国内首度支持功能安全,拿下最高等级认证。
电影《速度与激情8》有一个细思极恐的情节,反派通过黑客入侵汽车智能互联系统,控制全城汽车在街头疯狂冲锋肇事。
虽然电影表现手法略显夸张,但这并不是个完全脱离现实的脑洞。随着汽车“新四化”发展驶入快车道,越来越多汽车增加辅助驾驶和联网功能,如果安全系统出故障或被恶意攻击,数据泄露、功能失控、远程操纵等绝非天方夜谭。
安全始终是造车的首要前提,而所有汽车应用的安全建立在芯片的基础之上。在汽车芯片中,必须有一个安全、可靠、稳定的核心单元,为汽车电子电气系统提供硬件级别的强安全保护。
针对智能汽车安全刚需,11月9日,中国最大的芯片IP设计与服务供应商安谋科技交出了最新的答卷——“山海”S20F SPU。
据安谋科技产品研发副总裁刘浩分享,这是国内首款支持功能安全产品认证的信息安全IP产品,核心算法引擎和软件测试库均达到了ISO26262:2018国际功能安全标准ASIL D最高等级的系统能力认证,支持国际通用算法和中国商用密码算法,并通过可配置能力可满足智能汽车不同等级的安全需求。
没有安全,就不可能进入真正的智能汽车时代。面对前所未有的安全风险,智能汽车需要怎样的“安全大脑”?信息安全IP又能如何为构建智能汽车的“芯”安全提供全面保障?围绕这些焦点议题,智东西与安谋科技产品研发副总裁刘浩、安谋科技安全产品总监耿建华、安谋科技安全产品架构师兼高级技术总监吕达夫进行了深入交流。
发力车用市场的不止是“山海”SPU。刘浩告诉智东西,安谋科技自研的“星辰”CPU嵌入式处理器和“玲珑”VPU视频处理器已被大量应用于车芯上,“周易”NPU人工智能处理器也正朝更高算力的车载计算方向演进,同时在发力支持端侧大模型的技术布局,并保持长期稳健的研发节奏,满足产业对关键核心技术的需求。
01.汽车芯片安全迫在眉睫需要构建多层次安全护栏
汽车变得越来越智能,也正变得越来越危险。
根据国际能源署IEA今年10月发布的年度《世界能源展望2023》报告,中国是电动汽车最重要的市场,目前上路行驶的电动汽车中有一半以上在中国;预计到2030年,全球上路行驶的电动汽车数量将增至现在的近10倍。
随着汽车向智能化、网联化演变,汽车芯片需求正快速上扬。市场前景乐观,但做汽车芯片却不简单,一大难点便在于“安全”。
以前的汽车以机械为中心,系统相对简单,主要用于控制发动机和基本驾驶功能。
而近年来,汽车逐渐进化成一个以电子电气为中心的设备,装上越来越多的屏幕,有辅助驾驶、娱乐、通信等各种系统,并能进行互联网连接,越来越像“4个轮子的机器人”。
日趋复杂的电子电气架构和互联性,在改变司机和乘客出行体验的同时,带来了更多潜在的网络攻击和安全威胁,轻则散财,重则丧命。
一类是信息安全,旨在通过充分考虑数据加密、隔离等方式,保证汽车软件安全运行,避免隐私数据泄露、抵御黑客攻击,涉及车云安全连接、身份认证、车联网通信、数据加密传输等。
另一类是功能安全,与驾驶密切相关,目的是保护人身、设备、车机的安全,保障各类子系统的功能设计正常运行,避免因电子电气系统失灵而导致出现一些非人为疏忽的安全隐患,比如系统性错误、随机性硬件失效。
这对汽车芯片的安全能力提出了更高的要求。
“车规有点像交叉学科,是电子工程和机械工程的交叉。”安谋科技产品研发副总裁刘浩在ICCAD 2023发表主题演讲时谈道,“实际工作中,真正拥有汽车电子车规经验的人并不多。另外根据我们的经验,车规级项目的研发工作量大约是非车规级项目的2-3倍,并且车规级产品的认证时间也很长。”
对于汽车芯片企业来说,芯片的安全能力不可或缺,必须达到严苛的车规级标准,但这并非其研发的核心竞争力所在。相比自研,选购安全IP可能是一条更加省时省钱的路径。
芯片企业在非核心业务的安全方案上做投入,需要斟酌研发和运维的人力成本和费用开销。芯片IP公司则在追求技术领先性上更加全力以赴,做研发时相对没那么在意成本。
安谋科技安全产品架构师、高级技术总监吕达夫打了个比方,假如芯片企业自研安全方案的成本是100元,芯片IP供应商可能会花费200元成本,但如果以IP形式去提供给3家客户,那么就相当于把成本摊薄成67元。
通过采购成熟可靠的安全IP,企业能够更快地完成汽车芯片开发,构建适合智能汽车的独立可信计算环境。
02.国内首款支持功能安全产品认证的信息安全IP:软硬件协同,灵活可配置
针对国内智能汽车市场对高可靠性安全解决方案的共性需求,安谋科技本土研发团队历时两年打造了面向智能汽车SoC芯片的HSM(硬件安全模块)解决方案——“山海”S20F SPU。
这是国内第一款支持功能安全产品认证的信息安全IP产品,集硬件、软件、云端服务于一体,已面向客户正式交付并进入商用阶段,预计未来两三年会有多款搭载“山海”S20F的客户芯片产品陆续亮相。
刘浩解释说,芯片安全机制就像洋葱,可以一层层“剥”开,“剥”到最后的是安全可信根(Root of Trust),而HSM则是支持安全可信根的核心组成。
在汽车电子行业,HSM是一种被广泛认可的信息安全模块实现方式。“山海”S20F是一个能够植入汽车芯片内部的、实现物理隔离的HSM子系统,在芯片内完成数据访问、加解密等工作,无需与外部设备产生协同,能够防御相当一部分攻击。
“山海”S20F硬件内部有CPU、对外通信单元、存储器等元件。CPU可按需灵活集成Arm Cortex-M55、Cortex-R52等Arm IP以及安谋科技自研“星辰”STAR-MC2处理器。
为了保护车机敏感数据,欧盟在2008年启动的EVITA项目专门制定了HSM实现规范,并将安全等级划分为Full、Medium、Light。其中Full为最高安全等级,要求对称算法、非对称算法、哈希算法都必须是硬件化实现,同时HSM一定是一个内部有CPU的子系统。
灵活可配置是“山海”S20F的一大亮点。该安全方案既能满足Full级别,覆盖ADAS、智能座舱、汽车网关等对安全要求严苛的场景;又能通过可配置能力,适配Medium和Light级别的需求,适用于不同应用的车身域控制类芯片,以满足其注重芯片面积与安全性能相平衡的设计要求。
舆芯半导体汽车应用研发总监周敬肇认为,这给了下游芯片开发企业很大的灵活性。
从信息安全来看,“山海”S20F硬件中最核心的是加解密引擎TrustEngine-800,内部代号叫作“追风”,名同秦始皇的第一匹马。
作为生成密钥的关键模块,TrustEngine-800默认支持64位寻址,同时支持国内商用密码算法和国际通用算法,在满足全球通用标准的基础上,进一步契合本地化需求。这不仅为芯片设计企业在后续申请国密认证提供了一个很有必要的基础,同时也对计划国产汽车芯片出海、参与海外市场竞争提供了一个有力的安全保障。
非对称算法对于认证场景至为关键。考虑到量产上车的芯片产品大概有长达10至15年的生命周期,安谋科技在非对称算法上做到RSA8192,这个密钥长度在市面上很少实现,为日后的长周期运作预埋高级别安全保障。
此外,TrustEngine-800默认支持Arm TrustZone、虚拟化等底层安全架构,能够与Arm架构形成系统协同,并支持多达16个Host同时访问,为多种虚拟化应用场景提供安全支持。
从功能安全来看,“山海”S20F的“F”指的是功能安全(Funtional Safety),该子系统从硬件到软件均进行了功能安全产品认证,包括系统能力与随机硬件完整性认证。
国际《道路车辆功能安全》标准ISO 26262是首个适用于大批量量产汽车产品的功能安全标准,划分了从A到D的4个汽车安全完整性等级(ASIL),其中ASIL D等级要求最严苛。动力、底盘、网关、域控、辅助驾驶、自动驾驶等系统一般要求达到ASIL D等级,而仪表盘、座舱、车身等系统通常达到ASIL B就足够了。
经第三方权威功能安全认证机构exida认证,“山海”S20F的算法引擎的系统能力达到ASIL D最高等级,随机硬件完整性达到ASIL B等级,软件测试库(STL)也通过ASIL D等级系统能力认证,能够有效避免由设计实现错误或电子电气系统失灵造成的不合理风险。
据安谋科技安全产品总监耿建华透露,下一个版本规划会考虑将功能安全诊断能力做到ASIL D,为客户提供更多选择。
“山海”S20F还提供了符合Arm功能安全交付标准的功能安全包和丰富的软件,以方便客户将其集成到整个系统,加快芯片走向上市。
前文提到的软件测试库(STL)是一种提高硬件功能安全能力的业界通用做法。STL覆盖了包括对称、非对称、摘要等算法,会为硬件提供周期性诊断,并能在发现错误时及时汇报。
此外,安谋科技提供了TRNG随机数调校工具、安全启动解决方案、安全烧录等软件功能,并提供一些云端服务来帮助合作伙伴把关键密钥信息安全部署到HSM内部,从而进一步提高芯片集成效率、缩短上市时间。
03.全局视角做IP,六大优势加持
从技术与生态来看,安谋科技在面向智能汽车SoC的芯片IP领域都极具市场竞争力。
刘浩谈道,虽然安谋科技主攻IP研发,但其所有客户都是芯片、系统厂商,所以安谋科技不单单从IP的角度来考虑问题,而是把视角拔高到系统、芯片乃至生态的更上层,从全局角度去系统化地考虑问题,这样才能将IP做到最好。
总体来看,“山海”S20F SPU有6大优势:
1)功能完整的整体解决方案:在安全性上做得更多、更全、更好,兼具信息安全与功能安全能力,兼顾国内与国际安全认证标准,契合汽车安全核心诉求,并通过提供软件工具和云端服务,能够帮助客户快速完成SoC集成,将产品尽早推向市场。
2)支持灵活的定制化配置:可根据不同场景的不同级别安全需求进行灵活配置,减少相关集成的复杂度,有助于节约SoC或MCU集成的成本。
3)产品质量可信赖:获得了业界要求极为严苛的实验室exida所颁发的ISO26262:2018功能安全认证证书。安谋科技有高质量的研发体系保证,其安全工程团队的核心成员拥有超过20年的安全IP研发经验,在技术、产品和资源方面均有成熟经验,还专门组建了功能安全团队来指导内部开发及具体安全机制的设计工作。
4)交付流程有保证:安谋科技是Arm产品技术在中国的独家授权方、最大的客户。Arm在IC领域的开发已有超过30年历史,上世纪90年代在IP开发全流程方面有一套完整的项目管理经验,安谋科技与Arm所有IP产品遵循同样的流程标准,对于用户来说非常容易来上手,没有重新学习的成本。
5)本土研发,本地支持:“山海”S20F的开发和支持都是国内本土团队在做,分布于上海、深圳和北京,团队从产品定义阶段就与芯片、OEM合作伙伴一起深入沟通需求和解决问题,能够随时与客户面对面交流,快速响应客户诉求。
6)与Arm架构协同互补:Arm在1996年进入汽车领域,至今已有27年,形成有一套完整的车规级IP产品矩阵,“山海”SPU会持续支持Arm底层安全架构的演进。安谋科技在Arm CPU、GPU等通用计算IP基础上,通过异构融合本土创新的自研业务IP产品,将各个计算单元进行协同和互补,能够有效兼顾通用性与专用性,满足芯片企业的个性化定制需求,全方位加速车载芯片研发周期。
04.左拥Arm生态、右倚中国市场做汽车芯片的“桥梁”与“引擎”
“山海”S20F SPU是安谋科技安全团队面向智能汽车这个垂直赛道研发的第一款信息安全产品。
其安全团队全名为安全与物联网系统工程(SISE),2018年随着合资公司安谋科技的成立而组建,目前团队40余人,覆盖硬件、软件、云端服务,提供全栈安全解决方案。
此前该团队已经推出两代产品,2019年发布针对物联网(IoT)的“山海”E10/E20,2021年发布面向手机、平板电脑、数字电视等AIoT场景的“山海”S12,目前“山海”信息安全解决方案已累计授权70余家合作伙伴,已有不少客户做了集成并实现量产。
前两代“山海”SPU都是通用的加解密引擎,“山海”S20F则显著升级,打造首款内置加解密引擎的完整HSM子系统,并且从无到有的做到了功能安全能力。
刘浩认为,智能汽车市场对于安谋科技的未来发展而言至关重要。此前,Arm凭借低功耗和高性能等特性借着手机市场的东风发展壮大,未来该如何抓住汽车电子的东风,这是业界每个人都值得关注的问题。
面对车载智能带来的芯片升级需求,安谋科技的自研业务IP产品“山海”SPU、“星辰”CPU、“玲珑”VPU、“周易”NPU均已进行车用商业化布局。
“星辰”STAR-MC2嵌入式处理器获得了ISO 26262 ASIL D与IEC 61508 SIL 3等级认证,已被大量应用于汽车芯片上;“玲珑”V6/V8 VPU视频处理器也已经进入汽车市场,能够为智能座舱提供高清视频编解码能力;搭载“周易”NPU人工智能处理器的芯擎科技7nm“龍鷹一号”智能座舱芯片,已率先在吉利旗下领克08汽车上跑了起来。
“安谋科技(Arm China)的背后,一个是靠着Arm,一个是靠着China。”谈及安谋科技与Arm的关系,刘浩说,安谋科技一方面扮演“桥梁”的角色,承接Arm生态,把Arm世界一流的技术和产品引入中国;另一方面充当“引擎”,发力本土创新的自研业务产品,构建了较完整的本土IP供应链,推动国内汽车半导体向前创新演进。
“安谋科技是Arm IP进入中国市场的独家渠道,是Arm在中国最大和最亲密的客户。”他谈道,“对于我们来说,Arm让我们站在巨人的肩膀上看世界,去迎接挑战、拥抱机会。”
在他看来,安谋科技根植于中国、成长于中国,深入洞察本土厂商的切实需求,可以做到“非常接地气”,未来安谋科技将与Arm继续保持着长期稳固合作、互补的关系,努力实现共赢、多赢。
据他分享,安谋科技目前团队稳定,研发工作保持全力高速前进的节奏,自研业务产品路线图是长期且清晰的,我们非常清楚今年、明年、后年每一步的里程碑节点需要做的每一件事情。
05.结语:全球标准+本土创新,助建高可靠、强安全的智能汽车生态
汽车智能化、网联化进程加速向前,为产业链带来了崭新的发展机遇,也给汽车芯片研发带来了严峻挑战。应对本土市场所需,安谋科技推出遵循功能安全高等级规范的“山海”S20F SPU,并实现灵活可配置,能够满足不同安全需求,将选择权充分交给合作伙伴。
这是安谋科技朝着“沿袭全球标准,深化本土创新”迈出的最新一步。这家国内最大芯片IP设计公司,自研产品日渐羽翼丰满,通过与Arm通用计算IP协同互补,逐渐能够提供兼顾性能与安全的多元异构计算平台,助力本土合作伙伴打造高安全、高可靠的车规级芯片和智能汽车生态。
汽车电子电气架构正在经历一场持久的变革,国内针对汽车安全的多项标准正在制定,安谋科技等行业参与者也在积极参与一些标准化、平台化的工作,共同加快生态建设脚步,为推动智能汽车芯片产业发展构筑基石。