精准隔离与高效中断的平衡，晶心科技分享车用处理器设计的安全之道

时间：2025-07-18 15:06:54

关键字： Andes RISC-V 晶心科技车用处理器

手机看文章

扫描二维码
随时随地手机看文章

[导读]2024年，车用安全攻击造成的全球经济损失高达250亿美元，其中芯片攻击导致的安全成本最为突出，达到200亿美元，远超其他类别损失的总和。这一数据凸显了车用芯片在数据防护与隔离方面的核心地位。随着汽车智能化和网联化的深入，车用芯片的安全性已成为不可回避的议题，各国相关法规的陆续出台进一步强调了这一需求。车用系统不仅需要满足预测性、可靠性和侦查恢复能力的要求，还需确保处理器与车辆辅助系统之间的协同工作能够达到高安全标准。

2024年，车用安全攻击造成的全球经济损失高达250亿美元，其中芯片攻击导致的安全成本最为突出，达到200亿美元，远超其他类别损失的总和。这一数据凸显了车用芯片在数据防护与隔离方面的核心地位。随着汽车智能化和网联化的深入，车用芯片的安全性已成为不可回避的议题，各国相关法规的陆续出台进一步强调了这一需求。车用系统不仅需要满足预测性、可靠性和侦查恢复能力的要求，还需确保处理器与车辆辅助系统之间的协同工作能够达到高安全标准。

在第五届RISC-V中国峰会汽车分论坛上，来自晶心科技的辜善群发表了题为“以RISC-V为基础的车用安全框架”的演讲，深入探讨了如何基于RISC-V架构打造车用处理器的安全框架。辜善群从当前车用安全漏洞的现状入手，分析了数据防护与隔离的重要性，并详细介绍了晶心科技提出的AndeSentry合作框架，旨在为车用芯片提供高效、可靠的安全解决方案。

隔离机制设计：高实时性和安全的平衡

在车用安全框架中，隔离机制的设计是确保系统安全性和实时性的关键。辜善群介绍了两种常见的隔离机制：基于页面（page-based）的隔离机制，如内存管理单元（MMU），以及基于寄存器（register-based）的隔离机制，如RISC-V中的SPMP（Supervisor Physical Memory Protection）。MMU通过一到两个阶段的地址转换，隔离操作系统及其应用与运行环境。然而，这种方式高度依赖频繁的内存访问，可能导致缓存未命中（cache miss），对于有严格实时性需求的车用系统而言，这种延迟是不可接受的。

相比之下，基于寄存器的隔离机制（如SPMP）在存储权限控制方面具有确定的延迟，这对于实时性要求高的系统至关重要。因此，晶心科技的框架倾向于使用固定延迟的隔离机制，以确保系统的高效运行。然而，辜善群也提到一个例外，即可信执行环境（TEE）。TEE可以在特定条件下使用，因为它通常不承担高实时性任务，这使得框架能够利用生态系统中更丰富的位置资源，从而提升整体灵活性。

中断优化：实现低延迟的实时保障

中断延迟是车用处理器设计的另一个关键环节。辜善群通过时序图详细分析了中断处理的硬件和软件部分。在硬件处理阶段，当中断信号到达平台级中断控制器（如AIA，Advanced Interrupt Architecture）时，信号会被路由到指定核心。如果一个硬件线程（Hart）同时运行多个操作系统（OS），需要通过虚拟化层进行管理和隔离，这会引发一系列上下文切换动作，导致显著的延迟。为解决这一问题，晶心科技提出让每个操作系统独占其所属Hart的策略，从而直接跳转到目标服务例程（SR），省去上下文切换的开销。这种设计显著降低了中断延迟，成为确保实时性的重要手段。

在软件处理阶段，晶心科技对比了基于PLIC（Platform-Level Interrupt Controller）和AIA两种中断处理方案的差异。在基于PLIC的平台中，操作系统需要直接读取内存映射I/O（MMIO）上的寄存器来完成中断声明（claim）动作，这要求配置PMP（Physical Memory Protection）资源以保护系统。如果配置不足，声明动作需通过虚拟化层完成，进而引入上下文切换的延迟。而在AIA平台中，设计更具弹性，操作系统通过完成（complete）动作通知中断控制器后续中断可以继续发送至目标核心，且无需额外的上下文切换。这种优化进一步提升了中断处理的效率。

AndeSentry框架：共建车用安全生态

辜善群展示了RISC-V多核心处理器在运行多个执行环境时的典型架构。在该架构中，Hart 0和Hart 1共同执行一个虚拟化层，负责管理和隔离运行在其上的操作系统和执行环境，同时处理非安全性和实时性较低的任务。而Hart 2和Hart 3则分别运行彼此独立的可信执行环境（TEE），每个TEE可以运行各自的用户模式（UMode）应用程序。值得注意的是，这一架构优先使用SPMP而非MMU作为隔离机制，以确保低延迟和高安全性。

基于上述技术洞察，晶心科技推出了AndeSentry合作框架，旨在联合学界与业界共同打造一个可整合、可开发、可测试的车用安全生态系统。该框架以晶心科技的车用处理器系列为基础，例如AX46MPV-DHSE，这是一款支持向量指令的RISC-V处理器，适用于高性能车用场景。在L1层，框架支持Linux或Zephyr等操作系统，用于处理非安全性和实时性较低的需求。中断处理则采用了AIA方案，以提供更高的弹性和可扩展性，同时节省宝贵的PMP资源。