智能汽車國產(chǎn)芯片，迎來底層設計的黃金時代

汽車智能化趨勢下，芯片作為核心組件，正迎來底層設計的黃金時代，而安全是至關(guān)重要的根基。

從物聯(lián)網(wǎng)的安全實踐來看，早期的物聯(lián)網(wǎng)設備存在一定的安全問題，比如容易受到攻擊、產(chǎn)生數(shù)據(jù)泄露等。為了解決這些問題和潛在風險，IP和芯片供應商開始從底層技術(shù)出發(fā)，尋求安全性的向上突破，包括主導安全芯片推廣、進行安全認證等，例如：Arm平臺安全架構(gòu)（PSA）認證計劃，以及包含蘋果、Arm、ST、高通、恩智浦等約100家成員公司共同制定的SESIP安全評估方法等。在物聯(lián)網(wǎng)的發(fā)展過程中，正是通過引入安全芯片和可信執(zhí)行環(huán)境等重要的安全手段，才保護了芯片和系統(tǒng)設備的安全，有了全球物聯(lián)網(wǎng)生態(tài)的繁榮。

借鑒物聯(lián)網(wǎng)安全的演進過程，同樣，智能汽車必須高度重視安全性，特別是對于高速發(fā)展的國產(chǎn)汽車市場，對安全的重視和考慮，必須從一開始就融入到芯片的底層設計規(guī)劃中，才能進一步推動國產(chǎn)智能汽車生態(tài)的欣欣向榮，確保未來汽車的安全性能和用戶體驗。

國產(chǎn)汽車芯片迎來黃金時代，安全是根基

智能汽車作為未來的趨勢之一，具有網(wǎng)聯(lián)化、智能化等特點。一方面，智能駕駛輔助系統(tǒng)、物聯(lián)網(wǎng)連接、車載信息娛樂系統(tǒng)、自動駕駛等功能的實現(xiàn)都需要大量的芯片，對安全的需求越來越強；另一方面，隨著汽車電子電氣架構(gòu)的不斷演進，計算硬件單元將更加集中，對計算芯片的性能和安全要求也越來越高，具備高安全性的高性能異構(gòu)計算芯片，將會成為軟件定義汽車趨勢下重要的硬件基礎(chǔ)。

在這些趨勢下，域集中式電子電氣架構(gòu)和更為激進的中央集中式電子電氣架構(gòu)將會是產(chǎn)業(yè)發(fā)展方向。而不論是哪一類電子電氣架構(gòu)，車載SoC芯片都會更加復雜——不僅要有多路傳感器接口(包括攝像頭、雷達、超聲波雷達、激光雷達等)、通信、GPU、VPU、ISP、NPU、高性能AP CPU等功能模塊，還需要應對車載環(huán)境對于信息安全和功能安全的特殊需求等等。只有上述所有這些單元完整、無縫地銜接運行，才可以支撐各種上層應用。

國產(chǎn)汽車芯片產(chǎn)業(yè)經(jīng)過多年的研發(fā)和技術(shù)積累，不論是在軟硬件開發(fā)設計，還是在產(chǎn)業(yè)鏈協(xié)同方面，都具備了一定的實力。特別是在安全可控這個時代命題之下，國產(chǎn)芯片能夠更好地滿足供應鏈需求?？梢哉f，多維驅(qū)動下，在智能汽車國產(chǎn)芯片迎來底層設計的黃金時代之際，安全是其發(fā)展的根基，也是重中之重。

日前，在安謀科技“山?！盨20F SPU新品發(fā)布會上，安謀科技產(chǎn)品研發(fā)副總裁劉浩這樣形容：“安全機制就像洋蔥，如果將它一層層剝開，到最后的核心是Root of Trust，即安全可信根?！彼硎?，“山?！盨20F SPU，作為一款面向智能汽車SoC的HSM安全解決方案，其中的HSM（硬件安全模塊），就是支持安全可信根最核心的部分。

不同于“山?！毕盗械那皟纱a(chǎn)品E10/E20和S12，它們是通用的加解密引擎，只是以引擎的形式存在，而“山?！盨20F是一個完整的HSM子系統(tǒng)，有專用的CPU負責處理HSM內(nèi)部的安全請求；有核心的加解密引擎，能夠提供安全算法加速器的功能，支持國密算法SM2、SM3、SM4以及國際通用算法RSA、ECC、SHA、AES等，能夠滿足汽車芯片產(chǎn)品設計的功能安全要求，同時支持定制化配置。

HSM有望成為汽車高端SoC芯片標配

“HSM并不是新概念，無論是國外還是國內(nèi)的汽車芯片廠商，正在越來越多地采用HSM作為安全可信根，特別是在一些大型芯片中”，安謀科技安全產(chǎn)品架構(gòu)師、高級技術(shù)總監(jiān)呂達夫解釋說。

在通往安全的技術(shù)路徑中，除了硬件方式，一些低端芯片也會通過算法來實現(xiàn)部分安全功能。對此，呂達夫表示，以往低端、入門級產(chǎn)品出于成本考慮，會將安全方案降級。但是，汽車芯片有一個明顯的趨勢，即從原來的離散ECU向DCU、甚至HPC集中式發(fā)展，中低端芯片將被過渡為中央處理能力更強的高算力芯片。在這個趨勢下，HSM將成為處理能力更強的SoC芯片的關(guān)鍵部分，甚至成為標配。

正如呂達夫所說，HSM不是新概念，歐洲EVITA項目（E-safety Vehicle Intrusion Protected Applications）大約在15年前就提出了這一概念。它定義了三個不同的層級：Full(完整)、Medium(中等)和Light(輕量)，每個層級對應不同的功能集和成本負擔。Full功能集最全面，成本最高；Light功能集成本最低，功能較為單一。這些層級可以根據(jù)應用場景和芯片的成本敏感性來選擇。例如：高端芯片，如座艙等需要處理速度和存儲資源較高的應用，可以選擇Full級別；對于成本敏感且功能單一的應用場景，如雨刮器、車窗等小芯片，Light級別即可。

在具體的方案中，HSM可通過RTL硬件配置來幫助用戶選擇他們所需的算法，以適應不同的HSM配置文件。這樣既可以滿足用戶多樣化需求，同時可以降低額外的成本。

多年來，HSM作為一種信息安全模塊實現(xiàn)方式被廣泛認可，它作為安全可信根的角色也在業(yè)內(nèi)得到普遍認同與應用。伴隨著汽車電子電氣化的趨勢，HSM技術(shù)也在大步向前。

“HSM的優(yōu)勢，一是性能，因為HSM是直接植入到芯片內(nèi)部的，不需要與外部設備產(chǎn)生協(xié)同，直接在內(nèi)部就可完成數(shù)據(jù)的訪問以及加解密等相關(guān)的工作，性能表現(xiàn)遠遠高于外部的離散器件；二是安全，HSM在整個芯片邊界之內(nèi)，沒有向外暴露任何物理接口，防御了相當一部分接觸式攻擊”，呂達夫強調(diào)。

兩個“安全”走向融合

HSM方案除了核心的性能提升，還有一個重要趨勢就是信息安全（Security）和功能安全（Functional Safety）的融合。這是汽車安全中兩個主要的方向——功能安全是涉及人身安全的保護機制，信息安全則是保護汽車系統(tǒng)中的信息不被惡意竊取和破壞。

事實上，放眼整個工業(yè)設計領(lǐng)域，功能安全都是一項成熟的設計原則。傳統(tǒng)上，功能安全適用于具有專用控制功能的嵌入式系統(tǒng)，這些嵌入式系統(tǒng)通常被安裝在較大的機電系統(tǒng)中，需要與其他的物理系統(tǒng)相互作用，因此往往有很強的安全需求。

信息安全傳統(tǒng)上主要適用于包含或處理機密或其他敏感信息的系統(tǒng)。不過，從今天的發(fā)展趨勢來看，設備之間的聯(lián)系日益緊密，比如不同設備之間需要頻繁交換信息、需要通過OTA進行功能升級和錯誤修復等等，而這些都可能引來網(wǎng)絡威脅或遠程攻擊。

安謀科技安全產(chǎn)品總監(jiān)耿建華結(jié)合車載應用場景解釋道，隨著車輛信息安全場景的增多，例如云端鏈接、設備身份認證、自動駕駛安全保障、數(shù)據(jù)安全傳輸需求等，對車載芯片的安全能力也提出了更高要求，信息安全模塊處理能力的實時性、可靠性等方面亟待提升。

大約兩年多前，業(yè)界提到可靠性時，必然涉及到功能安全，且不論是哪種芯片，都需要具備可靠性。安謀科技注意到了這個趨勢，意識到在芯片底層設計側(cè)，要將這兩個“S”（Functional Safety和Security）結(jié)合起來，“山?！盨20F安全解決方案便由此產(chǎn)生。

作為一款融合了信息安全和功能安全的產(chǎn)品，“山?！盨20F既滿足EVITA HSM規(guī)范，又支持功能安全能力。它默認符合EVITA HSM Full信息安全等級的定義標準，可以覆蓋ADAS、智能座艙、汽車網(wǎng)關(guān)等對安全要求較高的車載計算場景，還能通過可配置能力，支持Medium和Light級別需求，適用于不同應用的車身域控制類芯片；功能安全能力方面，從硬件到軟件都進行了功能安全設計，核心硬件密碼算法引擎TrustEngine-800符合ISO26262:2018功能安全產(chǎn)品認證ASIL D等級的系統(tǒng)能力，以及ASIL B等級的隨機硬件完整性要求，軟件測試庫（STL）也達到了ASIL D最高等級要求。

功能安全和信息安全雖然是不同的領(lǐng)域，但二者的融合不僅是一個雄心勃勃的目標，也是一個巨大的機會，以整合方式對二者進行融合的產(chǎn)品，有望在新的互聯(lián)時代引領(lǐng)芯片設計新趨勢。

打造HSM方案有哪些挑戰(zhàn)？

汽車電子系統(tǒng)較為復雜，不同芯片可能來自不同的供應商，采用不同的技術(shù)，這從一定程度給HSM方案帶來挑戰(zhàn)。

對于芯片廠商來說，他們關(guān)注的點包括HSM所能提供的安全能力、性能和成本。此外，在選擇IP時，功能安全性、與架構(gòu)的協(xié)同效應等也是非常重要的考慮因素。呂達夫談到，“山?！盨20F在設計和規(guī)劃時，充分考慮了與其他IP的協(xié)同和關(guān)聯(lián)。就像拼圖一樣，可以方便地將這個模塊嵌入到整體中，形成一幅完整的拼圖。

其次，車載芯片架構(gòu)中，無論是MCU、MPU還是SoC，Arm架構(gòu)都占據(jù)大部分市場。“山?！盨20F也充分考慮了與Arm IP之間的協(xié)同效應，使得“山海”S20F的物理器件可以同時支持Arm TrustZone安全體系、Arm虛擬化體系和汽車通用的異構(gòu)架構(gòu)功能安全島（Safety Island）。

此外，開發(fā)一款車載功能安全產(chǎn)品，還需要應對兩類失效：系統(tǒng)性失效和隨機硬件失效。應對系統(tǒng)性失效，除了公司層級需要具備合規(guī)的功能安全流程外，更需在產(chǎn)品研發(fā)的生命周期下嚴格遵循功能安全流程，從而將失效風險控制在對應汽車安全完整性等級(ASIL)要求的范圍內(nèi)。對于隨機硬件失效，可用失效模式影響和診斷分析進行定量證明，芯片內(nèi)的功能安全機制可以保證診斷覆蓋率，達到或者超過ISO26262 相應的ASIL要求。

“如果開發(fā)帶有功能安全產(chǎn)品認證的IP，工作量大概是非功能安全能力IP的三倍”，呂達夫談到。據(jù)他介紹，“山?！盨20F背后的諸多工作，都是由安謀科技成立之初就組建起來的安全工程團隊所完成的，據(jù)了解，該團隊核心成員在Arm架構(gòu)安全領(lǐng)域有20年以上的研發(fā)經(jīng)驗，能夠覆蓋硬件、軟件、云端服務等領(lǐng)域，打造完整的安全解決方案。

出海、自動駕駛……國產(chǎn)HSM未來的機遇

根據(jù)摩瀾數(shù)智咨詢對硬件安全模塊（HSM）市場的調(diào)研分析，2022年全球與中國HSM市場容量分別為68.54億元（人民幣）與5.28億元，預計全球HSM市場規(guī)模在預測期將以10.49%的CAGR增長，并預估在2028年達124.72億元。

廣闊前景之下，HSM這類安全方案將迎來哪些機遇？

輿芯半導體汽車應用研發(fā)總監(jiān)周敬肇認為，“山?！盨20F的算法引擎是由本土團隊在國內(nèi)開發(fā)的，既支持國際通用算法，也支持中國商用密碼標準。這為芯片設計企業(yè)后續(xù)申請國密認證提供了必要的基礎(chǔ)，同時也為國產(chǎn)芯片出海提供了有力保障。

此外，對于智能汽車來說，自動駕駛可以說是終極想象，一些市場調(diào)研顯示，L2功能甚至可能成為未來新車的前裝標配。這是否也是一個發(fā)展契機？

耿建華表示，自動駕駛確實既是強安全需求，也是強商業(yè)需求的領(lǐng)域。如果車輛在啟動自動駕駛功能后受到遠程攻擊，將會是非常嚴重的問題。因此，在自動駕駛領(lǐng)域，安全一定是非常重要的考慮因素，而這也是安謀科技相關(guān)安全解決方案在未來演進過程中，會重點關(guān)注的場景。

寫在最后

在汽車安全領(lǐng)域，除了安謀科技這樣從底層IP系統(tǒng)開始發(fā)力的廠商，也不乏傳統(tǒng)的安全芯片老牌企業(yè)，希望能切下黃金時代的一角蛋糕。

過去多年來，我國的安全芯片主要集中在智能卡和銀行領(lǐng)域，隨著支付等技術(shù)變化，實體卡市場逐漸萎縮，國內(nèi)的安全芯片廠商亟需找到新的出口，而汽車市場作為一個蓬勃發(fā)展的領(lǐng)域，被視作巨大的機遇。一些安全芯片廠商已經(jīng)積極與國內(nèi)汽車供應商展開合作，希望向OEM或Tie-1提供方案。不過，車載芯片需要通過功能安全ISO26262等認證，這是國內(nèi)安全芯片廠商所欠缺的環(huán)節(jié)，也是他們未來尋求進一步發(fā)展的方向之一。

未來，為了應對未來更強、更復雜的安全需求，汽車安全芯片迭代首先需要加強IP本身的安全性；其次，由于芯片和車輛生命周期通常在15-20年左右，而上層應用始終處于動態(tài)變化中，因此需要更強壯的算法支持，例如非對稱加密算法等；第三，信息安全的穩(wěn)定性要持續(xù)加強；最后，隨著上層應用的豐富，需要持續(xù)提高性能以滿足更多的安全服務需求、并為多樣化的安全場景提供支持。