文︱ANN STEFFORA MUTSCHLER

来源︱Semiconductor Engineering

编译 ｜ 编辑部

现阶段，汽车产业逐渐向新的架构迁移，对安全、数据传输速度以及成本管控等都有着更高的要求。

无论从短期还是长期来看，汽车产业都面临着严峻的挑战。短期内，芯片短缺仍然是全球汽车制造商关注的首要问题。缺芯严重推迟了新车交付，中断了现有车辆的维修，极大地抑制了汽车产业的增长。随着上游晶圆厂不断扩大产能，供应链问题逐渐得到解决，但汽车市场真正达到供需平衡仍然需要一段时间。

“供应链短缺是2021年整体汽车市场中最主要的问题，预计这种情况将持续到2022年。”Cadence（楷登）汽车解决方案总监Robert Schweiger表示。“基于此，各公司开始寻求替代方案来解决芯片短缺难题，包括自主研发芯片，以及与晶圆厂建立战略合作伙伴关系。”

Ford（福特）和GlobalFoundries（格芯）的合作关系就是一个典型的例子。“这对2022年意味着什么还有待观察，但这表明供应链短缺对决策、合作伙伴关系以及汽车公司未来战略产生了一定的影响。”Schweiger表示。

芯片短缺问题使得芯片采购和工程人才逐渐成为业界关注的焦点，从而导致汽车产业发生了更长期、更根本的变化。“OEM和Tier1将增加其在软硬件方面的内部工程专业知识，”Synopsys（新思科技）汽车部副总裁Walter Wottreng表示。“工程师将推出更加灵活的电子电气架构，以便根据供应链需求快速重写软件，并集成替代芯片。此外，增加内部专业知识将会帮助OEM更好地应对供应链压力。因此，他们将更加了解芯片可用性，并与半导体供应链建立更直接的关系。”

实际上，汽车制造商和Tier1正在提高其应对芯片短缺的能力，例如通过开发软件为自身留有回旋之地。“在持续的芯片短缺中吸取了教训之后，为使其更适应最新硅设计，半导体供应商正在软件领域越来越活跃。” Elektrobit美洲副总裁Artur Seidel表示。“他们提供带有专用软件的芯片。这种耦合包括功能安全／信息安全（safety／security）组件，因此对客户来说是双赢的。例如高通收购Veoneer、瑞萨电子提供网关解决方案以及软件包。”

除此之外，一系列正在进行中的交易也反映了整个汽车行业的新发展和变化。“到2022年，汽车产业生态逐渐完善，半导体供应商、子系统提供商和原始设备制造商将建立更加协作的生态系统合作伙伴关系。”英飞凌美洲区汽车副总裁Lars Ullrich表示。“我们看到2022年对汽车半导体的需求将继续强劲，全球将推动未来汽车的数字化和电气化。”

汽车产业发生了哪些变化？

由于高度自动驾驶（HAD）车联网（V2X）和软件密集型系统的增加，汽车产业其中一个重大变化是对汽车安全性能的关注，尤其是软件安全性，Wottreng表示。

西门子EDA汽车IC测试解决方案经理Lee Harrison也指出，多层安全性和产品可靠性是汽车IC面临的最大挑战之一。

“信息安全逐渐开始引起广泛的关注。越来越多的研究和投资来尝试解决和理解安全问题。此外，可靠性和数据采集对于全新的高级ADAS系统至关重要，该系统采用了最新的技术节点，没有历史可靠性数据可作为根据，”Harrison表示。“汽车应用的设计需要考虑信息安全性，以确保外部代理无法访问敏感数据。过去，这是个有些特殊的要求，并且为了满足这些特定要求而实施定制化解决方案是很常见的。然而，近年来，随着半导体行业在汽车和网络物理系统领域的爆炸式增长，围绕信息安全测试和监测的需求已成为主流。如今，芯片制造商需要将安全技术扩展到多个不同级别的SoC开发中，以便在深度防御解决方案中提供最佳覆盖范围。”

“即便所有人都说，从业务驱动因素来看，信息安全从来都不是主要的，但它始终仅次于主要驱动因素，”Tortuga Logic首席执行官Andreas Kuehlmann认为。“主要驱动因素更多像是汽车功能安全，而在医疗设备中，则是隐私和病历。当我们谈论受监管的行业合规性时，信息安全始终是这些主要业务目标所需的基本要素。对于汽车行业来说，最大的警钟是Jeep Cherokee事件，两名黑客成功入侵汽车，远程控制发动机、转向系统等，造成车辆行驶失控。”

Kuehlmann指出，这对整个汽车行业来说是一个警钟，也是一个积极的信号。“他们意识到汽车安全不仅仅是功能安全问题。与汽车一般可靠性不同，安全性就像一个开关。对于损坏的机械零件来说，通常意味着其中小部分是坏的，但大多数是完好的，但这个比例会随着时间的推移而变化。汽车行业实际上非常擅长测量和监控安全风险，并进行汽车召回。若汽车超过了某个损坏部件的阈值，如果是安全气囊或车辆的其他方面，汽车OEM会进行大规模召回，这是一个纯粹的经济决定，”他表示。

网络安全改变了这个等式。“如果一辆特定型号的汽车容易受到攻击，那么道路上的所有汽车都是脆弱的，这意味着你可以同时入侵所有汽车，”Kuehlmann称。“这个问题是全新的，而且不仅会出现在汽车领域。这就是为什么董事会很难理解网络安全的含义。传统的风险管理工具并不直接适用于此。你可以随心所欲地进行预防，但是如果有人发布了如何破解汽车XYZ，并在互联网上发布，那么所有汽车都会突然变得脆弱。通过翻转开关，您可以操控汽车，这是非常基本的东西，也是汽车行业所理解的。”

汽车经济2．0

标准化管理是汽车行业解决这些问题的关键方法，这些标准在过去已被证明可以有效地控制整个生态系统的成本。以下一代整车级架构解决方案为例，区域控制器尤其重视汽车行业标准化，许多汽车制造商，包括一些使用先进工艺节点的制造商都在积极布局。

“在先进节点上开发区域控制器的成本将很高，＂Cadence的Schweiger表示。”对于高昂的成本，很多公司都会通过大批量产销来均摊成本。这意味着某家公司在开发出区域控制器之后，会将其技术提供给他们的竞争对手乃至整个行业，以提高销量。在汽车领域可以观察到——例如，AUTOSAR——早期采用者考虑将AUTOSAR作为汽车操作系统，随后他们开始提出自己的建议。然后，他们试图将更多的汽车公司聚集在一起，形成一个联盟，最终共同开发一种新的标准，一种像我们今天这样的开放标准。如今，数百家公司是AUTOSAR组织的一部分。汽车产业以开放标准为主，而不是定制化解决方案。这就是为什么使用区域控制器和区域架构，我们可能会再次看到一些公司将面临巨大挑战，并试图提出自己的解决方案，而为了解决成本问题，这些解决方案将逐渐成为对许多公司开放的标准。

这也适用于安全经济。“特别是当我们谈论汽车通过OTA更新、V2V通信、V2I通信时，网络安全逐渐变得越来越重要，＂Kuehlmann称。”如果没有预防措施，如果不将安全性融入产品中（不仅要融入产品，还要融入整个基础架构），我们将面临巨大的安全风险。安全性是自主开发速度有所放缓的部分原因。汽车网络安全面临的挑战是非同寻常的，这与我们过去所知道的不同。

但是，理解这一点和制定相应计划是两回事。保障汽车安全需要在初始架构中内置安全层，并需要有足够的灵活性来适应已知的新威胁。对于一辆可能在路上行驶几十年的汽车来说，恢复力至关重要。

这是一个叫做“深度防御”概念的核心。根据西门子Harrison的说法，深度防御涉及一系列技术，这些技术可以在设计的不同级别上实施，以构建防御环，使用相对简单的概念为设备引入许多级别的保护，并提供针对恶意攻击的重要防御。

其中一些概念是被动的，提供了一种防止访问的安全锁。而其他技术是主动的，可以在检测到威胁时采取规避措施。如果BiST控制器配置为非预期模式，或者根据总线哨兵分析监视器收集的数据阻止非法总线任务，这可能就像重置设备一样简单。

图1：深度防御模型（图源：Siemens EDA）

嵌入式分析技术的使用越来越依赖于片上分析引擎，这是用于监控车辆内关键活动的功能安全岛的一部分。“如果任何一个操作看起来异常，或者不是常规操作，它们将被嵌入式分析监控技术监控和标记。一个极端的例子是车载信息娱乐系统向关键车辆功能（如制动和转向）发送通信数据。这在正常操作中永远不会发生，因此可以被归类为非法操作，同时也可以被检测和阻止，”Harrison解释道。

图2：嵌入式系统配置（图源：Siemens EDA）

过去，外部接口安全防护的简单解决方案包括在生产封装中不键合JTAG引脚，或使用某种形式的一次性可编程（OTP）保险丝断开TAP。然而，随着监测数据的连接需求不断增加，对内部测试网络的访问，无论是外部访问还是通过嵌入式安全岛访问，如今都是汽车SoC的必备条件。

“任何解决方案都可以实现多层安全，以便不同的密钥可以将设备解锁到指定级别，从而为不同应用程序或用户授予不同的访问权限。这种方法广泛用于汽车生态系统，根据设备位置提供不同级别的访问，”Harrison表示。

此外，鉴于汽车ADAS开发的快速发展，汽车生态系统现在正在最先进的工艺节点上开发芯片，而这方面的历史数据很少。“如果没有这些数据，在车辆运输和投入现场服务时，汽车芯片供应商将不得不通过从设备收集大量片上数据来动态构建这些可靠性模型。如今，越来越多的新技术及老技术用于收集片上数据，”他补充道。

数据量与复杂度日益增加

随着车辆变得越来越自主，需要处理的传感器数据量显著增加。现在的问题是，区域控制器完成的工作量，以及通过传感器融合系统完成的工作量。无论哪种方式，需要移动的数据量都在增加。

“你需要一个10千兆或更高的链路，＂Cadence的Schweiger表示。”这是汽车市场下一步需要布局的重点。

然而，无论在哪里处理，进行数据处理的芯片都变得越来越复杂。还有更多类型的处理元素，包括可以加快对象检测和分类的加速器。

“除了映射和其他功能之外，这是ADAS系统的一部分，”据Arteris IP营销副总裁Kurt Shuler称。“在这里，最初是视觉输入上的算法和AI或机器学习。然后，激光雷达和雷达数据被添加到传感器融合功能中。然后用映射覆盖。这意味着越来越多的硬件架构将由软件需求驱动。”

Mobileye是这种软件方法的先驱，但其他公司现在也在采用这种方法。

“这意味着架构师面临着一个巨大的挑战，即如何将数据从芯片的一部分传输到芯片的另一部分，”Shuler表示。“服务质量、调整片上网络拓扑结构及其中进行优先级排序的逻辑，以及数据的排序，都将是一个巨大的挑战。”

Synopsys的Wottreng指出，这将引领软件生态系统的构筑，反过来又将在设计周期中向左移动，以减少设计和验证时间，同时也推动数字孪生的增长。所有这些都是自动驾驶汽车下一步所必需的，但仍然存在许多障碍。

“距离实现全自动驾驶汽车还存在很大差距，但不断提升的辅助驾驶水平和限制操作设计领域的应用程序，显示着我们取得了真正的进展，”Arm汽车和物联网业务线高级副总裁兼总经理Dipti Vachani在最近的一份报告中表示。“为了实现这一新的功能范围，随着不同的ECU合并到域控制器中，汽车电子电气架构将经历挑战性的演变。数字孪生是这些域控制器在道路上单个汽车内的‘实时’数字娱乐。这使开发人员能够测试ADAS，自动驾驶和其他未来的软件工作负载。这对行业的重要性似乎确实是一个不同的思维模式。现在，对于硬件或软件开发人员来说，它是一种可以帮助他们完成工作，并可能识别缺陷和错误的工具。然而，对于高管来说，这是通往新收入来源的途径——实时和持续的诊断、预测性维护等等。三分之二的软件开发人员意识到软件定义工具（SDV）将对他们的工作和整个行业产生深远的影响。在这个阶段，可能不太明显的是，数字孪生的重要意义在于使开发人员能够更快地部署解决方案。”

Schweiger表示，汽车行业，尤其是OEM和Tier 1，仍然需要在复杂芯片开发中找到自己的定位，以便最终OEM能够自主开发用于自动驾驶的SoC。“自主研发SoC并不简单，因为很多功能都集成到SoC中，而这些复杂的SoC也在运行一个非常复杂的软件堆栈。OEM 在此设置中将扮演什么角色？Tier 1将扮演什么角色？半导体供应商在提供完整驱动系统方面也向供应链上游移动，例如Nvidia，他们的作用是什么？我们能否预期一个商业解决方案，就像我们以往从半导体供应商那里获得的那样，行业或OEM也会建立某些合作伙伴关系？”

他指出，成本是自动驾驶的另一个因素，因为所需复杂计算平台的开发成本非常高。“在全自动驾驶汽车的初始阶段，我们将看到的是商用车、出租车、卡车、火车，最终才是自动驾驶汽车，或者至少是共享模型。对于私人使用，该系统的成本需要下降。庞大的传感器堆栈和非常复杂的计算平台花费了大量资金，因此成本需要降低。”

Elektrobit的Seidel建议，汽车规模化将需要大批量高性能计算（HPC）汽车架构，但价格水平是可以接受的。“虽然取得了很多进展，但我们仍处于过渡阶段，许多汽车制造商计划2024年左右推出下一代先进架构，如区域架构。这意味着现有架构平台尚未发展到可以实现自动驾驶汽车所需连接计算和无缝OTA的水平。我们与汽车制造商、Tier 1和芯片制造商合作，确保许多将这些架构变为现实的软件构建块（又名汽车操作系统）都可用。”

测试和验证也需要继续改进。“必须有一个坚定的法律和监管框架，”Seidel表示。“在自动驾驶方面，有许多平行和竞争的发展正在发生。一方面，这对于一个风险如此之高的新行业来说是正常的，对于企业来说，有机会成为第一个解决问题的企业。另一方面，自动驾驶汽车与安全密切相关，这意味着尽职调查与速度同样重要。因此，除了竞争之外，我们还需要更多的合作。不仅仅是汽车制造商，似乎有更多的公司正在并行开发自动驾驶堆栈。而没有足够的资源让每个汽车制造商并行开发所需的平台和软件堆栈，这也是进步的一个关键限制因素。我们需要一个系统模块化和可互换的模型，并且所有参与者之间有更多的资源共享。”

Rambus的技术产品经理Thierry Kouthon指出，汽车制造商在网络架构的两个阵营中具有独特的动态，这些架构用于将车辆的感官系统与ADAS和处理连接起来。“许多现代汽车制造商，如特斯拉和Waymo，倾向于集中处理，因为它允许更无缝的迭代和更容易的软件更新。另一方面，更传统的汽车制造商仍然选择更灵活的区域架构，适合与传统设计、更广泛的产品组合和第三方组件制造商合作。这两个组织也在与日益严重的安全问题作斗争。集中式处理环境使软件安全更新更容易，但也意味着硬件妥协、允许访问大多数控制系统可能是灾难性的。局域性环境需要努力保护每个特定局域网关的硬件和软件，降低入侵风险，但系统安全性需要在整个车辆中得到更广泛的应用。区域架构增加了车辆安全的复杂度，因为每个区域都处理属于不同安全域的传感器和ECU，例如传动系统、车辆舒适性或发动机控制等， 都需要通过软件手段保持隔离。”

对于这些汽车原始设备制造商来说，一个有趣的挑战开始出现，特别是对于特斯拉和Waymo来说，挑战来源于布线本身。“半自动驾驶汽车上传感器和系统的数量激增使得布线成为最重的子系统之一。对于需要减轻多余重量的电动汽车来说，由于平衡了汽车电池增加的重量，这个问题将变得更加复杂。因此，许多汽车制造商正在探索新技术，包括MIPI控制器，以尝试限制所需的布线。区域架构通过保持每个车辆区域的网关靠近它们控制的ECU和传感器，而网关通过主网络相互通信，从而本质上解决了布线问题，”Kouthon说。

标准

这种资源共享是汽车生态系统擅长做的事情，到2022年，标准工作将继续向前推进。ISO 26262工作组今年将再次开会，讨论继2011年第1版和2018年第2版之后第3版的下一步。

此外，Shuler指出，IEEE 2851临时工作组正在与Accellera合作制定数据标准，以根据FMEDA（故障模式影响、诊断分析）实现数据自动化和共享。“关键是要让价值链中的人们更容易在工具之间共享数据，因为现在如果你是博世、大陆、电装或OEM，并从各种来源获取功能安全信息和FMEDA文件，并且你需要对整个系统进行分析，那么将这些数据整合在一起进行分析非常困难。各种数据源可能都不同。想象一下，在规范中没有指定故障模式分布电子表格需要什么样子、如何进行计算、以及如何返回和跟踪。表格中可能有一些数字，但它们实际上来自哪里？它们实际上是如何计算的？Accellera和IEEE P2851所做的工作就是解决这些疑问，使数据分析更容易。然后，你能够共享数据，了解数据的计算方式，并进行备份、查看其意义。你不能用电子表格做到这一点。”

展望未来

Arm最近对Arm全球生态系统中的900人进行了调查，以了解优先事项和对未来的看法。＂当我们询问哪些汽车趋势和技术将在未来五年内对行业产生最大影响时，出现了两个明确的主题，即不断发展的功能安全标准和要求，以及向软件定义汽车的转变，＂Arm汽车和物联网业务副总裁Chet Babla表示。

＂例如，随着驾驶员继续依赖ADAS功能，如车道偏离辅助或辅助停车，功能安全计算变得越来越重要。Arm和其他公司继续扩展具有安全功能的IP产品，以加速一系列ADAS和数字座舱应用的自主决策。此外，Arm在ISO 26262等国际安全指南的制定中发挥着积极作用，并继续支持合作伙伴开展基于Arm的设备认证流程。Arm安全就绪计划包括Arm IP产品组合，其中包括经过ISO 26262认证的软件工具和组件以及安全文档，使我们的合作伙伴能够更轻松地开发和认证其具有安全功能的解决方案。此外，Arm功能安全合作伙伴计划继续确保我们的生态系统能够与专门从事支持功能安全开发和部署所需的软件、工具、设计服务和培训的合适合作伙伴建立联系。”

为了加速汽车行业的软件定义未来，Arm最近宣布将通过SOAFEE提供关键资源，SOAFEE是一种新的软件架构和开源参考实施，将汽车的实时和安全需求与云原生方法的优势结合在一起。由于SOAFEE的发展势头越来越大，因此已经成立了一个由行业领导者组成的特殊兴趣小组，引领并定义云原生开发范式以及SOAFEE项目的战略方向。

持续增长和演进

不像其他市场在发展数年后，资金投入和活跃程度都趋于平稳。在汽车市场，创业资金或进军汽车领域的大公司数量似乎并没有减少。

＂汽车市场仍然活跃，＂Shuler表示。＂很多公司正在研发各种新的传感器、激光雷达、RF SoC——基本上是芯片上的主动扫描相阵雷达。越来越多的公司推出了这些器件。虽然问题远未得到解决，但似乎仍有越来越多的人进入市场试图解决问题。即使是自动驾驶汽车的安全相关方面，仍然有大量的工程工作正在进行中。如何解决的标准随着架构的发展而演变，这是达尔文式的。当看到所有竞争对手的战略布局时，就可以判断一项新技术何时能够商业化，这对所有技术来说都是一样的。例如，在2011年、2012年和2013年，手机调制解调器图最初看来都一样。或者，如果看手机应用处理器，它们看起来也一样，这意味着问题几乎已经解决了。这将是一个达尔文式演化，可能有20或40家公司共同竞争，最后只剩下2家、3家或4家。汽车中必须进行如此多的处理，而不仅仅是ADAS。这是关于将黑暗时代的许多系统带入今天的技术，并且问题需要很长时间才能得到解决。

Xilinx汽车业务部高级总监Willard Tu也有类似的看法。＂我从未见过汽车行业出现如此大的颠覆，＂他说。＂汽车网联化趋势明显，一堆从未成为汽车生态系统一部分的初创公司，现在它们无处不在。有太多的资金流向汽车创业公司，这太疯狂了。当然，还有电气化趋势，多亏了Elon Musk，每个人都在努力追赶。汽车生态系统的另一个重大变化是硬件与软件解决方案。汽车制造商总是依靠制造汽车，然后进行交易。‘我卖给你一辆车。我赚了钱。’现在他们都想复制手机市场，并拥有长期性收入。这绝对是未来发展方向，但很难大规模地做到这一点。对于高档汽车，我可以理解。对于一款价格实惠的入门级汽车，你打算把所有的电子设备都放进去吗？对于特斯拉来说，这很容易。对于Rivian或体量小的全新企业来说，这也很容易。但你能想象一个OEM说，‘我要把所有电子设备放在每辆车上，看看是否有人会给我钱？’我相信它会发生。这只是时间问题。”

OEM和Tier 1之间的关系也在发生变化。＂过去，Tier 1确实决定了产业发展趋势，＂据Tu介绍。＂这些原始设备制造商希望实现差异化，而软件商业模式确实与他们息息相关。因此，他们在电子产品领域比过去更加活跃。这增加了市场的不确定性，新手也可以通过灵活的平台为不确定性提供答案。