車(chē)規SoC芯片廠(chǎng)商征戰功能安全，誰(shuí)是最佳助力者？

　　當前，全球汽車(chē)產(chǎn)業(yè)正在經(jīng)歷著(zhù)重大變革，伴隨著(zhù)ADAS/自動(dòng)駕駛、V2X等領(lǐng)域創(chuàng )新應用的不斷增加，智能網(wǎng)聯(lián)汽車(chē)正在成為具備中央處理引擎的重型計算機。

　　這背后，智能網(wǎng)聯(lián)汽車(chē)的連接性、復雜性日益增加，隨之而來(lái)的還有龐大的行駛數據和敏感數據，潛在的安全漏洞點(diǎn)也日趨增多。

　　公開(kāi)數據顯示，目前一輛智能網(wǎng)聯(lián)汽車(chē)行駛一天所產(chǎn)生的數據高達10TB，這些數據不僅包含駕乘人員的面部表情等數據，還包含有車(chē)輛地理位置、車(chē)內及車(chē)外環(huán)境數據等。

　　多位業(yè)內人士直言，網(wǎng)關(guān)、控制單元、ADAS/自動(dòng)駕駛系統、各類(lèi)傳感器、車(chē)載信息娛樂(lè )系統等功能都需要具備防止安全漏洞的保護。在這其中，車(chē)規SoC芯片作為智能網(wǎng)聯(lián)汽車(chē)的核心組件，設計人員必須預測每一種潛在的攻擊，以防止對嵌入式系統和數據的非法訪(fǎng)問(wèn)。

　　新思科技（Synopsys）認為，智能網(wǎng)聯(lián)汽車(chē)的安全威脅必須從車(chē)規級SoC開(kāi)始解決。在車(chē)規SoC中集成功能安全和信息安全功能，有助于最大限度地降低汽車(chē)系統的風(fēng)險。

　　智能汽車(chē)安全“升級戰”開(kāi)啟

　　智能網(wǎng)聯(lián)汽車(chē)正在成為最大的智能移動(dòng)終端，圍繞人、車(chē)、場(chǎng)景的相關(guān)服務(wù)數據正在爆發(fā)式增長(cháng)，數據處理的需求隨之增加，這不僅需要車(chē)規級SoC芯片提供更多的計算能力，還需要盡可能降低故障率。

　　數據顯示，目前一輛汽車(chē)普遍安裝了多達150個(gè)ECU并運行了約1億行軟件代碼，這一數據隨著(zhù)汽車(chē)智能網(wǎng)聯(lián)化的發(fā)展正在不斷膨脹，預計到2030年可達3億行代碼。如果芯片自身的安全防護能力過(guò)于薄弱，將導致芯片運行的固件存在安全缺陷漏洞或者遭遇黑客攻擊，將給駕乘及周邊人員帶來(lái)嚴重的安全威脅。

　　去年以來(lái)，多部門(mén)相繼出臺《關(guān)于加強智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見(jiàn)》、《汽車(chē)數據安全管理若干規定（試行）》、《新能源汽車(chē)產(chǎn)業(yè)發(fā)展規劃（2021—2035年）》等，要求加強汽車(chē)數據安全、網(wǎng)絡(luò )安全、功能安全和預期功能安全管理。

　　這就意味著(zhù)，智能網(wǎng)聯(lián)汽車(chē)在保證傳統功能安全合規的同時(shí)，網(wǎng)絡(luò )安全、數據安全等安全要求全面提上了一個(gè)更高的等級。

　　為了避免這些安全問(wèn)題的發(fā)生，OEM廠(chǎng)商、行業(yè)組織等明確提出智能網(wǎng)聯(lián)汽車(chē)的安全需要構建在安全的芯片基礎上，需要在芯片級別上提供數據保護和功能安全。

　　《高工智能汽車(chē)》了解到，目前，包括寶馬、奔馳、通用、大眾等國際主流車(chē)企，以及長(cháng)城、上汽、吉利、比亞迪等自主品牌相繼對重要控制系統進(jìn)行功能安全開(kāi)發(fā)要求，并將供應商(參數|圖片)的功能安全開(kāi)發(fā)能力和產(chǎn)品功能安全能力作為供應鏈準入的要求之一。

　　各大車(chē)企一致認為，自動(dòng)緊急制動(dòng)、車(chē)道監控等ADAS功能都是建立半導體組件之上的。一旦汽車(chē)芯片失效將會(huì )引起汽車(chē)功能的紊亂，比如汽車(chē)突然加速或者無(wú)法剎車(chē)等，這對于車(chē)上所有乘客的生命安全都會(huì )造成威脅。

　　除此之外，由于汽車(chē)電子電氣架構正在從分布式ECU架構轉向集中式的域控制器架構，同時(shí)汽車(chē)芯片的設計要比此前更加復雜，這意味著(zhù)單顆芯片的安全要求比以往任何時(shí)候都要嚴格。

　　“芯片已經(jīng)成為功能安全、網(wǎng)絡(luò )安全的中心?！庇熊?chē)企人士表示，汽車(chē)芯片必須從設計開(kāi)始就考慮哪里會(huì )有弱點(diǎn)，除了ISO 26262功能安全標準所涵蓋的系統與隨機故障之外，還必須能夠處理可能意外發(fā)生的惡意攻擊。

　　資料顯示，汽車(chē)芯片必須滿(mǎn)足質(zhì)量、可靠性和功能安全性的關(guān)鍵要求。其中，ISO 26262以其涵蓋的系統風(fēng)險等級評估標準ASIL等級是全球公認的汽車(chē)功能安全標準，覆蓋汽車(chē)產(chǎn)品的全生命周期，包括功能安全管理、概念階段開(kāi)發(fā)、系統階段開(kāi)發(fā)、硬件階段開(kāi)發(fā)、軟件開(kāi)發(fā)、產(chǎn)品可靠性等所有環(huán)節。

　　實(shí)際上，為了從芯片IP開(kāi)始解決功能安全問(wèn)題，國際標準化組織（ISO）在2018年追加了汽車(chē)半導體的功能安全評估指南。如果要全部完全滿(mǎn)足要求，這對于芯片廠(chǎng)商的要求十分嚴格。

　　新思科技認為，車(chē)規SoC必須要保證在全生命中期當中都是安全的、可靠的，避免ISO-26262標準所定義的災難性故障的出現，并且防止系統性和隨機性故障。

　　如何在車(chē)規SoC設計中解決安全問(wèn)題？

　　由于不斷演變的安全威脅，再加上新標準和市場(chǎng)要求，芯片設計人員正在尋找一條清晰的路徑，將保護和安全功能融入車(chē)規SoC當中。

　　不過(guò)，由于高算力的要求，汽車(chē)SoC的技術(shù)門(mén)檻尤其高、設計極為復雜，不僅要考慮對不同底層操作系統的兼容性、軟硬件協(xié)同驗證，還需要考慮低功耗、車(chē)規級認證等問(wèn)題。

　　更為重要的是，功能安全（Safety）和信息安全（Security）在設計階段也有沖突的地方。業(yè)內人士表示，過(guò)度基于軟件實(shí)現安全特性，會(huì )導致控制指令延時(shí)，從而影響功能安全特性的實(shí)現。如果要將功能安全特性和保護特性作為互不相關(guān)的功能添加到單一的多功能集成電路當中，很難找到最佳捷徑方案。

　　以ADAS芯片為例，此前的設計方案往往會(huì )在A(yíng)DAS芯片旁邊放置一個(gè)專(zhuān)門(mén)負責設備安全管理的獨立芯片，如今則需要把安全組件放在同一個(gè)ADAS芯片中。芯片設計者面臨的挑戰是，既要滿(mǎn)足基本的車(chē)規級、ISO 26262的功能安全、性能、功耗和成本等要求，又要縮短設計和量產(chǎn)周期。

　　“汽車(chē)安全系統必須能夠處理在系統生命周期中無(wú)預兆發(fā)生的所有惡意攻擊。這其中，為汽車(chē)SoC系統設計高質(zhì)量的安全防護尤為重要，最穩固的方法就是在SoC芯片當中集成硬件安全模塊（簡(jiǎn)稱(chēng)HSM）?！毙滤伎萍糀RC處理器IP產(chǎn)品市場(chǎng)經(jīng)理Omar Cruz如此表示。

　　新思科技是第一家推出ASIL D雙核lockstep處理器和安全管理器架構的公司，在汽車(chē)質(zhì)量管理系統流程要求下，研發(fā)IP時(shí)充分考慮了硬件隨機故障、AEC Q100可靠性測試等。其推出的ASIL D合規的DesignWare?ARC?SEM130FS安全與保護處理器IP，可以幫助設計人員保護安全攸關(guān)的系統免受軟件、硬件和側信道攻擊，同時(shí)具備高性能和最低功耗的優(yōu)勢。

　　據了解，DesignWare?ARC?和EV處理器經(jīng)過(guò)優(yōu)化，可為嵌入式SoC提供業(yè)內最佳的PPA(性能/功耗/面積)，允許設計人員通過(guò)僅實(shí)現所需的硬件來(lái)優(yōu)化其SoC上每個(gè)處理器實(shí)例的性能、功率和面積。

　　與此同時(shí)，DesignWare ARC SEM130FS處理器以及DesignWare ARC功能安全處理器，不僅提供了處理器IP本身，還為SoC開(kāi)發(fā)人員提供一個(gè)經(jīng)過(guò)ASIL-D認證的編譯器以及一套全面的功能安全文檔，全面簡(jiǎn)化SoC認證流程：

　　1、Synopsys IP業(yè)務(wù)部門(mén)質(zhì)量管理體系(QMS)的質(zhì)量手冊

　　2、設計故障模式和影響分析(DFMEA)，聚焦于避免潛在的系統故障

　　3、故障模式、影響和診斷分析(FMEDA)聚焦于隨機硬件故障（包括永久和瞬態(tài)故障）指標的評估

　　4、安全手冊，包括適用情況、內部和外部安全機制和使用假設的描述

　　5、相關(guān)故障分析(DFA)，涵蓋常見(jiàn)故障和級聯(lián)故障（如適用）

　　6、安全案例報告，指出Synopsys將在內部用作審查和評估一部分的證據參考

　　7、包含ASIL B隨機硬件故障和ASIL D系統故障的ISO 26262評估報告

　　除此之外，ARC SEM130FS安全與保護處理器還通過(guò)提供符合ASIL-D標準的解決方案，以及汽車(chē)環(huán)境中所需的所有必要的掛鉤和安全機制，簡(jiǎn)化了安全關(guān)鍵應用的開(kāi)發(fā)，并加速了汽車(chē)SoC的ISO 26262認證。其中包括了以下關(guān)鍵功能：

　　?預先驗證的雙核鎖步處理器：基于低功耗SEM安全處理器的安全實(shí)現

　　?安全監視器：提供監視以確保主核和影子內核保持鎖步操作

　　?錯誤檢測和糾正邏輯(ECC)：處理緊密耦合存儲器上的數據和地址錯誤

　　?集成看門(mén)狗定時(shí)器：?jiǎn)⒂脤Σ咭詭椭鷱乃梨i情況中恢復

　　簡(jiǎn)單來(lái)說(shuō)，芯片廠(chǎng)商只需采用DesignWare ARC SEM130FS處理器以及DesignWare ARC功能安全處理器，便能夠快速完成汽車(chē)SoC產(chǎn)品的功能安全認證。

　　不可否認，在汽車(chē)電動(dòng)化、智能化、網(wǎng)聯(lián)化等大背景之下，整車(chē)電子電氣架構正在由分布式向集中式架構演進(jìn)。屆時(shí)，由于電子電氣失效導致的風(fēng)險也越來(lái)越高，功能安全越來(lái)越備受重視。

　　比如在汽車(chē)芯片領(lǐng)域，除了AEC-Q汽車(chē)電子元器件可靠性檢測標準以外，通過(guò)嚴苛的功能安全標準ISO 26262 ASIL認證已成了時(shí)下汽車(chē)供應鏈廠(chǎng)商們的準入規則。

　　“安全和可靠是未來(lái)汽車(chē)密不可分的核心關(guān)鍵?！監mar Cruz表示，作為車(chē)規SoC系統的關(guān)鍵大腦，安全管理器監控和管理SoC系統內的系統故障和實(shí)時(shí)故障，可以幫助芯片廠(chǎng)商滿(mǎn)足ASIL-D級功能安全認證。

　　新思科技的DesignWare IP解決方案可用于車(chē)載信息娛樂(lè )系統、駕駛員高級輔助系統（ADAS）、網(wǎng)關(guān)和主流微控制器（MCU），并能夠確保汽車(chē)應用的高質(zhì)量和可靠性。

　　值得注意的是，目前新思科技的全套方案可以為數字時(shí)代的一切創(chuàng )新提供原動(dòng)力。這其中，新思科技在整個(gè)汽車(chē)產(chǎn)業(yè)的開(kāi)發(fā)中主要提供三大核心優(yōu)勢，全面加速汽車(chē)的創(chuàng )新。

　　比如，通過(guò)優(yōu)化SoC和E/E架構，幫助開(kāi)發(fā)者從前期設計需求到產(chǎn)品最終上市的所有環(huán)節都能夠創(chuàng )建具備差異化優(yōu)勢的安全SoC芯片，從而保證軟件定義汽車(chē)在開(kāi)發(fā)和驗證過(guò)程中減少可能遇到的設計錯誤，加速汽車(chē)的量產(chǎn)。

　　與此同時(shí)，在車(chē)輛上進(jìn)行安全軟件的部署，在滿(mǎn)足復雜的車(chē)規質(zhì)量體系的同時(shí)，不斷順應汽車(chē)應用在軟件安全的變化，避免未來(lái)的安全召回，有效保護品牌。

　　未來(lái)，智能網(wǎng)聯(lián)汽車(chē)尤其是具有自動(dòng)駕駛功能的車(chē)輛，對于汽車(chē)數據安全、網(wǎng)絡(luò )安全、軟件升級、功能安全和預期功能安全管理將不斷升級。

　　從芯片IP、車(chē)規SoC設計實(shí)現與驗證到汽車(chē)電子電氣架構和智能網(wǎng)聯(lián)汽車(chē)安全軟件的部署，新思科技都能夠提供完整的信息安全保護車(chē)輛安全防護以及創(chuàng )新解決方案，在未來(lái)的汽車(chē)市場(chǎng)競爭優(yōu)勢已經(jīng)非常明顯。