具備高安全性的高性能異構(gòu)計算芯片，將會成為軟件定義汽車趨勢下重要的硬件基礎(chǔ)。

在這些趨勢下，域集中式電子電氣架構(gòu)和更為激進(jìn)的中央集中式電子電氣架構(gòu)將會是產(chǎn)業(yè)發(fā)展方向。而不論是哪一類電子電氣架構(gòu)，車載SoC芯片都會更加復(fù)雜——不僅要有多路傳感器接口(包括攝像頭、雷達(dá)、超聲波雷達(dá)、激光雷達(dá)等)、通信、GPU、VPU、ISP、NPU、高性能AP CPU等功能模塊，還需要應(yīng)對車載環(huán)境對于信息安全和功能安全的特殊需求等等。只有上述所有這些單元完整、無縫地銜接運(yùn)行，才可以支撐各種上層應(yīng)用。

國產(chǎn)汽車芯片產(chǎn)業(yè)經(jīng)過多年的研發(fā)和技術(shù)積累，不論是在軟硬件開發(fā)設(shè)計，還是在產(chǎn)業(yè)鏈協(xié)同方面，都具備了一定的實(shí)力。特別是在安全可控這個時代命題之下，國產(chǎn)芯片能夠更好地滿足供應(yīng)鏈需求?？梢哉f，多維驅(qū)動下，在智能汽車國產(chǎn)芯片迎來底層設(shè)計的黃金時代之際，安全是其發(fā)展的根基，也是重中之重。

日前，在安謀科技“山?！盨20F SPU新品發(fā)布會上，安謀科技產(chǎn)品研發(fā)副總裁劉浩這樣形容：“安全機(jī)制就像洋蔥，如果將它一層層剝開，到最后的核心是Root of Trust，即安全可信根?！彼硎?，“山?！盨20F SPU，作為一款面向智能汽車SoC的HSM安全解決方案，其中的HSM（硬件安全模塊），就是支持安全可信根最核心的部分。

不同于“山?！毕盗械那皟纱a(chǎn)品E10/E20和S12，它們是通用的加解密引擎，只是以引擎的形式存在，而“山海”S20F是一個完整的HSM子系統(tǒng)，有專用的CPU負(fù)責(zé)處理HSM內(nèi)部的安全請求；有核心的加解密引擎，能夠提供安全算法加速器的功能，支持國密算法SM2、SM3、SM4以及國際通用算法RSA、ECC、SHA、AES等，能夠滿足汽車芯片產(chǎn)品設(shè)計的功能安全要求，同時支持定制化配置。

HSM有望成為汽車高端SoC芯片標(biāo)配

“HSM并不是新概念，無論是國外還是國內(nèi)的汽車芯片廠商，正在越來越多地采用HSM作為安全可信根，特別是在一些大型芯片中”，安謀科技安全產(chǎn)品架構(gòu)師、高級技術(shù)總監(jiān)呂達(dá)夫解釋說。

在通往安全的技術(shù)路徑中，除了硬件方式，一些低端芯片也會通過算法來實(shí)現(xiàn)部分安全功能。對此，呂達(dá)夫表示，以往低端、入門級產(chǎn)品出于成本考慮，會將安全方案降級。但是，汽車芯片有一個明顯的趨勢，即從原來的離散ECU向DCU、甚至HPC集中式發(fā)展，中低端芯片將被過渡為中央處理能力更強(qiáng)的高算力芯片。在這個趨勢下，HSM將成為處理能力更強(qiáng)的SoC芯片的關(guān)鍵部分，甚至成為標(biāo)配。

正如呂達(dá)夫所說，HSM不是新概念，歐洲EVITA項(xiàng)目（E-safety Vehicle Intrusion Protected Applications）大約在15年前就提出了這一概念。它定義了三個不同的層級：Full(完整)、Medium(中等)和Light(輕量)，每個層級對應(yīng)不同的功能集和成本負(fù)擔(dān)。Full功能集最全面，成本最高；Light功能集成本最低，功能較為單一。這些層級可以根據(jù)應(yīng)用場景和芯片的成本敏感性來選擇。例如：高端芯片，如座艙等需要處理速度和存儲資源較高的應(yīng)用，可以選擇Full級別；對于成本敏感且功能單一的應(yīng)用場景，如雨刮器、車窗等小芯片，Light級別即可。

在具體的方案中，HSM可通過RTL硬件配置來幫助用戶選擇他們所需的算法，以適應(yīng)不同的HSM配置文件。這樣既可以滿足用戶多樣化需求，同時可以降低額外的成本。

多年來，HSM作為一種信息安全模塊實(shí)現(xiàn)方式被廣泛認(rèn)可，它作為安全可信根的角色也在業(yè)內(nèi)得到普遍認(rèn)同與應(yīng)用。伴隨著汽車電子電氣化的趨勢，HSM技術(shù)也在大步向前。

“HSM的優(yōu)勢，一是性能，因?yàn)镠SM是直接植入到芯片內(nèi)部的，不需要與外部設(shè)備產(chǎn)生協(xié)同，直接在內(nèi)部就可完成數(shù)據(jù)的訪問以及加解密等相關(guān)的工作，性能表現(xiàn)遠(yuǎn)遠(yuǎn)高于外部的離散器件；二是安全，HSM在整個芯片邊界之內(nèi)，沒有向外暴露任何物理接口，防御了相當(dāng)一部分接觸式攻擊”，呂達(dá)夫強(qiáng)調(diào)。

兩個“安全”走向融合

HSM方案除了核心的性能提升，還有一個重要趨勢就是信息安全（Security）和功能安全（Functional Safety）的融合。這是汽車安全中兩個主要的方向——功能安全是涉及人身安全的保護(hù)機(jī)制，信息安全則是保護(hù)汽車系統(tǒng)中的信息不被惡意竊取和破壞。

事實(shí)上，放眼整個工業(yè)設(shè)計領(lǐng)域，功能安全都是一項(xiàng)成熟的設(shè)計原則。傳統(tǒng)上，功能安全適用于具有專用控制功能的嵌入式系統(tǒng)，這些嵌入式系統(tǒng)通常被安裝在較大的機(jī)電系統(tǒng)中，需要與其他的物理系統(tǒng)相互作用，因此往往有很強(qiáng)的安全需求。

信息安全傳統(tǒng)上主要適用于包含或處理機(jī)密或其他敏感信息的系統(tǒng)。不過，從今天的發(fā)展趨勢來看，設(shè)備之間的聯(lián)系日益緊密，比如不同設(shè)備之間需要頻繁交換信息、需要通過OTA進(jìn)行功能升級和錯誤修復(fù)等等，而這些都可能引來網(wǎng)絡(luò)威脅或遠(yuǎn)程攻擊。

安謀科技安全產(chǎn)品總監(jiān)耿建華結(jié)合車載應(yīng)用場景解釋道，隨著車輛信息安全場景的增多，例如云端鏈接、設(shè)備身份認(rèn)證、自動駕駛安全保障、數(shù)據(jù)安全傳輸需求等，對車載芯片的安全能力也提出了更高要求，信息安全模塊處理能力的實(shí)時性、可靠性等方面亟待提升。

大約兩年多前，業(yè)界提到可靠性時，必然涉及到功能安全，且不論是哪種芯片，都需要具備可靠性。安謀科技注意到了這個趨勢，意識到在芯片底層設(shè)計側(cè)，要將這兩個“S”（Functional Safety和Security）結(jié)合起來，“山?！盨20F安全解決方案便由此產(chǎn)生。

作為一款融合了信息安全和功能安全的產(chǎn)品，“山?！盨20F既滿足EVITA HSM規(guī)范，又支持功能安全能力。它默認(rèn)符合EVITA HSM Full信息安全等級的定義標(biāo)準(zhǔn)，可以覆蓋ADAS、智能座艙、汽車網(wǎng)關(guān)等對安全要求較高的車載計算場景，還能通過可配置能力，支持Medium和Light級別需求，適用于不同應(yīng)用的車身域控制類芯片；功能安全能力方面，從硬件到軟件都進(jìn)行了功能安全設(shè)計，核心硬件密碼算法引擎TrustEngine-800符合ISO26262:2018功能安全產(chǎn)品認(rèn)證ASIL D等級的系統(tǒng)能力，以及ASIL B等級的隨機(jī)硬件完整性要求，軟件測試庫（STL）也達(dá)到了ASIL D最高等級要求。

功能安全和信息安全雖然是不同的領(lǐng)域，但二者的融合不僅是一個雄心勃勃的目標(biāo)，也是一個巨大的機(jī)會，以整合方式對二者進(jìn)行融合的產(chǎn)品，有望在新的互聯(lián)時代引領(lǐng)芯片設(shè)計新趨勢。

打造HSM方案有哪些挑戰(zhàn)？

汽車電子系統(tǒng)較為復(fù)雜，不同芯片可能來自不同的供應(yīng)商，采用不同的技術(shù)，這從一定程度給HSM方案帶來挑戰(zhàn)。

對于芯片廠商來說，他們關(guān)注的點(diǎn)包括HSM所能提供的安全能力、性能和成本。此外，在選擇IP時，功能安全性、與架構(gòu)的協(xié)同效應(yīng)等也是非常重要的考慮因素。呂達(dá)夫談到，“山海”S20F在設(shè)計和規(guī)劃時，充分考慮了與其他IP的協(xié)同和關(guān)聯(lián)。就像拼圖一樣，可以方便地將這個模塊嵌入到整體中，形成一幅完整的拼圖。

其次，車載芯片架構(gòu)中，無論是MCU、MPU還是SoC，Arm架構(gòu)都占據(jù)大部分市場?！吧胶！盨20F也充分考慮了與Arm IP之間的協(xié)同效應(yīng)，使得“山海”S20F的物理器件可以同時支持Arm TrustZone安全體系、Arm虛擬化體系和汽車通用的異構(gòu)架構(gòu)功能安全島（Safety Island）。

此外，開發(fā)一款車載功能安全產(chǎn)品，還需要應(yīng)對兩類失效：系統(tǒng)性失效和隨機(jī)硬件失效。應(yīng)對系統(tǒng)性失效，除了公司層級需要具備合規(guī)的功能安全流程外，更需在產(chǎn)品研發(fā)的生命周期下嚴(yán)格遵循功能安全流程，從而將失效風(fēng)險控制在對應(yīng)汽車安全完整性等級(ASIL)要求的范圍內(nèi)。對于隨機(jī)硬件失效，可用失效模式影響和診斷分析進(jìn)行定量證明，芯片內(nèi)的功能安全機(jī)制可以保證診斷覆蓋率，達(dá)到或者超過ISO26262 相應(yīng)的ASIL要求。

“如果開發(fā)帶有功能安全產(chǎn)品認(rèn)證的IP，工作量大概是非功能安全能力IP的三倍”，呂達(dá)夫談到。據(jù)他介紹，“山?！盨20F背后的諸多工作，都是由安謀科技成立之初就組建起來的安全工程團(tuán)隊(duì)所完成的，據(jù)了解，該團(tuán)隊(duì)核心成員在Arm架構(gòu)安全領(lǐng)域有20年以上的研發(fā)經(jīng)驗(yàn)，能夠覆蓋硬件、軟件、云端服務(wù)等領(lǐng)域，打造完整的安全解決方案。

出海、自動駕駛……國產(chǎn)HSM未來的機(jī)遇

根據(jù)摩瀾數(shù)智咨詢對硬件安全模塊（HSM）市場的調(diào)研分析，2022年全球與中國HSM市場容量分別為68.54億元（人民幣）與5.28億元，預(yù)計全球HSM市場規(guī)模在預(yù)測期將以10.49%的CAGR增長，并預(yù)估在2028年達(dá)124.72億元。

廣闊前景之下，HSM這類安全方案將迎來哪些機(jī)遇？

輿芯半導(dǎo)體汽車應(yīng)用研發(fā)總監(jiān)周敬肇認(rèn)為，“山?！盨20F的算法引擎是由本土團(tuán)隊(duì)在國內(nèi)開發(fā)的，既支持國際通用算法，也支持中國商用密碼標(biāo)準(zhǔn)。這為芯片設(shè)計企業(yè)后續(xù)申請國密認(rèn)證提供了必要的基礎(chǔ)，同時也為國產(chǎn)芯片出海提供了有力保障。

此外，對于智能汽車來說，自動駕駛可以說是終極想象，一些市場調(diào)研顯示，L2功能甚至可能成為未來新車的前裝標(biāo)配。這是否也是一個發(fā)展契機(jī)？

耿建華表示，自動駕駛確實(shí)既是強(qiáng)安全需求，也是強(qiáng)商業(yè)需求的領(lǐng)域。如果車輛在啟動自動駕駛功能后受到遠(yuǎn)程攻擊，將會是非常嚴(yán)重的問題。因此，在自動駕駛領(lǐng)域，安全一定是非常重要的考慮因素，而這也是安謀科技相關(guān)安全解決方案在未來演進(jìn)過程中，會重點(diǎn)關(guān)注的場景。

寫在最后

在汽車安全領(lǐng)域，除了安謀科技這樣從底層IP系統(tǒng)開始發(fā)力的廠商，也不乏傳統(tǒng)的安全芯片老牌企業(yè)，希望能切下黃金時代的一角蛋糕。

過去多年來，我國的安全芯片主要集中在智能卡和銀行領(lǐng)域，隨著支付等技術(shù)變化，實(shí)體卡市場逐漸萎縮，國內(nèi)的安全芯片廠商亟需找到新的出口，而汽車市場作為一個蓬勃發(fā)展的領(lǐng)域，被視作巨大的機(jī)遇。一些安全芯片廠商已經(jīng)積極與國內(nèi)汽車供應(yīng)商展開合作，希望向OEM或Tie-1提供方案。不過，車載芯片需要通過功能安全I(xiàn)SO26262等認(rèn)證，這是國內(nèi)安全芯片廠商所欠缺的環(huán)節(jié)，也是他們未來尋求進(jìn)一步發(fā)展的方向之一。

未來，為了應(yīng)對未來更強(qiáng)、更復(fù)雜的安全需求，汽車安全芯片迭代首先需要加強(qiáng)IP本身的安全性；其次，由于芯片和車輛生命周期通常在15-20年左右，而上層應(yīng)用始終處于動態(tài)變化中，因此需要更強(qiáng)壯的算法支持，例如非對稱加密算法等；第三，信息安全的穩(wěn)定性要持續(xù)加強(qiáng)；最后，隨著上層應(yīng)用的豐富，需要持續(xù)提高性能以滿足更多的安全服務(wù)需求、并為多樣化的安全場景提供支持。