汽车芯片安全自主化获得突破 中国首个通过功能安全认证的IP诞生

随着汽车智能化和网络化的发展，汽车信息安全和功能安全越来越受到关注。作为汽车安全的两个核心单元，汽车信息安全和功能安全的实现不仅对于保障道路交通的安全和顺畅，保护乘客和周围环境的安全具有重要意义，也有助于提高汽车制造商的声誉和竞争力，推动整个汽车行业的健康发展。

两个核心安全

目前汽车已经从传统的机械产品逐渐变为互联网和智能化的移动设备，车载系统与外部网络的连接使得汽车面临黑客攻击的风险。恶意攻击者可能通过远程入侵车载系统，控制汽车的各种功能，导致驾驶员和乘客的生命安全受到威胁。可以说，汽车电子化水平提高的同时，汽车信息安全的问题也日益突出。因此，发展汽车信息安全技术非常重要。

汽车信息安全的对象涵盖车载网络、车与车之间的通信、车与云端系统的连接等，通过保护车辆及人身安全所采取的一系列措施来实现防护，如设置安全带、安全气囊等，以及避免因外部威胁而导致车内敏感数据的泄露和引发的道路交通事故。

具体而言，汽车信息安全通过加密技术、访问控制、漏洞修复等手段来防止恶意攻击，保护汽车用户的隐私和安全。目前，汽车信息安全的标准主要包括ISO 27001、ISO 22737、ISO 22732等，这些标准为汽车信息安全提供了指导和要求。此外，各大汽车制造商也在不断制定和完善自身的信息安全标准和规范。

除了信息安全，随着汽车设备和系统的复杂性增加，设备故障或失效可能会导致事故和伤害，因此，汽车功能安全至关重要。汽车功能安全要求车辆在发生故障时，可通过一系列的措施来保护乘客的安全。为了实现功能安全，其开发需要遵循严格的标准和流程，包括故障检测、故障响应、故障报告等。目前，汽车功能安全的国际标准主要是ISO 26262，该标准为汽车功能安全提供了详细的指南和要求。

优化实现路径

近些年来，汽车信息安全和功能安全的实现方法和技术不断发展。汽车信息安全技术从最初的以硬件加密为主，发展到后来基于操作系统，再到现在的以应用层安全为主；汽车功能安全则从最初的机械安全为主，到后来的以电子安全为主，再到现在的以智能化和网络化为主。

针对汽车信息安全，欧盟在第七个研究和技术开发框架计划内共同资助了一个项目——EVITA，其目标是设计、验证和原型构建安全的车载网络，以保护安全相关组件不受篡改和敏感数据不受损害。该项目为基于V2X通信的电子安全辅助设备的安全部署提供了基础，并专注于车载网络保护。

EVITA 项目对车载硬件安全模块（HSM）进行了定义，并将其分为三个等级：Full、Medium和Light。这些等级的模块都具备安全存储（RAM，NVM）、对称算法（AES）硬件加速引擎、随机数生成器、安全CPU等基本功能。Full HSM还支持非对称算法（RSA，ECC）硬件加速引擎和哈希硬件引擎。

目前，EVITA HSM的实现方式主要有两种：内置HSM和外置HSM。内置HSM与MCU或SoC芯片集成在一起，通过IRQ以及Shared RAM进行通信，同时在flash区域隔离出只有HSM能够访问的安全区域。而外置HSM的功能与内置HSM大体相同，区别主要在于Host需通过其它方式与HSM进行交互，如SPI/UART/I2C等通信方式。

对于Full与Medium等级的HSM，它们能够支持安全存储（RAM，NVM）、对称算法（AES）硬件加速引擎、随机数生成器、安全CPU等基本功能。Full HSM还额外支持非对称算法（RSA，ECC）硬件加速引擎和哈希硬件引擎。这些功能使得EVITA HSM能够有效地保护车载通信单元和中央网关的安全性。

突破性进展

目前在汽车行业中，EVITA HSM作为安全可信根的角色得到了行业的普遍认同。作为一种车载硬件安全模块，EVITA HSM具有较高的安全性能和灵活的实现方式。值得注意的是，随着汽车系统控制的融合，汽车信息安全也需要具备功能安全的基础。不久前，安谋科技推出了面向智能汽车SoC的HSM解决方案⸺ “山海”S20F——一款支持功能安全能力的信息安全解决方案。安谋科技产品研发副总裁刘浩表示，该方案不仅支持国标和EVITA HSM信息安全标准，也是国内首个通过国际汽车功能安全认证的IP。对该公司而言， “山海”S20F是其全自主研发的首个面向垂直应用的IP，意义重大。

“山海”S20F默认符合EVITA HSM Full信息安全等级的定义标准，并通过可配置能力满足HSM Medium和Light等级的要求，实现智能汽车不同场景的安全需求。安谋科技安全产品总监耿建华强调， “山海”S20F各个部件都进行了功能安全设计。其核心部件硬件密码算法引擎通过了功能安全硬件Compliant功能安全产品认证，应对随机硬件失效达到ASIL B级别要求，软件测试库（STL）应对系统性失效可达最高等级ASIL D的要求，同时， “山海”S20F提供完整的符合Arm功能安全交付标准的功能安全包。

图1、“山海”S20F架构图

在软件安全能力方面， “山海”S20F具有安全启动功能，包括设备基础安全能力和提供HSM安全启动及AP侧安全启动实现方案。STL周期性校验核心部件算法引擎的可靠性，并配合硬件功能安全机制，平衡PPA。它还具有安全烧录功能，通过SaaS机制实现机密数据的安全写入。此外，它还具有随机数调校工具和其他软件功能，如HSM内部及AP侧驱动、低功耗管理， 并支持Arm TrustZone/TEE等。

“山海”S20FU是面向汽车的全栈解决方案，安谋科技安全产品架构师、高级技术总监吕达夫表示，该方案包括硬件（HSM、功能安全包、工具：真随机数校准和产线烧录工具）、软件（HSM启动和运行态固件、HSM外部软件栈、软件测试库）和云端服务（产线烧录云服务），其核心优势在于在满足信息安全的同时支持功能安全。

图2、“山海”S20F软件架构

“山海”S20F的核心安全引擎TrustEngine-800（追风），是一个密码算法引擎，包含国际通用算法以及中国商用密码算法。该硬件算法引擎默认支持Arm TrustZone和虚拟化，并且其算法及安全能力可以按需灵活配置，以满足不同 HSM 级别的需求。主要功能包括摘要算法、对称算法、非对称算法、OTP和真随机数生成器（TRNG）。它还支持多达16个Host同时访问，为虚拟化场景提供安全支持。其生命周期安全管理全面覆盖CM、DM1（Tier1）、DM2（OEM）、DD、DR等五个阶段。同时，它还具有DMA Link List模式的密钥管理功能。

图3、TrustEngine-800（追风）加解密引擎

吕达夫表示，做一个支持功能安全产品认证的IP涉及到功能安全机制设计、功能安全文档管理、管理与流程确认，以及从人员到工具的功能安全资源配套，其投入是没有功能安全产品认证IP的3倍， “山海”S20F的推出也证明了安谋科技安全工程团队的实力。

结语

产品定义由市场需求主导，目前， “山海”S20F已被包括舆芯半导体在内的多家国内芯片公司导入。与Arm架构无缝融合，支持Arm TrustZone、虚拟化等底层安全架构，和Arm的底层安全架构形成系统协同，以充分激活整个Arm安全体系的能力；既满足EVITA HSM规范又支持功能安全能力，从而为建立完善的智能汽车安全能力提供全方位保障；通过灵活的配置，满足车载计算场景对信息安全不同强度的要求，成为芯片的可信根，“山海”S20F的这些安全特性反映出构建智能汽车的芯片安全在信息安全和功能安全能力的充要条件上的发展动向，同时，该IP的诞生也为推动中国汽车芯片安全自主化进程提供了动能。