车规SoC芯片厂商征战功能安全，谁是最佳助力者？

　　当前，全球汽车产业正在经历着重大变革，伴随着ADAS/自动驾驶、V2X等领域创新应用的不断增加，智能网联汽车正在成为具备中央处理引擎的重型计算机。

　　这背后，智能网联汽车的连接性、复杂性日益增加，随之而来的还有庞大的行驶数据和敏感数据，潜在的安全漏洞点也日趋增多。

　　公开数据显示，目前一辆智能网联汽车行驶一天所产生的数据高达10TB，这些数据不仅包含驾乘人员的面部表情等数据，还包含有车辆地理位置、车内及车外环境数据等。

　　多位业内人士直言，网关、控制单元、ADAS/自动驾驶系统、各类传感器、车载信息娱乐系统等功能都需要具备防止安全漏洞的保护。在这其中，车规SoC芯片作为智能网联汽车的核心组件，设计人员必须预测每一种潜在的攻击，以防止对嵌入式系统和数据的非法访问。

　　新思科技（Synopsys）认为，智能网联汽车的安全威胁必须从车规级SoC开始解决。在车规SoC中集成功能安全和信息安全功能，有助于最大限度地降低汽车系统的风险。

　　智能汽车安全“升级战”开启

　　智能网联汽车正在成为最大的智能移动终端，围绕人、车、场景的相关服务数据正在爆发式增长，数据处理的需求随之增加，这不仅需要车规级SoC芯片提供更多的计算能力，还需要尽可能降低故障率。

　　数据显示，目前一辆汽车普遍安装了多达150个ECU并运行了约1亿行软件代码，这一数据随着汽车智能网联化的发展正在不断膨胀，预计到2030年可达3亿行代码。如果芯片自身的安全防护能力过于薄弱，将导致芯片运行的固件存在安全缺陷漏洞或者遭遇黑客攻击，将给驾乘及周边人员带来严重的安全威胁。

　　去年以来，多部门相继出台《关于加强智能网联汽车生产企业及产品准入管理的意见》、《汽车数据安全管理若干规定（试行）》、《新能源汽车产业发展规划（2021—2035年）》等，要求加强汽车数据安全、网络安全、功能安全和预期功能安全管理。

　　这就意味着，智能网联汽车在保证传统功能安全合规的同时，网络安全、数据安全等安全要求全面提上了一个更高的等级。

　　为了避免这些安全问题的发生，OEM厂商、行业组织等明确提出智能网联汽车的安全需要构建在安全的芯片基础上，需要在芯片级别上提供数据保护和功能安全。

　　《高工智能汽车》了解到，目前，包括宝马、奔驰、通用、大众等国际主流车企，以及长城、上汽、吉利、比亚迪等自主品牌相继对重要控制系统进行功能安全开发要求，并将供应商(参数|图片)的功能安全开发能力和产品功能安全能力作为供应链准入的要求之一。

　　各大车企一致认为，自动紧急制动、车道监控等ADAS功能都是建立半导体组件之上的。一旦汽车芯片失效将会引起汽车功能的紊乱，比如汽车突然加速或者无法刹车等，这对于车上所有乘客的生命安全都会造成威胁。

　　除此之外，由于汽车电子电气架构正在从分布式ECU架构转向集中式的域控制器架构，同时汽车芯片的设计要比此前更加复杂，这意味着单颗芯片的安全要求比以往任何时候都要严格。

　　“芯片已经成为功能安全、网络安全的中心。”有车企人士表示，汽车芯片必须从设计开始就考虑哪里会有弱点，除了ISO 26262功能安全标准所涵盖的系统与随机故障之外，还必须能够处理可能意外发生的恶意攻击。

　　资料显示，汽车芯片必须满足质量、可靠性和功能安全性的关键要求。其中，ISO 26262以其涵盖的系统风险等级评估标准ASIL等级是全球公认的汽车功能安全标准，覆盖汽车产品的全生命周期，包括功能安全管理、概念阶段开发、系统阶段开发、硬件阶段开发、软件开发、产品可靠性等所有环节。

　　实际上，为了从芯片IP开始解决功能安全问题，国际标准化组织（ISO）在2018年追加了汽车半导体的功能安全评估指南。如果要全部完全满足要求，这对于芯片厂商的要求十分严格。

　　新思科技认为，车规SoC必须要保证在全生命中期当中都是安全的、可靠的，避免ISO-26262标准所定义的灾难性故障的出现，并且防止系统性和随机性故障。

　　如何在车规SoC设计中解决安全问题？

　　由于不断演变的安全威胁，再加上新标准和市场要求，芯片设计人员正在寻找一条清晰的路径，将保护和安全功能融入车规SoC当中。

　　不过，由于高算力的要求，汽车SoC的技术门槛尤其高、设计极为复杂，不仅要考虑对不同底层操作系统的兼容性、软硬件协同验证，还需要考虑低功耗、车规级认证等问题。

　　更为重要的是，功能安全（Safety）和信息安全（Security）在设计阶段也有冲突的地方。业内人士表示，过度基于软件实现安全特性，会导致控制指令延时，从而影响功能安全特性的实现。如果要将功能安全特性和保护特性作为互不相关的功能添加到单一的多功能集成电路当中，很难找到最佳捷径方案。

　　以ADAS芯片为例，此前的设计方案往往会在ADAS芯片旁边放置一个专门负责设备安全管理的独立芯片，如今则需要把安全组件放在同一个ADAS芯片中。芯片设计者面临的挑战是，既要满足基本的车规级、ISO 26262的功能安全、性能、功耗和成本等要求，又要缩短设计和量产周期。

　　“汽车安全系统必须能够处理在系统生命周期中无预兆发生的所有恶意攻击。这其中，为汽车SoC系统设计高质量的安全防护尤为重要，最稳固的方法就是在SoC芯片当中集成硬件安全模块（简称HSM）。”新思科技ARC处理器IP产品市场经理Omar Cruz如此表示。

　　新思科技是第一家推出ASIL D双核lockstep处理器和安全管理器架构的公司，在汽车质量管理系统流程要求下，研发IP时充分考虑了硬件随机故障、AEC Q100可靠性测试等。其推出的ASIL D合规的DesignWare®ARC®SEM130FS安全与保护处理器IP，可以帮助设计人员保护安全攸关的系统免受软件、硬件和侧信道攻击，同时具备高性能和最低功耗的优势。

　　据了解，DesignWare®ARC®和EV处理器经过优化，可为嵌入式SoC提供业内最佳的PPA(性能/功耗/面积)，允许设计人员通过仅实现所需的硬件来优化其SoC上每个处理器实例的性能、功率和面积。

　　与此同时，DesignWare ARC SEM130FS处理器以及DesignWare ARC功能安全处理器，不仅提供了处理器IP本身，还为SoC开发人员提供一个经过ASIL-D认证的编译器以及一套全面的功能安全文档，全面简化SoC认证流程：

　　1、Synopsys IP业务部门质量管理体系(QMS)的质量手册

　　2、设计故障模式和影响分析(DFMEA)，聚焦于避免潜在的系统故障

　　3、故障模式、影响和诊断分析(FMEDA)聚焦于随机硬件故障（包括永久和瞬态故障）指标的评估

　　4、安全手册，包括适用情况、内部和外部安全机制和使用假设的描述

　　5、相关故障分析(DFA)，涵盖常见故障和级联故障（如适用）

　　6、安全案例报告，指出Synopsys将在内部用作审查和评估一部分的证据参考

　　7、包含ASIL B随机硬件故障和ASIL D系统故障的ISO 26262评估报告

　　除此之外，ARC SEM130FS安全与保护处理器还通过提供符合ASIL-D标准的解决方案，以及汽车环境中所需的所有必要的挂钩和安全机制，简化了安全关键应用的开发，并加速了汽车SoC的ISO 26262认证。其中包括了以下关键功能：

　　•预先验证的双核锁步处理器：基于低功耗SEM安全处理器的安全实现

　　•安全监视器：提供监视以确保主核和影子内核保持锁步操作

　　•错误检测和纠正逻辑(ECC)：处理紧密耦合存储器上的数据和地址错误

　　•集成看门狗定时器：启用对策以帮助从死锁情况中恢复

　　简单来说，芯片厂商只需采用DesignWare ARC SEM130FS处理器以及DesignWare ARC功能安全处理器，便能够快速完成汽车SoC产品的功能安全认证。

　　不可否认，在汽车电动化、智能化、网联化等大背景之下，整车电子电气架构正在由分布式向集中式架构演进。届时，由于电子电气失效导致的风险也越来越高，功能安全越来越备受重视。

　　比如在汽车芯片领域，除了AEC-Q汽车电子元器件可靠性检测标准以外，通过严苛的功能安全标准ISO 26262 ASIL认证已成了时下汽车供应链厂商们的准入规则。

　　“安全和可靠是未来汽车密不可分的核心关键。”Omar Cruz表示，作为车规SoC系统的关键大脑，安全管理器监控和管理SoC系统内的系统故障和实时故障，可以帮助芯片厂商满足ASIL-D级功能安全认证。

　　新思科技的DesignWare IP解决方案可用于车载信息娱乐系统、驾驶员高级辅助系统（ADAS）、网关和主流微控制器（MCU），并能够确保汽车应用的高质量和可靠性。

　　值得注意的是，目前新思科技的全套方案可以为数字时代的一切创新提供原动力。这其中，新思科技在整个汽车产业的开发中主要提供三大核心优势，全面加速汽车的创新。

　　比如，通过优化SoC和E/E架构，帮助开发者从前期设计需求到产品最终上市的所有环节都能够创建具备差异化优势的安全SoC芯片，从而保证软件定义汽车在开发和验证过程中减少可能遇到的设计错误，加速汽车的量产。

　　与此同时，在车辆上进行安全软件的部署，在满足复杂的车规质量体系的同时，不断顺应汽车应用在软件安全的变化，避免未来的安全召回，有效保护品牌。

　　未来，智能网联汽车尤其是具有自动驾驶功能的车辆，对于汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理将不断升级。

　　从芯片IP、车规SoC设计实现与验证到汽车电子电气架构和智能网联汽车安全软件的部署，新思科技都能够提供完整的信息安全保护车辆安全防护以及创新解决方案，在未来的汽车市场竞争优势已经非常明显。