随着汽车“新四化”驶入快车道,安全链接、设备身份认证、数字版权管理(DRM)、V2X、云端OTA升级(FOTA)、数据的加密存储与传输等“强安全”应用场景对汽车安全的需求越来越高,必须要有足够安全能力的保障才能构建起整个安全体系。
作者:邵乐峰
随着汽车“新四化”发展驶入快车道,智能汽车电子电气架构日趋复杂化和集中化,由此带来的车辆信息安全场景也在与日俱增,例如云端链接、设备身份认证、自动驾驶安全保障、数据安全传输需求等,这对车载芯片的安全能力提出了更高要求,信息安全模块处理能力的实时性、可靠性等方面也亟待提升。
为了保护车机敏感数据,欧盟EVITA项目专门制定了硬件安全模块(Hardware Security Module, HSM)规范,并将其划分为Full(完整)、Medium(中等)和Light(轻量)三种等级,其中Full为最高安全等级。在汽车电子行业,HSM是一种被广泛认可的信息安全模块实现方式,其作为安全可信根的角色也得到业内的普遍认同与应用。
但另一方面,安全又是一个比较特殊的领域,中国、美国、欧洲各自有一套标准和算法,对于SoC芯片厂商来说,在选择布局安全IP产品时就非常敏感,例如是否是本土研发的IP就需要慎重考虑。
“早年间我在自动驾驶初创公司工作过,发现无论OEM、Tier1厂商还是投资者,包括政府,所有人对于自动驾驶关注的第一个问题几乎都是安全。“安谋科技产品研发副总裁刘浩日前在安谋科技“山海”S20F发布会上指出,汽车安全机制就像洋葱,“一层层剥开,最后的核心一定是Root of Trust(安全可信根),而山海SPU中的HSM就是支持安全可信根里最核心的一块。”
安谋科技产品研发副总裁刘浩
从“引擎”到“子系统”的跨越
了解安谋科技产线的人士应该都比较清楚,“山海”SPU系列是该公司面向安全领域推出的全栈解决方案,前两代产品:2019年发布的“山海”E10/E20和2021年发布的“山海”S12主要面向IoT/AIoT系统,而历时两年打造的“山海”S20F,则将目标锁定在了智能汽车市场。
据安谋科技安全产品总监耿建华介绍,“山海”S20F是一款既满足EVITA HSM规范,又支持功能安全能力的信息安全产品,默认符合EVITA HSM Full信息安全等级的定义标准,既可以覆盖ADAS、智能座舱、汽车网关等对安全要求较高的车载计算场景,还能通过可配置能力,支持Medium和Light级别需求,适用于不同应用的车身域控制类芯片,以满足其注重芯片面积与安全性能相平衡的设计要求。
安谋科技安全产品总监耿建华
与前两代产品相比,新一代“山海”S20F不仅提供硬件加解密引擎,还能配置CPU处理器以及对外通信单元、存储器等多种辅助元件,其中CPU处理器可按需灵活集成Arm®Cortex®-M55、Cortex-R52等Arm IP以及安谋科技自研的“星辰”STAR-MC2处理器,形成具有完整信息安全能力的HSM子系统,帮助客户快速完成车载SoC开发,构建适合智能汽车的独立可信计算环境。相比之下,“山海”E10/E20、“山海”S12则是通用的加解密引擎。
在安谋科技安全产品架构师、高级技术总监吕达夫看来,HSM的优势一是在于性能,因为HSM是直接植入到芯片内部的,不需要与外部设备产生协同,直接在内部就可完成数据的访问以及加解密等相关的工作,性能表现远远高于外部的离散器件;二是安全, HSM是在整个芯片边界之内的,没有向外暴露任何物理接口,防御了相当一部分的接触式攻击。
安谋科技安全产品架构师、高级技术总监吕达夫
其次,S20F的核心硬件和软件测试库也得到了ISO26262:2018功能安全认证,是国内首款支持功能安全产品认证的信息安全IP产品。具体而言,核心硬件密码算法引擎TrustEngine-800符合ISO26262:2018功能安全产品认证ASIL D等级的系统能力,以及ASIL B等级的随机硬件完整性要求,软件测试库(STL)也达到了ASIL D最高等级要求,能够有效避免由设计实现错误或电子电气系统失灵造成的不合理风险。
在算法方面,“山海”S20F的密码算法引擎TrustEngine-800支持国际通用算法以及中国商用密码算法,在满足全球通用标准的基础上,进一步契合汽车电子安全业务的本地化需求。此外,“山海”S20F可提供丰富的软件安全能力,包括安全启动、安全烧录、随机数调校工具等。
耿建华表示,在从通用产品到垂直行业的发展道路上,安谋科技之所以首先选择智能汽车领域,是因为随着汽车“新四化”驶入快车道,安全链接、设备身份认证、数字版权管理(DRM)、V2X、云端OTA升级(FOTA)、数据的加密存储与传输等“强安全”应用场景对汽车安全的需求越来越高,必须要有足够安全能力的保障才能构建起整个安全体系。
汽车,不只关注信息安全
如前文所述,在“山海”S20F支持的众多功能中,对功能安全能力的支持无疑是最大的升级亮点。之所以如此强调功能安全,耿建华解释说,功能安全包含两个维度:Security和Safety,前者保护数据,后者保护人身、设备、车机安全,并通过以下两类事项体现在ISO26262规范中:
一是系统性错误(Systematic errors),主要针对在产品定义、开发、生产阶段,因为考虑不周出现的问题,解决方法便是通过建立严格的流程体系进行规范;
二是随机硬件失效(Random hardware faults),这是在设备、车机运行过程当中,因为温度、湿度、压力以及时间周期等原因导致的硬件故障。这样的故障没有办法通过流程体系建设规避,只能在做产品设计时通过功能机制加以解决。
而在从传统汽车到智能汽车转变的过程中有非常多的信息安全诉求,所以需要一个稳定、可靠的信息安全IP为整个系统提供信息安全能力,绝不能出现“直到使用时才发现信息安全IP出了故障”的现象。安谋科技为S20F导入功能安全能力,正是出于这样的考虑,毕竟“这个功能安全能力是要保证自身信息安全HSM可靠性的”。
为此,该项目在立项之初就从硬件到软件进行了功能安全设计,并在研发过程中引入需要进行功能认证的实验,以确保第三方实验室的工作会伴随整个项目的周期,而不是将产品做完之后再交给实验室去做测试。
“山海〞S20F 功能安全证书颁发仪式
总体而言,S20F在功能安全上分为两部分:第一部分是系统安全能力在流程建设上达到ASIL D最高标准;第二部分是“山海”S20F产品本身硬件的完整性,或是在功能安全诊断能力上达到了ASIL D。而目前汽车行业涉及到信息安全的模块,大部分只达到了ASIL B。
在不同产品的导入层面,安谋也覆盖了ADAS、DCU、高性能MCU或域控等不同场景。“这些场景有要求ASIL D,也有要求ASIL B。其实对于整个芯片来讲,只做到ASIL B也是可以的,因为要看整颗芯片的覆盖范围。”耿建华透露称,“山海”安全方案的下一个版本会在功能安全诊断能力上做到最高级的ASIL D,为客户提供更多的选择。
值得一提的是,“山海”S20F还提供完整的符合Arm功能安全交付标准的功能安全包,内含比较关键的FMEDA(失效模式影响与诊断分析报告)、DFA(相关故障分析报告)、以及Software Test Library(软件测试库源代码)。
“虽然看上去只是几篇文档加一段代码,但它背后凝结了安谋科技研发团队夜以继日的工作。”吕达夫说,开发带有功能安全产品认证的IP,工作量是非功能安全能力IP的3倍,如果能够帮助合作伙伴进行汽车芯片产品设计及安全评估,进而确保功能安全能力的有效落地,所有的付出都是值得的。
还有哪些亮点?
首先在CPU上,S20F使用双核锁步(dual core lockstep),可以达到ASIL D功能安全等级要求。代号“追风”的TrustEngine-800引擎拥有更多安全能力,默认支持Arm TrustZone®、虚拟化以及汽车通用的异构架构功能安全岛(Safety Island)等底层架构,能够与Arm架构形成系统协同,并支持多达16个Host同时访问,为多种虚拟化应用场景提供安全支持。
算法方面,TrustEngine-800支持AES、RSA、SHA等国际通用算法以及中国商用密码算法SM系列。考虑到汽车电子拥有长达10-15年的生命周期,而上层软件在如此长的周期内用到的安全强度需求会很强,所以安谋科技在非对称的算法上做到了市面上少有的RSA8192密钥强度,给了用户更多选择。
在外围设备和总线上,S20F内部拥有自己的总线来连接各种外围设备,其中Mailbox作为HSM内部子系统的对外控制模块来存在;作为子系统需要有自己的存储设备,所以BootROM、SRAM都有相应的存储能力。“这些单元都会有相应的硬件安全机制。”
软件测试库(STL)为硬件提供周期诊断服务,一旦发现错误,有能力向上汇报,交给上层逻辑来进行进一步的处理。该软件测试库架构中立,支持不同CPU架构,覆盖加解密算法(非对称、摘要、对称),其他功能则由硬件功能安全机制支持。
同时,“山海”S20F还提供丰富的软件安全能力,包括OTP(One time Programming,一次性编程)、TRNG Calibration(真随机数校准)、Secure boot(安全启动)、Provisioning(配置工具)、产线烧录等软件工具,以及所有功能安全包文档来帮助合作伙伴更好地理解如何实现功能安全。
生命周期管理上,S20F提供了包括芯片生产、设备生产1(Tier1)、设备生产2(OEM)、设备部署、设备回收在内的五级Key Ladder,将系统性安全工程的每一个阶段必须有的安全考量到位。
目前,“山海”S20F安全解决方案已面向客户正式交付并进入商用阶段,预计未来两三年会有多款搭载“山海”S20F的客户芯片产品陆续亮相。
车规安全方案的形态之争
目前,汽车电子电气架构正在经历一场重大的革命,即从离散的ACU(Auxiliary Control Unit,辅助控制单元)向DCU(Domain Control Unit,域控制器)、Central HPC(中央高性能计算)方向发生了不可逆的演进过程。随着这个演进过程的不断推进,吕达夫认为汽车对于信息安全技术会提出以下几个明确的要求:
在功能安全能力方面,从早期的ECU(Electronic Control Unit),到现在的DCU,再到未来的中央集中式HPC,千差万别的芯片对功能安全的要求也各不相同。例如在智能座舱应用上的安全等级可能只需要ASIL B,而在ADAS、中央网关(Central Gateway)、DCU等应用场景上,可能要求ASIL C甚至ASIL D。
“所以在未来安全SPU演进路线上面,安谋也会将功能安全能力做到最高,同时做到可配置的,方便我们芯片的合作伙伴能够按照自身需求适配他们所需要功能安全的等级。”吕达夫说。
然后是性能,原来ECU的数据处理能力较弱,在不断演进的过程中,数据、计算将成为汽车技术中最关键的概念和名词。为了应对大数据的需求,性能一定也是未来SPU产品发展的重要方向。
那么,这样明确的演进趋势,会对安全芯片产品产生怎样的影响?
众所周知,目前的安全芯片基本采用两种形态:独立于主芯片存在的“离散型”和集成在主芯片里的子系统。吕达夫认为,汽车行业大概率会重演手机行业不断整合的趋势,即随着信息安全法律法规越来越详细,大家对于标准的认知越来越统一,安全芯片会逐渐由离散形态转化成集成形态。
但这两种形态间又不会是完全互相取代的关系,比如车规高性能计算HPC设备上使用的大芯片,集中式HSM能提供更大的算力、更好的性能和安全;而对安全级别需求不是很高的车用元器件,比如雨刮器、后视镜等部分,采用离散方式,更加灵活、高效。
结语
今天在汽车电子上发生的很多事,几乎都是20年前手机发展的翻版。20年前手机行业也是百花齐放,才发展到今天的繁荣。今天的汽车行业也是如此,传统车厂、造车新势力等一大批玩家在共同促进这个市场的演进,其大势与手机行业何其相似。
刘浩希望安谋科技所扮演的角色一方面是“桥梁”,把Arm全球领先的技术引进国内;另外一方面则是充当“引擎”,通过“星辰”CPU系列、“周易”NPU系列、“山海”SPU系列和“玲珑”VPU系列等多款面向车用领域的产品,为汽车芯片客户提供性能与安全兼顾的多元异构计算平台,推动国内汽车半导体向前创新演进,发挥“连接”和“推动”这两大作用。
责编:Lefeng.shao
本文为国际电子商情原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
