h1_key

  智能驾驶

  作为比肩智能手机颠覆功能机的智能终端产品，智能网联汽车给我们带来了更便捷、更智能、更舒适的空间体验。用户渴望能获得一辆越来越聪明，能够及时甚至可以提前预判自己需求的汽车，但这必然意味着，我们需要将自己的社会信息、行为数据乃至生物数据交给汽车企业，而这些数据就会同样面临被泄露的风险。

  近几年，汽车行业遭遇黑客攻击和勒索的情况屡见不鲜。随着车辆智能化程度的不断加深，一辆车上的弱点也越来越多。从门锁、车机屏幕到数据后台，乃至汽车企业本身，都在成为黑客们的攻击目标。工信部车联网动态监测情况显示，2020年整车企业、车联网信息服务提供商等相关企业和平台遭到的恶意攻击次数已达到280余万次。

  汽车信息安全的必要性

  在早期的汽车软件设计中，因为汽车本身很少与外界进行互联，人们并没有太多的考虑其信息安全性。随着软件定义汽车时代的来临，大量软件控制取代了传统的机械控制，并为我们带来了OTA、ADAS等新功能，汽车开启了万物互联的时代。然而，一枚硬币总有它的两面性，软件与互联网为我们带来便利的同时，也带来潜在的信息安全风险。

  传统的电子电器架构是以分布式为主，只有触摸屏人机控制会通过射频系统比如短信，电话等与外界相连，汽车总体风险窗口比较小。

  当汽车进入智能互联时代，黑客可以通过3G/4G/5G, 蓝牙，Wi-Fi等射频系统入侵篡改数据，使汽车的信息安全甚至行车受到威胁。随着域控制器，超级计算机，OTA，自动驾驶等汽车行业颠覆性技术的兴起，大量数据交互成为整车新的生态。新的交互方式为外部暴露了更多潜在的攻击窗口。据统计，现代汽车有90%以上的控制都是通过软件来实现的，因此，控制不断上升的安全风险，降低可能带来的潜在损失，是当前汽车行业开始投入信息安全的主要原因。

  信息安全要如何落地?

  针对车辆信息安全，全球都在加紧推出相关标准，包括ISO/SAE21434国际标准，以及联合国法规R155(信息安全与信息安全管理系统)和R156(软件升级与软件升级管理系统)。

  当前，国内的主要汽车信息安全法规主要还在制定阶段，主要的法律法规(包含征求意见稿)包括：《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》 (2021.08.12)，《汽车信息安全通用技术要求》，《汽车数据安全管理若干规定》，《信息安全技术 网联汽车 采集数据的安全要求》，《智能网联汽车信息安全评价测试技术规范》等。

  强标和合规的驱动力，让信息安全成为主机厂迫在眉睫的工作，但各大整车厂、Tier1的安全能力建设多数还在起步阶段，面临的挑战是全方位的。

  智能汽车信息安全涉及多领域的技术融合，需要结合整车电子电气架构、车云一体的业务场景，对功能安全、信息安全、网络、通信、计算平台、云服务与应用等技术领域进行技术融合。

  智能汽车的传感器、控制器，以及相关的车联网应用场景众多，包括云端、手机端、车端(车机、传感器、T-BOX、网关、ADCU等众多零部件等)，同时还有OTA、远程控制、近场控制等车联网业务场景，这都需要建立整车级信息安全设计规范。

  ST为智能网联汽车健康安全发展“保驾护航”

  汽车的信息安全涉及的领域广泛，包括通过无线或者无线连接方式侵入车辆的信息系统、软件或者固件IP的保护、数据或者指令完整性和有效性的保护、软件或者固件读写及服务更新的保护等等。这里我们主要谈及车用MCU芯片所承担的信息安全功能。

  ST正在量产的SPC58系列汽车MCU和已经试产的Stellar P/G/E系列MCU都带有嵌入式硬件信息安全模块(HSM)，以确保系统完整性、可靠的身份验证和数据的保密性。

  信息安全包括硬件(HSM)和软件信息安全，其主要特性有：

  · 机密性(Confidentiality)是指要保证数据的隐私不被非法泄露;

  · 信息完整性(Integrity)的定义是数据没有被“非预期的”或“刻意”篡改或损毁;

  · 可用性(Availability)，即数据是否可以被正常访问和使用，例如防止DOS拒绝服务攻击。

  ST还提供与HSM模块配套的固件和软件包，该软件包可在内核上完全执行加密和解密功能。可提供支持信任根(RoT)的基本功能，其中私有加密密钥可在微控制器生命周期内使用OTP空间内的专用位置进行保密。

  信息安全的应用场景包括：安全的ECU远程诊断和固件升级、安全通讯的随机数以及密钥交互、安全启动及实时数据代码的完整性检测、安全的生命周期管理、安全的板间通讯。

  当前，汽车信息安全实施方法还并不完善，选择具有丰富实践经验的合作伙伴能够大幅提升效率、降低成本。作为全球汽车电子市场领导者，意法半导体拥有30多年的研发经验和全方位的汽车产品组合，涵盖智能驾驶的方方面面。

  SPC58系列汽车级微控制器

  意法半导体SPC58系列汽车级微控制器，集成有完善的片上安全模块，包含有生命周期管理，外部调试端口的接入保护，内存保护以及HSM硬件安全模块。其中HSM模块拥有独立的PowerPC e200z0内核，满足SHE 1.1标准，支持真伪随机数生成，密钥存储交互，AES128加解密、CMAC生成和校验以及安全启动等，另外HSM FW有扩展RSA、ECC、HASH等加密算法，可支持EVITA Medium 到FULL的网络安全等级。

  SPC58家族主要的安全模块有：Flash保护、JTAG接入保护及加密引擎。SPC58家族主要有五个生命周期：ST Production，Customer Delivery，OEM Production，In Field，Failure Analysis。生命周期管理只能由ST Production向下推进到Failure Analysis，过程不可逆转。

  SPC58 HSM模块满足EVITA MEDIUM/FULL信息安全等级，最高主频可达100MHz，支持安全调试功能，具有至少40KB的零等待周期SRAM，具有真/伪随机数发生器。

  ▲图示：ST HSM固件和方案架构

  除了硬件产品，意法半导体及其合作伙伴们还为汽车应用提供完整的生态系统，不仅提供MCU硬件评估用的各种评估板，而且提供基于AUTOSAR的网络安全软件产品。用户还可通过低成本的SPC5 Studio集成开发环境对SPC5系列产品进行快速评估、原型设计。

  意法半导体联合经验丰富的汽车嵌入式软件合作伙伴，提供RTA解决方案支持整个SPC5 MCU家族的所有芯片，并且能够和ST的MCAL进行集成，进而降低客户的工具链成本和芯片切换成本。RTA解决方案包括ECU软件开发的基本软件模块和配置工具，支持完整的Classic AUTOSAR和Adaptive AUTOSAR方案。

  ▲图示：AUTOSAR HSM方案架构

  Stellar 高集成度汽车级微控制器

  Stellar高集成度汽车级微控制器是意法半导体近年推出的新产品系列，具有卓越的计算能力，可大幅简化多源软件并行确定性运行，同时确保最高的安全性和处理性能。这些功能符合下一代网联汽车的电气/电子(E/E)体系架构的系统要求。为此，Stellar系列引入了最先进的硬件支持虚拟化的处理器、服务质量设置、外设隔离，以及芯片互连层面的资源隔离等新功能，以确保不同应用软件功能的安全隔离，消除相互干扰。虚拟ECU电控单元可以在同一颗Stellar MCU芯片上共存，同时支持多个ECU的不同ASIL安全级要求。

  Stellar集成式MCU配备最多6个Arm Cortex®-R52内核(部分内核采用锁步模式，其他内核采用可分模式)，在大幅提高度实时和确定的处理能力基础上尽可能低的功耗。集成式MCU嵌入了高达20 MB的非易失性相变存储器(PCM)，不仅实现了快速读取访问，而且实现了1bit写入(在Flash存储器中不可用)，为使用NVM和RAM存储器的应用和软件带来了新的机会。其创新的双单元存储功能支持经济高效的OTA更新，可大幅节约存储器大小。这得益于意法半导体独特的NVM/PCM实现，可在汽车的整个生命周期期间提供标称存储器大小，不仅将OTA存储容量加倍，而且大量缩短OTA固件更新的所需时间。借助其双单元存储功能，20 MB的Stellar G控制器最多可存储2x 20 MB用于OTA重新编程目的，可显著节约存储器需求。能够通过更好地利用其硬件资源来管理日益增加的软件复杂性和集成，其独特的架构和基于硬件的虚拟化功能(沙盒化)基于Cortex®-R52和资源访问防火墙，可简化多个源软件在同一芯片上的开发和集成，同时确保安全隔离与性能。

  针对高效的ISO 26262 ASIL-D功能实现，该产品在所有架构层面上实施先进的安全措施。此外，ST先进的28nm的FD-SOI工艺不仅为Stellar 系列MCU提供更低的功耗和成本，而且大大提高了MCU的可靠性。由于FD-SOI工艺的寄生效应更小，对闩锁效应(latch-up)免疫，使得memory具有更低的软错误率和MCU具有更好的电磁兼容性。

  Stellar集成式MCU进一步提升了信息安全的软硬件设计，增强型EVITA Full安全功能通过快速硬件安全模块来实现，通过锁步加密引擎对模块进行扩展，以支持安全ASIL D功能并提供高速安全加密服务和安全网络验证，从而进一步保护制造商固件以及最终用户数据。

  包括Stellar P、G、E多个产品系列：✦ Stellar P系列旨在满足集成下一代动力传动系统、电气化解决方案和域导向型系统的需求，可实现更高水平的实时性能、安全性与确定性。✦ Stellar G系列解决了下一代车辆集成和区域导向型车辆架构的关键挑战，可确保性能、安全性与功率效率以及广泛的连接和高安全性。✦ Stellar E系列为满足电动车辆的特定要求量身定制，可确保功率转换和电动传动系统应用的高效执行。

  以即将量产的Stellar P6 为例，MCU内置多达六颗Arm® Cortex® R52处理器内核，其中有些是双核锁步运行，有些是分核执行任务，为应用提供失效保护冗余机制。这些机制使新产品能够为下一代汽车驱动系统、电动化解决方案和域控制系统带来高性能、实时确定性和升级功能。Stellar P6使用Cortex-R52的特色功能和防火墙来解决硬件虚拟化问题(sandboxing)，按需访问资源，这简化了在同一芯片上的开发和集成多源软件的工作，同时确保应用的安全隔离和性能。片上集成的快速硬件信息安全模块(HSM)增加了双核锁步加密引擎，支持ASIL D功能安全等级的信息安全功能，并可以实现增强的EVITA完整安全功能。Stellar P6 MCU还提供高速安全加密服务和安全网络身份验证，以进一步保护厂商的固件和终端用户的数据。

  Stellar G集成式MCU具有用于通过CAN、LIN和以太网网络进行安全数据路由的加速器，并提供大量通信接口(包括100/1000 Mbps以太网 – TSN、AVB、VLAN和EMC优化型SGMII – CAN-FD、LIN)以及外部存储器接口(如Hyperbus/OctalSPI和eMMC接口)。

  Stellar E系列驱动MCU旨在用于驱动需要更快的控制回路的功率转换应用，以便充分利用SiC和GaN功率技术产品。与此同时，它可以通过单个器件支持最先进的功能安全与保密汽车要求。

  意法半导体新能源汽车能力中心已经启动汽车信息安全解决方案的开发来支持客户的不同应用场景，信息安全的任何需求都可以通过Stellar 系列的相应信息安全解决方案来实现。