汽车芯片造芯，不可＂缺心眼儿＂！

汽车工业正在发生变化，汽车电子产品正变得越来越集中、连接紧密和更加复杂，整个供应链正在围绕这些转变重新调整。结束无期的疫情不仅众创了 2020 年的汽车销售，也给了主机厂以喘息的机会。不过，喘息过后，全球性缺芯危机来了，欧美全面停供中国汽车芯片，严重影响了中国汽车厂商的产能。

为解决卡脖子问题，主机厂自研芯片不是不可以，但远水解不了近渴，如何解得了燃眉之急？所以，还得寻找货源，怎样避免在饥不择食之际拿到赝品芯片呢？

1.造芯，谈何容易？

步入 2021 年，汽车芯片不足的危机只是开了一个头，彭博社预测，“中国的芯片短缺可能持续长达十年”，为此，中国企业需要增强其在供应链中的竞争力，加快芯片开发。其实，像特斯拉这样的大厂也曾抱怨，在测试 Mobileye 的芯片时发现，其算法不能改，而且无法实现快速迭代。为此特斯拉自研芯片于 2019 年面世。一些有实力的主机厂也都在未雨绸缪，规划自研芯片的事情，以免受制于人。

在发生致命事故后特斯拉和 Mobileye 结束了合作关系理论上讲，主机厂自己的芯片做好了，除了解决上游芯片厂商不能完全满足需求的问题，还可以建立自己的技术“护城河”。这就是继特斯拉、比亚迪之后，蔚来汽车也要自己造芯的原委。蔚来汽车董事长兼 CEO 李斌在接受媒体采访时表示：“自研自动驾驶芯片并不难，比手机芯片容易。”

真是这样吗？看看真正造芯的地平线创始人兼 CEO 余凯怎么说：“未来三年，是最关键的时间窗口，如果中国品牌在芯片和操作系统上不能够拿到中国智能汽车市场的前两名，我认为我们就已经基本上出局了。”这是他对整个大势的研判。

谈到造芯，他在接受采访时表示：“到今天为止，全球车企中真正自研芯片的只有特斯拉一家，其他的或许只是声音。就像智能手机产业，真正自研芯片的很少，绝大部分还是走分工协作的道路，专业分工才能带来效率。智能手机时代也有一些手机公司尝试过研发芯片，但都不是很成功。最后他们都用了高通和联发科的芯片。我认为，在产业链分工不明确时，这个边界是比较模糊的；最后分工会越来越明确，专业化的分工可以带来效率，专业的人干专业的事。”

的确，研发自动驾驶芯片要比手机芯片更难，就说满足车规这一条就够芯片厂商喝一壶的。至于车规 AI 芯片，用余凯的话说“必须是世界级的 AI 算法公司”才玩得转。简单的芯片或许可以，也没有自己造的必要，而复杂的芯片更不是一朝一夕能够实现的。

2.别拿芯片来赌命

芯片还有一个意思：筹码（Chip）。随着汽车越来越电气化，越来越多的汽车数据被数字化，需要更先进的电子设备，而组成这些电子设备的基础就是芯片。半导体行业专家警告说：车用半导体器件的选择也不是一件简单的事情，弄不好就是在拿芯片筹码赌命，为未来的汽车安全埋下隐患，等到整车因芯片缺陷大规模召回，肠子都得悔青了！

3.冗余之于汽车

为半导体行业无晶圆厂公司和 IDM 提供全面数据分析解决方案的 yieldHUB 的业务开发经理 Andre van de Geijn 说：“我去过很多汽车工厂，从测试角度看，有更多来自代工厂的信息正传送到装配和测试现场。在那里，必须进行数据合并，以确保器件正常工作。我们也看到，这些客户开始改变工作方式。过去，电机或发动机控制单元只有一个微控制器（MCU），现在不止一个。如果一个失效了，特别是对于那些关键系统，另一个将会接管。即使你可以做各种各样的测试和可靠性的工作，FMEA（故障模式和影响分析）显示，唯一的覆盖方法就是在 MCU 中为那些关键项目提供冗余。如果其中一个部件出现故障，需要由它们来接管。”

制程控制和量产管理领导厂商 KLA 的战略合作高级总监 Jay Rathert 也说：“几年前，我见了一家大型汽车主机厂的电子研发小组负责人。他说‘你还没有造过一辆车，你会为从零件中扣除一分钱的成本而争吵。我来自航空业，冗余是我们通常处理可靠性问题的重要方法——三台飞行电脑投票决定谁是对的。但汽车行业没有那种奢侈，我们只是想省一分钱。’整个汽车供应链都感受到很大压力，要使每个设备都可靠。冗余似乎是显而易见的途径，当然对片芯价格在 15 美元、20 美元或更高的高端零件来说的确是这样。但如果不是迫不得已，汽车公司不愿意把多个单元放进去，而宁愿寻找其他解决办法。”

4.芯片防伪的考量

新的供应链威胁正在出现，复杂集成电路和简单无源组件的造假手段越来越多，这两者都会影响使用这些组件的系统的功能和安全。在供货趋紧的情况下，主机厂可能饥不择食，采购到趁虚而入的赝品芯片。如何防患于未然？看看防伪专家如何解读。

·铤而走险的造假

只要有可靠的收入来源，造假就可能发生。Rambus 防伪产品技术总监 Scott Best 说：“每年有 700 亿美元的打印机耗材销往世界各地。对于造假者来说，这是一个难得的机会。他们花 1000 万美元拆开别人的安全芯片，进行完全逆向工程（完全合法），并打印一个功能克隆。如果你能做到这一点，克隆的芯片保证每年有 1 亿美元的产品流。”除了收入和利润的损失之外，安全问题也成为了当今人们关注的焦点，特别是在汽车市场。

Dust Identity 首席执行官 Ophir Gaathon 表示：“如果你买到一款假的 Gucci 包，那么还好，如果你买的安全气囊芯片是假的，含义就完全不同了。”

·信任要着眼于整个价值链

一些正在开发的新技术有助于主机厂在组装前和故障分析期间识别假冒组件来建立信任，而单个组件识别正成为这项工作的重要一环。西门子企业 Mentor 的信任链业务主管 Tom Katsioulas 表示：“信任需要着眼于整个价值链，从设计到制造，并仔细监控每一步。安全关乎数字资产；信任关乎有形资产；身份将两者联系起来。”

器件真伪的问题可能发生在供应商、承包商与供应商之间，或者发生在承包商与客户之间移动组件的过程中。所使用的防伪选项类型既取决于组件价值，也取决于假冒组件的后果。但通过专注于唯一识别一个组件的能力，就可以在最终系统组装时予以跟踪。

电子器件供应链·防伪与可追溯

防伪措施与可追溯性关系密切，独特的组件 ID 既解决了防伪问题，又可以在怀疑故障是由假冒组件引起时进行回顾。

可追溯性流程提供创建可靠、无缺陷数字 IC 软件工具的 OneSpin Solutions 信任和安全产品经理 John Hallman 说：“最大的问题在于能够识别器件，多年来有不同标签技术可以解决这一问题，现在有各种电子 ID，在硅片中有一个随机标识符，还有授权技术。我们将验证数据视为唯一标识符，用户可以在其中获取验证数据并使用区块链技术将其附加到 IP 上。”

实际上，其数据的每个位都是唯一的。Hallman 说：“这些数据可以保存在器件上，如果有人修改它，你就能看到。这种方法有助于查看一个 IP 或芯片，对其进行评估，并将其构建到一个器件中，以便它可以与该 IP 一起传输。其数据保持加密，并可连接外部数据库。”

·零信任态度

传统上，信任是通过组织层面的审查建立起来的。但是仅仅有一个被认可的供应商已经不够了。专门从事电子设计自动化的 Cadence 航空航天和国防解决方案主管 Steve Carlson 说：“你从一开始就假定自己对芯片是信任的。如果你做过一次验证，然后你说，‘好吧，现在它们是值得信任的，’那么就可以在系统内自由使用这些芯片了。”

零信任打破默认的“信任”新的方法是假设，在任何给定时间，如果没有证据，任何实体都不能被信任，不管过去已经给出了多少次证据。这被称为“零信任”，它把每一次互动都当作第一次。“零信任”就是“持续验证，永不信任”。提供完整的测试测量解决方案厂商 Keyfactor 物联网产品管理高级总监 Ellen Boehm 说：“当我们谈论零信任时，我们不想在各个阶段纳入先进的人工干预，自动化才是关键。”

事实上，“信任”的概念包罗万象，涵盖了许多具体要素，其中之一是人们是否相信进入系统的组件是真品还是赝品。为每个这样的组件分配一个唯一标识符——“序列化”，是实现组件身份验证的一个重要步骤。

·序列号的承诺

序列化可能是一个挑战。Gaathon 说：“序列化的最大问题是对特定序列号的承诺，让生态系统中的所有参与者都承诺使用相同的序列号，以及拥有一个能够回忆序列号的系统。”这就需要更复杂的方法。

无论是卫星、汽车还是高可用性计算机，电子系统都有极其复杂的供应链。芯片和无源组件被组装到电路板上，电路板被组装成模块，模块被组装成一个完整的系统。

Katsioulas 指出：“身份和识别码是有区别的。对于单个器件，在设计、制造和组装之间，在将芯片运送到现场之前，可能有三个、四个或五个标识符，还要创建一个由这些标识符组成的统一标识。”

同样重要的是，虽然一个组织内总有捣蛋鬼操作员的风险，但在供应链的不同参与者之间，甚至是属于同一个供应商的不同工厂之间转移组件或子组件时，就会出现许多漏洞。

·识别 IC 的黄金标准

2016 年，研究人员证明黑客可以通过远程访问和控制特斯拉 Model S 的制动系统、发动机、天窗、门锁、后备箱、侧视镜等。之后，特斯拉在其 SoC 中采用硬件信任根（HRoT）来加强安全边界。

目前，大多数 ID 的焦点都集中在硅芯片上，尤其是高价值组件。芯片的电子 ID 可以被询问和读取，无论是当芯片是孤立的还是当它安装在一个系统中。

芯片 ID 是一个电子可寻址 ID，用于可追溯性，它可以在制造过程中使用多种不同技术创建，而伪造 ID 的方式受到了更多限制。黄金标准是源于芯片本身 ID 的内部 HRoT。

采用信任根的硬件安全模块集成电路基础设施技术和服务供应商 PDF Solutions 业务开发部的 Dave Huntley 说：“另一种选择是基于实际器件的物理特性。当器件通电时，它会在那一刻创造出自己独特的 ID。”

实现这一点的方法有很多种，但最受关注的是物理不可压缩函数（PUF），比如用 SRAM 阵列的随机加电状态建立一个标识。因为 ID 是器件固有的，所以是不可变的。这是任何组件 ID 的一个重要特征。

在第一次通电时，这样的组件就会“注册”自己的 ID。从那时起，它就可以在制造过程中甚至在部署之后识别或“验证”自己。系统可以在每次通电时验证其所有芯片，以确保没有任何东西被篡改。

HRoT 有多种用途，包括充当公钥和私钥的种子。对于这些应用来说，为了保护这些密钥，HRoT 返回的实际值必须是机密的，这至关重要。它不应该离开器件。但根据定义，组件 ID 必须能够离开器件。所以组件 ID 也可以从 HRoT 派生，就像密钥一样。HRoT 值保持隐藏，而派生 ID 可以变为可见。

视觉线索也可以用来识别一个 ID。Huntley 说：“多光束（电子束）可以在硅器件上写上识别码——不是电的，而是视觉的——所以必须用电子显微镜来观察它。”这样做的好处在于，它是在电子测试流程之外创建的，因此不能像电子 ID 那样被玩弄，而电子 ID 和可视 ID 有可能一起使用。

·无源组件也有风险

无源组件，例如电阻器和电容器，通常被认为是低值组件，不值得像 IC 那样花费大量精力造假。但也有大量的尝试在伪造无源组件。Katsioulas 说：“我参加了 MTA 的假冒峰会，听到假冒电阻器和假冒电容器及其对供应链的影响时，我被吓坏了。”

Ford 说：“造假最多的是陶瓷电容器（condenser，尤指汽车发动机用）。这是因为市场供不应求。赝品看起来像电容器（capacitor），其行为就像电容器。唯一的区别是电介质的质量比正常的低。”

电容器也有质量高低这可能会对现实世界产生很大影响。Ford 继续说：“有一个特别的例子，一架空军喷气式飞机升空了，‘敌友（Friend or Foe）’电路失灵。他们认为其中一个大型 PGA 是伪造的。但问题出在陶瓷电容器，因为信号通过无源组件到达 PGA。”

许多这样的无源组件是卷带包装。因此，它们自然是序列化的，从理论上讲，可以单独进行进货检验。Huntley 说：“如果你有一个装满卷带的盒子，你可能会选择一些进行检验，先验证盒子，打开盒子，再打开卷带，在投入生产前读取后台的所有包装 ID。”

但今天，识别单个无源组件可能太麻烦了。取而代之的是，卷带有一个批 ID，任何无源组件都被认为来自该卷带。“验证每一个电容器可能是不值得的，”Huntley 说。不过，虽然系统无法追溯到特定的无源组件，但它可以追溯到组件来自的批次。

·真假难辨

来料质量检查也可能被蒙混过关。Ford 说：“有一个案例，我们看到有一卷 SMT 组件，前 100 个是真的，后面都是赝品。所以这是一个被掉包的案例，专门挑战进货检验制度。如果有人发现了问题，由于它如此随机，很难找到一条通往责任方的路。”

发现批量中的赝品难上加难

同时，并非所有的装配都是自动化的。Ford 说：“对于手工装配来说，这有点棘手，因为他们的零件箱里时不时会装满。因此，必须有一个程序来确保永远不会在一个箱子里混入不同批次的组件。”

批量的一个挑战在于，批量大小并不总是与装配需求相匹配。Ford 说：“假设你需要生产 100 个产品，在这 100 个产品上你使用两种特定组件。所以你要用 200 个组件。但组件是一卷 1000 个。所以 ERP 会分配给你 200 个组件。另外 800 个组件必须留在那里。与此同时，在另一条生产线上，一个家伙用完了材料。他不关心任何事情，只关心让他的产线运行，所以刚才剩下的 800 个组件中的一些被拿去，没有适当的跟踪。这在每一家制造企业都会发生，除非已经过渡到精益物料管理。”

5.把紧安全关口

过去，潜在缺陷通常是在稳定的环境中记录的，但在汽车中，这变得更加困难，因为汽车在非常不同的，通常是恶劣的环境中运行。主机厂似乎不想为冗余解决方案买单，那就更应该利用半导体厂商提供的各种验证方法严把质量关，何况汽车人命关天，又是一个有“汽车安规”的行业呢！