英飛凌AURIX? TC4x最詳技術(shù)解讀

2.5 信息安全

2.5.1 TC4x信息安全系統(tǒng)概述

隨著 R155R156 、國家標(biāo)準(zhǔn)《汽車整車信息安全技術(shù)要求》等汽車網(wǎng)絡(luò)安全法規(guī)逐步強(qiáng)制執(zhí)行，汽車網(wǎng)絡(luò)安全的重要性被提升了到新的高度，因此從 OEM 到 Tier 1 再到 Tier 2 急需從 Security 方面優(yōu)化各自產(chǎn)品。

TC4x 系列在吸納 TC3x HSM 子系統(tǒng)的優(yōu)點(diǎn)后，針對當(dāng)前區(qū)域控制器重構(gòu)信息安全系統(tǒng)，首創(chuàng) CyberSecurity Cluster 的概念，規(guī)劃出 CSRM（ Cyber Security Real-time Module）和 CSS （ Cyber Security Satellite） 兩個(gè)子系統(tǒng)，如下圖所示：

圖29

CSRM 和 CSS 主要負(fù)責(zé)密碼算法硬件加速，除了支持國際密碼算法，還支持國家密碼算法 SM234 ，其中：

CSRM 包含：

●   非對稱算法加速引擎，支持 RSA 和 ECC；

●   隨機(jī)數(shù)生成器，支持 TRNG、DRNG 和 HRNG；

●   CSCU 用于與其他核通信、控制調(diào)試訪問、PIN 腳輸出等

CSS 主要用于對稱和摘要算法加速，包含：

●   內(nèi)部私有 RAM 用于存儲(chǔ)密鑰和 IV；

●   內(nèi)部支持多達(dá) 21 個(gè)通道(1 個(gè)給 CSRM 獨(dú)享)支持不同密碼任務(wù)；

在 Cluster里，除 CSRM、CSS 外，還包括 TC1.8替代 TC3x中HSMM3內(nèi)核、內(nèi)部獨(dú)立的 PFlash 和DFlash，同時(shí)可以用過軟件配置各種外設(shè)成為 Cluster 里的部件，例如配置 Secure SPI與外部 TPM 交互。在 inSE的大背景下，該方案提升了 OEMTier 1 在布局汽車網(wǎng)絡(luò)安全的靈活性和可靠性。

2.5.2 針對通信場景的優(yōu)化

從上圖可以看到支持 sym 和 hash 算法的 CSS 在布局中更為靠近 Host CPU，這樣做的目的是什么呢？簡單來講，架構(gòu)變化要么是性能優(yōu)化，要么是安全優(yōu)化，安全這塊目前看不出來，但是從性能的優(yōu)化我們需要從特定場景進(jìn)行思考。

在 CP AUTOSAR 中，基礎(chǔ)軟件開發(fā)工程師大多從 SecOC 入門信息安全。在現(xiàn)有 MCU 里，針對 SecOC 數(shù)據(jù)驗(yàn)簽的做法通常是 Hsot CPU 將待校驗(yàn)數(shù)據(jù)放置 Host 共享內(nèi)存并置起請求 Flag，HSM CPU 側(cè)輪詢或者中斷接收該 Flag 后去共享內(nèi)存獲取數(shù)據(jù)并進(jìn)行加解密，如下圖：

圖30

這種針對 ECU 間的安全通信在當(dāng)前架構(gòu)下對 MCU 的 HSMSHE 等要求不算嚴(yán)苛，但是在區(qū)域控制器多功能融合、多 VM 通信的場景下，當(dāng)前 MCU 就存在加密引擎實(shí)例和性能不夠、多 Host 通道不足的問題，例如當(dāng)區(qū)域控制器里融合了網(wǎng)關(guān)和 BMS 功能，當(dāng)二者同時(shí)要使用 HSM 時(shí)，勢必會(huì)形成資源競爭；

在車聯(lián)網(wǎng)的大背景下，TLS 被引入到 DoIP 安全會(huì)話流程，在車機(jī)端也被用于車云通信，而 TLS 的引入也帶來了巨大的通信負(fù)載（ 4 次握手，比 TCP 還多一次），流程定義了，那么只能在密碼服務(wù)的性能做優(yōu)化。

為此 CSS 站了出來，它提供獨(dú)立的 SRISlave 接口（類似 TC3x 的 Bridge 模塊）來實(shí)現(xiàn)與 CPU 之間的通信，內(nèi)置 21 個(gè)獨(dú)立通道和多個(gè)對稱、摘要實(shí)例來實(shí)現(xiàn)多主機(jī)的并行訪問，相較于之前 Host、HSM 之間交互，Host 僅需配置 SRISlave 接口里的特殊寄存器，即可完成 SYM 和Hash 引擎的使用。理論上省卻了 Host 與 HSM 通信交互，提供了多通道平行接口，確實(shí)可以提高不少效率。

咱們做出這樣一個(gè)暢想：在 SecOC AES-CMAC 校驗(yàn)時(shí)只需要告訴引擎在哪里獲取數(shù)據(jù)，引擎自動(dòng)獲取數(shù)據(jù)并分塊、填充完成數(shù)據(jù)校驗(yàn)，不需要像以前通知 HSM CPU 去獲取數(shù)據(jù)，手寫代碼對數(shù)據(jù)進(jìn)行分塊、做填充。從代碼層面上至少省卻了通信這一大模塊，然后減少 For 循環(huán)分塊填充數(shù)據(jù)到引擎的代碼，效率大大增加。

2.5.3 針對強(qiáng)標(biāo)的對策

隨著車輛網(wǎng)的發(fā)展，汽車網(wǎng)絡(luò)安全已經(jīng)被提升到了需要強(qiáng)制 OEM 考慮和執(zhí)行的階段，耳熟能詳?shù)木褪?UNECE R155、 R156 以及對應(yīng)國標(biāo)《汽車整車信息安全技術(shù)要求》、《汽車軟件升級通用技術(shù)要求》。

以 R155 為例，讀過這份標(biāo)準(zhǔn)的同學(xué)應(yīng)該最開始都是云里霧里，它主要涉及汽車的網(wǎng)絡(luò)安全管理體系（ CSMS）及特定車輛型式認(rèn)證（ VTA）兩部分。

前者要求每個(gè) OEM 都必須有一個(gè)穩(wěn)定的網(wǎng)絡(luò)安全管理體系，但是沒有具體說應(yīng)該如何去建立；后者要求 OEM 去識別特定車型的相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但傳統(tǒng)汽車人對這塊確實(shí)一頭霧水。

為此，ISO 和 SAE 與 2021 年聯(lián)合發(fā)布了 ISOSAE 21434 標(biāo)準(zhǔn)，旨在指導(dǎo) OEM、Tier1 如何建立起有效的網(wǎng)絡(luò)安全組織，同時(shí)為車輛的整個(gè)生命周期(從研發(fā)到報(bào)廢)建立起有效的流程體系，以保證其免受信息網(wǎng)絡(luò)安全攻擊。

換句話說，R155 是指導(dǎo)性文件，告訴做什么；ISOSAE 21434 是執(zhí)行性文件，告訴 OEM 怎么做。

圖31

由于 R155 針對 OEM 提出了宏觀綱領(lǐng)，那么分解到 Tier 1 、2 ，自然就需要 21434 來進(jìn)行指導(dǎo)如何干活；

TC4x 信息安全子系統(tǒng)不僅符合 EVITA-Full，還通過了 ISOSAE 21434 的認(rèn)證，英飛凌從企業(yè)內(nèi)部建立起 CSMS(Cyber Security Management System) ，針對風(fēng)險(xiǎn)評估方法、概念階段、產(chǎn)品開發(fā)、運(yùn)維、持續(xù)網(wǎng)絡(luò)安全活動(dòng)等方面定義了相關(guān)流程，致力于輔助加速 OEM 針對 R155 的認(rèn)證。

2.6 功能安全

2.6.1 SMU繼續(xù)發(fā)揮作用

如果說重構(gòu)的信息安全系統(tǒng)是 TC4x 在跨域融合產(chǎn)品的亮點(diǎn)，那么 TC4x 的功能安全則是整個(gè)芯片正常運(yùn)行的基石。

在 TC4x 中，大部分功能安全機(jī)制沿用 TC3x，而與我們開發(fā)最相關(guān)的 SMU 仍繼續(xù)發(fā)光發(fā)熱。在 TC3x SMU 的基礎(chǔ)上，新增了關(guān)于 Security Domain 的 alarm 處理模塊，同時(shí)設(shè)計(jì)了 Security 方面的 alarm；為滿足區(qū)域控制下多 vECU 對于 alarm 處理的資源競爭，設(shè)計(jì)了兩個(gè) safety  alarm 處理模塊。

其結(jié)構(gòu)如下圖：

圖32

雖然沒有了解到具體 Safety Manual，但是從 SMU 整體架構(gòu)我們不難得出，所有功能安全機(jī)制觸發(fā)的 alarm 可以被分為三大類：

●   Safety相關(guān)的alarm；

●   Security相關(guān)的alarm；

●   Safety和Security兼顧的alarm。

因此，針對這些 alarm 的處理，首先就是需要選擇路由給哪些 alarm 處理模塊。在 SMU 模塊里提供了 alarm 選擇功能，可以根據(jù)寄存器配置路由給不同的處理模塊等，那么路由到目標(biāo)處理模塊后，對應(yīng)行為是什么呢？

不難推測，為實(shí)現(xiàn) TC3x 到 TC4x 的平穩(wěn)遷移，當(dāng)然就是繼續(xù)采用內(nèi)部行為和外部行為，如下圖：

圖33

內(nèi)部行為對應(yīng) NMI、 IRQ、SYS_RESET、CPU_RESET，外部行為毫無疑問就是 FSP 等。

不過在 SMU_CS 的處理上，由于涉及到 Security，因此行為多在 Security 子系統(tǒng)里內(nèi)部處理，包括 CSIRQNMIRET，以及特殊的對所有秘鑰上鎖、對 Debug 方面進(jìn)行上鎖等。

針對信息安全子系統(tǒng)設(shè)計(jì)的相關(guān) SecuritySafety 機(jī)制，解答了我一直以來的疑惑，Security 與 Safety 到底應(yīng)該如何融合：個(gè)人理解，雖然 Safety 和 Security 有各自的重點(diǎn)和側(cè)重點(diǎn)，但它們的共同目標(biāo)都是保護(hù)車輛、乘員和其他道路使用者的安全；同時(shí)二者關(guān)系也非常緊密，例如車輛的信息系統(tǒng)受到黑客攻擊或惡意軟件感染，可能會(huì)導(dǎo)致車輛失去控制、系統(tǒng)故障或其他安全問題，從而危及車輛和乘員的安全。

正如我們設(shè)計(jì)系統(tǒng)安全啟動(dòng)功能時(shí)，不僅要從 Safety 角度進(jìn)行 HARA 分析，還需要從 Security 角度進(jìn)行 TARA 分析，雙劍合璧，才能加固系統(tǒng)。

2.6.2  功能安全閉環(huán)設(shè)想

在區(qū)域控制器架構(gòu)下，不同 vECU 都會(huì)有自己的功能安全方案，有些方案甚至已有量產(chǎn)經(jīng)驗(yàn)，那么在做跨入融合如何降低集成成本？我們這樣設(shè)想，vECU 在運(yùn)行中感覺不到自己是虛擬環(huán)境里，那么我們?nèi)匀豢梢詮囊酝刂破鞯墓δ馨踩桨钢形〗?jīng)驗(yàn)。

英飛凌官方應(yīng)用筆記對于TC3xxSMU使用上強(qiáng)烈推薦與之搭配的PMICTLF35584、TransceiverTLE9252v，從而形成較為完整的系統(tǒng)級功能安全解決方案，如下圖所示：

圖34

TC3x 的 ErrorPin(P33.8) 與 PMIC TLF35584 的 Error PIN 相連接， 35584 在接收到相應(yīng)的錯(cuò)誤狀態(tài)后，可以通過 SSx(Safety State)腳再向外輸出錯(cuò)誤狀態(tài)，例如控制逆變器功能降級、通知 Transceiver 關(guān)閉通信等，使 ECU 進(jìn)入到安全狀態(tài)。

采用這樣的思路，在區(qū)域控制器的大背景下，需要解決的就是多 vECU 對于 SMU 的資源競爭。

我們以 SMU 中 Alarm 行為 IRQ 為例來預(yù)估這樣一條路徑，如下圖所示：

圖35

當(dāng)功能安全機(jī)制觸發(fā)對應(yīng) IRQ 行為的 alarm 給到 SMU 后，通過 IR 給到目標(biāo) CPU，然后就是中斷虛擬化的處理，Hypervisor 下對 VM 調(diào)度進(jìn)行上下文切換，并通知相應(yīng) VM 進(jìn)行功能降級。

如果使用到了 FSP，我們最關(guān)心的 Error Pin 繼續(xù)兼容 TC3x， 并在此基礎(chǔ)上新增了兩個(gè) PIN，這樣相對來說資源上是能夠支持與外部 PMIC 或者用戶自定義引腳相連。

在 TC4x 推出的同時(shí)，配套 PMIC TLF4xx85 也同時(shí)推出，提供整套電源管理方案。

2.7 TC4x在調(diào)試、標(biāo)定上的優(yōu)化

2.7.1 Overlay繼續(xù)沿用

TC1.8 繼續(xù)沿用 CPU 視角下的 Overlay，這個(gè)功能我之前已經(jīng)講過多次，主要是用于 XCP 中頁切換的實(shí)現(xiàn)同時(shí)也減少軟件標(biāo)定棧集成工作，具體如下：

當(dāng)我們在上位機(jī)選擇 WP 時(shí)，此時(shí)對應(yīng)下位機(jī)(ECU)應(yīng)該反饋 RAM 的值；選擇 RP 時(shí)，對應(yīng)下位機(jī)應(yīng)該反饋 Flash 的值，如下圖：

圖36

在最初沒有 Overlay 功能，要實(shí)現(xiàn)頁切換，需要定義多塊 RAM，其中包括一塊臨時(shí) RAM，如下圖：

圖37

切換 WP 或者 RP，為保證 WP 數(shù)據(jù)不丟失，此時(shí)需要將 WP copy 至 Temp RAM；然后將 Flash 值 Copy 至 RAM；而這樣內(nèi)存 COPY 對于資源消耗和性能都有比較大的影響，為此英飛凌基于內(nèi)核視角提出了 overlay 機(jī)制，如下圖：

圖38

這樣的好處在于，假設(shè)修改標(biāo)定量導(dǎo)致系統(tǒng)進(jìn)入臨界工況，例如車速突然增加(同一油門踏板開度，不同輸出曲線)；此時(shí)快速切回 RP，可有效降低工程事故。

需要注意的是，當(dāng)虛擬化開啟后，如何通過 MPU 、Hypervisor 來保證不同 VM 的資源隔離，特別是對于 overlay 的 Flash 的選定，這是需要在實(shí)際工程中進(jìn)行重新布局和調(diào)整。

2.7.2 調(diào)試系統(tǒng)

在調(diào)試系統(tǒng)上繼續(xù)沿用 TC3x 的 Debug 接口，例如 JTAGDAPDAPE； 不過針對 Trace 接口提出了新的優(yōu)化。整體架構(gòu)如下圖：

圖39

在之前我們做高速測量時(shí)供應(yīng)商都會(huì)針對 Trace 接口設(shè)計(jì)相應(yīng)的 POD 接口，具體結(jié)構(gòu)如下圖所示：

圖40

這對于 OEM 或者 Tier 1 在使用上有成本和性能上的綜合考慮。

在 TC4x 的設(shè)計(jì)中，Trace 的數(shù)據(jù)可以通過 SRI 總線路由到 ETH 和 SRAM；我們做出這樣猜想，在高速測量場景中，可以直接通過 ETH 將 Trace 數(shù)據(jù)給到上位機(jī)，這樣不僅節(jié)省了成本，也提高了效率：

圖41

在上圖中，Trace數(shù)據(jù)通過 Trace 模塊存放在 SRAM(作為臨時(shí) Buffer) ，CPU 僅需觸發(fā) DMA 搬運(yùn)數(shù)據(jù)到 ETH 模塊，通過 Ethernet 與標(biāo)定測量系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，雖然會(huì)消耗很少部分 CPU 資源，但是相較于之前 MCU 從通用性和成本上確實(shí)提升了不少。

2.8 工具鏈及生態(tài)解讀

2.8.1 集成開發(fā)環(huán)境及調(diào)試器

據(jù)統(tǒng)計(jì)，目前我們常用的商業(yè)版集成開發(fā)環(huán)境(含編譯器)Tasking、Hightec、GHS 全面支持 TC4x 產(chǎn)品，調(diào)試器勞特巴赫、iSystem、PLS 均已全面支持。

圖42

圖43

英飛凌也推出里免費(fèi)集成開發(fā)環(huán)境 ADS Limited，將代碼編寫、編譯、調(diào)試融為一體，供 TC4x 新用戶上手評估。

圖44

2.8.2 基于 TC4x 的 AUTOSAR 基礎(chǔ)軟件

英飛凌本身不提供 AUTOSAR 基礎(chǔ)軟件，但行業(yè)中的主流 AUTOSAR 工具鏈廠商都已完成了 TC4X 的適配，國產(chǎn)的包括東軟睿馳、普華基礎(chǔ)軟件、經(jīng)緯恒潤，國際廠商包括 Vector、ETAS、EB、SIEMENS 都對 TC4x 做了適配。

圖45 東軟睿馳基于TC4x的配套產(chǎn)品

#03

區(qū)域控制器MCU資源對比

#04

區(qū)域控制器市場前景預(yù)測

2019 年，特斯拉這條鯰魚帶來的汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化震撼人心，隨著這股風(fēng)潮的推動(dòng)，汽車電子電氣架構(gòu)逐步由傳統(tǒng)分布式 ECU 向域控/中央集中架構(gòu)方向發(fā)展。

在以往傳統(tǒng)分布式 E/E 架構(gòu)下，汽車智能化程度的提高主要依靠整車 ECU 數(shù)量的增加，往往一臺高端車型的 ECU 數(shù)量就超百個(gè)；然而 ECU 數(shù)量的增加勢必造成整車布線復(fù)雜冗長、線束成本劇增，同時(shí)不同 ECU 之間信息交互的效率和精度也大打折扣，為此域控概念開始提出。

博世關(guān)于整車EE 架構(gòu)的演進(jìn)在之前文章里已經(jīng)談過多次，它主要是依據(jù)控制器功能劃分為動(dòng)力域、底盤域、信息娛樂域、自動(dòng)駕駛域和車身域五大域控，這也是目前多數(shù) OEM 的架構(gòu)；

特斯拉領(lǐng)先一步，根據(jù)空間位置分為 CCM（中央計(jì)算模塊）、LBCM（左車身域控）、RBCM（右車身域控），這也是中央集中架構(gòu)的雛形。

雖然上述兩類控制器均帶有域，但是英語單詞上存在比較大的差異，

●   域控制器：DomainController，針對的是控制器功能，我們常見的是五域架構(gòu)：智駕域、座艙域、動(dòng)力域、底盤域、車身域就是此類域控制器；它按功能對整車布線，以提供對整個(gè)車輛的控制。但隨著智能網(wǎng)聯(lián)汽車發(fā)展，新的需求和功能導(dǎo)致ECU 增多（據(jù)統(tǒng)計(jì)智能汽車含 100-150 個(gè)ECU），汽車內(nèi)部布線逐步復(fù)雜。從電源到ECU 再到執(zhí)行器的連接導(dǎo)致了整車布線多半是打補(bǔ)丁的方式，冗余且浪費(fèi)。這種方式在未來智能駕駛的實(shí)現(xiàn)有著極大的擴(kuò)展限制。

●   區(qū)域控制器：Zonal Controller，面向的是整車空間的一個(gè)布局，在區(qū)域控制器下可能會(huì)實(shí)現(xiàn)多個(gè)功能，這也是下一代 MCU 考慮的事情，在硬件層面重新規(guī)劃 I/O 等硬件資源，打破域控架構(gòu)下的原有功能邊界，大大縮短了布線長度，簡化了電源和信號傳輸，并釋放了更多空間，為下一次電子電氣架構(gòu)演進(jìn)奠定了基礎(chǔ)。

當(dāng)架構(gòu)逐漸集中，對于汽車軟件功能新增和聚合的需求也日益凸顯。據(jù)《中國汽車基礎(chǔ)軟件發(fā)展白皮書》統(tǒng)計(jì)，智能網(wǎng)聯(lián)汽車運(yùn)行代碼量已經(jīng)高達(dá) 2 億行，在未來 L3L4 及以上級別的自動(dòng)駕駛汽車代碼量甚至?xí)黾拥? 億行 。代碼量的增加對汽車芯片的資源、算力、外設(shè)、性能的要求與日俱增，這對在汽車芯片占比高達(dá) 30% 的 MCU 提出了更大的挑戰(zhàn)，各大國際 MCU 廠商紛紛加大投入，融入新技術(shù)，即將推出的汽車 MCU 產(chǎn)品更像是一顆低端 SoC 芯片，這對以往基于 MCU 研發(fā)的工程師來說將會(huì)是一個(gè)新的領(lǐng)域。

那么具體來看，區(qū)域控制器會(huì)為整車帶來什么的好處？

1.線束減少影響整車重量

據(jù)統(tǒng)計(jì)，在當(dāng)前功能域架構(gòu)下的整車線束在 50-60 公斤，展開長度可達(dá) 5-6 公里，這對于電動(dòng)汽車的成本、日常使用續(xù)航等有著重大影響；采用區(qū)域架構(gòu)可以有效減少線束，減輕了車輛的重量。這對電動(dòng)汽車尤其有益，因?yàn)槊抗?jié)省一公斤就意味著里程的增加和性能的提高。特斯拉采用類區(qū)域控制架構(gòu)，將整車線束重量減小至至 20 公斤，大家可以發(fā)現(xiàn)在 18 、19 年續(xù)航里程上國產(chǎn)電動(dòng)車宣傳都有一點(diǎn)虛高，特斯拉則是實(shí)打?qū)崢?biāo)稱；

值得一提的是隨著車輛從 12V 電氣系統(tǒng)遷移到 48V 電氣系統(tǒng)，可以在更低的電流下提供相同的功率，從而減少電線的厚度和相應(yīng)的重量，這種重量進(jìn)一步得到改善。通過更細(xì)的線束和更簡單的布線，也為其他功能系統(tǒng)騰出了更多的空間。

2.提升整車制造裝配的效率

隨著區(qū)域架構(gòu)采用標(biāo)準(zhǔn)化和模塊化的設(shè)計(jì)，整車裝配線進(jìn)一步簡化，模塊化使得線束可以預(yù)組裝，標(biāo)準(zhǔn)化使得整車裝配模塊即插即用。這些進(jìn)步帶來了更大的靈活性，更容易自動(dòng)化，更少的錯(cuò)誤，并大大降低了電氣子系統(tǒng)的制造成本。

3.簡化OTA難度

在分布式甚至功能域架構(gòu)下，ECU 個(gè)數(shù)仍居高不下；如今智能網(wǎng)聯(lián)大背景下，汽車軟件 OTA 更加頻繁，因此 OEM 需花費(fèi)大量成本、人力資源來協(xié)調(diào)和管理 ECU 供應(yīng)商的軟件更新和管理。

在中央集成+區(qū)域控制架構(gòu)下，ECU 數(shù)量減少，中央計(jì)算平臺與區(qū)域控制器采用以太環(huán)網(wǎng)進(jìn)行數(shù)據(jù)交互，區(qū)域控制器下掛節(jié)點(diǎn)利用高速總線接入網(wǎng)絡(luò)，不僅簡化了 OTA 升級節(jié)點(diǎn)個(gè)數(shù)，還提高了 OTA 升級速度。

就目前來說，域集中已經(jīng)成為了汽車行業(yè)共識，我們可以從主機(jī)廠發(fā)布的域架構(gòu)可以看出，汽車電子電氣架構(gòu)沿著預(yù)軌道發(fā)展，正朝著中央式進(jìn)發(fā)，如下圖所示：

圖46

“ 中央集成+ 區(qū)控制器”架構(gòu)將是長期趨勢，也是當(dāng)前汽車未來研發(fā)重點(diǎn)。