汽车智能化趋势下,芯片作为核心组件,正迎来底层设计的黄金时代,而安全是至关重要的根基。
从物联网的安全实践来看,早期的物联网设备存在一定的安全问题,比如容易受到攻击、产生数据泄露等。为了解决这些问题和潜在风险,IP和芯片供应商开始从底层技术出发,寻求安全性的向上突破,包括主导安全芯片推广、进行安全认证等,例如:Arm平台安全架构(PSA)认证计划,以及包含苹果、Arm、ST、高通、恩智浦等约100家成员公司共同制定的SESIP安全评估方法等。在物联网的发展过程中,正是通过引入安全芯片和可信执行环境等重要的安全手段,才保护了芯片和系统设备的安全,有了全球物联网生态的繁荣。
借鉴物联网安全的演进过程,同样,智能汽车必须高度重视安全性,特别是对于高速发展的国产汽车市场,对安全的重视和考虑,必须从一开始就融入到芯片的底层设计规划中,才能进一步推动国产智能汽车生态的欣欣向荣,确保未来汽车的安全性能和用户体验。
国产汽车芯片迎来黄金时代,安全是根基
智能汽车作为未来的趋势之一,具有网联化、智能化等特点。一方面,智能驾驶辅助系统、物联网连接、车载信息娱乐系统、自动驾驶等功能的实现都需要大量的芯片,对安全的需求越来越强;另一方面,随着汽车电子电气架构的不断演进,计算硬件单元将更加集中,对计算芯片的性能和安全要求也越来越高,具备高安全性的高性能异构计算芯片,将会成为软件定义汽车趋势下重要的硬件基础。
在这些趋势下,域集中式电子电气架构和更为激进的中央集中式电子电气架构将会是产业发展方向。而不论是哪一类电子电气架构,车载SoC芯片都会更加复杂——不仅要有多路传感器接口(包括摄像头、雷达、超声波雷达、激光雷达等)、通信、GPU、VPU、ISP、NPU、高性能AP CPU等功能模块,还需要应对车载环境对于信息安全和功能安全的特殊需求等等。只有上述所有这些单元完整、无缝地衔接运行,才可以支撑各种上层应用。
国产汽车芯片产业经过多年的研发和技术积累,不论是在软硬件开发设计,还是在产业链协同方面,都具备了一定的实力。特别是在安全可控这个时代命题之下,国产芯片能够更好地满足供应链需求。可以说,多维驱动下,在智能汽车国产芯片迎来底层设计的黄金时代之际,安全是其发展的根基,也是重中之重。
日前,在安谋科技“山海”S20F SPU新品发布会上,安谋科技产品研发副总裁刘浩这样形容:“安全机制就像洋葱,如果将它一层层剥开,到最后的核心是Root of Trust,即安全可信根。”他表示,“山海”S20F SPU,作为一款面向智能汽车SoC的HSM安全解决方案,其中的HSM(硬件安全模块),就是支持安全可信根最核心的部分。
不同于“山海”系列的前两代产品E10/E20和S12,它们是通用的加解密引擎,只是以引擎的形式存在,而“山海”S20F是一个完整的HSM子系统,有专用的CPU负责处理HSM内部的安全请求;有核心的加解密引擎,能够提供安全算法加速器的功能,支持国密算法SM2、SM3、SM4以及国际通用算法RSA、ECC、SHA、AES等,能够满足汽车芯片产品设计的功能安全要求,同时支持定制化配置。
HSM有望成为汽车高端SoC芯片标配
“HSM并不是新概念,无论是国外还是国内的汽车芯片厂商,正在越来越多地采用HSM作为安全可信根,特别是在一些大型芯片中”,安谋科技安全产品架构师、高级技术总监吕达夫解释说。
在通往安全的技术路径中,除了硬件方式,一些低端芯片也会通过算法来实现部分安全功能。对此,吕达夫表示,以往低端、入门级产品出于成本考虑,会将安全方案降级。但是,汽车芯片有一个明显的趋势,即从原来的离散ECU向DCU、甚至HPC集中式发展,中低端芯片将被过渡为中央处理能力更强的高算力芯片。在这个趋势下,HSM将成为处理能力更强的SoC芯片的关键部分,甚至成为标配。
正如吕达夫所说,HSM不是新概念,欧洲EVITA项目(E-safety Vehicle Intrusion Protected Applications)大约在15年前就提出了这一概念。它定义了三个不同的层级:Full(完整)、Medium(中等)和Light(轻量),每个层级对应不同的功能集和成本负担。Full功能集最全面,成本最高;Light功能集成本最低,功能较为单一。这些层级可以根据应用场景和芯片的成本敏感性来选择。例如:高端芯片,如座舱等需要处理速度和存储资源较高的应用,可以选择Full级别;对于成本敏感且功能单一的应用场景,如雨刮器、车窗等小芯片,Light级别即可。
在具体的方案中,HSM可通过RTL硬件配置来帮助用户选择他们所需的算法,以适应不同的HSM配置文件。这样既可以满足用户多样化需求,同时可以降低额外的成本。
多年来,HSM作为一种信息安全模块实现方式被广泛认可,它作为安全可信根的角色也在业内得到普遍认同与应用。伴随着汽车电子电气化的趋势,HSM技术也在大步向前。
“HSM的优势,一是性能,因为HSM是直接植入到芯片内部的,不需要与外部设备产生协同,直接在内部就可完成数据的访问以及加解密等相关的工作,性能表现远远高于外部的离散器件;二是安全,HSM在整个芯片边界之内,没有向外暴露任何物理接口,防御了相当一部分接触式攻击”,吕达夫强调。
两个“安全”走向融合
HSM方案除了核心的性能提升,还有一个重要趋势就是信息安全(Security)和功能安全(Functional Safety)的融合。这是汽车安全中两个主要的方向——功能安全是涉及人身安全的保护机制,信息安全则是保护汽车系统中的信息不被恶意窃取和破坏。
事实上,放眼整个工业设计领域,功能安全都是一项成熟的设计原则。传统上,功能安全适用于具有专用控制功能的嵌入式系统,这些嵌入式系统通常被安装在较大的机电系统中,需要与其他的物理系统相互作用,因此往往有很强的安全需求。
信息安全传统上主要适用于包含或处理机密或其他敏感信息的系统。不过,从今天的发展趋势来看,设备之间的联系日益紧密,比如不同设备之间需要频繁交换信息、需要通过OTA进行功能升级和错误修复等等,而这些都可能引来网络威胁或远程攻击。
安谋科技安全产品总监耿建华结合车载应用场景解释道,随着车辆信息安全场景的增多,例如云端链接、设备身份认证、自动驾驶安全保障、数据安全传输需求等,对车载芯片的安全能力也提出了更高要求,信息安全模块处理能力的实时性、可靠性等方面亟待提升。
大约两年多前,业界提到可靠性时,必然涉及到功能安全,且不论是哪种芯片,都需要具备可靠性。安谋科技注意到了这个趋势,意识到在芯片底层设计侧,要将这两个“S”(Functional Safety和Security)结合起来,“山海”S20F安全解决方案便由此产生。
作为一款融合了信息安全和功能安全的产品,“山海”S20F既满足EVITA HSM规范,又支持功能安全能力。它默认符合EVITA HSM Full信息安全等级的定义标准,可以覆盖ADAS、智能座舱、汽车网关等对安全要求较高的车载计算场景,还能通过可配置能力,支持Medium和Light级别需求,适用于不同应用的车身域控制类芯片;功能安全能力方面,从硬件到软件都进行了功能安全设计,核心硬件密码算法引擎TrustEngine-800符合ISO26262:2018功能安全产品认证ASIL D等级的系统能力,以及ASIL B等级的随机硬件完整性要求,软件测试库(STL)也达到了ASIL D最高等级要求。
功能安全和信息安全虽然是不同的领域,但二者的融合不仅是一个雄心勃勃的目标,也是一个巨大的机会,以整合方式对二者进行融合的产品,有望在新的互联时代引领芯片设计新趋势。
打造HSM方案有哪些挑战?
汽车电子系统较为复杂,不同芯片可能来自不同的供应商,采用不同的技术,这从一定程度给HSM方案带来挑战。
对于芯片厂商来说,他们关注的点包括HSM所能提供的安全能力、性能和成本。此外,在选择IP时,功能安全性、与架构的协同效应等也是非常重要的考虑因素。吕达夫谈到,“山海”S20F在设计和规划时,充分考虑了与其他IP的协同和关联。就像拼图一样,可以方便地将这个模块嵌入到整体中,形成一幅完整的拼图。
其次,车载芯片架构中,无论是MCU、MPU还是SoC,Arm架构都占据大部分市场。“山海”S20F也充分考虑了与Arm IP之间的协同效应,使得“山海”S20F的物理器件可以同时支持Arm TrustZone安全体系、Arm虚拟化体系和汽车通用的异构架构功能安全岛(Safety Island)。
此外,开发一款车载功能安全产品,还需要应对两类失效:系统性失效和随机硬件失效。应对系统性失效,除了公司层级需要具备合规的功能安全流程外,更需在产品研发的生命周期下严格遵循功能安全流程,从而将失效风险控制在对应汽车安全完整性等级(ASIL)要求的范围内。对于随机硬件失效,可用失效模式影响和诊断分析进行定量证明,芯片内的功能安全机制可以保证诊断覆盖率,达到或者超过ISO26262 相应的ASIL要求。
“如果开发带有功能安全产品认证的IP,工作量大概是非功能安全能力IP的三倍”,吕达夫谈到。据他介绍,“山海”S20F背后的诸多工作,都是由安谋科技成立之初就组建起来的安全工程团队所完成的,据了解,该团队核心成员在Arm架构安全领域有20年以上的研发经验,能够覆盖硬件、软件、云端服务等领域,打造完整的安全解决方案。
出海、自动驾驶……国产HSM未来的机遇
根据摩澜数智咨询对硬件安全模块(HSM)市场的调研分析,2022年全球与中国HSM市场容量分别为68.54亿元(人民币)与5.28亿元,预计全球HSM市场规模在预测期将以10.49%的CAGR增长,并预估在2028年达124.72亿元。
广阔前景之下,HSM这类安全方案将迎来哪些机遇?
舆芯半导体汽车应用研发总监周敬肇认为,“山海”S20F的算法引擎是由本土团队在国内开发的,既支持国际通用算法,也支持中国商用密码标准。这为芯片设计企业后续申请国密认证提供了必要的基础,同时也为国产芯片出海提供了有力保障。
此外,对于智能汽车来说,自动驾驶可以说是终极想象,一些市场调研显示,L2功能甚至可能成为未来新车的前装标配。这是否也是一个发展契机?
耿建华表示,自动驾驶确实既是强安全需求,也是强商业需求的领域。如果车辆在启动自动驾驶功能后受到远程攻击,将会是非常严重的问题。因此,在自动驾驶领域,安全一定是非常重要的考虑因素,而这也是安谋科技相关安全解决方案在未来演进过程中,会重点关注的场景。
写在最后
在汽车安全领域,除了安谋科技这样从底层IP系统开始发力的厂商,也不乏传统的安全芯片老牌企业,希望能切下黄金时代的一角蛋糕。
过去多年来,我国的安全芯片主要集中在智能卡和银行领域,随着支付等技术变化,实体卡市场逐渐萎缩,国内的安全芯片厂商亟需找到新的出口,而汽车市场作为一个蓬勃发展的领域,被视作巨大的机遇。一些安全芯片厂商已经积极与国内汽车供应商展开合作,希望向OEM或Tie-1提供方案。不过,车载芯片需要通过功能安全ISO26262等认证,这是国内安全芯片厂商所欠缺的环节,也是他们未来寻求进一步发展的方向之一。
未来,为了应对未来更强、更复杂的安全需求,汽车安全芯片迭代首先需要加强IP本身的安全性;其次,由于芯片和车辆生命周期通常在15-20年左右,而上层应用始终处于动态变化中,因此需要更强壮的算法支持,例如非对称加密算法等;第三,信息安全的稳定性要持续加强;最后,随着上层应用的丰富,需要持续提高性能以满足更多的安全服务需求、并为多样化的安全场景提供支持。