英飛凌AURIX? TC4x最詳技術(shù)解讀

2.5 信息安全

2.5.1 TC4x信息安全系統(tǒng)概述

隨著 R155R156 、國家標準《汽車整車信息安全技術(shù)要求》等汽車網(wǎng)絡安全法規(guī)逐步強制執(zhí)行，汽車網(wǎng)絡安全的重要性被提升了到新的高度，因此從 OEM 到 Tier 1 再到 Tier 2 急需從 Security 方面優(yōu)化各自產(chǎn)品。

TC4x 系列在吸納 TC3x HSM 子系統(tǒng)的優(yōu)點后，針對當前區(qū)域控制器重構(gòu)信息安全系統(tǒng)，首創(chuàng) CyberSecurity Cluster 的概念，規(guī)劃出 CSRM（ Cyber Security Real-time Module）和 CSS （ Cyber Security Satellite） 兩個子系統(tǒng)，如下圖所示：

圖29

CSRM 和 CSS 主要負責密碼算法硬件加速，除了支持國際密碼算法，還支持國家密碼算法 SM234 ，其中：

CSRM 包含：

●   非對稱算法加速引擎，支持 RSA 和 ECC；

●   隨機數(shù)生成器，支持 TRNG、DRNG 和 HRNG；

●   CSCU 用于與其他核通信、控制調(diào)試訪問、PIN 腳輸出等

CSS 主要用于對稱和摘要算法加速，包含：

●   內(nèi)部私有 RAM 用于存儲密鑰和 IV；

●   內(nèi)部支持多達 21 個通道(1 個給 CSRM 獨享)支持不同密碼任務；

在 Cluster里，除 CSRM、CSS 外，還包括 TC1.8替代 TC3x中HSMM3內(nèi)核、內(nèi)部獨立的 PFlash 和DFlash，同時可以用過軟件配置各種外設成為 Cluster 里的部件，例如配置 Secure SPI與外部 TPM 交互。在 inSE的大背景下，該方案提升了 OEMTier 1 在布局汽車網(wǎng)絡安全的靈活性和可靠性。

2.5.2 針對通信場景的優(yōu)化

從上圖可以看到支持 sym 和 hash 算法的 CSS 在布局中更為靠近 Host CPU，這樣做的目的是什么呢？簡單來講，架構(gòu)變化要么是性能優(yōu)化，要么是安全優(yōu)化，安全這塊目前看不出來，但是從性能的優(yōu)化我們需要從特定場景進行思考。

在 CP AUTOSAR 中，基礎(chǔ)軟件開發(fā)工程師大多從 SecOC 入門信息安全。在現(xiàn)有 MCU 里，針對 SecOC 數(shù)據(jù)驗簽的做法通常是 Hsot CPU 將待校驗數(shù)據(jù)放置 Host 共享內(nèi)存并置起請求 Flag，HSM CPU 側(cè)輪詢或者中斷接收該 Flag 后去共享內(nèi)存獲取數(shù)據(jù)并進行加解密，如下圖：

圖30

這種針對 ECU 間的安全通信在當前架構(gòu)下對 MCU 的 HSMSHE 等要求不算嚴苛，但是在區(qū)域控制器多功能融合、多 VM 通信的場景下，當前 MCU 就存在加密引擎實例和性能不夠、多 Host 通道不足的問題，例如當區(qū)域控制器里融合了網(wǎng)關(guān)和 BMS 功能，當二者同時要使用 HSM 時，勢必會形成資源競爭；

在車聯(lián)網(wǎng)的大背景下，TLS 被引入到 DoIP 安全會話流程，在車機端也被用于車云通信，而 TLS 的引入也帶來了巨大的通信負載（ 4 次握手，比 TCP 還多一次），流程定義了，那么只能在密碼服務的性能做優(yōu)化。

為此 CSS 站了出來，它提供獨立的 SRISlave 接口（類似 TC3x 的 Bridge 模塊）來實現(xiàn)與 CPU 之間的通信，內(nèi)置 21 個獨立通道和多個對稱、摘要實例來實現(xiàn)多主機的并行訪問，相較于之前 Host、HSM 之間交互，Host 僅需配置 SRISlave 接口里的特殊寄存器，即可完成 SYM 和Hash 引擎的使用。理論上省卻了 Host 與 HSM 通信交互，提供了多通道平行接口，確實可以提高不少效率。

咱們做出這樣一個暢想：在 SecOC AES-CMAC 校驗時只需要告訴引擎在哪里獲取數(shù)據(jù)，引擎自動獲取數(shù)據(jù)并分塊、填充完成數(shù)據(jù)校驗，不需要像以前通知 HSM CPU 去獲取數(shù)據(jù)，手寫代碼對數(shù)據(jù)進行分塊、做填充。從代碼層面上至少省卻了通信這一大模塊，然后減少 For 循環(huán)分塊填充數(shù)據(jù)到引擎的代碼，效率大大增加。

2.5.3 針對強標的對策

隨著車輛網(wǎng)的發(fā)展，汽車網(wǎng)絡安全已經(jīng)被提升到了需要強制 OEM 考慮和執(zhí)行的階段，耳熟能詳?shù)木褪?UNECE R155、 R156 以及對應國標《汽車整車信息安全技術(shù)要求》、《汽車軟件升級通用技術(shù)要求》。

以 R155 為例，讀過這份標準的同學應該最開始都是云里霧里，它主要涉及汽車的網(wǎng)絡安全管理體系（ CSMS）及特定車輛型式認證（ VTA）兩部分。

前者要求每個 OEM 都必須有一個穩(wěn)定的網(wǎng)絡安全管理體系，但是沒有具體說應該如何去建立；后者要求 OEM 去識別特定車型的相關(guān)網(wǎng)絡安全風險，但傳統(tǒng)汽車人對這塊確實一頭霧水。

為此，ISO 和 SAE 與 2021 年聯(lián)合發(fā)布了 ISOSAE 21434 標準，旨在指導 OEM、Tier1 如何建立起有效的網(wǎng)絡安全組織，同時為車輛的整個生命周期(從研發(fā)到報廢)建立起有效的流程體系，以保證其免受信息網(wǎng)絡安全攻擊。

換句話說，R155 是指導性文件，告訴做什么；ISOSAE 21434 是執(zhí)行性文件，告訴 OEM 怎么做。

圖31

由于 R155 針對 OEM 提出了宏觀綱領(lǐng)，那么分解到 Tier 1 、2 ，自然就需要 21434 來進行指導如何干活；

TC4x 信息安全子系統(tǒng)不僅符合 EVITA-Full，還通過了 ISOSAE 21434 的認證，英飛凌從企業(yè)內(nèi)部建立起 CSMS(Cyber Security Management System) ，針對風險評估方法、概念階段、產(chǎn)品開發(fā)、運維、持續(xù)網(wǎng)絡安全活動等方面定義了相關(guān)流程，致力于輔助加速 OEM 針對 R155 的認證。

2.6 功能安全

2.6.1 SMU繼續(xù)發(fā)揮作用

如果說重構(gòu)的信息安全系統(tǒng)是 TC4x 在跨域融合產(chǎn)品的亮點，那么 TC4x 的功能安全則是整個芯片正常運行的基石。

在 TC4x 中，大部分功能安全機制沿用 TC3x，而與我們開發(fā)最相關(guān)的 SMU 仍繼續(xù)發(fā)光發(fā)熱。在 TC3x SMU 的基礎(chǔ)上，新增了關(guān)于 Security Domain 的 alarm 處理模塊，同時設計了 Security 方面的 alarm；為滿足區(qū)域控制下多 vECU 對于 alarm 處理的資源競爭，設計了兩個 safety  alarm 處理模塊。

其結(jié)構(gòu)如下圖：

圖32

雖然沒有了解到具體 Safety Manual，但是從 SMU 整體架構(gòu)我們不難得出，所有功能安全機制觸發(fā)的 alarm 可以被分為三大類：

●   Safety相關(guān)的alarm；

●   Security相關(guān)的alarm；

●   Safety和Security兼顧的alarm。

因此，針對這些 alarm 的處理，首先就是需要選擇路由給哪些 alarm 處理模塊。在 SMU 模塊里提供了 alarm 選擇功能，可以根據(jù)寄存器配置路由給不同的處理模塊等，那么路由到目標處理模塊后，對應行為是什么呢？

不難推測，為實現(xiàn) TC3x 到 TC4x 的平穩(wěn)遷移，當然就是繼續(xù)采用內(nèi)部行為和外部行為，如下圖：

圖33

內(nèi)部行為對應 NMI、 IRQ、SYS_RESET、CPU_RESET，外部行為毫無疑問就是 FSP 等。

不過在 SMU_CS 的處理上，由于涉及到 Security，因此行為多在 Security 子系統(tǒng)里內(nèi)部處理，包括 CSIRQNMIRET，以及特殊的對所有秘鑰上鎖、對 Debug 方面進行上鎖等。

針對信息安全子系統(tǒng)設計的相關(guān) SecuritySafety 機制，解答了我一直以來的疑惑，Security 與 Safety 到底應該如何融合：個人理解，雖然 Safety 和 Security 有各自的重點和側(cè)重點，但它們的共同目標都是保護車輛、乘員和其他道路使用者的安全；同時二者關(guān)系也非常緊密，例如車輛的信息系統(tǒng)受到黑客攻擊或惡意軟件感染，可能會導致車輛失去控制、系統(tǒng)故障或其他安全問題，從而危及車輛和乘員的安全。

正如我們設計系統(tǒng)安全啟動功能時，不僅要從 Safety 角度進行 HARA 分析，還需要從 Security 角度進行 TARA 分析，雙劍合璧，才能加固系統(tǒng)。

2.6.2  功能安全閉環(huán)設想

在區(qū)域控制器架構(gòu)下，不同 vECU 都會有自己的功能安全方案，有些方案甚至已有量產(chǎn)經(jīng)驗，那么在做跨入融合如何降低集成成本？我們這樣設想，vECU 在運行中感覺不到自己是虛擬環(huán)境里，那么我們?nèi)匀豢梢詮囊酝刂破鞯墓δ馨踩桨钢形〗?jīng)驗。

英飛凌官方應用筆記對于TC3xxSMU使用上強烈推薦與之搭配的PMICTLF35584、TransceiverTLE9252v，從而形成較為完整的系統(tǒng)級功能安全解決方案，如下圖所示：

圖34

TC3x 的 ErrorPin(P33.8) 與 PMIC TLF35584 的 Error PIN 相連接， 35584 在接收到相應的錯誤狀態(tài)后，可以通過 SSx(Safety State)腳再向外輸出錯誤狀態(tài)，例如控制逆變器功能降級、通知 Transceiver 關(guān)閉通信等，使 ECU 進入到安全狀態(tài)。

采用這樣的思路，在區(qū)域控制器的大背景下，需要解決的就是多 vECU 對于 SMU 的資源競爭。

我們以 SMU 中 Alarm 行為 IRQ 為例來預估這樣一條路徑，如下圖所示：

圖35

當功能安全機制觸發(fā)對應 IRQ 行為的 alarm 給到 SMU 后，通過 IR 給到目標 CPU，然后就是中斷虛擬化的處理，Hypervisor 下對 VM 調(diào)度進行上下文切換，并通知相應 VM 進行功能降級。

如果使用到了 FSP，我們最關(guān)心的 Error Pin 繼續(xù)兼容 TC3x， 并在此基礎(chǔ)上新增了兩個 PIN，這樣相對來說資源上是能夠支持與外部 PMIC 或者用戶自定義引腳相連。

在 TC4x 推出的同時，配套 PMIC TLF4xx85 也同時推出，提供整套電源管理方案。

2.7 TC4x在調(diào)試、標定上的優(yōu)化

2.7.1 Overlay繼續(xù)沿用

TC1.8 繼續(xù)沿用 CPU 視角下的 Overlay，這個功能我之前已經(jīng)講過多次，主要是用于 XCP 中頁切換的實現(xiàn)同時也減少軟件標定棧集成工作，具體如下：

當我們在上位機選擇 WP 時，此時對應下位機(ECU)應該反饋 RAM 的值；選擇 RP 時，對應下位機應該反饋 Flash 的值，如下圖：

圖36

在最初沒有 Overlay 功能，要實現(xiàn)頁切換，需要定義多塊 RAM，其中包括一塊臨時 RAM，如下圖：

圖37

切換 WP 或者 RP，為保證 WP 數(shù)據(jù)不丟失，此時需要將 WP copy 至 Temp RAM；然后將 Flash 值 Copy 至 RAM；而這樣內(nèi)存 COPY 對于資源消耗和性能都有比較大的影響，為此英飛凌基于內(nèi)核視角提出了 overlay 機制，如下圖：

圖38

這樣的好處在于，假設修改標定量導致系統(tǒng)進入臨界工況，例如車速突然增加(同一油門踏板開度，不同輸出曲線)；此時快速切回 RP，可有效降低工程事故。

需要注意的是，當虛擬化開啟后，如何通過 MPU 、Hypervisor 來保證不同 VM 的資源隔離，特別是對于 overlay 的 Flash 的選定，這是需要在實際工程中進行重新布局和調(diào)整。

2.7.2 調(diào)試系統(tǒng)

在調(diào)試系統(tǒng)上繼續(xù)沿用 TC3x 的 Debug 接口，例如 JTAGDAPDAPE； 不過針對 Trace 接口提出了新的優(yōu)化。整體架構(gòu)如下圖：

圖39

在之前我們做高速測量時供應商都會針對 Trace 接口設計相應的 POD 接口，具體結(jié)構(gòu)如下圖所示：

圖40

這對于 OEM 或者 Tier 1 在使用上有成本和性能上的綜合考慮。

在 TC4x 的設計中，Trace 的數(shù)據(jù)可以通過 SRI 總線路由到 ETH 和 SRAM；我們做出這樣猜想，在高速測量場景中，可以直接通過 ETH 將 Trace 數(shù)據(jù)給到上位機，這樣不僅節(jié)省了成本，也提高了效率：

圖41

在上圖中，Trace數(shù)據(jù)通過 Trace 模塊存放在 SRAM(作為臨時 Buffer) ，CPU 僅需觸發(fā) DMA 搬運數(shù)據(jù)到 ETH 模塊，通過 Ethernet 與標定測量系統(tǒng)進行數(shù)據(jù)傳輸，雖然會消耗很少部分 CPU 資源，但是相較于之前 MCU 從通用性和成本上確實提升了不少。

2.8 工具鏈及生態(tài)解讀

2.8.1 集成開發(fā)環(huán)境及調(diào)試器

據(jù)統(tǒng)計，目前我們常用的商業(yè)版集成開發(fā)環(huán)境(含編譯器)Tasking、Hightec、GHS 全面支持 TC4x 產(chǎn)品，調(diào)試器勞特巴赫、iSystem、PLS 均已全面支持。

圖42

圖43

英飛凌也推出里免費集成開發(fā)環(huán)境 ADS Limited，將代碼編寫、編譯、調(diào)試融為一體，供 TC4x 新用戶上手評估。

圖44

2.8.2 基于 TC4x 的 AUTOSAR 基礎(chǔ)軟件

英飛凌本身不提供 AUTOSAR 基礎(chǔ)軟件，但行業(yè)中的主流 AUTOSAR 工具鏈廠商都已完成了 TC4X 的適配，國產(chǎn)的包括東軟睿馳、普華基礎(chǔ)軟件、經(jīng)緯恒潤，國際廠商包括 Vector、ETAS、EB、SIEMENS 都對 TC4x 做了適配。

圖45 東軟睿馳基于TC4x的配套產(chǎn)品

#03

區(qū)域控制器MCU資源對比

#04

區(qū)域控制器市場前景預測

2019 年，特斯拉這條鯰魚帶來的汽車電動化、智能化、網(wǎng)聯(lián)化震撼人心，隨著這股風潮的推動，汽車電子電氣架構(gòu)逐步由傳統(tǒng)分布式 ECU 向域控/中央集中架構(gòu)方向發(fā)展。

在以往傳統(tǒng)分布式 E/E 架構(gòu)下，汽車智能化程度的提高主要依靠整車 ECU 數(shù)量的增加，往往一臺高端車型的 ECU 數(shù)量就超百個；然而 ECU 數(shù)量的增加勢必造成整車布線復雜冗長、線束成本劇增，同時不同 ECU 之間信息交互的效率和精度也大打折扣，為此域控概念開始提出。

博世關(guān)于整車EE 架構(gòu)的演進在之前文章里已經(jīng)談過多次，它主要是依據(jù)控制器功能劃分為動力域、底盤域、信息娛樂域、自動駕駛域和車身域五大域控，這也是目前多數(shù) OEM 的架構(gòu)；

特斯拉領(lǐng)先一步，根據(jù)空間位置分為 CCM（中央計算模塊）、LBCM（左車身域控）、RBCM（右車身域控），這也是中央集中架構(gòu)的雛形。

雖然上述兩類控制器均帶有域，但是英語單詞上存在比較大的差異，

●   域控制器：DomainController，針對的是控制器功能，我們常見的是五域架構(gòu)：智駕域、座艙域、動力域、底盤域、車身域就是此類域控制器；它按功能對整車布線，以提供對整個車輛的控制。但隨著智能網(wǎng)聯(lián)汽車發(fā)展，新的需求和功能導致ECU 增多（據(jù)統(tǒng)計智能汽車含 100-150 個ECU），汽車內(nèi)部布線逐步復雜。從電源到ECU 再到執(zhí)行器的連接導致了整車布線多半是打補丁的方式，冗余且浪費。這種方式在未來智能駕駛的實現(xiàn)有著極大的擴展限制。

●   區(qū)域控制器：Zonal Controller，面向的是整車空間的一個布局，在區(qū)域控制器下可能會實現(xiàn)多個功能，這也是下一代 MCU 考慮的事情，在硬件層面重新規(guī)劃 I/O 等硬件資源，打破域控架構(gòu)下的原有功能邊界，大大縮短了布線長度，簡化了電源和信號傳輸，并釋放了更多空間，為下一次電子電氣架構(gòu)演進奠定了基礎(chǔ)。

當架構(gòu)逐漸集中，對于汽車軟件功能新增和聚合的需求也日益凸顯。據(jù)《中國汽車基礎(chǔ)軟件發(fā)展白皮書》統(tǒng)計，智能網(wǎng)聯(lián)汽車運行代碼量已經(jīng)高達 2 億行，在未來 L3L4 及以上級別的自動駕駛汽車代碼量甚至會增加到4 億行 。代碼量的增加對汽車芯片的資源、算力、外設、性能的要求與日俱增，這對在汽車芯片占比高達 30% 的 MCU 提出了更大的挑戰(zhàn)，各大國際 MCU 廠商紛紛加大投入，融入新技術(shù)，即將推出的汽車 MCU 產(chǎn)品更像是一顆低端 SoC 芯片，這對以往基于 MCU 研發(fā)的工程師來說將會是一個新的領(lǐng)域。

那么具體來看，區(qū)域控制器會為整車帶來什么的好處？

1.線束減少影響整車重量

據(jù)統(tǒng)計，在當前功能域架構(gòu)下的整車線束在 50-60 公斤，展開長度可達 5-6 公里，這對于電動汽車的成本、日常使用續(xù)航等有著重大影響；采用區(qū)域架構(gòu)可以有效減少線束，減輕了車輛的重量。這對電動汽車尤其有益，因為每節(jié)省一公斤就意味著里程的增加和性能的提高。特斯拉采用類區(qū)域控制架構(gòu)，將整車線束重量減小至至 20 公斤，大家可以發(fā)現(xiàn)在 18 、19 年續(xù)航里程上國產(chǎn)電動車宣傳都有一點虛高，特斯拉則是實打?qū)崢朔Q；

值得一提的是隨著車輛從 12V 電氣系統(tǒng)遷移到 48V 電氣系統(tǒng)，可以在更低的電流下提供相同的功率，從而減少電線的厚度和相應的重量，這種重量進一步得到改善。通過更細的線束和更簡單的布線，也為其他功能系統(tǒng)騰出了更多的空間。

2.提升整車制造裝配的效率

隨著區(qū)域架構(gòu)采用標準化和模塊化的設計，整車裝配線進一步簡化，模塊化使得線束可以預組裝，標準化使得整車裝配模塊即插即用。這些進步帶來了更大的靈活性，更容易自動化，更少的錯誤，并大大降低了電氣子系統(tǒng)的制造成本。

3.簡化OTA難度

在分布式甚至功能域架構(gòu)下，ECU 個數(shù)仍居高不下；如今智能網(wǎng)聯(lián)大背景下，汽車軟件 OTA 更加頻繁，因此 OEM 需花費大量成本、人力資源來協(xié)調(diào)和管理 ECU 供應商的軟件更新和管理。

在中央集成+區(qū)域控制架構(gòu)下，ECU 數(shù)量減少，中央計算平臺與區(qū)域控制器采用以太環(huán)網(wǎng)進行數(shù)據(jù)交互，區(qū)域控制器下掛節(jié)點利用高速總線接入網(wǎng)絡，不僅簡化了 OTA 升級節(jié)點個數(shù)，還提高了 OTA 升級速度。

就目前來說，域集中已經(jīng)成為了汽車行業(yè)共識，我們可以從主機廠發(fā)布的域架構(gòu)可以看出，汽車電子電氣架構(gòu)沿著預軌道發(fā)展，正朝著中央式進發(fā)，如下圖所示：

圖46

“ 中央集成+ 區(qū)控制器”架構(gòu)將是長期趨勢，也是當前汽車未來研發(fā)重點。