汽車(chē)芯片造芯，不可＂缺心眼兒＂！

汽車(chē)工業(yè)正在發(fā)生變化，汽車(chē)電子產(chǎn)品正變得越來(lái)越集中、連接緊密和更加復(fù)雜，整個(gè)供應(yīng)鏈正在圍繞這些轉(zhuǎn)變重新調(diào)整。結(jié)束無(wú)期的疫情不僅眾創(chuàng)了 2020 年的汽車(chē)銷售，也給了主機(jī)廠以喘息的機(jī)會(huì)。不過(guò)，喘息過(guò)后，全球性缺芯危機(jī)來(lái)了，歐美全面停供中國(guó)汽車(chē)芯片，嚴(yán)重影響了中國(guó)汽車(chē)廠商的產(chǎn)能。

為解決卡脖子問(wèn)題，主機(jī)廠自研芯片不是不可以，但遠(yuǎn)水解不了近渴，如何解得了燃眉之急？所以，還得尋找貨源，怎樣避免在饑不擇食之際拿到贗品芯片呢？

1.造芯，談何容易？

步入 2021 年，汽車(chē)芯片不足的危機(jī)只是開(kāi)了一個(gè)頭，彭博社預(yù)測(cè)，“中國(guó)的芯片短缺可能持續(xù)長(zhǎng)達(dá)十年”，為此，中國(guó)企業(yè)需要增強(qiáng)其在供應(yīng)鏈中的競(jìng)爭(zhēng)力，加快芯片開(kāi)發(fā)。其實(shí)，像特斯拉這樣的大廠也曾抱怨，在測(cè)試 Mobileye 的芯片時(shí)發(fā)現(xiàn)，其算法不能改，而且無(wú)法實(shí)現(xiàn)快速迭代。為此特斯拉自研芯片于 2019 年面世。一些有實(shí)力的主機(jī)廠也都在未雨綢繆，規(guī)劃自研芯片的事情，以免受制于人。

在發(fā)生致命事故后特斯拉和 Mobileye 結(jié)束了合作關(guān)系理論上講，主機(jī)廠自己的芯片做好了，除了解決上游芯片廠商不能完全滿足需求的問(wèn)題，還可以建立自己的技術(shù)“護(hù)城河”。這就是繼特斯拉、比亞迪之后，蔚來(lái)汽車(chē)也要自己造芯的原委。蔚來(lái)汽車(chē)董事長(zhǎng)兼 CEO 李斌在接受媒體采訪時(shí)表示：“自研自動(dòng)駕駛芯片并不難，比手機(jī)芯片容易。”

真是這樣嗎？看看真正造芯的地平線創(chuàng)始人兼 CEO 余凱怎么說(shuō)：“未來(lái)三年，是最關(guān)鍵的時(shí)間窗口，如果中國(guó)品牌在芯片和操作系統(tǒng)上不能夠拿到中國(guó)智能汽車(chē)市場(chǎng)的前兩名，我認(rèn)為我們就已經(jīng)基本上出局了。”這是他對(duì)整個(gè)大勢(shì)的研判。

談到造芯，他在接受采訪時(shí)表示：“到今天為止，全球車(chē)企中真正自研芯片的只有特斯拉一家，其他的或許只是聲音。就像智能手機(jī)產(chǎn)業(yè)，真正自研芯片的很少，絕大部分還是走分工協(xié)作的道路，專業(yè)分工才能帶來(lái)效率。智能手機(jī)時(shí)代也有一些手機(jī)公司嘗試過(guò)研發(fā)芯片，但都不是很成功。最后他們都用了高通和聯(lián)發(fā)科的芯片。我認(rèn)為，在產(chǎn)業(yè)鏈分工不明確時(shí)，這個(gè)邊界是比較模糊的；最后分工會(huì)越來(lái)越明確，專業(yè)化的分工可以帶來(lái)效率，專業(yè)的人干專業(yè)的事。”

的確，研發(fā)自動(dòng)駕駛芯片要比手機(jī)芯片更難，就說(shuō)滿足車(chē)規(guī)這一條就夠芯片廠商喝一壺的。至于車(chē)規(guī) AI 芯片，用余凱的話說(shuō)“必須是世界級(jí)的 AI 算法公司”才玩得轉(zhuǎn)。簡(jiǎn)單的芯片或許可以，也沒(méi)有自己造的必要，而復(fù)雜的芯片更不是一朝一夕能夠?qū)崿F(xiàn)的。

2.別拿芯片來(lái)賭命

芯片還有一個(gè)意思：籌碼（Chip）。隨著汽車(chē)越來(lái)越電氣化，越來(lái)越多的汽車(chē)數(shù)據(jù)被數(shù)字化，需要更先進(jìn)的電子設(shè)備，而組成這些電子設(shè)備的基礎(chǔ)就是芯片。半導(dǎo)體行業(yè)專家警告說(shuō)：車(chē)用半導(dǎo)體器件的選擇也不是一件簡(jiǎn)單的事情，弄不好就是在拿芯片籌碼賭命，為未來(lái)的汽車(chē)安全埋下隱患，等到整車(chē)因芯片缺陷大規(guī)模召回，腸子都得悔青了！

3.冗余之于汽車(chē)

為半導(dǎo)體行業(yè)無(wú)晶圓廠公司和 IDM 提供全面數(shù)據(jù)分析解決方案的 yieldHUB 的業(yè)務(wù)開(kāi)發(fā)經(jīng)理 Andre van de Geijn 說(shuō)：“我去過(guò)很多汽車(chē)工廠，從測(cè)試角度看，有更多來(lái)自代工廠的信息正傳送到裝配和測(cè)試現(xiàn)場(chǎng)。在那里，必須進(jìn)行數(shù)據(jù)合并，以確保器件正常工作。我們也看到，這些客戶開(kāi)始改變工作方式。過(guò)去，電機(jī)或發(fā)動(dòng)機(jī)控制單元只有一個(gè)微控制器（MCU），現(xiàn)在不止一個(gè)。如果一個(gè)失效了，特別是對(duì)于那些關(guān)鍵系統(tǒng)，另一個(gè)將會(huì)接管。即使你可以做各種各樣的測(cè)試和可靠性的工作，F(xiàn)MEA（故障模式和影響分析）顯示，唯一的覆蓋方法就是在 MCU 中為那些關(guān)鍵項(xiàng)目提供冗余。如果其中一個(gè)部件出現(xiàn)故障，需要由它們來(lái)接管。”

制程控制和量產(chǎn)管理領(lǐng)導(dǎo)廠商 KLA 的戰(zhàn)略合作高級(jí)總監(jiān) Jay Rathert 也說(shuō)：“幾年前，我見(jiàn)了一家大型汽車(chē)主機(jī)廠的電子研發(fā)小組負(fù)責(zé)人。他說(shuō)‘你還沒(méi)有造過(guò)一輛車(chē)，你會(huì)為從零件中扣除一分錢(qián)的成本而爭(zhēng)吵。我來(lái)自航空業(yè)，冗余是我們通常處理可靠性問(wèn)題的重要方法——三臺(tái)飛行電腦投票決定誰(shuí)是對(duì)的。但汽車(chē)行業(yè)沒(méi)有那種奢侈，我們只是想省一分錢(qián)。’整個(gè)汽車(chē)供應(yīng)鏈都感受到很大壓力，要使每個(gè)設(shè)備都可靠。冗余似乎是顯而易見(jiàn)的途徑，當(dāng)然對(duì)片芯價(jià)格在 15 美元、20 美元或更高的高端零件來(lái)說(shuō)的確是這樣。但如果不是迫不得已，汽車(chē)公司不愿意把多個(gè)單元放進(jìn)去，而寧愿尋找其他解決辦法。”

4.芯片防偽的考量

新的供應(yīng)鏈威脅正在出現(xiàn)，復(fù)雜集成電路和簡(jiǎn)單無(wú)源組件的造假手段越來(lái)越多，這兩者都會(huì)影響使用這些組件的系統(tǒng)的功能和安全。在供貨趨緊的情況下，主機(jī)廠可能饑不擇食，采購(gòu)到趁虛而入的贗品芯片。如何防患于未然？看看防偽專家如何解讀。

·鋌而走險(xiǎn)的造假

只要有可靠的收入來(lái)源，造假就可能發(fā)生。Rambus 防偽產(chǎn)品技術(shù)總監(jiān) Scott Best 說(shuō)：“每年有 700 億美元的打印機(jī)耗材銷往世界各地。對(duì)于造假者來(lái)說(shuō)，這是一個(gè)難得的機(jī)會(huì)。他們花 1000 萬(wàn)美元拆開(kāi)別人的安全芯片，進(jìn)行完全逆向工程（完全合法），并打印一個(gè)功能克隆。如果你能做到這一點(diǎn)，克隆的芯片保證每年有 1 億美元的產(chǎn)品流。”除了收入和利潤(rùn)的損失之外，安全問(wèn)題也成為了當(dāng)今人們關(guān)注的焦點(diǎn)，特別是在汽車(chē)市場(chǎng)。

Dust Identity 首席執(zhí)行官 Ophir Gaathon 表示：“如果你買(mǎi)到一款假的 Gucci 包，那么還好，如果你買(mǎi)的安全氣囊芯片是假的，含義就完全不同了。”

·信任要著眼于整個(gè)價(jià)值鏈

一些正在開(kāi)發(fā)的新技術(shù)有助于主機(jī)廠在組裝前和故障分析期間識(shí)別假冒組件來(lái)建立信任，而單個(gè)組件識(shí)別正成為這項(xiàng)工作的重要一環(huán)。西門(mén)子企業(yè) Mentor 的信任鏈業(yè)務(wù)主管 Tom Katsioulas 表示：“信任需要著眼于整個(gè)價(jià)值鏈，從設(shè)計(jì)到制造，并仔細(xì)監(jiān)控每一步。安全關(guān)乎數(shù)字資產(chǎn)；信任關(guān)乎有形資產(chǎn)；身份將兩者聯(lián)系起來(lái)。”

器件真?zhèn)蔚膯?wèn)題可能發(fā)生在供應(yīng)商、承包商與供應(yīng)商之間，或者發(fā)生在承包商與客戶之間移動(dòng)組件的過(guò)程中。所使用的防偽選項(xiàng)類型既取決于組件價(jià)值，也取決于假冒組件的后果。但通過(guò)專注于唯一識(shí)別一個(gè)組件的能力，就可以在最終系統(tǒng)組裝時(shí)予以跟蹤。

電子器件供應(yīng)鏈·防偽與可追溯

防偽措施與可追溯性關(guān)系密切，獨(dú)特的組件 ID 既解決了防偽問(wèn)題，又可以在懷疑故障是由假冒組件引起時(shí)進(jìn)行回顧。

可追溯性流程提供創(chuàng)建可靠、無(wú)缺陷數(shù)字 IC 軟件工具的 OneSpin Solutions 信任和安全產(chǎn)品經(jīng)理 John Hallman 說(shuō)：“最大的問(wèn)題在于能夠識(shí)別器件，多年來(lái)有不同標(biāo)簽技術(shù)可以解決這一問(wèn)題，現(xiàn)在有各種電子 ID，在硅片中有一個(gè)隨機(jī)標(biāo)識(shí)符，還有授權(quán)技術(shù)。我們將驗(yàn)證數(shù)據(jù)視為唯一標(biāo)識(shí)符，用戶可以在其中獲取驗(yàn)證數(shù)據(jù)并使用區(qū)塊鏈技術(shù)將其附加到 IP 上。”

實(shí)際上，其數(shù)據(jù)的每個(gè)位都是唯一的。Hallman 說(shuō)：“這些數(shù)據(jù)可以保存在器件上，如果有人修改它，你就能看到。這種方法有助于查看一個(gè) IP 或芯片，對(duì)其進(jìn)行評(píng)估，并將其構(gòu)建到一個(gè)器件中，以便它可以與該 IP 一起傳輸。其數(shù)據(jù)保持加密，并可連接外部數(shù)據(jù)庫(kù)。”

·零信任態(tài)度

傳統(tǒng)上，信任是通過(guò)組織層面的審查建立起來(lái)的。但是僅僅有一個(gè)被認(rèn)可的供應(yīng)商已經(jīng)不夠了。專門(mén)從事電子設(shè)計(jì)自動(dòng)化的 Cadence 航空航天和國(guó)防解決方案主管 Steve Carlson 說(shuō)：“你從一開(kāi)始就假定自己對(duì)芯片是信任的。如果你做過(guò)一次驗(yàn)證，然后你說(shuō)，‘好吧，現(xiàn)在它們是值得信任的，’那么就可以在系統(tǒng)內(nèi)自由使用這些芯片了。”

零信任打破默認(rèn)的“信任”新的方法是假設(shè)，在任何給定時(shí)間，如果沒(méi)有證據(jù)，任何實(shí)體都不能被信任，不管過(guò)去已經(jīng)給出了多少次證據(jù)。這被稱為“零信任”，它把每一次互動(dòng)都當(dāng)作第一次。“零信任”就是“持續(xù)驗(yàn)證，永不信任”。提供完整的測(cè)試測(cè)量解決方案廠商 Keyfactor 物聯(lián)網(wǎng)產(chǎn)品管理高級(jí)總監(jiān) Ellen Boehm 說(shuō)：“當(dāng)我們談?wù)摿阈湃螘r(shí)，我們不想在各個(gè)階段納入先進(jìn)的人工干預(yù)，自動(dòng)化才是關(guān)鍵。”

事實(shí)上，“信任”的概念包羅萬(wàn)象，涵蓋了許多具體要素，其中之一是人們是否相信進(jìn)入系統(tǒng)的組件是真品還是贗品。為每個(gè)這樣的組件分配一個(gè)唯一標(biāo)識(shí)符——“序列化”，是實(shí)現(xiàn)組件身份驗(yàn)證的一個(gè)重要步驟。

·序列號(hào)的承諾

序列化可能是一個(gè)挑戰(zhàn)。Gaathon 說(shuō)：“序列化的最大問(wèn)題是對(duì)特定序列號(hào)的承諾，讓生態(tài)系統(tǒng)中的所有參與者都承諾使用相同的序列號(hào)，以及擁有一個(gè)能夠回憶序列號(hào)的系統(tǒng)。”這就需要更復(fù)雜的方法。

無(wú)論是衛(wèi)星、汽車(chē)還是高可用性計(jì)算機(jī)，電子系統(tǒng)都有極其復(fù)雜的供應(yīng)鏈。芯片和無(wú)源組件被組裝到電路板上，電路板被組裝成模塊，模塊被組裝成一個(gè)完整的系統(tǒng)。

Katsioulas 指出：“身份和識(shí)別碼是有區(qū)別的。對(duì)于單個(gè)器件，在設(shè)計(jì)、制造和組裝之間，在將芯片運(yùn)送到現(xiàn)場(chǎng)之前，可能有三個(gè)、四個(gè)或五個(gè)標(biāo)識(shí)符，還要?jiǎng)?chuàng)建一個(gè)由這些標(biāo)識(shí)符組成的統(tǒng)一標(biāo)識(shí)。”

同樣重要的是，雖然一個(gè)組織內(nèi)總有搗蛋鬼操作員的風(fēng)險(xiǎn)，但在供應(yīng)鏈的不同參與者之間，甚至是屬于同一個(gè)供應(yīng)商的不同工廠之間轉(zhuǎn)移組件或子組件時(shí)，就會(huì)出現(xiàn)許多漏洞。

·識(shí)別 IC 的黃金標(biāo)準(zhǔn)

2016 年，研究人員證明黑客可以通過(guò)遠(yuǎn)程訪問(wèn)和控制特斯拉 Model S 的制動(dòng)系統(tǒng)、發(fā)動(dòng)機(jī)、天窗、門(mén)鎖、后備箱、側(cè)視鏡等。之后，特斯拉在其 SoC 中采用硬件信任根（HRoT）來(lái)加強(qiáng)安全邊界。

目前，大多數(shù) ID 的焦點(diǎn)都集中在硅芯片上，尤其是高價(jià)值組件。芯片的電子 ID 可以被詢問(wèn)和讀取，無(wú)論是當(dāng)芯片是孤立的還是當(dāng)它安裝在一個(gè)系統(tǒng)中。

芯片 ID 是一個(gè)電子可尋址 ID，用于可追溯性，它可以在制造過(guò)程中使用多種不同技術(shù)創(chuàng)建，而偽造 ID 的方式受到了更多限制。黃金標(biāo)準(zhǔn)是源于芯片本身 ID 的內(nèi)部 HRoT。

采用信任根的硬件安全模塊集成電路基礎(chǔ)設(shè)施技術(shù)和服務(wù)供應(yīng)商 PDF Solutions 業(yè)務(wù)開(kāi)發(fā)部的 Dave Huntley 說(shuō)：“另一種選擇是基于實(shí)際器件的物理特性。當(dāng)器件通電時(shí)，它會(huì)在那一刻創(chuàng)造出自己獨(dú)特的 ID。”

實(shí)現(xiàn)這一點(diǎn)的方法有很多種，但最受關(guān)注的是物理不可壓縮函數(shù)（PUF），比如用 SRAM 陣列的隨機(jī)加電狀態(tài)建立一個(gè)標(biāo)識(shí)。因?yàn)?ID 是器件固有的，所以是不可變的。這是任何組件 ID 的一個(gè)重要特征。

在第一次通電時(shí)，這樣的組件就會(huì)“注冊(cè)”自己的 ID。從那時(shí)起，它就可以在制造過(guò)程中甚至在部署之后識(shí)別或“驗(yàn)證”自己。系統(tǒng)可以在每次通電時(shí)驗(yàn)證其所有芯片，以確保沒(méi)有任何東西被篡改。

HRoT 有多種用途，包括充當(dāng)公鑰和私鑰的種子。對(duì)于這些應(yīng)用來(lái)說(shuō)，為了保護(hù)這些密鑰，HRoT 返回的實(shí)際值必須是機(jī)密的，這至關(guān)重要。它不應(yīng)該離開(kāi)器件。但根據(jù)定義，組件 ID 必須能夠離開(kāi)器件。所以組件 ID 也可以從 HRoT 派生，就像密鑰一樣。HRoT 值保持隱藏，而派生 ID 可以變?yōu)榭梢?jiàn)。

視覺(jué)線索也可以用來(lái)識(shí)別一個(gè) ID。Huntley 說(shuō)：“多光束（電子束）可以在硅器件上寫(xiě)上識(shí)別碼——不是電的，而是視覺(jué)的——所以必須用電子顯微鏡來(lái)觀察它。”這樣做的好處在于，它是在電子測(cè)試流程之外創(chuàng)建的，因此不能像電子 ID 那樣被玩弄，而電子 ID 和可視 ID 有可能一起使用。

·無(wú)源組件也有風(fēng)險(xiǎn)

無(wú)源組件，例如電阻器和電容器，通常被認(rèn)為是低值組件，不值得像 IC 那樣花費(fèi)大量精力造假。但也有大量的嘗試在偽造無(wú)源組件。Katsioulas 說(shuō)：“我參加了 MTA 的假冒峰會(huì)，聽(tīng)到假冒電阻器和假冒電容器及其對(duì)供應(yīng)鏈的影響時(shí)，我被嚇壞了。”

Ford 說(shuō)：“造假最多的是陶瓷電容器（condenser，尤指汽車(chē)發(fā)動(dòng)機(jī)用）。這是因?yàn)槭袌?chǎng)供不應(yīng)求。贗品看起來(lái)像電容器（capacitor），其行為就像電容器。唯一的區(qū)別是電介質(zhì)的質(zhì)量比正常的低。”

電容器也有質(zhì)量高低這可能會(huì)對(duì)現(xiàn)實(shí)世界產(chǎn)生很大影響。Ford 繼續(xù)說(shuō)：“有一個(gè)特別的例子，一架空軍噴氣式飛機(jī)升空了，‘敵友（Friend or Foe）’電路失靈。他們認(rèn)為其中一個(gè)大型 PGA 是偽造的。但問(wèn)題出在陶瓷電容器，因?yàn)樾盘?hào)通過(guò)無(wú)源組件到達(dá) PGA。”

許多這樣的無(wú)源組件是卷帶包裝。因此，它們自然是序列化的，從理論上講，可以單獨(dú)進(jìn)行進(jìn)貨檢驗(yàn)。Huntley 說(shuō)：“如果你有一個(gè)裝滿卷帶的盒子，你可能會(huì)選擇一些進(jìn)行檢驗(yàn)，先驗(yàn)證盒子，打開(kāi)盒子，再打開(kāi)卷帶，在投入生產(chǎn)前讀取后臺(tái)的所有包裝 ID。”

但今天，識(shí)別單個(gè)無(wú)源組件可能太麻煩了。取而代之的是，卷帶有一個(gè)批 ID，任何無(wú)源組件都被認(rèn)為來(lái)自該卷帶。“驗(yàn)證每一個(gè)電容器可能是不值得的，”Huntley 說(shuō)。不過(guò)，雖然系統(tǒng)無(wú)法追溯到特定的無(wú)源組件，但它可以追溯到組件來(lái)自的批次。

·真假難辨

來(lái)料質(zhì)量檢查也可能被蒙混過(guò)關(guān)。Ford 說(shuō)：“有一個(gè)案例，我們看到有一卷 SMT 組件，前 100 個(gè)是真的，后面都是贗品。所以這是一個(gè)被掉包的案例，專門(mén)挑戰(zhàn)進(jìn)貨檢驗(yàn)制度。如果有人發(fā)現(xiàn)了問(wèn)題，由于它如此隨機(jī)，很難找到一條通往責(zé)任方的路。”

發(fā)現(xiàn)批量中的贗品難上加難

同時(shí)，并非所有的裝配都是自動(dòng)化的。Ford 說(shuō)：“對(duì)于手工裝配來(lái)說(shuō)，這有點(diǎn)棘手，因?yàn)樗麄兊牧慵淅飼r(shí)不時(shí)會(huì)裝滿。因此，必須有一個(gè)程序來(lái)確保永遠(yuǎn)不會(huì)在一個(gè)箱子里混入不同批次的組件。”

批量的一個(gè)挑戰(zhàn)在于，批量大小并不總是與裝配需求相匹配。Ford 說(shuō)：“假設(shè)你需要生產(chǎn) 100 個(gè)產(chǎn)品，在這 100 個(gè)產(chǎn)品上你使用兩種特定組件。所以你要用 200 個(gè)組件。但組件是一卷 1000 個(gè)。所以 ERP 會(huì)分配給你 200 個(gè)組件。另外 800 個(gè)組件必須留在那里。與此同時(shí)，在另一條生產(chǎn)線上，一個(gè)家伙用完了材料。他不關(guān)心任何事情，只關(guān)心讓他的產(chǎn)線運(yùn)行，所以剛才剩下的 800 個(gè)組件中的一些被拿去，沒(méi)有適當(dāng)?shù)母?。這在每一家制造企業(yè)都會(huì)發(fā)生，除非已經(jīng)過(guò)渡到精益物料管理。”

5.把緊安全關(guān)口

過(guò)去，潛在缺陷通常是在穩(wěn)定的環(huán)境中記錄的，但在汽車(chē)中，這變得更加困難，因?yàn)槠?chē)在非常不同的，通常是惡劣的環(huán)境中運(yùn)行。主機(jī)廠似乎不想為冗余解決方案買(mǎi)單，那就更應(yīng)該利用半導(dǎo)體廠商提供的各種驗(yàn)證方法嚴(yán)把質(zhì)量關(guān)，何況汽車(chē)人命關(guān)天，又是一個(gè)有“汽車(chē)安規(guī)”的行業(yè)呢！