2.5 信息安全

2.5.1 TC4x信息安全系統概述

隨著 R155R156 、國家標準《汽車整車信息安全技術要求》等汽車網絡安全法規逐步強制執行，汽車網絡安全的重要性被提升了到新的高度，因此從 OEM 到 Tier 1 再到 Tier 2 急需從 Security 方面優化各自產品。

TC4x 系列在吸納 TC3x HSM 子系統的優點后，針對當前區域控制器重構信息安全系統，首創 CyberSecurity Cluster 的概念，規劃出 CSRM（ Cyber Security Real-time Module）和 CSS （ Cyber Security Satellite） 兩個子系統，如下圖所示：

圖29

CSRM 和 CSS 主要負責密碼算法硬件加速，除了支持國際密碼算法，還支持國家密碼算法 SM234 ，其中：

CSRM 包含：

●   非對稱算法加速引擎，支持 RSA 和 ECC；

●   隨機數生成器，支持 TRNG、DRNG 和 HRNG；

●   CSCU 用于與其他核通信、控制調試訪問、PIN 腳輸出等

CSS 主要用于對稱和摘要算法加速，包含：

●   內部私有 RAM 用于存儲密鑰和 IV；

●   內部支持多達 21 個通道(1 個給 CSRM 獨享)支持不同密碼任務；

在 Cluster里，除 CSRM、CSS 外，還包括 TC1.8替代 TC3x中HSMM3內核、內部獨立的 PFlash 和DFlash，同時可以用過軟件配置各種外設成為 Cluster 里的部件，例如配置 Secure SPI與外部 TPM 交互。在 inSE的大背景下，該方案提升了 OEMTier 1 在布局汽車網絡安全的靈活性和可靠性。

2.5.2 針對通信場景的優化

從上圖可以看到支持 sym 和 hash 算法的 CSS 在布局中更為靠近 Host CPU，這樣做的目的是什么呢？簡單來講，架構變化要么是性能優化，要么是安全優化，安全這塊目前看不出來，但是從性能的優化我們需要從特定場景進行思考。

在 CP AUTOSAR 中，基礎軟件開發工程師大多從 SecOC 入門信息安全。在現有 MCU 里，針對 SecOC 數據驗簽的做法通常是 Hsot CPU 將待校驗數據放置 Host 共享內存并置起請求 Flag，HSM CPU 側輪詢或者中斷接收該 Flag 后去共享內存獲取數據并進行加解密，如下圖：

圖30

這種針對 ECU 間的安全通信在當前架構下對 MCU 的 HSMSHE 等要求不算嚴苛，但是在區域控制器多功能融合、多 VM 通信的場景下，當前 MCU 就存在加密引擎實例和性能不夠、多 Host 通道不足的問題，例如當區域控制器里融合了網關和 BMS 功能，當二者同時要使用 HSM 時，勢必會形成資源競爭；

在車聯網的大背景下，TLS 被引入到 DoIP 安全會話流程，在車機端也被用于車云通信，而 TLS 的引入也帶來了巨大的通信負載（ 4 次握手，比 TCP 還多一次），流程定義了，那么只能在密碼服務的性能做優化。

為此 CSS 站了出來，它提供獨立的 SRISlave 接口（類似 TC3x 的 Bridge 模塊）來實現與 CPU 之間的通信，內置 21 個獨立通道和多個對稱、摘要實例來實現多主機的并行訪問，相較于之前 Host、HSM 之間交互，Host 僅需配置 SRISlave 接口里的特殊寄存器，即可完成 SYM 和Hash 引擎的使用。理論上省卻了 Host 與 HSM 通信交互，提供了多通道平行接口，確實可以提高不少效率。

咱們做出這樣一個暢想：在 SecOC AES-CMAC 校驗時只需要告訴引擎在哪里獲取數據，引擎自動獲取數據并分塊、填充完成數據校驗，不需要像以前通知 HSM CPU 去獲取數據，手寫代碼對數據進行分塊、做填充。從代碼層面上至少省卻了通信這一大模塊，然后減少 For 循環分塊填充數據到引擎的代碼，效率大大增加。

2.5.3 針對強標的對策

隨著車輛網的發展，汽車網絡安全已經被提升到了需要強制 OEM 考慮和執行的階段，耳熟能詳的就是 UNECE R155、 R156 以及對應國標《汽車整車信息安全技術要求》、《汽車軟件升級通用技術要求》。

以 R155 為例，讀過這份標準的同學應該最開始都是云里霧里，它主要涉及汽車的網絡安全管理體系（ CSMS）及特定車輛型式認證（ VTA）兩部分。

前者要求每個 OEM 都必須有一個穩定的網絡安全管理體系，但是沒有具體說應該如何去建立；后者要求 OEM 去識別特定車型的相關網絡安全風險，但傳統汽車人對這塊確實一頭霧水。

為此，ISO 和 SAE 與 2021 年聯合發布了 ISOSAE 21434 標準，旨在指導 OEM、Tier1 如何建立起有效的網絡安全組織，同時為車輛的整個生命周期(從研發到報廢)建立起有效的流程體系，以保證其免受信息網絡安全攻擊。

換句話說，R155 是指導性文件，告訴做什么；ISOSAE 21434 是執行性文件，告訴 OEM 怎么做。

圖31

由于 R155 針對 OEM 提出了宏觀綱領，那么分解到 Tier 1 、2 ，自然就需要 21434 來進行指導如何干活；

TC4x 信息安全子系統不僅符合 EVITA-Full，還通過了 ISOSAE 21434 的認證，英飛凌從企業內部建立起 CSMS(Cyber Security Management System) ，針對風險評估方法、概念階段、產品開發、運維、持續網絡安全活動等方面定義了相關流程，致力于輔助加速 OEM 針對 R155 的認證。

2.6 功能安全

2.6.1 SMU繼續發揮作用

如果說重構的信息安全系統是 TC4x 在跨域融合產品的亮點，那么 TC4x 的功能安全則是整個芯片正常運行的基石。

在 TC4x 中，大部分功能安全機制沿用 TC3x，而與我們開發最相關的 SMU 仍繼續發光發熱。在 TC3x SMU 的基礎上，新增了關于 Security Domain 的 alarm 處理模塊，同時設計了 Security 方面的 alarm；為滿足區域控制下多 vECU 對于 alarm 處理的資源競爭，設計了兩個 safety  alarm 處理模塊。

其結構如下圖：

圖32

雖然沒有了解到具體 Safety Manual，但是從 SMU 整體架構我們不難得出，所有功能安全機制觸發的 alarm 可以被分為三大類：

●   Safety相關的alarm；

●   Security相關的alarm；

●   Safety和Security兼顧的alarm。

因此，針對這些 alarm 的處理，首先就是需要選擇路由給哪些 alarm 處理模塊。在 SMU 模塊里提供了 alarm 選擇功能，可以根據寄存器配置路由給不同的處理模塊等，那么路由到目標處理模塊后，對應行為是什么呢？

不難推測，為實現 TC3x 到 TC4x 的平穩遷移，當然就是繼續采用內部行為和外部行為，如下圖：

圖33

內部行為對應 NMI、 IRQ、SYS_RESET、CPU_RESET，外部行為毫無疑問就是 FSP 等。

不過在 SMU_CS 的處理上，由于涉及到 Security，因此行為多在 Security 子系統里內部處理，包括 CSIRQNMIRET，以及特殊的對所有秘鑰上鎖、對 Debug 方面進行上鎖等。

針對信息安全子系統設計的相關 SecuritySafety 機制，解答了我一直以來的疑惑，Security 與 Safety 到底應該如何融合：個人理解，雖然 Safety 和 Security 有各自的重點和側重點，但它們的共同目標都是保護車輛、乘員和其他道路使用者的安全；同時二者關系也非常緊密，例如車輛的信息系統受到黑客攻擊或惡意軟件感染，可能會導致車輛失去控制、系統故障或其他安全問題，從而危及車輛和乘員的安全。

正如我們設計系統安全啟動功能時，不僅要從 Safety 角度進行 HARA 分析，還需要從 Security 角度進行 TARA 分析，雙劍合璧，才能加固系統。

2.6.2  功能安全閉環設想

在區域控制器架構下，不同 vECU 都會有自己的功能安全方案，有些方案甚至已有量產經驗，那么在做跨入融合如何降低集成成本？我們這樣設想，vECU 在運行中感覺不到自己是虛擬環境里，那么我們仍然可以從以往控制器的功能安全方案中吸取經驗。

英飛凌官方應用筆記對于TC3xxSMU使用上強烈推薦與之搭配的PMICTLF35584、TransceiverTLE9252v，從而形成較為完整的系統級功能安全解決方案，如下圖所示：

圖34

TC3x 的 ErrorPin(P33.8) 與 PMIC TLF35584 的 Error PIN 相連接， 35584 在接收到相應的錯誤狀態后，可以通過 SSx(Safety State)腳再向外輸出錯誤狀態，例如控制逆變器功能降級、通知 Transceiver 關閉通信等，使 ECU 進入到安全狀態。

采用這樣的思路，在區域控制器的大背景下，需要解決的就是多 vECU 對于 SMU 的資源競爭。

我們以 SMU 中 Alarm 行為 IRQ 為例來預估這樣一條路徑，如下圖所示：

圖35

當功能安全機制觸發對應 IRQ 行為的 alarm 給到 SMU 后，通過 IR 給到目標 CPU，然后就是中斷虛擬化的處理，Hypervisor 下對 VM 調度進行上下文切換，并通知相應 VM 進行功能降級。

如果使用到了 FSP，我們最關心的 Error Pin 繼續兼容 TC3x， 并在此基礎上新增了兩個 PIN，這樣相對來說資源上是能夠支持與外部 PMIC 或者用戶自定義引腳相連。

在 TC4x 推出的同時，配套 PMIC TLF4xx85 也同時推出，提供整套電源管理方案。

2.7 TC4x在調試、標定上的優化

2.7.1 Overlay繼續沿用

TC1.8 繼續沿用 CPU 視角下的 Overlay，這個功能我之前已經講過多次，主要是用于 XCP 中頁切換的實現同時也減少軟件標定棧集成工作，具體如下：

當我們在上位機選擇 WP 時，此時對應下位機(ECU)應該反饋 RAM 的值；選擇 RP 時，對應下位機應該反饋 Flash 的值，如下圖：

圖36

在最初沒有 Overlay 功能，要實現頁切換，需要定義多塊 RAM，其中包括一塊臨時 RAM，如下圖：

圖37

切換 WP 或者 RP，為保證 WP 數據不丟失，此時需要將 WP copy 至 Temp RAM；然后將 Flash 值 Copy 至 RAM；而這樣內存 COPY 對于資源消耗和性能都有比較大的影響，為此英飛凌基于內核視角提出了 overlay 機制，如下圖：

圖38

這樣的好處在于，假設修改標定量導致系統進入臨界工況，例如車速突然增加(同一油門踏板開度，不同輸出曲線)；此時快速切回 RP，可有效降低工程事故。

需要注意的是，當虛擬化開啟后，如何通過 MPU 、Hypervisor 來保證不同 VM 的資源隔離，特別是對于 overlay 的 Flash 的選定，這是需要在實際工程中進行重新布局和調整。

2.7.2 調試系統

在調試系統上繼續沿用 TC3x 的 Debug 接口，例如 JTAGDAPDAPE； 不過針對 Trace 接口提出了新的優化。整體架構如下圖：

圖39

在之前我們做高速測量時供應商都會針對 Trace 接口設計相應的 POD 接口，具體結構如下圖所示：

圖40

這對于 OEM 或者 Tier 1 在使用上有成本和性能上的綜合考慮。

在 TC4x 的設計中，Trace 的數據可以通過 SRI 總線路由到 ETH 和 SRAM；我們做出這樣猜想，在高速測量場景中，可以直接通過 ETH 將 Trace 數據給到上位機，這樣不僅節省了成本，也提高了效率：

圖41

在上圖中，Trace數據通過 Trace 模塊存放在 SRAM(作為臨時 Buffer) ，CPU 僅需觸發 DMA 搬運數據到 ETH 模塊，通過 Ethernet 與標定測量系統進行數據傳輸，雖然會消耗很少部分 CPU 資源，但是相較于之前 MCU 從通用性和成本上確實提升了不少。

2.8 工具鏈及生態解讀

2.8.1 集成開發環境及調試器

據統計，目前我們常用的商業版集成開發環境(含編譯器)Tasking、Hightec、GHS 全面支持 TC4x 產品，調試器勞特巴赫、iSystem、PLS 均已全面支持。

圖42

圖43

英飛凌也推出里免費集成開發環境 ADS Limited，將代碼編寫、編譯、調試融為一體，供 TC4x 新用戶上手評估。

圖44

2.8.2 基于 TC4x 的 AUTOSAR 基礎軟件

英飛凌本身不提供 AUTOSAR 基礎軟件，但行業中的主流 AUTOSAR 工具鏈廠商都已完成了 TC4X 的適配，國產的包括東軟睿馳、普華基礎軟件、經緯恒潤，國際廠商包括 Vector、ETAS、EB、SIEMENS 都對 TC4x 做了適配。

圖45 東軟睿馳基于TC4x的配套產品

#03

區域控制器MCU資源對比

#04

區域控制器市場前景預測

2019 年，特斯拉這條鯰魚帶來的汽車電動化、智能化、網聯化震撼人心，隨著這股風潮的推動，汽車電子電氣架構逐步由傳統分布式 ECU 向域控/中央集中架構方向發展。

在以往傳統分布式 E/E 架構下，汽車智能化程度的提高主要依靠整車 ECU 數量的增加，往往一臺高端車型的 ECU 數量就超百個；然而 ECU 數量的增加勢必造成整車布線復雜冗長、線束成本劇增，同時不同 ECU 之間信息交互的效率和精度也大打折扣，為此域控概念開始提出。

博世關于整車EE 架構的演進在之前文章里已經談過多次，它主要是依據控制器功能劃分為動力域、底盤域、信息娛樂域、自動駕駛域和車身域五大域控，這也是目前多數 OEM 的架構；

特斯拉領先一步，根據空間位置分為 CCM（中央計算模塊）、LBCM（左車身域控）、RBCM（右車身域控），這也是中央集中架構的雛形。

雖然上述兩類控制器均帶有域，但是英語單詞上存在比較大的差異，

●   域控制器：DomainController，針對的是控制器功能，我們常見的是五域架構：智駕域、座艙域、動力域、底盤域、車身域就是此類域控制器；它按功能對整車布線，以提供對整個車輛的控制。但隨著智能網聯汽車發展，新的需求和功能導致ECU 增多（據統計智能汽車含 100-150 個ECU），汽車內部布線逐步復雜。從電源到ECU 再到執行器的連接導致了整車布線多半是打補丁的方式，冗余且浪費。這種方式在未來智能駕駛的實現有著極大的擴展限制。

●   區域控制器：Zonal Controller，面向的是整車空間的一個布局，在區域控制器下可能會實現多個功能，這也是下一代 MCU 考慮的事情，在硬件層面重新規劃 I/O 等硬件資源，打破域控架構下的原有功能邊界，大大縮短了布線長度，簡化了電源和信號傳輸，并釋放了更多空間，為下一次電子電氣架構演進奠定了基礎。

當架構逐漸集中，對于汽車軟件功能新增和聚合的需求也日益凸顯。據《中國汽車基礎軟件發展白皮書》統計，智能網聯汽車運行代碼量已經高達 2 億行，在未來 L3L4 及以上級別的自動駕駛汽車代碼量甚至會增加到4 億行 。代碼量的增加對汽車芯片的資源、算力、外設、性能的要求與日俱增，這對在汽車芯片占比高達 30% 的 MCU 提出了更大的挑戰，各大國際 MCU 廠商紛紛加大投入，融入新技術，即將推出的汽車 MCU 產品更像是一顆低端 SoC 芯片，這對以往基于 MCU 研發的工程師來說將會是一個新的領域。

那么具體來看，區域控制器會為整車帶來什么的好處？

1.線束減少影響整車重量

據統計，在當前功能域架構下的整車線束在 50-60 公斤，展開長度可達 5-6 公里，這對于電動汽車的成本、日常使用續航等有著重大影響；采用區域架構可以有效減少線束，減輕了車輛的重量。這對電動汽車尤其有益，因為每節省一公斤就意味著里程的增加和性能的提高。特斯拉采用類區域控制架構，將整車線束重量減小至至 20 公斤，大家可以發現在 18 、19 年續航里程上國產電動車宣傳都有一點虛高，特斯拉則是實打實標稱；

值得一提的是隨著車輛從 12V 電氣系統遷移到 48V 電氣系統，可以在更低的電流下提供相同的功率，從而減少電線的厚度和相應的重量，這種重量進一步得到改善。通過更細的線束和更簡單的布線，也為其他功能系統騰出了更多的空間。

2.提升整車制造裝配的效率

隨著區域架構采用標準化和模塊化的設計，整車裝配線進一步簡化，模塊化使得線束可以預組裝，標準化使得整車裝配模塊即插即用。這些進步帶來了更大的靈活性，更容易自動化，更少的錯誤，并大大降低了電氣子系統的制造成本。

3.簡化OTA難度

在分布式甚至功能域架構下，ECU 個數仍居高不下；如今智能網聯大背景下，汽車軟件 OTA 更加頻繁，因此 OEM 需花費大量成本、人力資源來協調和管理 ECU 供應商的軟件更新和管理。

在中央集成+區域控制架構下，ECU 數量減少，中央計算平臺與區域控制器采用以太環網進行數據交互，區域控制器下掛節點利用高速總線接入網絡，不僅簡化了 OTA 升級節點個數，還提高了 OTA 升級速度。

就目前來說，域集中已經成為了汽車行業共識，我們可以從主機廠發布的域架構可以看出，汽車電子電氣架構沿著預軌道發展，正朝著中央式進發，如下圖所示：

圖46

“ 中央集成+ 區控制器”架構將是長期趨勢，也是當前汽車未來研發重點。