智能汽車***，迎來底層設(shè)計(jì)的黃金時(shí)代

汽車智能化趨勢下，芯片作為核心組件，正迎來底層設(shè)計(jì)的黃金時(shí)代，而安全是至關(guān)重要的根基。

從物聯(lián)網(wǎng)的安全實(shí)踐來看，早期的物聯(lián)網(wǎng)設(shè)備存在一定的安全問題，比如容易受到攻擊、產(chǎn)生數(shù)據(jù)泄露等。為了解決這些問題和潛在風(fēng)險(xiǎn)，IP和芯片供應(yīng)商開始從底層技術(shù)出發(fā)，尋求安全性的向上突破，包括主導(dǎo)安全芯片推廣、進(jìn)行安全認(rèn)證等，例如：Arm平臺(tái)安全架構(gòu)（PSA）認(rèn)證計(jì)劃，以及包含蘋果、Arm、ST、高通、恩智浦等約100家成員公司共同制定的SESIP安全評估方法等。在物聯(lián)網(wǎng)的發(fā)展過程中，正是通過引入安全芯片和可信執(zhí)行環(huán)境等重要的安全手段，才保護(hù)了芯片和系統(tǒng)設(shè)備的安全，有了全球物聯(lián)網(wǎng)生態(tài)的繁榮。

借鑒物聯(lián)網(wǎng)安全的演進(jìn)過程，同樣，智能汽車必須高度重視安全性，特別是對于高速發(fā)展的國產(chǎn)汽車市場，對安全的重視和考慮，必須從一開始就融入到芯片的底層設(shè)計(jì)規(guī)劃中，才能進(jìn)一步推動(dòng)國產(chǎn)智能汽車生態(tài)的欣欣向榮，確保未來汽車的安全性能和用戶體驗(yàn)。

國產(chǎn)汽車芯片迎來黃金時(shí)代，安全是根基

智能汽車作為未來的趨勢之一，具有網(wǎng)聯(lián)化、智能化等特點(diǎn)。

一方面，智能駕駛輔助系統(tǒng)、物聯(lián)網(wǎng)連接、車載信息娛樂系統(tǒng)、自動(dòng)駕駛等功能的實(shí)現(xiàn)都需要大量的芯片，對安全的需求越來越強(qiáng)；

另一方面，隨著汽車電子電氣架構(gòu)的不斷演進(jìn)，計(jì)算硬件單元將更加集中，對計(jì)算芯片的性能和安全要求也越來越高，具備高安全性的高性能異構(gòu)計(jì)算芯片，將會(huì)成為軟件定義汽車趨勢下重要的硬件基礎(chǔ)。

在這些趨勢下，域集中式電子電氣架構(gòu)和更為激進(jìn)的中央集中式電子電氣架構(gòu)將會(huì)是產(chǎn)業(yè)發(fā)展方向。

而不論是哪一類電子電氣架構(gòu)，車載SoC芯片都會(huì)更加復(fù)雜——不僅要有多路傳感器接口(包括攝像頭、雷達(dá)、超聲波雷達(dá)、激光雷達(dá)等)、通信、GPU、VPU、ISP、NPU、高性能AP CPU等功能模塊，還需要應(yīng)對車載環(huán)境對于信息安全和功能安全的特殊需求等等。只有上述所有這些單元完整、無縫地銜接運(yùn)行，才可以支撐各種上層應(yīng)用。

國產(chǎn)汽車芯片產(chǎn)業(yè)經(jīng)過多年的研發(fā)和技術(shù)積累，不論是在軟硬件開發(fā)設(shè)計(jì)，還是在產(chǎn)業(yè)鏈協(xié)同方面，都具備了一定的實(shí)力。特別是在安全可控這個(gè)時(shí)代命題之下，***能夠更好地滿足供應(yīng)鏈需求?？梢哉f，多維驅(qū)動(dòng)下，在智能汽車***迎來底層設(shè)計(jì)的黃金時(shí)代之際，安全是其發(fā)展的根基，也是重中之重。

日前，在安謀科技“山海”S20F SPU新品發(fā)布會(huì)上，安謀科技產(chǎn)品研發(fā)副總裁劉浩這樣形容：

“安全機(jī)制就像洋蔥，如果將它一層層剝開，到最后的核心是Root of Trust，即安全可信根?！彼硎?，“山?！盨20F SPU，作為一款面向智能汽車SoC的HSM安全解決方案，其中的HSM（硬件安全模塊），就是支持安全可信根最核心的部分。

不同于“山海”系列的前兩代產(chǎn)品E10/E20和S12，它們是通用的加解密引擎，只是以引擎的形式存在，而“山?！盨20F是一個(gè)完整的HSM子系統(tǒng)，有專用的CPU負(fù)責(zé)處理HSM內(nèi)部的安全請求；有核心的加解密引擎，能夠提供安全算法加速器的功能，支持國密算法SM2、SM3、SM4以及國際通用算法RSA、ECC、SHA、AES等，能夠滿足汽車芯片產(chǎn)品設(shè)計(jì)的功能安全要求，同時(shí)支持定制化配置。

HSM有望成為汽車高端SoC芯片標(biāo)配

“HSM并不是新概念，無論是國外還是國內(nèi)的汽車芯片廠商，正在越來越多地采用HSM作為安全可信根，特別是在一些大型芯片中”，安謀科技安全產(chǎn)品架構(gòu)師、高級技術(shù)總監(jiān)呂達(dá)夫解釋說。

在通往安全的技術(shù)路徑中，除了硬件方式，一些低端芯片也會(huì)通過算法來實(shí)現(xiàn)部分安全功能。對此，呂達(dá)夫表示，以往低端、入門級產(chǎn)品出于成本考慮，會(huì)將安全方案降級。但是，汽車芯片有一個(gè)明顯的趨勢，即從原來的離散ECU向DCU、甚至HPC集中式發(fā)展，中低端芯片將被過渡為中央處理能力更強(qiáng)的高算力芯片。在這個(gè)趨勢下，HSM將成為處理能力更強(qiáng)的SoC芯片的關(guān)鍵部分，甚至成為標(biāo)配。

正如呂達(dá)夫所說，HSM不是新概念，歐洲EVITA項(xiàng)目（E-safety Vehicle Intrusion Protected Applications）大約在15年前就提出了這一概念。

它定義了三個(gè)不同的層級：Full(完整)、Medium(中等)和Light(輕量)，每個(gè)層級對應(yīng)不同的功能集和成本負(fù)擔(dān)。Full功能集最全面，成本最高；Light功能集成本最低，功能較為單一。這些層級可以根據(jù)應(yīng)用場景和芯片的成本敏感性來選擇。

例如：高端芯片，如座艙等需要處理速度和存儲(chǔ)資源較高的應(yīng)用，可以選擇Full級別；對于成本敏感且功能單一的應(yīng)用場景，如雨刮器、車窗等小芯片，Light級別即可。

在具體的方案中，HSM可通過RTL硬件配置來幫助用戶選擇他們所需的算法，以適應(yīng)不同的HSM配置文件。這樣既可以滿足用戶多樣化需求，同時(shí)可以降低額外的成本。

多年來，HSM作為一種信息安全模塊實(shí)現(xiàn)方式被廣泛認(rèn)可，它作為安全可信根的角色也在業(yè)內(nèi)得到普遍認(rèn)同與應(yīng)用。伴隨著汽車電子電氣化的趨勢，HSM技術(shù)也在大步向前。

“HSM的優(yōu)勢，一是性能，因?yàn)镠SM是直接植入到芯片內(nèi)部的，不需要與外部設(shè)備產(chǎn)生協(xié)同，直接在內(nèi)部就可完成數(shù)據(jù)的訪問以及加解密等相關(guān)的工作，性能表現(xiàn)遠(yuǎn)遠(yuǎn)高于外部的離散器件；二是安全，HSM在整個(gè)芯片邊界之內(nèi)，沒有向外暴露任何物理接口，防御了相當(dāng)一部分接觸式攻擊”，呂達(dá)夫強(qiáng)調(diào)。

兩個(gè)“安全”走向融合

HSM方案除了核心的性能提升，還有一個(gè)重要趨勢就是信息安全（Security）和功能安全（Functional Safety）的融合。這是汽車安全中兩個(gè)主要的方向——功能安全是涉及人身安全的保護(hù)機(jī)制，信息安全則是保護(hù)汽車系統(tǒng)中的信息不被惡意竊取和破壞。

事實(shí)上，放眼整個(gè)工業(yè)設(shè)計(jì)領(lǐng)域，功能安全都是一項(xiàng)成熟的設(shè)計(jì)原則。傳統(tǒng)上，功能安全適用于具有專用控制功能的嵌入式系統(tǒng)，這些嵌入式系統(tǒng)通常被安裝在較大的機(jī)電系統(tǒng)中，需要與其他的物理系統(tǒng)相互作用，因此往往有很強(qiáng)的安全需求。

信息安全傳統(tǒng)上主要適用于包含或處理機(jī)密或其他敏感信息的系統(tǒng)。不過，從今天的發(fā)展趨勢來看，設(shè)備之間的聯(lián)系日益緊密，比如不同設(shè)備之間需要頻繁交換信息、需要通過OTA進(jìn)行功能升級和錯(cuò)誤修復(fù)等等，而這些都可能引來網(wǎng)絡(luò)威脅或遠(yuǎn)程攻擊。

安謀科技安全產(chǎn)品總監(jiān)耿建華結(jié)合車載應(yīng)用場景解釋道，隨著車輛信息安全場景的增多，例如云端鏈接、設(shè)備身份認(rèn)證、自動(dòng)駕駛安全保障、數(shù)據(jù)安全傳輸需求等，對車載芯片的安全能力也提出了更高要求，信息安全模塊處理能力的實(shí)時(shí)性、可靠性等方面亟待提升。

大約兩年多前，業(yè)界提到可靠性時(shí)，必然涉及到功能安全，且不論是哪種芯片，都需要具備可靠性。安謀科技注意到了這個(gè)趨勢，意識(shí)到在芯片底層設(shè)計(jì)側(cè)，要將這兩個(gè)“S”（Functional Safety和Security）結(jié)合起來，“山?！盨20F安全解決方案便由此產(chǎn)生。

作為一款融合了信息安全和功能安全的產(chǎn)品，“山海”S20F既滿足EVITA HSM規(guī)范，又支持功能安全能力。

它默認(rèn)符合EVITA HSM Full信息安全等級的定義標(biāo)準(zhǔn)，可以覆蓋ADAS、智能座艙、汽車網(wǎng)關(guān)等對安全要求較高的車載計(jì)算場景，還能通過可配置能力，支持Medium和Light級別需求，適用于不同應(yīng)用的車身域控制類芯片；

功能安全能力方面，從硬件到軟件都進(jìn)行了功能安全設(shè)計(jì)，核心硬件密碼算法引擎TrustEngine-800符合ISO26262:2018功能安全產(chǎn)品認(rèn)證ASIL D等級的系統(tǒng)能力，以及ASIL B等級的隨機(jī)硬件完整性要求，軟件測試庫（STL）也達(dá)到了ASIL D最高等級要求。

功能安全和信息安全雖然是不同的領(lǐng)域，但二者的融合不僅是一個(gè)雄心勃勃的目標(biāo)，也是一個(gè)巨大的機(jī)會(huì)，以整合方式對二者進(jìn)行融合的產(chǎn)品，有望在新的互聯(lián)時(shí)代引領(lǐng)芯片設(shè)計(jì)新趨勢。

打造HSM方案有哪些挑戰(zhàn)？

汽車電子系統(tǒng)較為復(fù)雜，不同芯片可能來自不同的供應(yīng)商，采用不同的技術(shù)，這從一定程度給HSM方案帶來挑戰(zhàn)。

對于芯片廠商來說，他們關(guān)注的點(diǎn)包括HSM所能提供的安全能力、性能和成本。此外，在選擇IP時(shí)，功能安全性、與架構(gòu)的協(xié)同效應(yīng)等也是非常重要的考慮因素。呂達(dá)夫談到，“山海”S20F在設(shè)計(jì)和規(guī)劃時(shí)，充分考慮了與其他IP的協(xié)同和關(guān)聯(lián)。就像拼圖一樣，可以方便地將這個(gè)模塊嵌入到整體中，形成一幅完整的拼圖。

其次，車載芯片架構(gòu)中，無論是MCU、MPU還是SoC，Arm架構(gòu)都占據(jù)大部分市場?！吧胶！盨20F也充分考慮了與Arm IP之間的協(xié)同效應(yīng)，使得“山?！盨20F的物理器件可以同時(shí)支持Arm TrustZone安全體系、Arm虛擬化體系和汽車通用的異構(gòu)架構(gòu)功能安全島（Safety Island）。

此外，開發(fā)一款車載功能安全產(chǎn)品，還需要應(yīng)對兩類失效：系統(tǒng)性失效和隨機(jī)硬件失效。應(yīng)對系統(tǒng)性失效，除了公司層級需要具備合規(guī)的功能安全流程外，更需在產(chǎn)品研發(fā)的生命周期下嚴(yán)格遵循功能安全流程，從而將失效風(fēng)險(xiǎn)控制在對應(yīng)汽車安全完整性等級(ASIL)要求的范圍內(nèi)。對于隨機(jī)硬件失效，可用失效模式影響和診斷分析進(jìn)行定量證明，芯片內(nèi)的功能安全機(jī)制可以保證診斷覆蓋率，達(dá)到或者超過ISO26262 相應(yīng)的ASIL要求。

“如果開發(fā)帶有功能安全產(chǎn)品認(rèn)證的IP，工作量大概是非功能安全能力IP的三倍”，呂達(dá)夫談到。

據(jù)他介紹，“山?！盨20F背后的諸多工作，都是由安謀科技成立之初就組建起來的安全工程團(tuán)隊(duì)所完成的，據(jù)了解，該團(tuán)隊(duì)核心成員在Arm架構(gòu)安全領(lǐng)域有20年以上的研發(fā)經(jīng)驗(yàn)，能夠覆蓋硬件、軟件、云端服務(wù)等領(lǐng)域，打造完整的安全解決方案。

出海、自動(dòng)駕駛……國產(chǎn)HSM未來的機(jī)遇

根據(jù)摩瀾數(shù)智咨詢對硬件安全模塊（HSM）市場的調(diào)研分析，2022年全球與中國HSM市場容量分別為68.54億元（人民幣）與5.28億元，預(yù)計(jì)全球HSM市場規(guī)模在預(yù)測期將以10.49%的CAGR增長，并預(yù)估在2028年達(dá)124.72億元。

廣闊前景之下，HSM這類安全方案將迎來哪些機(jī)遇？

輿芯半導(dǎo)體汽車應(yīng)用研發(fā)總監(jiān)周敬肇認(rèn)為，“山?！盨20F的算法引擎是由本土團(tuán)隊(duì)在國內(nèi)開發(fā)的，既支持國際通用算法，也支持中國商用密碼標(biāo)準(zhǔn)。這為芯片設(shè)計(jì)企業(yè)后續(xù)申請國密認(rèn)證提供了必要的基礎(chǔ)，同時(shí)也為***出海提供了有力保障。

此外，對于智能汽車來說，自動(dòng)駕駛可以說是終極想象，一些市場調(diào)研顯示，L2功能甚至可能成為未來新車的前裝標(biāo)配。

這是否也是一個(gè)發(fā)展契機(jī)？

耿建華表示，自動(dòng)駕駛確實(shí)既是強(qiáng)安全需求，也是強(qiáng)商業(yè)需求的領(lǐng)域。如果車輛在啟動(dòng)自動(dòng)駕駛功能后受到遠(yuǎn)程攻擊，將會(huì)是非常嚴(yán)重的問題。因此，在自動(dòng)駕駛領(lǐng)域，安全一定是非常重要的考慮因素，而這也是安謀科技相關(guān)安全解決方案在未來演進(jìn)過程中，會(huì)重點(diǎn)關(guān)注的場景。

寫在最后

在汽車安全領(lǐng)域，除了安謀科技這樣從底層IP系統(tǒng)開始發(fā)力的廠商，也不乏傳統(tǒng)的安全芯片老牌企業(yè)，希望能切下黃金時(shí)代的一角蛋糕。

過去多年來，我國的安全芯片主要集中在智能卡和銀行領(lǐng)域，隨著支付等技術(shù)變化，實(shí)體卡市場逐漸萎縮，國內(nèi)的安全芯片廠商亟需找到新的出口，而汽車市場作為一個(gè)蓬勃發(fā)展的領(lǐng)域，被視作巨大的機(jī)遇。一些安全芯片廠商已經(jīng)積極與國內(nèi)汽車供應(yīng)商展開合作，希望向OEM或Tie-1提供方案。不過，車載芯片需要通過功能安全I(xiàn)SO26262等認(rèn)證，這是國內(nèi)安全芯片廠商所欠缺的環(huán)節(jié)，也是他們未來尋求進(jìn)一步發(fā)展的方向之一。

未來，為了應(yīng)對未來更強(qiáng)、更復(fù)雜的安全需求，汽車安全芯片迭代首先需要加強(qiáng)IP本身的安全性；

其次，由于芯片和車輛生命周期通常在15-20年左右，而上層應(yīng)用始終處于動(dòng)態(tài)變化中，因此需要更強(qiáng)壯的算法支持，例如非對稱加密算法等；

第三，信息安全的穩(wěn)定性要持續(xù)加強(qiáng)；

最后，隨著上層應(yīng)用的豐富，需要持續(xù)提高性能以滿足更多的安全服務(wù)需求、并為多樣化的安全場景提供支持。