車規(guī)SoC芯片廠商征戰(zhàn)功能安全,誰是最佳助力者?
當(dāng)前,全球汽車產(chǎn)業(yè)正在經(jīng)歷著重大變革,伴隨著ADAS/自動駕駛、V2X等領(lǐng)域創(chuàng)新應(yīng)用的不斷增加,智能網(wǎng)聯(lián)汽車正在成為具備中央處理引擎的重型計(jì)算機(jī)。
本文引用地址:http://2s4d.com/article/202205/433898.htm這背后,智能網(wǎng)聯(lián)汽車的連接性、復(fù)雜性日益增加,隨之而來的還有龐大的行駛數(shù)據(jù)和敏感數(shù)據(jù),潛在的安全漏洞點(diǎn)也日趨增多。
公開數(shù)據(jù)顯示,目前一輛智能網(wǎng)聯(lián)汽車行駛一天所產(chǎn)生的數(shù)據(jù)高達(dá)10TB,這些數(shù)據(jù)不僅包含駕乘人員的面部表情等數(shù)據(jù),還包含有車輛地理位置、車內(nèi)及車外環(huán)境數(shù)據(jù)等。
多位業(yè)內(nèi)人士直言,網(wǎng)關(guān)、控制單元、ADAS/自動駕駛系統(tǒng)、各類傳感器、車載信息娛樂系統(tǒng)等功能都需要具備防止安全漏洞的保護(hù)。在這其中,車規(guī)SoC芯片作為智能網(wǎng)聯(lián)汽車的核心組件,設(shè)計(jì)人員必須預(yù)測每一種潛在的攻擊,以防止對嵌入式系統(tǒng)和數(shù)據(jù)的非法訪問。
新思科技(Synopsys)認(rèn)為,智能網(wǎng)聯(lián)汽車的安全威脅必須從車規(guī)級SoC開始解決。在車規(guī)SoC中集成功能安全和信息安全功能,有助于最大限度地降低汽車系統(tǒng)的風(fēng)險。
智能汽車安全“升級戰(zhàn)”開啟
智能網(wǎng)聯(lián)汽車正在成為最大的智能移動終端,圍繞人、車、場景的相關(guān)服務(wù)數(shù)據(jù)正在爆發(fā)式增長,數(shù)據(jù)處理的需求隨之增加,這不僅需要車規(guī)級SoC芯片提供更多的計(jì)算能力,還需要盡可能降低故障率。
數(shù)據(jù)顯示,目前一輛汽車普遍安裝了多達(dá)150個ECU并運(yùn)行了約1億行軟件代碼,這一數(shù)據(jù)隨著汽車智能網(wǎng)聯(lián)化的發(fā)展正在不斷膨脹,預(yù)計(jì)到2030年可達(dá)3億行代碼。如果芯片自身的安全防護(hù)能力過于薄弱,將導(dǎo)致芯片運(yùn)行的固件存在安全缺陷漏洞或者遭遇黑客攻擊,將給駕乘及周邊人員帶來嚴(yán)重的安全威脅。
去年以來,多部門相繼出臺《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》、《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》、《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021—2035年)》等,要求加強(qiáng)汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全、功能安全和預(yù)期功能安全管理。
這就意味著,智能網(wǎng)聯(lián)汽車在保證傳統(tǒng)功能安全合規(guī)的同時,網(wǎng)絡(luò)安全、數(shù)據(jù)安全等安全要求全面提上了一個更高的等級。
為了避免這些安全問題的發(fā)生,OEM廠商、行業(yè)組織等明確提出智能網(wǎng)聯(lián)汽車的安全需要構(gòu)建在安全的芯片基礎(chǔ)上,需要在芯片級別上提供數(shù)據(jù)保護(hù)和功能安全。
《高工智能汽車》了解到,目前,包括寶馬、奔馳、通用、大眾等國際主流車企,以及長城、上汽、吉利、比亞迪等自主品牌相繼對重要控制系統(tǒng)進(jìn)行功能安全開發(fā)要求,并將供應(yīng)商(參數(shù)|圖片)的功能安全開發(fā)能力和產(chǎn)品功能安全能力作為供應(yīng)鏈準(zhǔn)入的要求之一。
各大車企一致認(rèn)為,自動緊急制動、車道監(jiān)控等ADAS功能都是建立半導(dǎo)體組件之上的。一旦汽車芯片失效將會引起汽車功能的紊亂,比如汽車突然加速或者無法剎車等,這對于車上所有乘客的生命安全都會造成威脅。
除此之外,由于汽車電子電氣架構(gòu)正在從分布式ECU架構(gòu)轉(zhuǎn)向集中式的域控制器架構(gòu),同時汽車芯片的設(shè)計(jì)要比此前更加復(fù)雜,這意味著單顆芯片的安全要求比以往任何時候都要嚴(yán)格。
“芯片已經(jīng)成為功能安全、網(wǎng)絡(luò)安全的中心?!庇熊嚻笕耸勘硎?,汽車芯片必須從設(shè)計(jì)開始就考慮哪里會有弱點(diǎn),除了ISO 26262功能安全標(biāo)準(zhǔn)所涵蓋的系統(tǒng)與隨機(jī)故障之外,還必須能夠處理可能意外發(fā)生的惡意攻擊。
資料顯示,汽車芯片必須滿足質(zhì)量、可靠性和功能安全性的關(guān)鍵要求。其中,ISO 26262以其涵蓋的系統(tǒng)風(fēng)險等級評估標(biāo)準(zhǔn)ASIL等級是全球公認(rèn)的汽車功能安全標(biāo)準(zhǔn),覆蓋汽車產(chǎn)品的全生命周期,包括功能安全管理、概念階段開發(fā)、系統(tǒng)階段開發(fā)、硬件階段開發(fā)、軟件開發(fā)、產(chǎn)品可靠性等所有環(huán)節(jié)。
實(shí)際上,為了從芯片IP開始解決功能安全問題,國際標(biāo)準(zhǔn)化組織(ISO)在2018年追加了汽車半導(dǎo)體的功能安全評估指南。如果要全部完全滿足要求,這對于芯片廠商的要求十分嚴(yán)格。
新思科技認(rèn)為,車規(guī)SoC必須要保證在全生命中期當(dāng)中都是安全的、可靠的,避免ISO-26262標(biāo)準(zhǔn)所定義的災(zāi)難性故障的出現(xiàn),并且防止系統(tǒng)性和隨機(jī)性故障。
如何在車規(guī)SoC設(shè)計(jì)中解決安全問題?
由于不斷演變的安全威脅,再加上新標(biāo)準(zhǔn)和市場要求,芯片設(shè)計(jì)人員正在尋找一條清晰的路徑,將保護(hù)和安全功能融入車規(guī)SoC當(dāng)中。
不過,由于高算力的要求,汽車SoC的技術(shù)門檻尤其高、設(shè)計(jì)極為復(fù)雜,不僅要考慮對不同底層操作系統(tǒng)的兼容性、軟硬件協(xié)同驗(yàn)證,還需要考慮低功耗、車規(guī)級認(rèn)證等問題。
更為重要的是,功能安全(Safety)和信息安全(Security)在設(shè)計(jì)階段也有沖突的地方。業(yè)內(nèi)人士表示,過度基于軟件實(shí)現(xiàn)安全特性,會導(dǎo)致控制指令延時,從而影響功能安全特性的實(shí)現(xiàn)。如果要將功能安全特性和保護(hù)特性作為互不相關(guān)的功能添加到單一的多功能集成電路當(dāng)中,很難找到最佳捷徑方案。
以ADAS芯片為例,此前的設(shè)計(jì)方案往往會在ADAS芯片旁邊放置一個專門負(fù)責(zé)設(shè)備安全管理的獨(dú)立芯片,如今則需要把安全組件放在同一個ADAS芯片中。芯片設(shè)計(jì)者面臨的挑戰(zhàn)是,既要滿足基本的車規(guī)級、ISO 26262的功能安全、性能、功耗和成本等要求,又要縮短設(shè)計(jì)和量產(chǎn)周期。
“汽車安全系統(tǒng)必須能夠處理在系統(tǒng)生命周期中無預(yù)兆發(fā)生的所有惡意攻擊。這其中,為汽車SoC系統(tǒng)設(shè)計(jì)高質(zhì)量的安全防護(hù)尤為重要,最穩(wěn)固的方法就是在SoC芯片當(dāng)中集成硬件安全模塊(簡稱HSM)?!毙滤伎萍糀RC處理器IP產(chǎn)品市場經(jīng)理Omar Cruz如此表示。
新思科技是第一家推出ASIL D雙核lockstep處理器和安全管理器架構(gòu)的公司,在汽車質(zhì)量管理系統(tǒng)流程要求下,研發(fā)IP時充分考慮了硬件隨機(jī)故障、AEC Q100可靠性測試等。其推出的ASIL D合規(guī)的DesignWare?ARC?SEM130FS安全與保護(hù)處理器IP,可以幫助設(shè)計(jì)人員保護(hù)安全攸關(guān)的系統(tǒng)免受軟件、硬件和側(cè)信道攻擊,同時具備高性能和最低功耗的優(yōu)勢。
據(jù)了解,DesignWare?ARC?和EV處理器經(jīng)過優(yōu)化,可為嵌入式SoC提供業(yè)內(nèi)最佳的PPA(性能/功耗/面積),允許設(shè)計(jì)人員通過僅實(shí)現(xiàn)所需的硬件來優(yōu)化其SoC上每個處理器實(shí)例的性能、功率和面積。
與此同時,DesignWare ARC SEM130FS處理器以及DesignWare ARC功能安全處理器,不僅提供了處理器IP本身,還為SoC開發(fā)人員提供一個經(jīng)過ASIL-D認(rèn)證的編譯器以及一套全面的功能安全文檔,全面簡化SoC認(rèn)證流程:
1、Synopsys IP業(yè)務(wù)部門質(zhì)量管理體系(QMS)的質(zhì)量手冊
2、設(shè)計(jì)故障模式和影響分析(DFMEA),聚焦于避免潛在的系統(tǒng)故障
3、故障模式、影響和診斷分析(FMEDA)聚焦于隨機(jī)硬件故障(包括永久和瞬態(tài)故障)指標(biāo)的評估
4、安全手冊,包括適用情況、內(nèi)部和外部安全機(jī)制和使用假設(shè)的描述
5、相關(guān)故障分析(DFA),涵蓋常見故障和級聯(lián)故障(如適用)
6、安全案例報(bào)告,指出Synopsys將在內(nèi)部用作審查和評估一部分的證據(jù)參考
7、包含ASIL B隨機(jī)硬件故障和ASIL D系統(tǒng)故障的ISO 26262評估報(bào)告
除此之外,ARC SEM130FS安全與保護(hù)處理器還通過提供符合ASIL-D標(biāo)準(zhǔn)的解決方案,以及汽車環(huán)境中所需的所有必要的掛鉤和安全機(jī)制,簡化了安全關(guān)鍵應(yīng)用的開發(fā),并加速了汽車SoC的ISO 26262認(rèn)證。其中包括了以下關(guān)鍵功能:
?預(yù)先驗(yàn)證的雙核鎖步處理器:基于低功耗SEM安全處理器的安全實(shí)現(xiàn)
?安全監(jiān)視器:提供監(jiān)視以確保主核和影子內(nèi)核保持鎖步操作
?錯誤檢測和糾正邏輯(ECC):處理緊密耦合存儲器上的數(shù)據(jù)和地址錯誤
?集成看門狗定時器:啟用對策以幫助從死鎖情況中恢復(fù)
簡單來說,芯片廠商只需采用DesignWare ARC SEM130FS處理器以及DesignWare ARC功能安全處理器,便能夠快速完成汽車SoC產(chǎn)品的功能安全認(rèn)證。
不可否認(rèn),在汽車電動化、智能化、網(wǎng)聯(lián)化等大背景之下,整車電子電氣架構(gòu)正在由分布式向集中式架構(gòu)演進(jìn)。屆時,由于電子電氣失效導(dǎo)致的風(fēng)險也越來越高,功能安全越來越備受重視。
比如在汽車芯片領(lǐng)域,除了AEC-Q汽車電子元器件可靠性檢測標(biāo)準(zhǔn)以外,通過嚴(yán)苛的功能安全標(biāo)準(zhǔn)ISO 26262 ASIL認(rèn)證已成了時下汽車供應(yīng)鏈廠商們的準(zhǔn)入規(guī)則。
“安全和可靠是未來汽車密不可分的核心關(guān)鍵。”O(jiān)mar Cruz表示,作為車規(guī)SoC系統(tǒng)的關(guān)鍵大腦,安全管理器監(jiān)控和管理SoC系統(tǒng)內(nèi)的系統(tǒng)故障和實(shí)時故障,可以幫助芯片廠商滿足ASIL-D級功能安全認(rèn)證。
新思科技的DesignWare IP解決方案可用于車載信息娛樂系統(tǒng)、駕駛員高級輔助系統(tǒng)(ADAS)、網(wǎng)關(guān)和主流微控制器(MCU),并能夠確保汽車應(yīng)用的高質(zhì)量和可靠性。
值得注意的是,目前新思科技的全套方案可以為數(shù)字時代的一切創(chuàng)新提供原動力。這其中,新思科技在整個汽車產(chǎn)業(yè)的開發(fā)中主要提供三大核心優(yōu)勢,全面加速汽車的創(chuàng)新。
比如,通過優(yōu)化SoC和E/E架構(gòu),幫助開發(fā)者從前期設(shè)計(jì)需求到產(chǎn)品最終上市的所有環(huán)節(jié)都能夠創(chuàng)建具備差異化優(yōu)勢的安全SoC芯片,從而保證軟件定義汽車在開發(fā)和驗(yàn)證過程中減少可能遇到的設(shè)計(jì)錯誤,加速汽車的量產(chǎn)。
與此同時,在車輛上進(jìn)行安全軟件的部署,在滿足復(fù)雜的車規(guī)質(zhì)量體系的同時,不斷順應(yīng)汽車應(yīng)用在軟件安全的變化,避免未來的安全召回,有效保護(hù)品牌。
未來,智能網(wǎng)聯(lián)汽車尤其是具有自動駕駛功能的車輛,對于汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全、軟件升級、功能安全和預(yù)期功能安全管理將不斷升級。
從芯片IP、車規(guī)SoC設(shè)計(jì)實(shí)現(xiàn)與驗(yàn)證到汽車電子電氣架構(gòu)和智能網(wǎng)聯(lián)汽車安全軟件的部署,新思科技都能夠提供完整的信息安全保護(hù)車輛安全防護(hù)以及創(chuàng)新解決方案,在未來的汽車市場競爭優(yōu)勢已經(jīng)非常明顯。
評論