車(chē)用芯?；ヂ?lián)（chiplet）標(biāo)準(zhǔn)化需求研究報(bào)告防護(hù)到供應(yīng)鏈管理等全生命周期安全保障體系以及安全運(yùn)行環(huán)境等給出標(biāo)準(zhǔn)化用芯粒技術(shù)從實(shí)驗(yàn)室走向量產(chǎn)、賦能智能汽 2 3 7 9 9 31 1一、車(chē)用芯粒的研究背景中央集中及信息化，并將六個(gè)階段對(duì)應(yīng)的EEA分為分布式EE架構(gòu)、域集中式架構(gòu)處于功能域控制器域融合化階段，并正朝著中央集中式架構(gòu)圖1.1.1汽車(chē)EEA發(fā)展路線[1]服務(wù)架構(gòu)（SOA，Service-OrientedArchitecture）。在軟件架構(gòu)層面，SOA作為2進(jìn)入"中央計(jì)算+區(qū)域控制"高階階段：通過(guò)域控制器實(shí)現(xiàn)硬件高度集成，以太網(wǎng)件平臺(tái)復(fù)用率、車(chē)規(guī)芯片生態(tài)等基礎(chǔ)領(lǐng)域與當(dāng)前國(guó)內(nèi)外汽車(chē)電子電氣架構(gòu)（EEA）正沿著三大技術(shù)方向快速演進(jìn)：在千兆以太網(wǎng)成為主干網(wǎng)絡(luò)，時(shí)間敏感網(wǎng)絡(luò)（TSN）確保實(shí)時(shí)性要求，結(jié)合CANFD/LIN構(gòu)成的混合通信架構(gòu)滿足不同場(chǎng)景需求；軟件服務(wù)化則通過(guò)分層設(shè)計(jì)深化軟硬件解耦，同時(shí)行業(yè)正在探索高/低安全等級(jí)任務(wù)的物理隔離方案，以應(yīng)對(duì)為突破自主可控生態(tài)瓶頸，我國(guó)汽車(chē)產(chǎn)業(yè)亟需構(gòu)建"芯片-工具鏈-標(biāo)準(zhǔn)"三位一體的協(xié)同創(chuàng)新體系：重點(diǎn)突破車(chē)規(guī)級(jí)SoC芯片的自主研發(fā)與產(chǎn)業(yè)生態(tài)建設(shè)，3算架構(gòu)下的高階輔助駕駛技術(shù)落地和個(gè)性化服務(wù)創(chuàng)新提供堅(jiān)實(shí)的技術(shù)支撐和產(chǎn)傳統(tǒng)分布式電子電氣架構(gòu)中，數(shù)十個(gè)ECU件耦合緊密，導(dǎo)致系統(tǒng)擴(kuò)展性差、開(kāi)發(fā)效率低。），隨著車(chē)輛搭載的ECU數(shù)量增加，線束長(zhǎng)度和本，還降低組裝自動(dòng)化水平。此外，由于各EC應(yīng)商，難以實(shí)現(xiàn)自主維護(hù)和OTA升級(jí)。圖1.1.2分布式架構(gòu)[3]4艙域及輔助駕駛域，各域控制器通過(guò)以太網(wǎng)骨干網(wǎng)與CAN-FD混合組網(wǎng)實(shí)現(xiàn)跨/底盤(pán)域側(cè)重微秒級(jí)實(shí)時(shí)控制，算力需求相圖1.1.3域集中式架構(gòu)[2]域控制器（DCU，DomainControlUnit）作為架構(gòu)核心(應(yīng)遵循GB/T34590《道路車(chē)輛功能安全》系列標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)開(kāi)發(fā))，采用多核異構(gòu)計(jì)算架構(gòu)（如替代傳統(tǒng)CAN總線，通信帶寬大幅提升；二是硬件抽象層（HAL，Hardware5實(shí)現(xiàn)扭矩分配與熱管理協(xié)同；同時(shí)，座艙域與輔助駕駛域融合形成智能交互域（IVI-ADAS），通過(guò)算力共享與數(shù)據(jù)協(xié)同提升系統(tǒng)集成度（設(shè)計(jì)過(guò)程應(yīng)嚴(yán)格遵域和輔助駕駛域，這些領(lǐng)域需要強(qiáng)大的AI處于動(dòng)力域和底盤(pán)域，雖然不需要極高的算力，但需要快速響應(yīng)的實(shí)時(shí)控這通常由專門(mén)設(shè)計(jì)的MCU或DSP核心完成。因此，在未來(lái)的跨域融合階段，本。通過(guò)模塊化設(shè)計(jì)和IP復(fù)用，可以在一定程度上控制研發(fā)成本，這對(duì)于推動(dòng)6圖1.1.4中央集中式架構(gòu)[2]Platform）處理，所有數(shù)據(jù)決策在CCP完成，保障整車(chē)架構(gòu)穩(wěn)定性與功能擴(kuò)展多個(gè)域控制器（DCU）融合為多核異構(gòu)SoC芯片與多操作系統(tǒng)組合的CCP，傳感器與執(zhí)行器按物理位置就近接入ZCU，進(jìn)過(guò)軟件定義控制，零部件趨于標(biāo)準(zhǔn)化，實(shí)現(xiàn)“軟件定義汽車(chē)”。此架構(gòu)簡(jiǎn)化車(chē)內(nèi)結(jié)構(gòu)，提升算力利用率，降低成本并增強(qiáng)安全性。中央集中式EE架構(gòu)通過(guò)功驅(qū)動(dòng)車(chē)載計(jì)算系統(tǒng)向通用計(jì)算平臺(tái)（CCP）演進(jìn)，其核心依托于異構(gòu)高集成度SoC技術(shù)。中央計(jì)算平臺(tái)（CCP）需滿足跨域融合與超異構(gòu)算力需求，采用7算力分層（CCP跨域整合/ZCU邊緣處理）、通信統(tǒng)性效能優(yōu)化閉環(huán)。當(dāng)前汽車(chē)電子電氣架構(gòu)（EEA）正經(jīng)歷“功能域控化-跨域融合-中央計(jì)算”三階段演進(jìn)，核心趨勢(shì)包括：算力資源池化（如NVIDIAThor達(dá)2000TOPS化率超90%）。這一演進(jìn)通過(guò)域控制器整合ECU、跨域中間件解耦功能邊界、多核SoC芯片實(shí)現(xiàn)動(dòng)態(tài)算力分配，使線束成本大幅降低，推動(dòng)架構(gòu)從硬件驅(qū)動(dòng)轉(zhuǎn)向軟件定義。電子控制單元（ECU）內(nèi)的標(biāo)準(zhǔn)計(jì)算能力無(wú)法滿足未來(lái)汽車(chē)中和開(kāi)發(fā)效率革命三大維度助力EEA發(fā)展，實(shí)現(xiàn)芯片整體算力提升與功耗降低的8理極限（如3nm以下），單芯片設(shè)計(jì)面臨性能提升趨緩、制造成本飆升及下降等挑戰(zhàn)。芯粒技術(shù)通過(guò)將復(fù)雜功能分解為多個(gè)獨(dú)立的裸片（Die），并采用圖1.2.2車(chē)用芯粒的示意圖在成本控制方面，分模塊的制造模式使得CPU、GPU、存儲(chǔ)、電源等每個(gè)9靈活性方面，芯粒構(gòu)建了開(kāi)放的模塊化生態(tài)，企業(yè)可復(fù)用已驗(yàn)證的芯粒IP（如內(nèi)存控制器、PCIe接口）。模塊化設(shè)計(jì)使得汽車(chē)制造商可以快速構(gòu)建定制的CPU計(jì)算芯粒組合出不同核數(shù)的服務(wù)器芯片，并嘗試將相關(guān)成果向汽車(chē)領(lǐng)域拓展。Intel將芯粒技術(shù)應(yīng)用到FPGA、CPU、GPU等產(chǎn)品上。華為海思將SoC分解為CPU計(jì)算、I/O、AI計(jì)算等芯粒，并組合出多種產(chǎn)品，如AI計(jì)算芯粒+計(jì)算/IO芯粒組合出針對(duì)AI訓(xùn)練的芯片；計(jì)算所提出敏捷芯粒集成框架，可從功能，提升座艙交互體驗(yàn)的流暢性與豐富度。北極雄芯推出的啟明935A系列芯中占據(jù)越來(lái)越重要的份額。預(yù)計(jì)到2030年，全球汽車(chē)用芯粒市場(chǎng)規(guī)模將實(shí)現(xiàn)數(shù)領(lǐng)域的應(yīng)用同樣也面臨著諸多挑戰(zhàn)，同時(shí)也圖1.3.1IC供應(yīng)鏈圖仍需時(shí)間和努力。行業(yè)內(nèi)，例如日本汽車(chē)、電氣元件和半導(dǎo)體等田汽車(chē)公司（HondaMotorCo.,Ltd.）、馬自達(dá)汽車(chē)公司、日司；以及半導(dǎo)體公司：CadenceDesignSystemsJapan、MIRISETechnologiesCorporation、瑞薩電子公司、Soci于12月1日成立了“汽車(chē)先進(jìn)SoC研究中心”（AdvancedSoCResearchfor制，增強(qiáng)芯粒的抗輻射/抗電磁干擾能力。不斷去探索和應(yīng)用新材料和新工藝來(lái)-電機(jī)控制-線控底盤(pán)”的跨域協(xié)同，通過(guò)芯粒集成高精度傳感器與AI算法實(shí)時(shí)同廠芯粒和異廠芯粒。同廠芯粒通常采用企業(yè)自有協(xié)議，例如AMD的InfinityFabric，Intel的AIB、UPI和CXL協(xié)議。異廠芯粒則需行業(yè)統(tǒng)一標(biāo)準(zhǔn)，國(guó)外以UCIe2.0版本規(guī)范，支持3D封裝接業(yè)聯(lián)盟發(fā)布《芯?；ヂ?lián)接口標(biāo)準(zhǔn)》ACC1.0，提供了面向車(chē)規(guī)的技術(shù)要求；中國(guó)車(chē)用芯粒在設(shè)計(jì)和封裝上充分考慮了汽車(chē)應(yīng)用場(chǎng)景中復(fù)雜且嚴(yán)酷的環(huán)境要備環(huán)境條件及測(cè)試的標(biāo)準(zhǔn)。對(duì)芯片的可靠性進(jìn)行評(píng)估和驗(yàn)證方面，通常遵循度，并根據(jù)工作溫度范圍劃分不同等級(jí)，其中Grade1（-40°C至+125°C）是主國(guó)際電工委員會(huì)（IEC）制定了一系列電磁兼容標(biāo)準(zhǔn)，如IEC61967等，為準(zhǔn)，如將ISO標(biāo)準(zhǔn)轉(zhuǎn)化為GB/T標(biāo)準(zhǔn)，包準(zhǔn)來(lái)說(shuō)，可能會(huì)參考汽車(chē)行業(yè)常用的芯片電磁兼容測(cè)試方法，如采用TEM小室ISO26262是國(guó)際上針對(duì)汽車(chē)電子電氣系統(tǒng)功能安全的標(biāo)準(zhǔn)，對(duì)芯片在汽車(chē)工作，2024年5月至6月組織開(kāi)展了首輪驗(yàn)證試驗(yàn)，聚焦汽車(chē)安全芯片和控制目前軟件設(shè)計(jì)方面主要是基于AUTOSAR等軟件架構(gòu)標(biāo)準(zhǔn)進(jìn)行車(chē)載軟件的和硬件進(jìn)行集成和交互。國(guó)內(nèi)企業(yè)、研究機(jī)構(gòu)等在AUTOSAR標(biāo)準(zhǔn)的基礎(chǔ)上，靠性、電磁兼容、功能安全、信息安全、軟件設(shè)計(jì)等相關(guān)標(biāo)準(zhǔn)方面還在芯片層級(jí)階段，還未深入下探到芯粒與車(chē)用芯粒層級(jí)。車(chē)用芯粒的關(guān)鍵領(lǐng)域標(biāo)準(zhǔn)需從二、車(chē)用芯粒關(guān)鍵領(lǐng)域的特性分析高。針對(duì)芯粒短距傳輸場(chǎng)景，XSR（極短距）和USR（超短距）SerDes進(jìn)一步支持EMIB等2.5D封裝，適用于短距高密度連接，如SODSA提出BoW（BunchofWires），兼容AI計(jì)算三大領(lǐng)域中得到了廣泛的使用。對(duì)于車(chē)載系統(tǒng)，以太網(wǎng)IO芯距抗干擾、內(nèi)存擴(kuò)展芯粒聚焦寬溫適配、AI加速器芯粒強(qiáng)調(diào)低延遲，車(chē)載芯粒接口技術(shù)同樣也需要下述高性能、高可靠性的擾與高帶寬，通過(guò)自適應(yīng)均衡器補(bǔ)償≥35dB通道損耗，配合超高標(biāo)準(zhǔn)可靠性LDPC(LowDensityParityCheckCodes,低密度奇偶校驗(yàn)碼)前向糾錯(cuò)），集成MACsec(MediaAccessControlSecurity,媒體訪問(wèn)控制安全)加密引擎與聚焦車(chē)載高容量?jī)?nèi)存擴(kuò)展，接口技術(shù)以低延遲、寬溫適配為核心，支持LPDDR5X-8533/DDR5-6400內(nèi)存接口協(xié)議，單通過(guò)嵌入式時(shí)鐘（CK_t/CK_c差分對(duì)）保障同步性，在-40~125℃寬溫環(huán)境下，），為輔助駕駛AI推理提供算力支撐和輔助駕駛傳感器網(wǎng)絡(luò)的使用，接），和微型化電子設(shè)備中。如下圖2.1.1是基于MCM封2.1.1MCM封裝剖面示意圖和基于MCM封裝的芯粒芯片2.5D封裝技術(shù)是一種介于傳統(tǒng)2D平面封裝和3D堆疊封裝之間的先進(jìn)半導(dǎo)器）并排安裝在硅中介層上，而非直接堆疊。芯片與中介層通過(guò)微凸塊（MicroBump）或銅柱（CuPillar）連接，中介層再通過(guò)焊球與PCB基板相連。如下后將互聯(lián)后的interposer封裝于基板之上。個(gè)di2.1.22.5D封裝刨面和基于2.5D封裝的芯粒芯片3D封裝（3DPackaging）通過(guò)垂直堆疊多層芯片并利用硅通孔（TSV）實(shí)性能密度、縮短互連距離，并支持超異構(gòu)集成。如下圖2.1.3是車(chē)用芯粒3D封2.1.33D封裝剖面示意圖表2.1.1是封裝對(duì)比表，從整體來(lái)看，MCM技術(shù)路線工藝成熟度，可靠性表2.1.1封裝對(duì)比表——MCM2.5D3D工藝成熟度HighMiddleLow成本LowMiddleHigh可靠性HighMiddleLow理論帶寬上限LowMiddleHigh后，針對(duì)車(chē)用芯片10-15年的長(zhǎng)壽命要求，需通過(guò)加速壽命試驗(yàn)證金屬互連層的電遷移耐受性，并采用自適應(yīng)均衡技術(shù)補(bǔ)用先進(jìn)制程，而模擬/RF芯粒則采用成熟2）場(chǎng)景化模塊配置：車(chē)型彈性適配，根據(jù)車(chē)型定位，例如經(jīng)濟(jì)車(chē)型，高端D2D接口端到端（例如D2D上層協(xié)議接口時(shí)AXI，則一端的D2D接口的AXI多層級(jí)傳感網(wǎng)絡(luò)與自適應(yīng)算法實(shí)現(xiàn)芯片級(jí)到系統(tǒng)級(jí)的熱-電聯(lián)合優(yōu)化。在底層傳感層，每個(gè)互聯(lián)IP內(nèi)嵌分布式電壓/溫度（V/T）數(shù)據(jù)通過(guò)專用低延時(shí)傳感器總線傳輸至中央整）技術(shù)，根據(jù)工作負(fù)載實(shí)時(shí)調(diào)節(jié)D2D接口的驅(qū)動(dòng)電壓和傳輸速率，其次通過(guò)智能通道管理算法，對(duì)非關(guān)鍵數(shù)據(jù)傳輸lane實(shí)施時(shí)鐘門(mén)控（C而2.5D/3D封裝（如CoWoS）成本占芯片總成本30%以車(chē)用芯粒接口與通信技術(shù)正通過(guò)“協(xié)議標(biāo)準(zhǔn)化+性能差異化”雙路徑，支構(gòu)升級(jí)的核心驅(qū)動(dòng)力。同樣，車(chē)用芯粒接口與通信技CRC校驗(yàn)等，以防范單粒子翻轉(zhuǎn)或信號(hào)串?dāng)_引發(fā)的數(shù)據(jù)錯(cuò)誤。此外，功能安全可靠性挑戰(zhàn)則集中體現(xiàn)在物理環(huán)境適應(yīng)性上。車(chē)載芯片需耐受-40°C至整性，需通過(guò)有限元仿真優(yōu)化封裝材料與結(jié)構(gòu)。電磁兼容性方面，高速SerDes通道的串?dāng)_抑制需要從芯片布局、屏蔽層設(shè)計(jì)到PCB阻抗匹配的全鏈路優(yōu)化。長(zhǎng)期可靠性還需考慮電遷移、應(yīng)力遷移等失效機(jī)極端溫度擾動(dòng)直接影響信號(hào)傳輸質(zhì)量。芯粒間采用TSV硅通孔、微凸點(diǎn) 射。此外，溫度梯度引發(fā)的時(shí)鐘抖動(dòng)可能破的寬頻振動(dòng)可能引起微凸點(diǎn)焊盤(pán)微裂紋擴(kuò)展，導(dǎo)致接觸電阻增大甚至斷路。3D均需建立多尺度仿真模型。例如，在輔助駕駛域控制器中，AI芯粒與傳感器接口芯粒的互連需同時(shí)滿足低延遲與抗擾度要求，這對(duì)通道衰減（In隨著汽車(chē)電子架構(gòu)向域控制與中央計(jì)算模式演進(jìn)，傳統(tǒng)SoC方案面臨算力在產(chǎn)業(yè)協(xié)作層面，汽車(chē)行業(yè)正打破傳統(tǒng)封閉供應(yīng)鏈標(biāo)準(zhǔn)化進(jìn)程則聚焦三大核心維度：1）物理接口標(biāo)準(zhǔn)，涵蓋信號(hào)架構(gòu)和低延遲緩存一致性協(xié)議；3）安全認(rèn)證體系，建立跨工藝節(jié)點(diǎn)的環(huán)境，ISO/SAE21434標(biāo)準(zhǔn)新增當(dāng)前發(fā)展仍面臨車(chē)載環(huán)境適應(yīng)性（-40℃~150℃溫域）（15年質(zhì)保）、多廠商責(zé)任界定等挑戰(zhàn)。但行業(yè)共識(shí)正在形成：只有通過(guò)開(kāi)放電子研發(fā)周期縮短40%，硬件升級(jí)成本降低35%。這場(chǎng)由技術(shù)革新驅(qū)動(dòng)的產(chǎn)業(yè)路徑。國(guó)際巨頭如英特爾、AMD加速布局開(kāi)放式芯粒平臺(tái)，而中國(guó)定義的從發(fā)送端的FDI接口到PHYMainBand接口，再?gòu)慕邮斩说腜HYMainBand接口到FDI接口的總延遲（TX+RX）小于等于2ns，但不包括接口信號(hào)在表2.1.2誤碼率表安全等級(jí)ASIL_D≤10-18ASIL_B/C≤10-16ASIL_A≤10-15），同時(shí)借助ESD測(cè)試、機(jī)械沖擊測(cè)試等完善制造流程，加速技術(shù)迭代。合規(guī)性方（1）MTTF（平均故障間隔時(shí)間MeanTimetoFailure）,主要用于不可修復(fù)其中，T1是每個(gè)系統(tǒng)或組件的連續(xù)運(yùn)行時(shí)間，N為樣本數(shù)量（如系統(tǒng)或組刻還在工作的產(chǎn)品數(shù)的百分比值，稱為產(chǎn)品的瞬時(shí)失效率（instantaneousfailure），t后，還能完成規(guī)定功能的概率，被定義為產(chǎn)品的“可靠度”（也稱殘圖2.2.1可靠度模型圖樣。這種形式的Weibull分布對(duì)產(chǎn)品壽命的最后階段（大多數(shù)失效發(fā)生在這一圖2.2.2失效率分布圖置信度和樣本量根據(jù)二項(xiàng)式分布計(jì)算公式，若要求以置信度C保證可靠度Arrhenius反映的是化學(xué)反應(yīng)速率，因此最好應(yīng)用于壽命變化與化學(xué)反應(yīng)相其中，F(xiàn)為反應(yīng)速率，取倒數(shù)可作產(chǎn)品壽命的度量；P為產(chǎn)品狀態(tài)；t為時(shí)表2.2.1不同故障機(jī)制的常用激活能量值FailureMechanismActivationEnergy,EA(eV)Gateoxidedefect0.3-0.5Bulksilicondefects0.3-0.5Siliconjunctiondefect0.6-0.8Metallizationdefect0.5Au-AlintermetallicgrowthElectromigration0.6-0.9Metalcorrosion0.45-0.7Assemblydefects0.5-0.7BondrelatedWaferfabrication(chemicalcontamination)0.8-1.1Waferfabrication(silicon/crystaldefects)0.5-0.6Dielectricbreakdown,field>0.04micronthick0.3Dielectricbreakdown,field<=0.04micronthick0.7Adhesivetack:bonding-debonding0.65-1.0HallbergPeck模型綜合考慮了溫度、濕度影響，它相比于模型二更能準(zhǔn)確AF=(RHt/RHu)3·exp{(Ea/k)·[(1之間；K為玻爾茲曼常數(shù)，其值為8.617385×10^-5；Tu為使車(chē)用芯?？煽啃詼y(cè)試和傳統(tǒng)芯片車(chē)規(guī)AEC測(cè)試，關(guān)注互連可靠性：硅通孔（TSV）、微凸點(diǎn)（Micro），芯粒技術(shù)通過(guò)將芯片系統(tǒng)分解為多個(gè)獨(dú)立的小芯粒（Die），每個(gè)芯粒具備圖2.3.1PI、SI、EMI相互影響封裝基板成為性能瓶頸，寄生參數(shù)高。高頻去耦部署困難且如圖2.3.2芯粒高速互連信號(hào)完整性示意圖，芯粒間易帶來(lái)信號(hào)傳輸中的串?dāng)_和反射問(wèn)題，這都會(huì)引起EMI發(fā)射增大。通過(guò)優(yōu)化互圖2.3.2芯粒高速互連信號(hào)完整性示意圖芯粒系統(tǒng)對(duì)汽車(chē)電子中的電磁兼容性（EMC）帶來(lái)了顯著挑戰(zhàn)。由于多芯EMC特性相對(duì)單一和可控，但在芯粒集成中，復(fù)雜的信號(hào)傳輸路徑和多芯粒之在車(chē)用芯粒系統(tǒng)中，極端溫度（-40℃~125℃/150℃)和振動(dòng)等環(huán)境因素會(huì)雜，需要從信號(hào)完整性、輻射抑制和抗干擾能力首先實(shí)現(xiàn)安全目標(biāo)與ASIL等級(jí)的分配。根據(jù)G功能。然后通過(guò)單點(diǎn)故障度量（SPFM）、潛伏故障度效概率（PMHF）進(jìn)行量化評(píng)估。典型車(chē)用場(chǎng)景對(duì)功能安全等級(jí)要求如表2.4.1表2.4.1典型車(chē)用場(chǎng)景對(duì)應(yīng)芯片功能安全等級(jí)要求功能安全等級(jí)典型車(chē)用場(chǎng)景ASILD傳動(dòng)系統(tǒng)、行駛系統(tǒng)、轉(zhuǎn)向系統(tǒng)、制動(dòng)系統(tǒng)等ASILC發(fā)動(dòng)機(jī)系統(tǒng)、新能源電驅(qū)系統(tǒng)、能源系統(tǒng)等ASILB環(huán)境感知系統(tǒng)、智能決策系統(tǒng)、車(chē)身控制系統(tǒng)、車(chē)身內(nèi)飾系統(tǒng)、車(chē)身外飾系統(tǒng)、車(chē)身安全系統(tǒng)、開(kāi)閉件系統(tǒng)、熱管理系統(tǒng)、儀表系統(tǒng)、流媒體后視鏡等ASILA電子不停車(chē)收費(fèi)系統(tǒng)、汽車(chē)事件數(shù)據(jù)記錄系統(tǒng)等），芯粒和芯粒系統(tǒng)層面的安全分析,可采用失效模式、影響及診斷分析（FMEDA）、故障樹(shù)分析（FTA）、相關(guān)失效分析（DFA）或適合硬件安全分析的其他類似方法。芯粒和芯粒系統(tǒng)層面的為了實(shí)現(xiàn)上述目標(biāo)，芯粒和多芯粒系統(tǒng)應(yīng)針對(duì)表2.4.2中的要素和失效模式表2.4.2芯粒和多芯粒系統(tǒng)典型失效模式的安全機(jī)制類別失效模式典型安全機(jī)制過(guò)壓過(guò)壓監(jiān)控欠壓欠壓監(jiān)控上電復(fù)位電源尖峰電壓鉗位過(guò)流過(guò)流監(jiān)控限流器頻率錯(cuò)誤時(shí)鐘頻率監(jiān)控周期抖動(dòng)時(shí)鐘頻率監(jiān)控非易失性存儲(chǔ)器尋址錯(cuò)誤奇偶校驗(yàn)位軟錯(cuò)誤模型奇偶校驗(yàn)位改進(jìn)的校驗(yàn)和使用錯(cuò)誤探測(cè)糾錯(cuò)碼（ECC）監(jiān)控存儲(chǔ)器存儲(chǔ)器簽名存儲(chǔ)塊復(fù)制運(yùn)行數(shù)據(jù)完整性檢查讀取錯(cuò)誤存儲(chǔ)塊復(fù)制存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）寫(xiě)入錯(cuò)誤存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）擦除錯(cuò)誤存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）易失性存儲(chǔ)器尋址錯(cuò)誤奇偶校驗(yàn)位隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）跨步測(cè)試軟錯(cuò)誤模型奇偶校驗(yàn)位隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）跨步測(cè)試使用錯(cuò)誤探測(cè)糾錯(cuò)碼（ECC）監(jiān)控存儲(chǔ)器存儲(chǔ)塊復(fù)制運(yùn)行校驗(yàn)和/CRC運(yùn)行數(shù)據(jù)完整性檢查讀取錯(cuò)誤隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）模式測(cè)試存儲(chǔ)塊復(fù)制存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）寫(xiě)入錯(cuò)誤隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）模式測(cè)試存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）擦除錯(cuò)誤隨機(jī)訪問(wèn)存儲(chǔ)器（RAM）模式測(cè)試存儲(chǔ)器內(nèi)置自檢測(cè)（MBIST）模擬和數(shù)字輸直流故障模型通過(guò)在線監(jiān)控進(jìn)行失效探測(cè)入/輸出測(cè)試模式編碼保護(hù)多通道并行輸出受監(jiān)控的輸出輸入對(duì)比/表決模數(shù)轉(zhuǎn)換器（ADC）衰減探測(cè)模數(shù)轉(zhuǎn)換器（ADC）通道卡滯探測(cè)漂移多通道并行輸出受監(jiān)控的輸出輸入對(duì)比/表決振蕩多通道并行輸出受監(jiān)控的輸出輸入對(duì)比/表決處理單元控制邏輯錯(cuò)誤通過(guò)軟件進(jìn)行自檢兩個(gè)獨(dú)立單元間的軟件交叉自檢硬件支持的自檢（單通道）軟件多樣化冗余（單硬件通道）通過(guò)軟件進(jìn)行相互比較堆棧上溢出/下溢出探測(cè)具有獨(dú)立時(shí)間基準(zhǔn)，無(wú)時(shí)間窗口的看門(mén)狗具有獨(dú)立時(shí)間基準(zhǔn)和時(shí)間窗口的看門(mén)狗程序序列的邏輯監(jiān)控對(duì)程序序列的時(shí)間和邏輯監(jiān)控的組合基于時(shí)間的程序序列的時(shí)間和邏輯聯(lián)合監(jiān)控程序流監(jiān)控軟錯(cuò)誤模型軟件多樣化冗余（單硬件通道）通過(guò)軟件進(jìn)行相互比較硬件冗余（例如：雙核鎖步、非對(duì)稱冗余、編碼處理）直流故障模型硬件冗余（例如：雙核鎖步、非對(duì)稱冗余、編碼處理）配置寄存器測(cè)試集成硬件一致性監(jiān)控通信通訊節(jié)點(diǎn)丟失CRC報(bào)文損壞CRC不可接受的報(bào)文延遲CRC報(bào)文丟失CRC非預(yù)期的報(bào)文重復(fù)CRC錯(cuò)誤的報(bào)文排序CRC報(bào)文插入CRC報(bào)文偽裝或路由錯(cuò)誤CRC多芯粒系統(tǒng)接口信道故障冗余信道CRC互相干擾硬件隔離芯粒故障冗余設(shè)計(jì)表2.4.3安全分析評(píng)估檢查清單編號(hào)檢查清單1是否在流程上定義了安全分析？2是否定義了安全分析的相關(guān)模板？3是否在項(xiàng)目中按照所定義的流程及模板實(shí)施了安全分析？4是否對(duì)芯片的所有設(shè)計(jì)進(jìn)行了安全分析，比如數(shù)字、模擬、IO等。5安全分析中識(shí)別出風(fēng)險(xiǎn)比較高的失效，是否增加安全機(jī)制？芯粒系統(tǒng)則是通過(guò)先進(jìn)的封裝技術(shù)將不同的功能單元拆分成獨(dú)立的小芯片進(jìn)行全產(chǎn)品，通過(guò)假定安全需求和安全設(shè)計(jì)，確定系統(tǒng)符合《汽車(chē)芯片信息安全技術(shù)規(guī)范》標(biāo)準(zhǔn)中對(duì)芯芯粒及芯粒接口的信息安全是確保多芯粒系統(tǒng)中數(shù)據(jù)傳輸和通信過(guò)程中數(shù)表2.5.1芯粒信息安全需求與安全功能的映射關(guān)系信息安全需求安全功能安全啟動(dòng)密鑰保護(hù)；密碼算法支持；關(guān)鍵安全參數(shù)保護(hù)；安全運(yùn)行環(huán)境支持；安全啟動(dòng)機(jī)制；安全更新密鑰保護(hù)；密碼算法支持；關(guān)鍵安全參數(shù)保護(hù)；固件更新支持；權(quán)限控制；安全運(yùn)行環(huán)境支持安全通信密碼算法支持；安全運(yùn)行環(huán)境支持；隨機(jī)數(shù)生成；關(guān)鍵安全參數(shù)保護(hù)。安全訪問(wèn)密碼算法支持；關(guān)鍵安全參數(shù)保護(hù)；權(quán)限控制；安全運(yùn)行環(huán)境支持。安全存儲(chǔ)密鑰保護(hù)；密碼算法支持；關(guān)鍵安全參數(shù)保護(hù)；安全運(yùn)行環(huán)境支持。生命周期管理密鑰保護(hù)；關(guān)鍵安全參數(shù)保護(hù)；固件更新支持；權(quán)限控制；安全運(yùn)行環(huán)境支持；安全生命周期管理機(jī)制。攻擊防護(hù)物理防護(hù)；軟件攻擊保護(hù)機(jī)制；漏洞管理。個(gè)人信息安全個(gè)人信息保護(hù)功能表2.5.2汽車(chē)不同應(yīng)用場(chǎng)景的安全需求及車(chē)用芯粒應(yīng)提供的安全功能示例芯粒類型產(chǎn)品類型功能應(yīng)用場(chǎng)景安全需求安全功能安全芯粒獨(dú)立安全硬件密鑰保護(hù)、密碼算法、敏感數(shù)據(jù)存儲(chǔ)數(shù)字鑰匙、車(chē)載支付、緊急呼叫系統(tǒng)、污染排放平臺(tái)數(shù)據(jù)上傳、V2X功能等場(chǎng)景安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)■安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制□個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■通信芯粒直連芯粒蜂窩芯粒衛(wèi)星通信芯粒遠(yuǎn)距通信緊急呼叫系車(chē)遠(yuǎn)程服務(wù)與管理系統(tǒng)、數(shù)據(jù)采級(jí)、遠(yuǎn)程控制、遠(yuǎn)程診斷等安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)■漏洞管理■安全生命周期管理機(jī)制■藍(lán)牙/Wifi/UWB/近場(chǎng)通信投屏、音樂(lè)播放、撥打電話數(shù)字/電子鑰匙等安全啟動(dòng)■安全更新■安全通信■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■星閃/NFC/安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■百兆/千兆/10G以太網(wǎng)芯片SerDes芯粒車(chē)內(nèi)通信數(shù)據(jù)傳輸安全啟動(dòng)□安全更新□安全通信■安全訪問(wèn)□安全存儲(chǔ)□生命周期管理□攻擊防護(hù)□個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成□關(guān)鍵安全參數(shù)保護(hù)■固件更新支持□權(quán)限控制□安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制□軟件攻擊保護(hù)機(jī)制□個(gè)人信息保護(hù)□漏洞管理□安全生命周期管理機(jī)制□網(wǎng)關(guān)芯粒車(chē)內(nèi)通信數(shù)據(jù)傳輸安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■控制芯?？刂破骺刂破鰾MS、EPS、ESC、EMB等底盤(pán)控制器、發(fā)動(dòng)機(jī)控制器、車(chē)身控制器等安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■個(gè)人信息保護(hù)□安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制□個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■智駕控制器、智能座艙控制器、中央車(chē)載計(jì)算平臺(tái)、T-BOX安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)■漏洞管理■安全生命周期管理機(jī)制■執(zhí)行器執(zhí)行器胎壓監(jiān)測(cè)等安全啟動(dòng)□安全更新■安全通信□安全訪問(wèn)□安全存儲(chǔ)□生命周期管理□攻擊防護(hù)□個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成□關(guān)鍵安全參數(shù)保護(hù)□固件更新支持■權(quán)限控制□安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制□軟件攻擊保護(hù)機(jī)制□個(gè)人信息保護(hù)□漏洞管理□安全生命周期管理機(jī)制□計(jì)算芯粒智能駕駛芯粒能計(jì)算任務(wù)、數(shù)據(jù)采集、處理和分析數(shù)據(jù)采集、處理與分析安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)■漏洞管理■安全生命周期管理機(jī)制■智能座艙芯粒語(yǔ)音處理、視頻處理娛樂(lè)模塊、語(yǔ)音識(shí)別安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)■漏洞管理■安全生命周期管理機(jī)制■傳感芯粒毫米波雷達(dá)芯粒環(huán)境感知毫米波雷達(dá)安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■激光雷達(dá)芯粒環(huán)境感知激光雷達(dá)安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■圖像傳感器芯粒圖像傳感圖像傳感器安全啟動(dòng)■安全更新■安全通信■安全訪問(wèn)■安全存儲(chǔ)■生命周期管理■攻擊防護(hù)■個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成■關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制■個(gè)人信息保護(hù)□漏洞管理■安全生命周期管理機(jī)制■存儲(chǔ)芯粒SecureFLASH加密存儲(chǔ)智駕平臺(tái)安全啟動(dòng)■安全更新■安全通信□安全訪問(wèn)■安全存儲(chǔ)■生命周期管理□攻擊防護(hù)□個(gè)人信息保護(hù)□密鑰保護(hù)■密碼算法支持■隨機(jī)數(shù)生成□關(guān)鍵安全參數(shù)保護(hù)■固件更新支持■權(quán)限控制■安全運(yùn)行環(huán)境支持■物理防護(hù)□安全啟動(dòng)機(jī)制■軟件攻擊保護(hù)機(jī)制□個(gè)人信息保護(hù)□漏洞管理□安全生命周期管理機(jī)制□根據(jù)車(chē)用芯粒信息安全攻擊危害性和攻擊易實(shí)施性兩個(gè)方面對(duì)車(chē)用芯粒信息安全要求分級(jí)進(jìn)行評(píng)估確定。評(píng)估攻擊危害性的方法見(jiàn)表2.5.3，評(píng)估攻擊易表2.5.3攻擊危害性評(píng)估表危害性信息泄露影響功能操作影響高國(guó)家地理信息、測(cè)繪數(shù)據(jù)等涉及國(guó)家安全、社會(huì)公共利益可能導(dǎo)致非預(yù)期操作或無(wú)法操作中個(gè)人信息主體可被識(shí)別，可能導(dǎo)致個(gè)人財(cái)產(chǎn)安全受到嚴(yán)重危害可能導(dǎo)致部分功能失效低個(gè)人信息主體可被識(shí)別，可能會(huì)給個(gè)人信息主體合法權(quán)益帶來(lái)負(fù)面影響功能性能降級(jí)造成使用不便無(wú)相關(guān)數(shù)據(jù)在任何場(chǎng)景下均無(wú)法關(guān)聯(lián)或識(shí)別到個(gè)人信息主體；或個(gè)人信息主體可主動(dòng)公開(kāi)或經(jīng)授權(quán)公開(kāi)的數(shù)據(jù)無(wú)影響或影響不可感知注：危害性評(píng)估中，符合信息泄露影響或功能操作影響二者較高等級(jí)之一即為對(duì)應(yīng)危害等級(jí)表2.5.4攻擊易實(shí)施性評(píng)估表攻擊易實(shí)施性攻擊途徑說(shuō)明示例容易車(chē)外網(wǎng)絡(luò)攻擊通過(guò)遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)實(shí)現(xiàn)的攻擊借助wifi、藍(lán)牙、NFC進(jìn)行的無(wú)接觸攻擊等車(chē)內(nèi)網(wǎng)絡(luò)攻擊在外部攻擊滲透后開(kāi)展的車(chē)內(nèi)網(wǎng)絡(luò)攻擊內(nèi)部CAN總線、ECU之間的攻擊等物理攻擊需要接觸到物理實(shí)體開(kāi)展的攻擊故障注入攻擊、側(cè)信道分析與反向工程等表2.5.5分級(jí)方法危害性攻擊易實(shí)施性容易三級(jí)二級(jí)二級(jí)/三級(jí)二級(jí)一級(jí)/三級(jí)一級(jí)//表2.5.6安全功能分級(jí)參考安全功能一級(jí)二級(jí)三級(jí)密鑰保護(hù)密鑰生成密鑰存儲(chǔ)密鑰使用密鑰銷毀密鑰生成密鑰存儲(chǔ)密鑰使用密鑰銷毀密鑰生成密鑰存儲(chǔ)密鑰使用密鑰銷毀密碼算法支持密碼算法支持密碼算法支持密碼算法支持隨機(jī)數(shù)生成支持安全隨機(jī)數(shù)生成能力支持安全隨機(jī)數(shù)生成能力支持安全隨機(jī)數(shù)生成能力符合GB/T32915規(guī)定的隨機(jī)性檢測(cè)要求符合GB/T32915規(guī)定的隨機(jī)性檢測(cè)要求符合GB/T32915規(guī)定的隨機(jī)性檢測(cè)要求具有隨機(jī)數(shù)檢測(cè)功能關(guān)鍵安全參數(shù)保護(hù)關(guān)鍵安全參數(shù)保護(hù)關(guān)鍵安全參數(shù)保護(hù)關(guān)鍵安全參數(shù)保護(hù)固件更新支持不做要求固件更新支持固件更新支持權(quán)限控制存儲(chǔ)訪問(wèn)控制接口授權(quán)訪問(wèn)存儲(chǔ)訪問(wèn)控制接口授權(quán)訪問(wèn)存儲(chǔ)訪問(wèn)控制接口授權(quán)訪問(wèn)安全運(yùn)行環(huán)境支持安全運(yùn)行環(huán)境的固件可信應(yīng)用安全運(yùn)行環(huán)境的固件可信應(yīng)用安全運(yùn)行環(huán)境的固件可信應(yīng)用自測(cè)試記錄自測(cè)試執(zhí)行自測(cè)試記錄自測(cè)試執(zhí)行自測(cè)試記錄自測(cè)試執(zhí)行物理防護(hù)不做要求不做要求側(cè)信道攻擊防護(hù)故障注入攻擊防護(hù)反向工程防護(hù)安全啟動(dòng)機(jī)制安全啟動(dòng)機(jī)制安全啟動(dòng)機(jī)制安全啟動(dòng)機(jī)制軟件攻擊保護(hù)機(jī)制軟件攻擊保護(hù)機(jī)制軟件攻擊保護(hù)機(jī)制軟件攻擊保護(hù)機(jī)制個(gè)人信息保護(hù)個(gè)人信息保護(hù)個(gè)人信息保護(hù)個(gè)人信息保護(hù)漏洞管理漏洞管理漏洞管理漏洞管理安全生命周期管理機(jī)制安全生命周期管理機(jī)制安全生命周期管理機(jī)制安全生命周期管理機(jī)制表2.5.7車(chē)用芯粒信息安全分級(jí)示例應(yīng)用場(chǎng)景芯粒類型信息安全等級(jí)T-Box控制芯粒二級(jí)存儲(chǔ)芯粒一級(jí)蜂窩通信芯粒二級(jí)/三級(jí)直連通信芯粒二級(jí)安全芯粒三級(jí)有線通信芯粒二級(jí)存儲(chǔ)芯粒一級(jí)控制芯粒二級(jí)智能駕駛計(jì)算芯粒二級(jí)數(shù)字鑰匙近場(chǎng)通信芯粒二級(jí)/三級(jí)安全芯粒三級(jí)智能座艙計(jì)算芯粒二級(jí)控制芯粒二級(jí)通信芯粒二級(jí)安全存儲(chǔ)芯粒一級(jí)車(chē)身控制器有線通信芯粒一級(jí)控制芯粒二級(jí)VCU有線通信芯粒一級(jí)控制芯粒二級(jí)門(mén)窗、門(mén)鎖、天窗、雨刮控制芯粒一級(jí)車(chē)用芯粒信息安全功能試驗(yàn)方法包括車(chē)用芯粒信息安全文檔檢查和產(chǎn)品測(cè)架構(gòu)通常采用標(biāo)準(zhǔn)或自定義的高速互連協(xié)議（如Die-to-Die協(xié)議、CXL、UCIe），圖2.6.1芯粒架構(gòu)中軟件設(shè)計(jì)層次圖上述引入將帶來(lái)更多軟件架構(gòu)層面的變動(dòng)，包括中斷處理路徑、DMA傳輸管理、鏈路狀態(tài)監(jiān)控、調(diào)試接口等模塊的新增或修改，如圖2.8.1芯粒從硬件抽象層重構(gòu)來(lái)看，芯粒架構(gòu)相對(duì)于傳統(tǒng)SoC架構(gòu)方案主要有如下的傳統(tǒng)方案：傳統(tǒng)單芯片系統(tǒng)中的BSP（BoardSupportPackage）和HAL對(duì)于芯粒架構(gòu)面臨的挑戰(zhàn)包括：芯粒功能分布在多個(gè)獨(dú)立Die上，各自具因此，HAL需要具備協(xié)同電源管理策略，在依賴圖或優(yōu)先級(jí)順序?qū)π玖５碾娫春蜁r(shí)鐘進(jìn)行協(xié)調(diào)控制。這類策略一般結(jié)合）；CXL等互聯(lián)協(xié)議；驅(qū)動(dòng)程序需支持遠(yuǎn)程訪問(wèn)、撐。在基礎(chǔ)鏈路建立的基礎(chǔ)上，為了實(shí)現(xiàn)具體功能的軟硬件交互，芯粒驅(qū)動(dòng)架構(gòu)需進(jìn)一步抽象出功能驅(qū)動(dòng)層（FunctionalDriverLayer）。該層按照塊（如AI加速、GPU渲染、圖像處理等）進(jìn)行封裝，對(duì)上層操作系統(tǒng)或中間件提供統(tǒng)一的API接口；對(duì)下層通過(guò)基礎(chǔ)鏈路驅(qū)圖2.6.2芯粒驅(qū)動(dòng)架構(gòu)UML圖傳統(tǒng)方案：?jiǎn)涡酒琒oC使用統(tǒng)一的全局時(shí)鐘源；多核任務(wù)調(diào)度、DMA傳輸、計(jì)時(shí)器等基于統(tǒng)一時(shí)間基準(zhǔn)；操作系統(tǒng)中斷的傳遞。例如，通過(guò)UCIe等芯?；ヂ?lián)協(xié)議，在數(shù)據(jù)包中攜帶發(fā)送時(shí)間戳，使圖2.6.3芯粒系統(tǒng)時(shí)鐘對(duì)齊機(jī)制結(jié)構(gòu)圖三、車(chē)用芯粒關(guān)鍵領(lǐng)域標(biāo)準(zhǔn)化需求智能汽車(chē)對(duì)算力的需求呈指數(shù)級(jí)增長(zhǎng)，但車(chē)載電源系統(tǒng)受限于12V/48V電配比：將高算力模塊（如AI加速器）采用先進(jìn)制程以降低功耗，而低功耗供應(yīng)商-封裝集成商-車(chē)企”的網(wǎng)狀生態(tài)。（1）供應(yīng)鏈響應(yīng)速度不匹配：車(chē)規(guī)芯片驗(yàn)證周期長(zhǎng)達(dá)2-3年，而芯粒的模（2）責(zé)任界定模糊：多廠商芯粒集成后出現(xiàn)故障時(shí)，封裝缺陷、接口協(xié)議（3）生態(tài)壁壘：車(chē)企傾向于自研關(guān)鍵芯粒以掌控核心技術(shù)，但封閉生態(tài)與為例，其要求芯片在-40℃至150℃溫度范圍內(nèi)穩(wěn)定工作，并通過(guò)機(jī)械振動(dòng)、濕界面產(chǎn)生應(yīng)力裂紋，導(dǎo)致長(zhǎng)期可靠性風(fēng)險(xiǎn)。此外，ISO262準(zhǔn)化故障隔離設(shè)計(jì)，導(dǎo)致車(chē)企需額外開(kāi)發(fā)監(jiān)控電路，如表3.1.1所示，通用芯?；ヂ?lián)標(biāo)準(zhǔn)與車(chē)規(guī)芯?；ヂ?lián)標(biāo)準(zhǔn)在數(shù)字部分（例如等有更高的要求，以保證在車(chē)輛長(zhǎng)期使用過(guò)程中表3.1.1通用和車(chē)用芯?；ヂ?lián)對(duì)比表維度通用芯?；ヂ?lián)標(biāo)準(zhǔn)車(chē)用芯?；ヂ?lián)標(biāo)準(zhǔn)功能安全無(wú)功能安全要求（QM）ASIL_B/C/D工作溫度范圍0℃~85℃-40℃~125/150℃無(wú)要求啟動(dòng)自檢抗振動(dòng)與抗沖擊通常僅滿足消費(fèi)電子級(jí)振動(dòng)要求需要抗振抗沖擊設(shè)計(jì)與防護(hù)，以確保急剎、顛簸等場(chǎng)景下的通信穩(wěn)定；抗電磁干擾聚焦基礎(chǔ)信號(hào)完整性需要抗電磁干擾設(shè)計(jì)，且需要做相關(guān)測(cè)試芯片之間難以實(shí)現(xiàn)互聯(lián)互通。一家汽車(chē)制造商若要同時(shí)采用A、B兩家芯片供影響信號(hào)傳輸?shù)馁|(zhì)量。嚴(yán)重時(shí)，可能會(huì)導(dǎo)致線路短路輸時(shí)，往往會(huì)出現(xiàn)延遲增加的問(wèn)題。如網(wǎng)口等高速串行接口在傳輸大量數(shù)據(jù)時(shí)，的功能安全提供了全面的指導(dǎo)，從概念階段到生產(chǎn)、售后等全生命周期都制定這就要求車(chē)規(guī)級(jí)接口在長(zhǎng)期使用過(guò)程中能夠保持穩(wěn)定可靠的性能?，F(xiàn)有互連標(biāo)準(zhǔn)（如UCIe）主要面向消費(fèi)電子，缺乏針對(duì)功能安全（ISO26262ASIL-D）和銅混合鍵合）和冗余設(shè)計(jì)提升可靠性和耐久性，進(jìn)行如溫度循環(huán)、振動(dòng)、EMC60749、IEC62880等半導(dǎo)體器件環(huán)境可靠性試驗(yàn)方法系列;國(guó)際參考標(biāo)準(zhǔn)：ISO16750系列:道路車(chē)輛電氣及電子設(shè)備的環(huán)境國(guó)際汽車(chē)電子協(xié)會(huì)車(chē)用到導(dǎo)體測(cè)試系列標(biāo)準(zhǔn)，SAE汽車(chē)電氣部件環(huán)境試驗(yàn)相關(guān)標(biāo)準(zhǔn)；JEDEC微電子環(huán)境、封裝等可靠性標(biāo)準(zhǔn)等，國(guó)內(nèi)國(guó)際的標(biāo)準(zhǔn)還沒(méi)有芯粒芯片多die堆疊特點(diǎn)的環(huán)境與可靠性標(biāo)準(zhǔn)規(guī)范。壞芯片；die級(jí)別的測(cè)試在合封之前，測(cè)試需求明確測(cè)試芯粒本身，還是芯粒系統(tǒng)；芯粒在CP階段需要可靠性測(cè)試，尤其芯片的良率不高的情況下，CP階段即要求芯粒芯片在整車(chē)系統(tǒng)的電磁環(huán)境中能夠正常工作的同時(shí)不會(huì)對(duì)環(huán)境中其）；帶狀線法、1Ω/150Ω直接耦合法；汽車(chē)用芯粒電磁抗擾度要求及測(cè)試方法涉及路電磁發(fā)射測(cè)量》系列標(biāo)準(zhǔn)、GB/T42968-2024《集成電路電磁抗擾度測(cè)量》系circuits.Measurementofelectromagneticemi-MeasurementofelectromagneticimmuniMeasurementofimpulseimmunity”等。尚無(wú)針對(duì)汽車(chē)用芯粒的電磁兼容標(biāo)準(zhǔn)?？裳由熘列玖?chǎng)景，例如：芯粒間通信需滿足功能安全標(biāo)準(zhǔn)（如GB/T34590確保數(shù)據(jù)完整性、時(shí)序確定性；不同工藝/供應(yīng)商的芯粒需獨(dú)立認(rèn)證，并在系統(tǒng)2）信號(hào)完整性：高頻信號(hào)傳輸易受噪聲和干擾影響，需優(yōu)4）成本：冗余設(shè)計(jì)和錯(cuò)誤檢測(cè)機(jī)制會(huì)增加硬件和表3.4.1車(chē)用芯粒功能安全標(biāo)準(zhǔn)化關(guān)注重點(diǎn)類別解決方案典型實(shí)現(xiàn)方法芯粒架構(gòu)的安全分解系統(tǒng)級(jí)安全目標(biāo)分解根據(jù)GB/T34590，將系統(tǒng)級(jí)安全目標(biāo)（如避免意外加速）分解到芯粒層級(jí)。ASIL等級(jí)映射每個(gè)芯粒根據(jù)其功能分配適當(dāng)?shù)腁SIL等級(jí)（如ASILA-D）。安全功能分區(qū)將不同安全功能分配到不同芯粒。芯粒間安全通信安全互連協(xié)議錯(cuò)誤檢測(cè)與糾正：在芯粒間互連（如UCIe、BoW）中集成ECC、CRC、重傳機(jī)制。時(shí)序安全：確保時(shí)間確定性以滿足實(shí)時(shí)性要求。身份認(rèn)證：防止惡意芯粒接入。冗余與多樣性冗余通信路徑：雙通道通信（如主備路徑）或投票機(jī)制。異構(gòu)設(shè)計(jì)：不同芯粒采用不同實(shí)現(xiàn)（如雙核鎖步vs.多樣化軟件）。芯粒級(jí)安全機(jī)制硬件安全特性故障檢測(cè)：內(nèi)置自檢（BIST）、看門(mén)狗定時(shí)器、電壓/頻率監(jiān)控。容錯(cuò)設(shè)計(jì)：鎖步核（Lockstep）、冗余執(zhí)行單元。隔離機(jī)制：物理隔離（如NoC防火墻）、邏輯隔離（內(nèi)存保護(hù)單元MPU）。安全監(jiān)控運(yùn)行時(shí)監(jiān)控：芯粒內(nèi)嵌入安全監(jiān)控模塊?？缧玖f(xié)調(diào)：中央安全管理器協(xié)調(diào)多個(gè)芯粒的故障響應(yīng)。測(cè)試分析與認(rèn)證獨(dú)立分析與驗(yàn)證FMEDA（失效模式、影響及診斷分析）：針對(duì)每個(gè)芯粒分析單點(diǎn)故障（SPF）和潛在故障（LF）。故障注入測(cè)試：模擬芯粒間通信錯(cuò)誤或硬件故障。組合認(rèn)證芯粒級(jí)認(rèn)證：?jiǎn)蝹€(gè)芯粒通過(guò)GB/T34590。系統(tǒng)級(jí)認(rèn)證：驗(yàn)證芯粒組合后的整體安全性（尤其關(guān)注互連和依賴關(guān)系）。供應(yīng)鏈與生命周期管理可信供應(yīng)鏈確保芯粒來(lái)源可靠（如硬件信任錨、PUF身份標(biāo)識(shí)）。可追溯性記錄每個(gè)芯粒的安全屬性（如ASIL等級(jí)、認(rèn)證狀態(tài)）。在線更新支持安全固件更新（如安全啟動(dòng)、OTA簽名驗(yàn)證）。工具與標(biāo)準(zhǔn)支持工具鏈兼容性EDA工具需支持多芯粒安全分析。標(biāo)準(zhǔn)協(xié)同結(jié)合GB/T34590。如果在芯粒設(shè)計(jì)中實(shí)施功能安全機(jī)制的仿真驗(yàn)證，需要EDA2）異構(gòu)驗(yàn)證兼容：數(shù)字/模擬/光電混合1）性能開(kāi)銷：加密和認(rèn)證機(jī)制會(huì)增加延遲和功耗，需在安全4）攻擊面擴(kuò)大：芯粒接口的增加可能引入新的攻擊面，需全面評(píng)估安全風(fēng)表3.5.1車(chē)用芯粒Die-to-Die攻防技術(shù)威脅類別攻擊手段防護(hù)技術(shù)總線竊聽(tīng)通過(guò)探針攔截或修改芯粒之間通信數(shù)據(jù)。加密與認(rèn)證：采用AES等算法加密芯粒間數(shù)據(jù)流，采用SHA3等算法確保數(shù)據(jù)完整性。物理侵入通過(guò)聚焦離子束（FIB）直接修改互連線路或插入探測(cè)點(diǎn)，或利用激光故障注入誘發(fā)通信錯(cuò)誤。加密與認(rèn)證：采用AES等算法加密芯粒間數(shù)據(jù)流，采用SHA3等算法確保數(shù)據(jù)完整性。硬件木馬在硅中介層中植入木馬電路，竊取或篡改跨芯粒通信數(shù)據(jù)木馬檢測(cè)：使用環(huán)形振蕩器來(lái)檢測(cè)木馬觸發(fā)時(shí)的異常。表3.5.2車(chē)用芯粒信息安全標(biāo)準(zhǔn)化關(guān)注重點(diǎn)信息安全功能技術(shù)要求密鑰保護(hù)密鑰生成的一般要求；密鑰存儲(chǔ)的一般要求，包括長(zhǎng)期密鑰保護(hù)、臨時(shí)密鑰保護(hù)、對(duì)稱密鑰的安全存儲(chǔ)、非對(duì)稱密鑰的安全存儲(chǔ)；密鑰使用的一般要求，包括密鑰訪問(wèn)控制、密鑰建立、密鑰派生、密鑰導(dǎo)入與更新、密鑰導(dǎo)出；密鑰銷毀的一般要求；密碼算法支持密碼算法的一般要求；隨機(jī)數(shù)生成隨機(jī)數(shù)生成的一般要求，包括真隨機(jī)數(shù)和偽隨機(jī)數(shù)；關(guān)鍵安全參數(shù)保護(hù)關(guān)鍵安全參數(shù)保護(hù)的一般要求；固件更新支持固件更新的一般要求；權(quán)限控制權(quán)限控制的一般要求，包括存儲(chǔ)訪問(wèn)控制、接口授權(quán)訪問(wèn)；安全運(yùn)行環(huán)境支持安全運(yùn)行環(huán)境的一般要求，包括安全運(yùn)行環(huán)境的固件、可信應(yīng)用；自測(cè)試的一般要求，包括自測(cè)試記錄、自測(cè)試執(zhí)行；物理防護(hù)物理防護(hù)的一般要求，包括側(cè)信道攻擊防護(hù)、故障注入攻擊防護(hù)、反向工程防護(hù)；安全啟動(dòng)機(jī)制安全啟動(dòng)機(jī)制的一般要求；軟件攻擊保護(hù)機(jī)制軟件攻擊保護(hù)機(jī)制的一般要求；個(gè)人信息保護(hù)個(gè)人信息保護(hù)的一般要求；漏洞管理漏洞管理的一般要求；安全生命周期管理機(jī)制安全生命周期管理機(jī)制的一般要求。粒在信息安全方面達(dá)到高水平，為汽車(chē)行業(yè)的可動(dòng)態(tài)分配具體地址，所以程序需要在運(yùn)行時(shí)查詢或解析這些地址才能正確訪問(wèn)。降低了跨芯粒訪問(wèn)的出錯(cuò)概率，并簡(jiǎn)化了驅(qū)試和維護(hù)，因?yàn)橐恢滦圆呗允亲詣?dòng)化管理的，而能與容錯(cuò)能力。為支持芯粒間高效協(xié)作，軟件需基于AUTOSAROS標(biāo)準(zhǔn)建立備本地中斷控制器，并通過(guò)一個(gè)集中式或分布式的中斷InterruptRouter）實(shí)現(xiàn)中斷源到目標(biāo)處理單元的映射與調(diào)度。中斷的配置應(yīng)遵循配合操作系統(tǒng)中的快速上下文切換路徑，保障嵌套中斷延遲控制在≤200ns范支持動(dòng)態(tài)中斷重映射能力。一旦某個(gè)芯粒因故障脫離系統(tǒng)或進(jìn)行角色切換，原為適配車(chē)載領(lǐng)域多芯粒系統(tǒng)的異構(gòu)性與復(fù)雜性，系統(tǒng)軟件亟需構(gòu)建統(tǒng)一的），次數(shù)、ECC校驗(yàn)失敗統(tǒng)計(jì)、看門(mén)狗超時(shí)等。這些數(shù)據(jù)可被系統(tǒng)診斷模塊采集，用于故障預(yù)測(cè)、異常隔離與系統(tǒng)自恢復(fù)策略執(zhí)行，滿足GB/T34590等標(biāo)準(zhǔn)HealthManagement,VH2.動(dòng)態(tài)資源管理規(guī)范：支持運(yùn)行時(shí)對(duì)算力、內(nèi)存、帶寬等資源的智能分配和可滿足ISO26262、SOT