加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專(zhuān)業(yè)用戶(hù)
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • 1、汽車(chē)電控系統(tǒng)影響車(chē)輛的安全
    • 2、復(fù)雜的驗(yàn)證方法
    • 3、標(biāo)準(zhǔn)的好和壞
    • 4、結(jié)論
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

車(chē)載芯片的安全挑戰(zhàn)

2020/11/12
199
閱讀需 15 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

汽車(chē)芯片的安全性建立一套全面的驗(yàn)證方法是復(fù)雜而困難的。

1、汽車(chē)電控系統(tǒng)影響車(chē)輛的安全

汽車(chē)行業(yè)正在試圖簡(jiǎn)化汽車(chē)電控單元、SOC 和一些其他芯片,同時(shí)想讓他們變得更自動(dòng)化而且更容易駕馭。但是在這個(gè)過(guò)程中,出現(xiàn)了很多意想不到的難題,功能權(quán)限相互交織,以至于進(jìn)展緩慢。

現(xiàn)代汽車(chē)可能具有多達(dá) 100 個(gè) ECU,用于控制諸如發(fā)動(dòng)機(jī),動(dòng)力總成,變速箱,制動(dòng)器,懸架,娛樂(lè)系統(tǒng),傳感器系統(tǒng)等車(chē)輛功能。

在 ISO 26262 中,這些電子系統(tǒng)需要依托汽車(chē)安全完整性等級(jí)(ASILs),以確定在車(chē)輛不同的 ECU 風(fēng)險(xiǎn)等級(jí),從而評(píng)定系統(tǒng)的安全性和可靠性。ASIL 的分類(lèi)范圍從 A 到 D(從最低到最苛刻),對(duì)每個(gè) ECU 都有不同的限制和要求。

從實(shí)現(xiàn)的角度來(lái)看,要使 ECU 符合 ASIL 要求,就需要添加驗(yàn)證硬件和安全機(jī)制,例如關(guān)鍵組件的冗余,糾錯(cuò)碼,內(nèi)置自檢(BiST),系統(tǒng)看門(mén)狗或循環(huán)冗余校驗(yàn)等。如今,驗(yàn)證 ECU 是否符合 ASIL 要求是一項(xiàng)嚴(yán)格且耗時(shí)的過(guò)程。

Rambus Security 的技術(shù)產(chǎn)品經(jīng)理 Thierry Kouthon 表示:“汽車(chē)網(wǎng)絡(luò)安全為驗(yàn)證增加了另一組限制。“所有關(guān)鍵安全系統(tǒng)都是致命的,因?yàn)閷?duì)關(guān)鍵安全系統(tǒng)的成功網(wǎng)絡(luò)攻擊可能導(dǎo)致人身危險(xiǎn)?!?/p>

諸如 SAE J3061 和 ISO / SAE 21434 之類(lèi)的標(biāo)準(zhǔn)解決了汽車(chē)網(wǎng)絡(luò)安全問(wèn)題,該問(wèn)題在汽車(chē)領(lǐng)域涉及潛在威脅而不是已知危害。“這極大地增加了驗(yàn)證工作的規(guī)模,復(fù)雜性和時(shí)間,這些工作必須在汽車(chē)生產(chǎn)日歷的約束范圍內(nèi)執(zhí)行,” Kouthon 說(shuō)。

其中大部分對(duì)汽車(chē)行業(yè)來(lái)說(shuō)是全新的。“汽車(chē)的數(shù)字化和連接性正在上升,這是由自動(dòng)駕駛,車(chē)載連接性和共享出行等大趨勢(shì)推動(dòng)的,”營(yíng)銷(xiāo)高級(jí)總監(jiān) Sandeep Krishnegowda 說(shuō),比如英飛凌的內(nèi)存解決方案?!斑B接水平的提高伴隨著重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),因?yàn)樾枰Wo(hù)對(duì)電子系統(tǒng)和數(shù)據(jù)的訪(fǎng)問(wèn),車(chē)輛安全和消費(fèi)者隱私。安全性成為汽車(chē)系統(tǒng)中基本的要求,確保車(chē)載電子設(shè)備的信任和可靠性。世界各地的汽車(chē)制造商將需要獲得網(wǎng)絡(luò)安全批準(zhǔn),才能在相關(guān)當(dāng)局進(jìn)行汽車(chē)注冊(cè)。傳統(tǒng)上,汽車(chē)制造商和系統(tǒng)提供商已對(duì)安全性和可靠性要求進(jìn)行了管理。但是,隨著所涉及的電子產(chǎn)品復(fù)雜性的提高,解決安全問(wèn)題的責(zé)任現(xiàn)在正通過(guò)供應(yīng)鏈傳播到半導(dǎo)體公司,其中包括存儲(chǔ)設(shè)備。”

2、復(fù)雜的驗(yàn)證方法

說(shuō)起來(lái)容易做起來(lái)難。一方面,汽車(chē)應(yīng)用中使用的設(shè)計(jì)和算法處于幾乎恒定的通量狀態(tài),這就是為什么其中許多內(nèi)置了一定程度的可編程性的原因。

“汽車(chē)上的許多設(shè)計(jì)都是高度可配置的,甚至可以根據(jù)從傳感器獲取的數(shù)據(jù)即時(shí)進(jìn)行配置,” ClioSoft 的營(yíng)銷(xiāo)主管 Simon Rance 說(shuō)。數(shù)據(jù)從這些傳感器傳回處理器。從車(chē)輛到數(shù)據(jù)中心再返回到車(chē)輛的龐大數(shù)據(jù)量–所有這些都必須跟蹤。如果出現(xiàn)問(wèn)題,他們必須對(duì)其進(jìn)行跟蹤并找出根本原因。那是需要填補(bǔ)的地方?!?/p>

此外,許多此類(lèi)設(shè)備有望在十年或更長(zhǎng)時(shí)間內(nèi)完美運(yùn)行。

“唯一有效的方法就是采用連續(xù)驗(yàn)證方法,” One Spin Solutions 信任與安全產(chǎn)品經(jīng)理 John Hallman 說(shuō)?!澳枰谛酒?jí)建立一個(gè)驗(yàn)證套件,當(dāng)設(shè)計(jì)變更時(shí),您就可以適應(yīng)更新。您還需要環(huán)境維護(hù),以免更改安全漏洞,這可能是另一個(gè)汽車(chē)漏洞引起的故障的模型。但是在所有情況下,您都需要具有進(jìn)行更改的能力?!?/p>

Hallman 說(shuō),其中一些可以離線(xiàn),例如數(shù)字雙胞胎。但是,無(wú)論該模型位于何處,它都必須具有靈活性,并始終如一地檢查問(wèn)題。

工程團(tuán)隊(duì)?wèi)?yīng)該如何考慮驗(yàn)證安全性確實(shí)取決于項(xiàng)目的范圍。西門(mén)子業(yè)務(wù)部 Mentor 汽車(chē)業(yè)務(wù)部門(mén)總經(jīng)理 Michael Ziganek 表示:“從最簡(jiǎn)單的步驟開(kāi)始,即 IVI 集群整合,這非常簡(jiǎn)單,因?yàn)轵?yàn)證和驗(yàn)證的功能都是有限的?!?“但是在未來(lái)的自動(dòng)駕駛系統(tǒng)中,這個(gè)思路比較困難,尤其是在第 4 級(jí)和第 5 級(jí),目前尚未找到正確的方法?!?/p>

另一個(gè)考慮因素是,每個(gè)國(guó)家的法律體系都沒(méi)有為自動(dòng)駕駛和半自動(dòng)駕駛做準(zhǔn)備。Zikganek 說(shuō):“最終,OEM 需要承擔(dān)責(zé)任,他們必須確保沒(méi)有人真正處于危險(xiǎn)之中?!?“如果汽車(chē)撞車(chē),那是誰(shuí)的錯(cuò)??jī)扇昵埃瑯I(yè)界認(rèn)為這已解決。但是,如果您觀(guān)看最近發(fā)生的事情,那么每個(gè)人都會(huì)拒絕說(shuō):“不是那么快。讓我們進(jìn)入 3 級(jí)自動(dòng)駕駛,重點(diǎn)關(guān)注高速公路輔助和停車(chē)輔助等功能。其他一切真的很難?!?當(dāng)前 ADAS 的驗(yàn)證系統(tǒng)非常簡(jiǎn)單,采用了通常的驗(yàn)證方法,其他所有情況都是例外。如果存在異常,則關(guān)閉系統(tǒng)。但是您無(wú)法通過(guò) 4 級(jí)和 5 級(jí)做到這一點(diǎn)。”

最大的挑戰(zhàn)之一是改變汽車(chē)界的觀(guān)念。汽車(chē)公司需要像電子系統(tǒng)公司一樣,從系統(tǒng)層次以及芯片層次開(kāi)始思考。

Synopsys 產(chǎn)品營(yíng)銷(xiāo)和業(yè)務(wù)開(kāi)發(fā)高級(jí)總監(jiān) Marc Serughetti 表示:“當(dāng)今汽車(chē)領(lǐng)域最有趣的是看到需要開(kāi)發(fā)和需要驗(yàn)證的產(chǎn)品的演變?!?“幾年前,人們一直在研究功能以及如何對(duì)設(shè)計(jì)進(jìn)行功能驗(yàn)證,而且我們知道,在過(guò)去的四到五年中,安全已成為大問(wèn)題。ISO 26262 正在推動(dòng)該領(lǐng)域的許多技術(shù)發(fā)展。因?yàn)樗请娮拥?,因?yàn)樗婕坝?jì)算,因?yàn)樗鼘?duì)網(wǎng)絡(luò)和各種事物都是開(kāi)放的,所以安全性是結(jié)合在一起的。我們無(wú)法真正脫離安全保障。”

但這還需要一種解決問(wèn)題的新方法。Cadence 解決方案營(yíng)銷(xiāo)高級(jí)組主管 Frank Schirrmeister 說(shuō),在驗(yàn)證調(diào)試中有效的方法可能會(huì)導(dǎo)致安全問(wèn)題。“如果您打開(kāi)調(diào)試通道,則會(huì)遇到麻煩。您必須隔離事物,然后出于安全原因有選擇地清除它們?!?/p>

3、標(biāo)準(zhǔn)的好和壞

安全性是必需的,但是將它們?cè)O(shè)計(jì)到系統(tǒng)中則更加困難,因?yàn)橄到y(tǒng)本身處于幾乎恒定的變化狀態(tài)。這使得定義標(biāo)準(zhǔn)變得更加困難,特別是因?yàn)槠渲性S多標(biāo)準(zhǔn)依賴(lài)于多個(gè)系統(tǒng)的交互作用。

“對(duì)安全進(jìn)行標(biāo)準(zhǔn)化有點(diǎn)棘手,因?yàn)楹芏嗳怂龅闹皇遣榭匆活?lèi)威脅,例如適用于信用卡智能芯片的密碼設(shè)備聯(lián)邦信息處理標(biāo)準(zhǔn)中的那些威脅,” JTortuga Logic 首席執(zhí)行官說(shuō)。“有某些標(biāo)準(zhǔn),它們更多地是為了保護(hù)該市場(chǎng)定義的某些類(lèi)別的威脅。通常,安全性很難標(biāo)準(zhǔn)化。它更多地是關(guān)于一個(gè)過(guò)程。

在汽車(chē)方面,真正重要的是要經(jīng)過(guò)一個(gè)案例來(lái)查看芯片的位置,因?yàn)檫@將決定哪種攻擊媒介是可行的,以及可能產(chǎn)生的影響。重要的是,采用一種威脅模型說(shuō)“如果我要構(gòu)建此 MCU,這將在自動(dòng)駕駛系統(tǒng)中使用,或者在 ADAS 系統(tǒng)中將使用高性能內(nèi)核,其中有一個(gè)案例可以檢查攻擊者將試圖破壞什么以及它們具有什么功能。這是連接到網(wǎng)絡(luò)的東西,還是裝在機(jī)箱中的東西?完成整個(gè)過(guò)程很重要。從那里您可以獲得核心業(yè)務(wù)和安全要求,然后可以將其作為驗(yàn)證計(jì)劃的一部分?!?/p>

盡管此案例已針對(duì)軟件建立,但它剛剛開(kāi)始轉(zhuǎn)移到硬件領(lǐng)域。

Oberg 說(shuō):“許多較大的半導(dǎo)體公司開(kāi)始做這些事情,這與功能安全性大不相同,后者是確保您具有容錯(cuò)能力?!?“如果您有一點(diǎn)動(dòng)靜,您的系統(tǒng)仍然可以正常工作。ISO 26262 對(duì)如何執(zhí)行操作有要求,依此類(lèi)推,但是從安全的角度來(lái)看,它有所不同,因?yàn)槟赡懿粫?huì)發(fā)生任何翻轉(zhuǎn),而如果有人從設(shè)備中提取固件,發(fā)現(xiàn)一個(gè)可能在所有設(shè)備或所有設(shè)備上復(fù)制的漏洞。使用該芯片的汽車(chē),將有一個(gè)巨大的混亂。必須將其視為一個(gè)過(guò)程,而不是僅涵蓋特定威脅,這通常是標(biāo)準(zhǔn)所要做的?!?/p>

Riscure 首席執(zhí)行官 Marc Witteman 表示,了解組織在安全性成熟度方面的地位是幫助汽車(chē)生態(tài)系統(tǒng)中的公司實(shí)施一種方法來(lái)驗(yàn)證硬件的安全性和安全性的第一步?!八麄冇惺裁礃拥娜??這些人如何訓(xùn)練?他們的經(jīng)驗(yàn)是什么?這給我們留下了他們?cè)诎踩猿墒於确矫娴挠∠?。?/p>

從那里可以進(jìn)行差距分析以確定他們想要達(dá)到的水平,并且可以實(shí)施培訓(xùn)計(jì)劃以使他們達(dá)到該水平,然后進(jìn)行認(rèn)證。但是關(guān)鍵是要在系統(tǒng)級(jí)別以及潛在的系統(tǒng)級(jí)級(jí)別考慮安全性。

“安全是整個(gè)系統(tǒng)的安全,”奧伯格強(qiáng)調(diào)?!斑@一切都可以追溯到威脅建模的過(guò)程 - 確定影響是什么。如果像特斯拉這樣的完全垂直集成的公司可以構(gòu)建自己的芯片,那么它們?cè)诮K端系統(tǒng)以及該系統(tǒng)將要運(yùn)行的地方具有更大的可視性。如果它更加零碎,并且您要購(gòu)買(mǎi)商用的現(xiàn)成的硅片來(lái)構(gòu)建另一個(gè)系統(tǒng),則非常困難。安全性是不可組合的。圍繞這種基礎(chǔ)架構(gòu)構(gòu)建流程非常困難。蘋(píng)果和特斯拉等公司擁有相同類(lèi)型的模型,而且我們看到,這在許多科技公司中變得越來(lái)越普遍 - 建立起許多芯片的信任根基,因?yàn)樗鼈儷@得了更多的知名度這樣做可以提高系統(tǒng)安全性?!?/p>

安全性可以遵循與設(shè)計(jì)其余部分相同的開(kāi)發(fā)方法。

Synopsys 的 Serughetti 說(shuō):“在安全方面,您要研究故障模式,以及如何為這些故障模式建立安全機(jī)制?!?“然后,您要進(jìn)行設(shè)計(jì),驗(yàn)證,所有傳統(tǒng)活動(dòng),并且安全性與此并行。您必須查看潛在的漏洞,并且必須從一開(kāi)始就考慮設(shè)計(jì)將易受攻擊的地方。例如,在驗(yàn)證方面,我們談?wù)摪踩⑷霑r(shí)的故障注入,故障活動(dòng)。但是在某些方面,故障活動(dòng)的概念也適用于安全性。您正在尋找注入故障的方法,以從安全角度看您如何應(yīng)對(duì)。我們都知道安全性來(lái)自多個(gè)地方 - 來(lái)自軟件,來(lái)自硬件,而且我們也知道有可能查看芯片的熱特征以試圖弄清楚該芯片的性能。”

從實(shí)現(xiàn)的角度來(lái)看,功能安全性和安全性之間也存在相似之處。

“在功能安全方面,您可能有一個(gè)雙核鎖步冗余系統(tǒng),您需要確保這些系統(tǒng)在物理上分開(kāi),并正確放置并標(biāo)準(zhǔn)化了標(biāo)準(zhǔn)單元,”斯圖爾特·威廉姆斯(Stewart Williams)說(shuō),新思科技?“路由需要以某種方式進(jìn)行管理,以使來(lái)自一個(gè)核心的路由不會(huì)與另一個(gè)核心重疊??赡苓€有其他要求。從安全角度來(lái)看,也可能存在這些要求。有放置注意事項(xiàng),有布線(xiàn)注意事項(xiàng)。因此,以類(lèi)似的方式,從實(shí)現(xiàn)角度看,為功能安全而開(kāi)發(fā)的這些技術(shù)也可以在安全領(lǐng)域中應(yīng)用?!?/p>

再次,芯片在實(shí)際汽車(chē)中的位置將決定哪些威脅是相關(guān)的以及常見(jiàn)的弱點(diǎn),奧伯格說(shuō)?!叭绻榭?ADAS 系統(tǒng),則行為異常的影響非常大。如果它位于另一個(gè)不太關(guān)鍵的系統(tǒng)中(例如控制 AC 的方式),那么問(wèn)題對(duì)業(yè)務(wù)的影響就較小。它的重要性不如使用 ADAS 系統(tǒng)或控制制動(dòng)器的 ECU,必須予以考慮。很難說(shuō),對(duì)于汽車(chē)中的每個(gè)芯片,這些都是威脅??赡苡幸徊糠质钦_的,但總的來(lái)說(shuō),您必須注意:“如果我要銷(xiāo)售 ADAS 系統(tǒng),這就是我需要做的。如果我要向制動(dòng) ECU 銷(xiāo)售,或者我在信息娛樂(lè)系統(tǒng)中,則過(guò)程仍然相同。但是相關(guān)的弱點(diǎn)和相關(guān)的威脅,將會(huì)根據(jù)前進(jìn)的方向而變化。這就是它復(fù)雜的部分原因。周?chē)泻芏嗨槠?。?/p>

4、結(jié)論

要解決安全性,可靠性,設(shè)計(jì)和驗(yàn)證之間所有這些相互作用的巨大壓力,汽車(chē)制造商必須打破其組織內(nèi)的孤島。根據(jù)所有人的說(shuō)法,OEM 已經(jīng)意識(shí)到他們必須召集團(tuán)隊(duì)來(lái)改善溝通和共同設(shè)計(jì)并驗(yàn)證硬件,軟件和系統(tǒng)。這是經(jīng)濟(jì)有效地管理自動(dòng)駕駛汽車(chē)開(kāi)發(fā)復(fù)雜性的唯一方法。好消息是,這也為整個(gè)汽車(chē)生態(tài)系統(tǒng)帶來(lái)了新的機(jī)遇,以借助咨詢(xún)服務(wù),工具和方法來(lái)支持所有這些工作。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜