汽車芯片造芯，不可＂缺心眼兒＂！

汽車工業(yè)正在發(fā)生變化，汽車電子產(chǎn)品正變得越來越集中、連接緊密和更加復(fù)雜，整個供應(yīng)鏈正在圍繞這些轉(zhuǎn)變重新調(diào)整。結(jié)束無期的疫情不僅眾創(chuàng)了 2020 年的汽車銷售，也給了主機(jī)廠以喘息的機(jī)會。不過，喘息過后，全球性缺芯危機(jī)來了，歐美全面停供中國汽車芯片，嚴(yán)重影響了中國汽車廠商的產(chǎn)能。

為解決卡脖子問題，主機(jī)廠自研芯片不是不可以，但遠(yuǎn)水解不了近渴，如何解得了燃眉之急？所以，還得尋找貨源，怎樣避免在饑不擇食之際拿到贗品芯片呢？

1.造芯，談何容易？

步入 2021 年，汽車芯片不足的危機(jī)只是開了一個頭，彭博社預(yù)測，“中國的芯片短缺可能持續(xù)長達(dá)十年”，為此，中國企業(yè)需要增強(qiáng)其在供應(yīng)鏈中的競爭力，加快芯片開發(fā)。其實(shí)，像特斯拉這樣的大廠也曾抱怨，在測試 Mobileye 的芯片時發(fā)現(xiàn)，其算法不能改，而且無法實(shí)現(xiàn)快速迭代。為此特斯拉自研芯片于 2019 年面世。一些有實(shí)力的主機(jī)廠也都在未雨綢繆，規(guī)劃自研芯片的事情，以免受制于人。

在發(fā)生致命事故后特斯拉和 Mobileye 結(jié)束了合作關(guān)系理論上講，主機(jī)廠自己的芯片做好了，除了解決上游芯片廠商不能完全滿足需求的問題，還可以建立自己的技術(shù)“護(hù)城河”。這就是繼特斯拉、比亞迪之后，蔚來汽車也要自己造芯的原委。蔚來汽車董事長兼 CEO 李斌在接受媒體采訪時表示：“自研自動駕駛芯片并不難，比手機(jī)芯片容易。”

真是這樣嗎？看看真正造芯的地平線創(chuàng)始人兼 CEO 余凱怎么說：“未來三年，是最關(guān)鍵的時間窗口，如果中國品牌在芯片和操作系統(tǒng)上不能夠拿到中國智能汽車市場的前兩名，我認(rèn)為我們就已經(jīng)基本上出局了。”這是他對整個大勢的研判。

談到造芯，他在接受采訪時表示：“到今天為止，全球車企中真正自研芯片的只有特斯拉一家，其他的或許只是聲音。就像智能手機(jī)產(chǎn)業(yè)，真正自研芯片的很少，絕大部分還是走分工協(xié)作的道路，專業(yè)分工才能帶來效率。智能手機(jī)時代也有一些手機(jī)公司嘗試過研發(fā)芯片，但都不是很成功。最后他們都用了高通和聯(lián)發(fā)科的芯片。我認(rèn)為，在產(chǎn)業(yè)鏈分工不明確時，這個邊界是比較模糊的；最后分工會越來越明確，專業(yè)化的分工可以帶來效率，專業(yè)的人干專業(yè)的事。”

的確，研發(fā)自動駕駛芯片要比手機(jī)芯片更難，就說滿足車規(guī)這一條就夠芯片廠商喝一壺的。至于車規(guī) AI 芯片，用余凱的話說“必須是世界級的 AI 算法公司”才玩得轉(zhuǎn)。簡單的芯片或許可以，也沒有自己造的必要，而復(fù)雜的芯片更不是一朝一夕能夠?qū)崿F(xiàn)的。

2.別拿芯片來賭命

芯片還有一個意思：籌碼（Chip）。隨著汽車越來越電氣化，越來越多的汽車數(shù)據(jù)被數(shù)字化，需要更先進(jìn)的電子設(shè)備，而組成這些電子設(shè)備的基礎(chǔ)就是芯片。半導(dǎo)體行業(yè)專家警告說：車用半導(dǎo)體器件的選擇也不是一件簡單的事情，弄不好就是在拿芯片籌碼賭命，為未來的汽車安全埋下隱患，等到整車因芯片缺陷大規(guī)模召回，腸子都得悔青了！

3.冗余之于汽車

為半導(dǎo)體行業(yè)無晶圓廠公司和 IDM 提供全面數(shù)據(jù)分析解決方案的 yieldHUB 的業(yè)務(wù)開發(fā)經(jīng)理 Andre van de Geijn 說：“我去過很多汽車工廠，從測試角度看，有更多來自代工廠的信息正傳送到裝配和測試現(xiàn)場。在那里，必須進(jìn)行數(shù)據(jù)合并，以確保器件正常工作。我們也看到，這些客戶開始改變工作方式。過去，電機(jī)或發(fā)動機(jī)控制單元只有一個微控制器（MCU），現(xiàn)在不止一個。如果一個失效了，特別是對于那些關(guān)鍵系統(tǒng)，另一個將會接管。即使你可以做各種各樣的測試和可靠性的工作，F(xiàn)MEA（故障模式和影響分析）顯示，唯一的覆蓋方法就是在 MCU 中為那些關(guān)鍵項(xiàng)目提供冗余。如果其中一個部件出現(xiàn)故障，需要由它們來接管。”

制程控制和量產(chǎn)管理領(lǐng)導(dǎo)廠商 KLA 的戰(zhàn)略合作高級總監(jiān) Jay Rathert 也說：“幾年前，我見了一家大型汽車主機(jī)廠的電子研發(fā)小組負(fù)責(zé)人。他說‘你還沒有造過一輛車，你會為從零件中扣除一分錢的成本而爭吵。我來自航空業(yè)，冗余是我們通常處理可靠性問題的重要方法——三臺飛行電腦投票決定誰是對的。但汽車行業(yè)沒有那種奢侈，我們只是想省一分錢。’整個汽車供應(yīng)鏈都感受到很大壓力，要使每個設(shè)備都可靠。冗余似乎是顯而易見的途徑，當(dāng)然對片芯價格在 15 美元、20 美元或更高的高端零件來說的確是這樣。但如果不是迫不得已，汽車公司不愿意把多個單元放進(jìn)去，而寧愿尋找其他解決辦法。”

4.芯片防偽的考量

新的供應(yīng)鏈威脅正在出現(xiàn)，復(fù)雜集成電路和簡單無源組件的造假手段越來越多，這兩者都會影響使用這些組件的系統(tǒng)的功能和安全。在供貨趨緊的情況下，主機(jī)廠可能饑不擇食，采購到趁虛而入的贗品芯片。如何防患于未然？看看防偽專家如何解讀。

·鋌而走險的造假

只要有可靠的收入來源，造假就可能發(fā)生。Rambus 防偽產(chǎn)品技術(shù)總監(jiān) Scott Best 說：“每年有 700 億美元的打印機(jī)耗材銷往世界各地。對于造假者來說，這是一個難得的機(jī)會。他們花 1000 萬美元拆開別人的安全芯片，進(jìn)行完全逆向工程（完全合法），并打印一個功能克隆。如果你能做到這一點(diǎn)，克隆的芯片保證每年有 1 億美元的產(chǎn)品流。”除了收入和利潤的損失之外，安全問題也成為了當(dāng)今人們關(guān)注的焦點(diǎn)，特別是在汽車市場。

Dust Identity 首席執(zhí)行官 Ophir Gaathon 表示：“如果你買到一款假的 Gucci 包，那么還好，如果你買的安全氣囊芯片是假的，含義就完全不同了。”

·信任要著眼于整個價值鏈

一些正在開發(fā)的新技術(shù)有助于主機(jī)廠在組裝前和故障分析期間識別假冒組件來建立信任，而單個組件識別正成為這項(xiàng)工作的重要一環(huán)。西門子企業(yè) Mentor 的信任鏈業(yè)務(wù)主管 Tom Katsioulas 表示：“信任需要著眼于整個價值鏈，從設(shè)計(jì)到制造，并仔細(xì)監(jiān)控每一步。安全關(guān)乎數(shù)字資產(chǎn)；信任關(guān)乎有形資產(chǎn)；身份將兩者聯(lián)系起來。”

器件真?zhèn)蔚膯栴}可能發(fā)生在供應(yīng)商、承包商與供應(yīng)商之間，或者發(fā)生在承包商與客戶之間移動組件的過程中。所使用的防偽選項(xiàng)類型既取決于組件價值，也取決于假冒組件的后果。但通過專注于唯一識別一個組件的能力，就可以在最終系統(tǒng)組裝時予以跟蹤。

電子器件供應(yīng)鏈·防偽與可追溯

防偽措施與可追溯性關(guān)系密切，獨(dú)特的組件 ID 既解決了防偽問題，又可以在懷疑故障是由假冒組件引起時進(jìn)行回顧。

可追溯性流程提供創(chuàng)建可靠、無缺陷數(shù)字 IC 軟件工具的 OneSpin Solutions 信任和安全產(chǎn)品經(jīng)理 John Hallman 說：“最大的問題在于能夠識別器件，多年來有不同標(biāo)簽技術(shù)可以解決這一問題，現(xiàn)在有各種電子 ID，在硅片中有一個隨機(jī)標(biāo)識符，還有授權(quán)技術(shù)。我們將驗(yàn)證數(shù)據(jù)視為唯一標(biāo)識符，用戶可以在其中獲取驗(yàn)證數(shù)據(jù)并使用區(qū)塊鏈技術(shù)將其附加到 IP 上。”

實(shí)際上，其數(shù)據(jù)的每個位都是唯一的。Hallman 說：“這些數(shù)據(jù)可以保存在器件上，如果有人修改它，你就能看到。這種方法有助于查看一個 IP 或芯片，對其進(jìn)行評估，并將其構(gòu)建到一個器件中，以便它可以與該 IP 一起傳輸。其數(shù)據(jù)保持加密，并可連接外部數(shù)據(jù)庫。”

·零信任態(tài)度

傳統(tǒng)上，信任是通過組織層面的審查建立起來的。但是僅僅有一個被認(rèn)可的供應(yīng)商已經(jīng)不夠了。專門從事電子設(shè)計(jì)自動化的 Cadence 航空航天和國防解決方案主管 Steve Carlson 說：“你從一開始就假定自己對芯片是信任的。如果你做過一次驗(yàn)證，然后你說，‘好吧，現(xiàn)在它們是值得信任的，’那么就可以在系統(tǒng)內(nèi)自由使用這些芯片了。”

零信任打破默認(rèn)的“信任”新的方法是假設(shè)，在任何給定時間，如果沒有證據(jù)，任何實(shí)體都不能被信任，不管過去已經(jīng)給出了多少次證據(jù)。這被稱為“零信任”，它把每一次互動都當(dāng)作第一次。“零信任”就是“持續(xù)驗(yàn)證，永不信任”。提供完整的測試測量解決方案廠商 Keyfactor 物聯(lián)網(wǎng)產(chǎn)品管理高級總監(jiān) Ellen Boehm 說：“當(dāng)我們談?wù)摿阈湃螘r，我們不想在各個階段納入先進(jìn)的人工干預(yù)，自動化才是關(guān)鍵。”

事實(shí)上，“信任”的概念包羅萬象，涵蓋了許多具體要素，其中之一是人們是否相信進(jìn)入系統(tǒng)的組件是真品還是贗品。為每個這樣的組件分配一個唯一標(biāo)識符——“序列化”，是實(shí)現(xiàn)組件身份驗(yàn)證的一個重要步驟。

·序列號的承諾

序列化可能是一個挑戰(zhàn)。Gaathon 說：“序列化的最大問題是對特定序列號的承諾，讓生態(tài)系統(tǒng)中的所有參與者都承諾使用相同的序列號，以及擁有一個能夠回憶序列號的系統(tǒng)。”這就需要更復(fù)雜的方法。

無論是衛(wèi)星、汽車還是高可用性計(jì)算機(jī)，電子系統(tǒng)都有極其復(fù)雜的供應(yīng)鏈。芯片和無源組件被組裝到電路板上，電路板被組裝成模塊，模塊被組裝成一個完整的系統(tǒng)。

Katsioulas 指出：“身份和識別碼是有區(qū)別的。對于單個器件，在設(shè)計(jì)、制造和組裝之間，在將芯片運(yùn)送到現(xiàn)場之前，可能有三個、四個或五個標(biāo)識符，還要創(chuàng)建一個由這些標(biāo)識符組成的統(tǒng)一標(biāo)識。”

同樣重要的是，雖然一個組織內(nèi)總有搗蛋鬼操作員的風(fēng)險，但在供應(yīng)鏈的不同參與者之間，甚至是屬于同一個供應(yīng)商的不同工廠之間轉(zhuǎn)移組件或子組件時，就會出現(xiàn)許多漏洞。

·識別 IC 的黃金標(biāo)準(zhǔn)

2016 年，研究人員證明黑客可以通過遠(yuǎn)程訪問和控制特斯拉 Model S 的制動系統(tǒng)、發(fā)動機(jī)、天窗、門鎖、后備箱、側(cè)視鏡等。之后，特斯拉在其 SoC 中采用硬件信任根（HRoT）來加強(qiáng)安全邊界。

目前，大多數(shù) ID 的焦點(diǎn)都集中在硅芯片上，尤其是高價值組件。芯片的電子 ID 可以被詢問和讀取，無論是當(dāng)芯片是孤立的還是當(dāng)它安裝在一個系統(tǒng)中。

芯片 ID 是一個電子可尋址 ID，用于可追溯性，它可以在制造過程中使用多種不同技術(shù)創(chuàng)建，而偽造 ID 的方式受到了更多限制。黃金標(biāo)準(zhǔn)是源于芯片本身 ID 的內(nèi)部 HRoT。

采用信任根的硬件安全模塊集成電路基礎(chǔ)設(shè)施技術(shù)和服務(wù)供應(yīng)商 PDF Solutions 業(yè)務(wù)開發(fā)部的 Dave Huntley 說：“另一種選擇是基于實(shí)際器件的物理特性。當(dāng)器件通電時，它會在那一刻創(chuàng)造出自己獨(dú)特的 ID。”

實(shí)現(xiàn)這一點(diǎn)的方法有很多種，但最受關(guān)注的是物理不可壓縮函數(shù)（PUF），比如用 SRAM 陣列的隨機(jī)加電狀態(tài)建立一個標(biāo)識。因?yàn)?ID 是器件固有的，所以是不可變的。這是任何組件 ID 的一個重要特征。

在第一次通電時，這樣的組件就會“注冊”自己的 ID。從那時起，它就可以在制造過程中甚至在部署之后識別或“驗(yàn)證”自己。系統(tǒng)可以在每次通電時驗(yàn)證其所有芯片，以確保沒有任何東西被篡改。

HRoT 有多種用途，包括充當(dāng)公鑰和私鑰的種子。對于這些應(yīng)用來說，為了保護(hù)這些密鑰，HRoT 返回的實(shí)際值必須是機(jī)密的，這至關(guān)重要。它不應(yīng)該離開器件。但根據(jù)定義，組件 ID 必須能夠離開器件。所以組件 ID 也可以從 HRoT 派生，就像密鑰一樣。HRoT 值保持隱藏，而派生 ID 可以變?yōu)榭梢姟?/p>

視覺線索也可以用來識別一個 ID。Huntley 說：“多光束（電子束）可以在硅器件上寫上識別碼——不是電的，而是視覺的——所以必須用電子顯微鏡來觀察它。”這樣做的好處在于，它是在電子測試流程之外創(chuàng)建的，因此不能像電子 ID 那樣被玩弄，而電子 ID 和可視 ID 有可能一起使用。

·無源組件也有風(fēng)險

無源組件，例如電阻器和電容器，通常被認(rèn)為是低值組件，不值得像 IC 那樣花費(fèi)大量精力造假。但也有大量的嘗試在偽造無源組件。Katsioulas 說：“我參加了 MTA 的假冒峰會，聽到假冒電阻器和假冒電容器及其對供應(yīng)鏈的影響時，我被嚇壞了。”

Ford 說：“造假最多的是陶瓷電容器（condenser，尤指汽車發(fā)動機(jī)用）。這是因?yàn)槭袌龉┎粦?yīng)求。贗品看起來像電容器（capacitor），其行為就像電容器。唯一的區(qū)別是電介質(zhì)的質(zhì)量比正常的低。”

電容器也有質(zhì)量高低這可能會對現(xiàn)實(shí)世界產(chǎn)生很大影響。Ford 繼續(xù)說：“有一個特別的例子，一架空軍噴氣式飛機(jī)升空了，‘敵友（Friend or Foe）’電路失靈。他們認(rèn)為其中一個大型 PGA 是偽造的。但問題出在陶瓷電容器，因?yàn)樾盘柾ㄟ^無源組件到達(dá) PGA。”

許多這樣的無源組件是卷帶包裝。因此，它們自然是序列化的，從理論上講，可以單獨(dú)進(jìn)行進(jìn)貨檢驗(yàn)。Huntley 說：“如果你有一個裝滿卷帶的盒子，你可能會選擇一些進(jìn)行檢驗(yàn)，先驗(yàn)證盒子，打開盒子，再打開卷帶，在投入生產(chǎn)前讀取后臺的所有包裝 ID。”

但今天，識別單個無源組件可能太麻煩了。取而代之的是，卷帶有一個批 ID，任何無源組件都被認(rèn)為來自該卷帶。“驗(yàn)證每一個電容器可能是不值得的，”Huntley 說。不過，雖然系統(tǒng)無法追溯到特定的無源組件，但它可以追溯到組件來自的批次。

·真假難辨

來料質(zhì)量檢查也可能被蒙混過關(guān)。Ford 說：“有一個案例，我們看到有一卷 SMT 組件，前 100 個是真的，后面都是贗品。所以這是一個被掉包的案例，專門挑戰(zhàn)進(jìn)貨檢驗(yàn)制度。如果有人發(fā)現(xiàn)了問題，由于它如此隨機(jī)，很難找到一條通往責(zé)任方的路。”

發(fā)現(xiàn)批量中的贗品難上加難

同時，并非所有的裝配都是自動化的。Ford 說：“對于手工裝配來說，這有點(diǎn)棘手，因?yàn)樗麄兊牧慵淅飼r不時會裝滿。因此，必須有一個程序來確保永遠(yuǎn)不會在一個箱子里混入不同批次的組件。”

批量的一個挑戰(zhàn)在于，批量大小并不總是與裝配需求相匹配。Ford 說：“假設(shè)你需要生產(chǎn) 100 個產(chǎn)品，在這 100 個產(chǎn)品上你使用兩種特定組件。所以你要用 200 個組件。但組件是一卷 1000 個。所以 ERP 會分配給你 200 個組件。另外 800 個組件必須留在那里。與此同時，在另一條生產(chǎn)線上，一個家伙用完了材料。他不關(guān)心任何事情，只關(guān)心讓他的產(chǎn)線運(yùn)行，所以剛才剩下的 800 個組件中的一些被拿去，沒有適當(dāng)?shù)母?。這在每一家制造企業(yè)都會發(fā)生，除非已經(jīng)過渡到精益物料管理。”

5.把緊安全關(guān)口

過去，潛在缺陷通常是在穩(wěn)定的環(huán)境中記錄的，但在汽車中，這變得更加困難，因?yàn)槠囋诜浅２煌?，通常是惡劣的環(huán)境中運(yùn)行。主機(jī)廠似乎不想為冗余解決方案買單，那就更應(yīng)該利用半導(dǎo)體廠商提供的各種驗(yàn)證方法嚴(yán)把質(zhì)量關(guān)，何況汽車人命關(guān)天，又是一個有“汽車安規(guī)”的行業(yè)呢！