安全IP，打响车规级SoC设计“升级战”

随着汽车电气化和智能化程度的不断加深，以及向域/区域和集中式E/E架构发展，汽车安全领域正日益成为凸显半导体公司差异化优势和竞争的关键，他们可以利用这些优势扩大现有客户的影响力，并瞄准新的和新兴的机遇。来自Strategy Analytics的数据显示，从2020年到2025年，汽车安全系统市场将以近12%的复合年平均增长率增长，到2028年，其规模预计将达到810亿美元。ADAS技术的迅速采用、被动安全系统在新兴市场的持续渗透增长、为了满足安全要求和评级要求而加入额外的安全系统将巩固这一增长。

汽车安全领域“三剑客”

汽车安全的目的是充分保护道路车辆以及与车辆中的电子元件相关的资产和功能，使其免受现代车辆架构所带来的多维威胁。针对辅助驾驶和自动驾驶，除了我们相对比较熟悉的Safety和Security概念之外，其实还有预期功能安全(SOTIF, Safety of the Intended Functionality)也值得关注。但这三种安全概念之间主要的区别是什么？彼此间又是怎样的一种关系？可能很多人并不十分清楚。

简单而言，汽车行业中的“Safety”主要指功能安全，“Security”主要指数据和电子系统安全。

在国际标准ISO 26262（https://www.iso.org/standard/68383.html）中，汽车“功能安全”被定义为“避免由电子电气系统的功能性故障引起的不合理的风险”，适用于系统发生故障时的系统安全；“数据和电子系统安全”这一概念出现得比“功能安全”晚。促使这个概念出现并获得业界关注的主要原因是网联汽车的增长，这类汽车正变得越来越像是“有轮子的计算机”，并导致像ISO/SAE 21434这样的网络安全标准的出现，以确保OEM从一开始在其工程流程和策略中解决网络安全问题。

而预期功能安全（SOTIF：https://www.iso.org/standard/77490.html）则被定义为“避免因为预期的功能表现局限而导致的不合理风险”，适用于未发生系统故障时的安全问题。在辅助驾驶/自动驾驶快速发展的今天，引起汽车安全问题的并不一定是系统错误和故障，也有可能是环境影响引发的非预期安全问题，所以SOTIF将重点放在自动驾驶汽车系统的情景感知上以实现适当的驾驶行为。例如这种系统能够推断出在大雨中车辆不能按照标准限速行驶，而是需要根据雨的大小来减速。因此，SOTIF在自动驾驶汽车中是对原有功能安全的必要补充，用来将与预期功能相关的风险降至最低。

总的来说，随着汽车继续向自动驾驶和网联化的方向快速发展，汽车的信息安全、功能安全和预期功能安全将相互补充，为这些技术的发展提供支持。

安全，智能汽车的准入关键

近年来，“软件定义汽车”逐渐成为汽车行业未来发展方向的共识。Rambus技术产品经理Thierry Kouthon认为软件比重的增加，给汽车安全带来的最重要的变化，就是“网络功能与专属硬件设备脱钩，实现了车辆物理和数字发展的并行化，并且由软件来决定差异化。“

Rambus技术产品经理Thierry Kouthon

他进一步解释说，“软件定义汽车”是指车辆中软件(包括电子硬件)的数量和价值超过机械硬件的状态，它反映了汽车从一种高度机电化的系统逐渐转变成可不断升级的智能化、可扩展移动电子系统。而现代汽车对软件的这种高度依赖，使得无线(OTA)升级成为了车辆生态系统的一个基本组成部分——由于每一名驾驶员行为的不同，即使车辆的品牌和型号相同，软件定义汽车需要的软件和固件升级也可能不同——这是设备制造商需要解决的一个复杂问题。在该趋势下，汽车行业的Safety和Security面临着更大的压力，因为这意味着我们需要在设计阶段投入更多的精力，通过尽可能考虑未来应用端可能发生的升级和变化来规避潜在的风险。

同时，为了确保“软件定义汽车”安全和按计划运行并适当减少急剧增加的攻击面，网络安全也将成为一个需要重点关注的领域。根据 AV-TEST Institute的数据，针对汽车的恶意程序数量已经从2011年的约6500万增加到2020年底的约11亿。Upstream Security在2019年的一项网络安全研究报告中称，自2016年以来，汽车黑客攻击数量同比增长了94%。

原因是显而易见的——随着汽车的连接需求不断提升，功能越来越多，汽车由单一的出行工具晋升为更具用户体验的小型电脑。数据显示，目前一辆汽车普遍安装了多达150个ECU并运行了约1亿行软件代码，这一数据随着汽车智能网联化的发展正在不断膨胀，预计到2030年可达3亿行代码。如果芯片自身的安全防护能力过于薄弱，将导致芯片运行的固件存在安全缺陷漏洞或者遭遇黑客攻击，将给驾乘及周边人员带来严重的安全威胁。

另一方面，也有人担心作为物联网的一部分，未来的汽车正从原来一个完全封闭的系统，转变为一个完全开放的系统。大量非传统汽车行业企业涌入市场，会给整个汽车电子系统架构带来极大的安全隐患。

Thierry Kouthon对此回应称，首先，在汽车电子系统架构的Safety/Security方面，有两个标准起着非常重要的作用：一个是业界普遍认可的Safety/Security标准，比如著名的功能安全标准ISO 26262和网络安全标准ISO 21434；另一个是相关政府部门制定的规则或条例，如关于网络安全的UN R155和关于无线升级的UN R156，两者一起规范全球汽车行业的系统安全。违反UN R155法规的公司会遭受经济处罚，在欧盟、日本和韩国等市场的销售能力会受到影响。

在中国市场也是如此。仅在2022年，工信部、公安部等多个部委就连续印发了《车联网网络安全和数据安全标准体系建设指南》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》、《关于开展智能网联汽车准入和上路通行试点工作的通知》等多份法规，还在天津成立了我国首个汽车信息安全研究中心。

这意味着网络安全和数据安全已成为智能汽车准入和上路的核心关键环节，昭示着汽车行业安全“强监管”时代的加速到来。相关车企必须强化落实网络安全和数据安全保护的主体责任，建立健全网络安全和数据安全管理制度，加快提高安全技术保障能力，促进汽车行业整体安全水平的提升。

其次，更多非传统汽车行业的企业进入市场，反而让整个汽车市场焕发了新的活力。他相信在整个产业链的共同努力下，现有的技术标准和系统架构不会一成不变，而是会通过不断地发展来满足市场对于汽车功能、Safety/Security等方面的新需求。

芯片+IP，汽车的安全使者

向OEM提供符合各项安全认证的高质量车规级芯片，既是共识，也是常识。但“Safety和Security交叉的基础，是向汽车IC供应商提供符合ASIL认证的安全IP”，这一点也许还不那么为人所熟知。

目前，一些研究和标准已经将硬件信任根(或硬件安全模块)确认为确保车辆数字资产和通信安全的适当技术(EVITA、AUTOSAR SHE、SAE J3101)。这意味着，芯片设计人员从设计的前期阶段开始就要致力于保证整个信息系统的安全，尽可能地考虑潜在的威胁和安全要求，以减少开发过程中可能造成的风险。

以Rambus和西门子EDA一起提供获得ASIL-B“认证”的信任根RT-640嵌入式HSM安全解决方案为例，这是一个完全可编程、通过ISO-26262 ASIL-B认证的硬件安全核，能够为汽车应用实现安全设计。

在RT-640 IP中实施安全机制的最终目标是防止故障传播到主输出，或在故障传播到主输出时通知系统，其安全评估是通过分析和验证IP块并将指标从内部块轮转移到IP顶部逐层实现的。因此，RT-640通过先进的防篡改和安全技术来防止各种故障，比如永久性、瞬时性和潜在性故障以及硬件和软件攻击等。该产品通过了TÜV-SGS的ISO-26262 ASIL-B认证，满足ASIL-B单点故障指标(SPFM≥90%的已检测故障)和潜在故障指标(LFM≥60%的已检测故障)。

安全指标的计算集中在每个块与安全相关的部分或与被评估的电路部分相关的安全机制。为了达到ISO 26262道路车辆安全标准规定的ASIL-B安全水平，Rambus实施了各种安全机制，包括寄存器奇偶校验、模块复制和被称为“已知答案测试”的软件安全机制。

“已知答案测试安全机制给Rambus团队带来了挑战，因为他们需要一个能够为其IP中的硬件和软件安全机制提供安全指标的流程。在评估了各种方法和流程后，我们选择了西门子的工具及其安全方法来为RT-640实现ASIL-B安全级别的ISO 26262认证。“Thierry Kouthon说。

值得关注的是，RT-640/645都选用了RISC-V内核，在回答“这是出于怎样的考虑？”问题时，Thierry Kouthon表示，RISC-V指令集架构具有低功耗、低成本、开源、可模块化、简洁、体积小、速度快等特点，这与汽车安全/物联网场景需求的零散性和可定制性非常吻合。在具体的产品设计中，Rambus使用RISC-V实现了一些在封闭架构核的平台上无法实现的功能，例如根据需要定制自己的安全模块、确保系统设计的安全性等，这正是Rambus信任根解决方案所需要的。

实际上，早在2021年，Rambus还通过与Intrinsic ID合作，将Rambus信任根和物理不可克隆函数(PUF)技术相结合，实现了强大的芯片安全。Intrinsic ID的QuiddiKey IP使用SRAM固有的随机启动值作为PUF来产生Rambus信任根核采用的熵。从微小的微控制器到高性能、复杂的系统级芯片(SoC)，这些组合解决方案可以在几乎所有芯片中实现。

总的来说，在硬件级别为汽车SoC设计安全性将有助于确保联网汽车的行为符合预期，并能够抵御恶意安全攻击，防止随机和系统性的安全故障。除了ISO 26262功能安全标准所涵盖的系统与随机故障之外，安全汽车系统还必须能够处理可能意外发生的恶意攻击。将基于硬件的信任根(RoT) IP作为独立的硬件安全块集成在半导体设备中后，硬件安全模块(HSM) IP就会提供一个安全的可编程环境，简单而经济地执行各种安全功能，在实现更强安全性的同时，加快产品上市时间并带来明显的差异化优势。

2023年02月23日，由AspenCore集团和上海市交通电子行业协会合办的“中国国际汽车电子高峰论坛”，将在上海浦东喜来登由由大酒店隆重举行。届时开设智慧出行峰会、智能驾驶与预期功能安全论坛、智能座舱与人机交互论坛、电驱电控系统与功率半导体论坛、动力电池与智能充电技术论坛等交流平台，欢迎大家点击【报名参加】前来学习交流。