汽车SoC全生命周期功能+网络安全架构设计

随着汽车电子产业的快速发展，供应链中复杂的SoC设计，硅片生命周期管理(SLM)以及芯片现场监控和管理面临新的挑战。

要确保这些复杂设备正确和安全的运行，不仅需要功能安全来检查由于硅缺陷和老化导致的可靠性问题，还需要功能监控来应对功能安全、预期功能安全和网络安全问题。还要确保芯片在制造、供应链或现场使用过程中不受损坏。这通常通过芯片内部的信任根(RoT)和其他安全机制来实现。

通过将分层DFT、IJTAG (IEEE1687)和系统内测试(IST)等成熟的SoC测试基础架构，与片内嵌入式分析、供应链安全和芯片生命周期管理方法以及合作伙伴驱动的生态系统平台等先进技术和方法相结合，可以为SoC供应商在功能安全方面配备一个全面的基础设施，从而加速其下一代自动驾驶和连接到智能基础设施的软件服务的发展路线。

简而言之，通过构建SoC来集成用于传感器、安全和芯片标识的IP，并将这些IP与DFT IP作为成熟RTL-to-GDSII设计流程的一部分植入，SoC供应商可以为可信和安全的SLM奠定硬件支撑基础。

但是，随着这些设备中提供的敏感数据不断增加，可信SLM的硬件支持变得不足。业界需要发展软件Chip2Cloud基础设施平台、开放API和标准，以便通过安全的SoC数据访问来监控和管理供应链和使用现场的芯片，进而开展SoC嵌入式分析。这样的基础设施将赋能基于SoC的软件物联网服务，预计到2026年，垂直市场的价值将增长到4600亿美元。任何与功能安全相关的服务都将成为汽车、军用航空和工业物联网应用市场增长的核心。

如果SoC的架构能够支持包括制造期间的大规模零接触注册、供应链中的可追溯性、云端登录以及最终监控和管理汽车空中升级（OTA），那么软件Chip2Cloud基础设施可以通过与PLM和云服务提供商的合作来发展。芯片供应商专注于收集来自最终应用端的需求，作为其下一代SoC路线图的一部分。

SoC架构的整体视图

因为汽车应用的生命周期很长，所以需要对功能安全、网络安全和测试用例进行更具战略性和整体性的视角。

通过片内嵌入式分析和安全芯片访问启用的SLM，让SoC架构设计增加了一个新维度，因为它启用了过多的用例和服务。SoC架构师应预先考虑所有这些用例以及它们是如何影响SoC架构的。

支持SLM的下一代SoC架构的主要考虑因素包括：

· 嵌入式分析和诊断的片内观测广度；

· SoC安全和防护机制的RoT用例范围；

· 生成与每个芯片及其数据相关的唯一标识符的方法；

· 评估谁需要芯片数据以及如何授予访问权限；

· 规划SoC数据和嵌入式分析如何实现服务价值。

来自芯片的数据产生的任何经济价值均由芯片供应商负责。这是芯片安全和安全芯片访问必不可少的另一个原因。如果芯片供应商拥有其芯片内部产生的数据，他们就可以利用这些数据从服务中提取价值。如果芯片产生的数据是基于外部来源的数据输入，那么这些芯片必须能够安全地处理物联网价值链中与客户-供应商关系相关的数据和关键链。

这就是为什么由终端应用场景驱动的SoC架构，必须预先考虑芯片内的可观测性、安全性、身份和数据访问。

嵌入式分析和诊断的片内可观测广度

SoC架构的第一个考虑因素是芯片可能需要什么样的可见性，以及嵌入式分析需要什么数据。

此类数据可能用于分析可靠性、系统性能，甚至安全入侵。

假设所有车辆都100%在线也是不可行的。再加上安全功能需要对实时事件的低延迟响应，所以具有本地化事件响应的系统实现至关重要。与基于云的大型数据集统计分析共生的系统很可能是常规的实现方式。

来自较大数据集的统计反馈可在车辆的整个生命周期中使用，以帮助增强和改进系统的性能、功耗或可靠性。这些增强，包括对整个系统生命周期中的安全入侵的补救措施，可以在OTA软件更新中体现。

SoC安全和防护机制的RoT应用范围

SoC架构的第二个考虑因素与不断增长的敏感数据有关。也就是说，我们试图保护哪些数据以及访问SoC需要什么样的安全性？任何嵌入式分析数据都可能包括车辆及其用户的个人数据。这些数据对其他人也很有价值，不仅是那些对硅片测试和可靠性感兴趣的人。

当今的汽车SoC将信任根(RoT)用于一些狭窄的用例，例如密钥管理、安全启动、安全更新、安全存储、身份验证、证明等。然而，嵌入式SoC分析将需要支持其他用例，如安全测试访问、安全系统内测试操作和受限测试仪器访问。

根据所需的嵌入式分析和安全范围不同，可能会增加芯片连接和IJTAG网络的复杂性。此外，使用这种架构可以避免网络安全性（限制芯片访问）和功能安全之间的权衡，这原本需要大量访问来收集数据集进行分析。这种二分法是预先优化可信SLM的SoC架构（即设计安全）的基本考虑因素，这也是为什么在SoC架构规划的早期阶段，了解各种最终应用用例至关重要的另一个原因。

生成与每个芯片及其数据相关的唯一标识符的方法

SoC架构的第三个考虑因素是，每个芯片都需要有一个唯一且不可变的标识符，以便现场供应、数据收集、监控和管理等任何操作，都可以链接到每个芯片的历史和生命周期数据。

由于芯片被聚合到PCB中，随后PCB又被聚合到系统中，因此设备标识可能包含过多的标识符。这些将是把数字资产（垂直软件堆栈）的安全性与物理资产（水平价值链）的信任联系起来的关键，以便在供应链中建立出处和可追溯性。这种可追溯性可以通过不断发展的行业标准和API来实现，以缩小Chip2Cloud基础设施的差距。

GSA TIES主席Tom Katsioulas表示，这就是GSA可信物联网生态系统安全(TIES)计划与SEMI.org和IPC.org等标准组织建立联络关系，并推动标识符和协议使用案例的原因之一，该协议将安全与信任和区块链连接起来。

为芯片群体生成唯一标识符是RoT的另一个用例。它可在晶圆或探针测试期间第一次上电时生成标识符。此标识符可以链接到制造执行系统（MES），从而实现内部出处的可追溯性，或在包装期间链接到视觉标识符以实现外部出处的可追溯性。RoT要求在晶圆/探针测试的首次通电期间，注入或生成凭证和标识符。为了最大限度地减少开销，可以一起创建凭证和标识符。

注入标识符是在第一次通电（芯片诞生）时创建芯片身份的最常用方法。它需要一个受信任的设备和一个可能成本高昂的基础设施来实现流程自动化。私钥/公钥对在服务器中生成，并通过ATE发送到芯片。如果这是批量生产测试的一部分，则会向芯片发送命令和凭据，以生成芯片内的标识符。公钥保留在服务器中，而私钥只被注入芯片一次，并永远保留在那里。如果在封装后注入芯片标识符，则会增加管理SKU的开销。

内置标识符是一种使用现有DFT和ATE基础设施的新兴方法。它不需要受信任的设备。而是利用晶圆/探针测试设置和批量测试过程，将芯片标识符整体注册到服务器中。在SoC设计期间插入RoT并在第一次通电测试期间创建DFT电路和固有凭证。公钥被发送到服务器，私钥永远留在芯片中。这种方法可以实现安全设计生态，将芯片标识符零接触注册到服务器中，这对于在芯片诞生时在供应链中建立来源至关重要。

评估谁需要芯片数据以及如何授予访问权限

第四个SoC架构考虑因素是芯片需要哪些数据，谁需要数据，以及如何访问芯片并授予访问权限，从而基于每个芯片标识符安全地读取或写入数据OTA。供应链中有多个用例和受益者。SoC架构可以支持的用例越多，服务的潜力就越大。

从SoC架构的角度来看，授予访问权限可以像锁定和解锁IEEE 1149.1 JTAG以访问完整的芯片数据一样简单，也可以像通过IEEE 1687 IJTAG网络授予对特定传感器和IP的访问权限一样复杂。

从用户的角度来看，问题是哪些访问权限被授予在企业LDAP中注册的特定用户。从供应商/消费者的角度来看，问题是系统和应用程序提供商授予了哪些访问权限以及出于什么目的。

SoC供应商可能希望避免熔断JTAG以管理RMA。典型用例包括SoC供应商对特定批次芯片的诊断测试。此类测试通常通过将芯片退回供应商来完成。但是，通过基于身份的OTA管理，可以远程进行某些测试并降低成本。SoC供应商的另一个潜在用例，可能是通过启用/禁用软件调试来获取数据来进行SoC分析优化SoC架构。

在制造过程中，能够跟踪设备在各个测试阶段的进展情况非常重要，因为即使在制造的早期阶段，也可能会有某种形式的功能配置。如果设备本身包含内存和逻辑修复，则这些早期数据可以通过其身份链接到设备，并用作报告硅片健康状况的基线。可追溯性对于了解哪些裸片或芯片有没有或者有多少进入最终市场是必不可少的。因此，如果设备在灰色市场的某个时候出现，它们可以被禁用和拒绝，以避免不安全的硅片最终进入车辆。

ODM和OEM可能会关心每次通电时的芯片的安全认证和可追溯性，以便在供应链或现场使用中进行测试，从而确保芯片中没有新的缺陷或入侵。他们还可能关心与芯片标识符相关的设备性能和可靠性分析，以便监控设备的运行状况，并向用户提供反馈以进行预防性维护。

最终应用用例的识别，对于源自芯片的数据和分析的商业化也非常重要。已经有服务公司在车辆中使用这种安全数据。至关重要的是，这些第三方服务公司只能非常有限地访问他们需要的或者购买的数据。

规划SoC数据和嵌入式分析如何实现服务价值

超过2200万辆联网汽车每天通过可用的API提供超过40亿个数据点，应用程序提供商正在开发大量第三方服务和按使用付费的应用程序，以收集针对用户、保险公司、城市规划者和智能基础设施货币化的数据。当然，这仅适用于汽车市场。

功能安全是许多应用市场的核心，包括军用航空、工业和其他与智能基础设施相关的垂直市场。Chip2Cloud端到端解方案的合作关系，开始出现在以电子产品为核心的半导体行业。SoC拥有独特的机会来启用大量安全的物联网服务应用。

EDA、IP和SoC供应商必须与PLM、MES和物联网云服务供应商合作，才能参与软件物联网服务市场。在物联网服务价值4600亿美元的浪潮中，生态系统开始生长。落后者将被吞并，领导者将冲浪前行。