安谋科技推出“山海”S20F SPU，助力本土汽车芯片更安全

“安全是一个比较特殊的领域，中国有中国的标准、算法，美国有美国的，欧洲有欧洲的。对于芯片厂商而言，在布局安全IP的时候非常敏感，需要考虑是否是中国本土研发的。‘山海’S20F所有的开发全是由中国工程师在中国完成的，所以将它称之为本土创新，是非常符合的，这也是我和同事们非常骄傲的一点。”日前，安谋科技产品研发副总裁刘浩在“山海”S20F SPU（安全处理器）发布会上如是说。

“山海”S20F是什么？

简而言之，“山海”S20F是既满足EVITA HSM规范又支持功能安全能力的信息安全产品，其HSM（硬件安全模块）负责对外输出整体的信息安全能力，该子系统会嵌入在包括SoC、高性能的MCU的车载芯片中，最终组成一个完整的AP或处理器。

安谋科技安全产品架构师、高级技术总监吕达夫说道，HSM和TEE不同，TEE是Trusted Execution Environment，它是架构在Arm TrustZone的可执行环境，通过类似于虚拟化形态，由一颗CPU虚拟化成两个运行环境，其中一个环境是TEE，一个环境叫REE。严格意义上讲，它并不是一个物理隔离的状态。HSM则是一个更加物理化，物理隔离的子系统，具有自己的CPU、总线和Memory，这是支持安全可信根中最核心的部分。

安谋科技安全产品总监耿建华介绍道，作为子系统的“山海”S20F，内部包括独立的CPU、独立的存储等辅助元件，同时也拥有加密引擎，因此它是一款符合功能安全标准的信息安全IP。目前，“山海”S20F已经具有功能安全的能力，得到了行业内要求最严格实验室exida颁发的ISO26262:2018功能安全证书。

但其并不是一个传统的硬件IP，而是一个包括硬件、软件、云端服务三位一体的全栈安全解决方案。

在硬件方面，“山海”S20F可按需灵活集成的CPU包括Arm® Cortex®-M55、Cortex-R52 CPU、以及安谋科技自研的“星辰”STAR-MC2 CPU，此外还支持客户的其他选择。CPU使用了双核锁步（dual core lockstep）技术，可以达到ASIL D功能安全要求。而在加密引擎方面， 采用了TrustEngine-800的引擎。Mailbox则作为HSM内部子系统的对外控制模块。存储上包括了BootROM和SRAM，外围是Watchdog等组件，且所有相应的硬件都具备安全机制。

吕达夫介绍道，HSM内部最关键的部分是加密引擎TrustEngine-800，内部代号为“追风”（取名自秦始皇的第一匹马）。该引擎主要实现加解密算法，不但实现支持国密SM2、SM3、SM4，同时支持国际通用加解密算法，支持多路并行使用，另外，也支持OTP（One time Programming）和TRNG真随机数生成（True Random number generator）。该引擎为64位寻址，支持64位主流CPU。吕达夫强调，该引擎支持可配置，从而可以灵活使用或关闭各类模块。

除了上述硬件方面的内容之外，“山海”S20F还提供了丰富的软件功能，包括HSM内部启动、运行的固件以及外部的软件栈。同时，为了提高HSM的硬件功能安全能力，还提供了软件测试库。软件测试库会为硬件提供周期性的诊断，如果发现错误，有能力向上汇报，并交给上层逻辑来进一步的处理。该软件测试库覆盖了所有算法，包括对称、非对称和摘要。另外值得注意的是，软件测试库是架构中立的，因此可以满足客户对HSM CPU的不同选择。

而在云端服务方面，则以微服务的形式提供，帮助合作伙伴通过云端把关键的密钥信息安全地部署到HSM内部。

吕达夫表示，“山海”S20F充分考虑了同Arm IP的协同效应，可以同时支持Arm TrustZone的安全体系、Arm的虚拟化体系、以及汽车通用的异构架构功能安全岛（Safety Island），所有可执行环境都可以使用“山海”S20F的信息安全能力。

同时，安谋科技提供了针对“山海”S20F完整的功能安全包，提供了两份关键报告，分别是FMEDA（失效模式影响与诊断分析报告）和DFA（相关故障分析报告）。“这个功能安全包看上去只是几篇文档加上一段代码，其实背后凝结了我们研发小伙伴夜以继日的工作。”吕达夫强调道。

另外，吕达夫也表示在整个“山海”S20F的设计、实现、验证过程都关注功能安全机制，并遵循ISO26262的流程管理要求，以及TSC、ER等工程规范，从而实现系统级ASIL D的能力。

"山海"S20F 功能安全证书颁发仪式

为什么瞄准汽车市场？

耿建华表示，从传统汽车到智能汽车转变的过程中，有越来越多的信息安全诉求，包括安全连接、身份认证、数据的加密存储与传输、FOTA、数字版权管理、V2X等等诸多场景。但这需要稳定、可靠的功能安全保证，不能因为需要信息安全能力的时候才发现出现了故障。因此“山海”S20F非常强调功能安全特性，以保证其高可靠性，同时这也是安谋科技把功能安全和信息安全进行融合后的创新产品。

对于汽车电子来说，功能安全非常重要，是保护人身、设备、车机安全的基础。目前安全芯片的实现方式主要有两种，分别为集成式和离散式。其中集成式方案不需要与外部设备协同，直接在内部完成数据的访问以及加解密等相关的工作，因此性能表现远高于外部的离散器件，另外也没有暴露接口，可以有效抵御物理攻击。随着车规级芯片的性能越来越高，集中式的HSM需求将变得更多。

吕达夫表示，汽车芯片对于功能安全等级要求不一样，比如智能座舱只需要ASIL B，而在自动驾驶、网关、域控等应用中需要ASIL D，因此需要可灵活配置的安全系统。

刘浩则表示，目前汽车电子创新势头非常猛，但因为尚处于早期阶段，因此呈现出很多碎片化特点，需要更多通用、标准化、平台式的工作，这也是“山海”S20F的逻辑，即通过一整套方案帮助客户解决信息安全标准化的问题。

本土研发，助力国内产业发展

舆芯半导体汽车应用研发总监周敬肇也受邀来到了现场，舆芯是一家致力于设计和开发高功能安全、高信息安全车规芯片的公司。

周敬肇表示，“山海”S20F由于支持中国商用密码标准，是舆芯等国内汽车芯片企业在申请国密认证时的必要基础。“没有这个依据，实际上很难申请国密认证。”他说道，“同时支持AES、ISA等一些国际标准也给我们出海提供了有力保障。”

舆芯以实际应用证明了“山海”S20F完全满足EVITA Full标准，也可以适配EVITA Medium、EVITA Light等不同级别需求。同时其丰富的灵活可配置性，也适合汽车不同零部件的多层次保护需求。

“‘山海’S20F可以帮助我们实现车辆全周期的信息安全保护。”周敬肇说。

“山海”S20F是安谋科技自研实力的证明

“山海”S20F是安谋科技安全产品团队本土研发的面向垂直行业领域的第一个产品，“是我们团队能力和整个团队建设逐渐成熟的证明。”耿建华说道。

“山海”S20F是在两年前做的产品定义，是国内首款支持功能安全产品认证的信息安全IP产品。在刘浩的眼里，S20F“历尽了千辛万苦”。“我们的产品经理能够指对方向，我们的研发团队能够高效研发，及时交付，充分展示了这个团队是国内一流的产品研发团队。”他说道。

安全产品团队是安谋科技成立时的三个初始研发团队之一，于2018年组建，2019年就发布了第一款产品“山海”E10/E20。当时只是一个基础版本，性能和功能相对有限，但起到了团队能力培养的作用。

2021年，安谋科技发布了“山海”S12，不管从功能、性能、支持算法以及对于Arm底层安全架构的支持上，都有了巨大提升，这是安全产品团队能力的迅速成长期。

而如今“山海”S20F的发布，则是安谋科技安全产品团队能力成熟期的充分体现，包括了产品定义、研发以及安全功能流程管理，都体现出安谋科技专业的做事风格。

“我们大概估算了一下，如果开发带有功能安全产品认证的IP，它的工作量大概是非功能安全能力IP的三倍，所以大家可想而知投入的工作量。”吕达夫补充道。

写在最后

正如耿建华所说：“信息安全是汽车电子中一个必须要具备的能力，厂商不会在信息安全上面考虑任何成本问题。”

随着国产汽车电子芯片的不断涌现，对于安全的需求同样与日俱增，安谋科技正是提前看到了这一强烈需求，才推出了“山海”S20F全栈式安全解决方案，助力国产公司更快、更简单的实现信息安全。

安谋科技（Arm China）背后一个是Arm，一个是China。因此安谋科技的核心包括两方面，一个是借助Arm，把Arm最新的技术在中国生根发芽，另外则是开发像“山海”S20F这样的产品，发挥出本土自研创新能力。“我们既充当连接Arm全球生态与本土产业伙伴的‘桥梁’，又充当国内汽车半导体发展的‘引擎’，发挥好连接和推动两方面的作用。”刘浩说，“我们希望用Arm IP以及安谋科技的自研业务产品，共同描绘出一幅画，这幅画应当是非常漂亮的，也是非常容易下笔的。”