AI时代车载芯片设计:功能与网络安全协同发展
当前 车载芯片 设计进入全新发展阶段,在智能网联、软件定义汽车发展趋势下,功能安全、网络安全与人工智能三大设计要素无法再拆分独立规划。车辆行驶安全,除了抵御硬件随机故障,还需要具备抵御网络恶意入侵、规避软件漏洞风险的能力,诸多影响整车系统安全的核心设计决策,都需要在芯片架构研发阶段完成敲定。
ISO 26262 车载功能安全标准自 2011 年正式发布后,为车载电子设备搭建起完整的安全设计框架。但如今整车研发方向发生巨大改变,自动驾驶、整车电气化、AI 视觉感知、车联网通信以及集中式算力架构,都不在初代标准的考量范围之内。保障驾乘人员安全依旧是行业不变的核心目标,只是实现这一目标的方式,逐渐转变为依托半导体芯片底层架构完成安全布局。
如今功能安全不再局限于整车系统层面,已经成为专用芯片、系统级芯片研发工程师需要直面的前期设计难题。车辆多数安全相关功能能否满足 ISO 26262 规范要求,取决于芯片架构初期的设计方案。
行业安全规范体系逐步融合完善
面对智能汽车带来的全新技术难题,汽车行业持续扩充安全设计规范体系。ISO 26262:2018 规范聚焦整车功能安全设计,ISO 21448 规范针对系统行为异常引发的安全风险制定标准,ISO/PAS 8800:2024 则针对车载人工智能系统明确安全设计要求。
与此同时,ISO/SAE 21434 规范划定车载设备网络安全设计准则,各类通用硬件安全认证标准,也推动行业打造原生安全芯片、硬件信任根等基础安全架构。
各类安全规范无法单独落地执行,功能安全与网络安全要求需要相互结合,贯穿芯片架构设计、性能验证以及安全方案落地全流程。多重规范融合提升了 车载芯片 研发复杂度,也贴合现代汽车电子的实际运行需求,整车安全运行既依靠硬件故障容错能力,也依托整套系统的数据运行完整性。
硬件层面落地整车安全防护
现阶段汽车绝大多数核心安全防护机制,都直接集成在芯片硬件内部。故障检测、硬件冗余设计、数据纠错、硬件看门狗、安全状态控制等功能,广泛集成于各类专用芯片与车载主控芯片之中。主流设计方式包含双核锁步运行架构、内存错误校验防护、独立安全监控区域等,能够实时监测设备运行状态,在故障出现后快速切换至安全运行模式。
这类硬件防护机制,不仅用于处理常规硬件随机故障,同时也要抵御外界异常干扰与人为恶意操控。这也让行业设计思路发生转变,功能安全无法在系统组装阶段后期补充加装,必须从芯片架构设计初期同步规划。硬件冗余设计会影响芯片面积与制造成本,故障诊断功能会改变设备功耗与运行性能,研发人员需要在项目前期完成各项参数权衡。
网络安全成为整车安全的核心决定因素
网络安全不再是车载功能安全的附属设计,而是直接决定整车安全运行状态的关键条件。部分硬件等级达到安全标准的车载系统,依旧会因为软件漏洞、外部接口入侵、固件非法篡改出现安全隐患。在网联化汽车中,人为恶意制造的设备故障,造成的危害不亚于硬件自身损坏。
落实到芯片设计层面,行业需要搭建硬件信任根、安全启动机制、运行状态实时校验、硬件区域隔离等基础架构。以此保障只有经过安全认证的程序能够操控车辆安全相关功能,同时隔绝非核心运行区域的故障与入侵行为,避免风险扩散至整车安全控制链路。
在此设计思路下,工程师的故障研判范围进一步扩大,除传统硬件失效问题外,还需要预判故障注入攻击、权限非法提升、固件篡改等网络攻击行为,让安全架构同时应对自然故障与人为攻击两类风险。
传统开发模式适配性出现不足
ISO 26262 标准主推 V 型开发流程,按照需求定义、方案落地、性能验证的流程完成产品开发。这套流程具备完整的规范参考性,但无法完全适配高安全等级 车载芯片 的实际研发工作。
芯片研发前期需要敲定工艺选型、架构分区、可测试性设计等多项核心内容,这些前期决策会直接影响安全防护功能搭建与安全等级达标。实际芯片研发属于反复迭代的工作模式,需要不断协调架构方案、硬件限制与验证标准,行业研发重点不再是严格遵循线性流程,而是在全设计周期内保证安全设计目标可追溯、设备状态可控。
与此同时,故障模式与影响分析、故障树分析等传统安全研判方式,在集成多类算力核心、AI 加速单元、高速通信接口的复杂车载主控芯片中,落地难度持续提升。传统分析方式难以全面覆盖各类故障场景,研判结果容易存在疏漏。
仿真驱动成为主流安全验证方式
为解决传统安全分析方式存在的短板,行业开始普及动态仿真验证模式,将故障注入仿真技术应用于车载芯片功能安全检测工作中。
该验证模式不再只单纯排查设备故障问题,重点研判设备出现故障后的整体运行状态,确认故障能否被及时检测、快速修正,以及设备能否在规定时间内切换至安全运行状态。将安全性能分析与设计验证工作相结合,直观验证各类安全机制在真实运行场景中的实际作用,也能为单点故障指标、潜在故障指标等安全评定参数提供实测依据。