/ 导读 /
为汽车芯片的安全性建立一套全面的验证方法是复杂而困难的。
汽车电控系统影响车辆的安全
汽车行业正在试图简化汽车电控单元、SOC和一些其他芯片,同时想让他们变得更自动化而且更容易驾驭。但是在这个过程中,出现了很多意想不到的难题,功能权限相互交织,以至于进展缓慢。
现代汽车可能具有多达100个ECU,用于控制诸如发动机,动力总成,变速箱,制动器,悬架,娱乐系统,传感器系统等车辆功能。
在ISO 26262中,这些电子系统需要依托汽车安全完整性等级(ASILs),以确定在车辆不同的ECU风险等级,从而评定系统的安全性和可靠性。ASIL的分类范围从A到D(从最低到最苛刻),对每个ECU都有不同的限制和要求。
从实现的角度来看,要使ECU符合ASIL要求,就需要添加验证硬件和安全机制,例如关键组件的冗余,纠错码,内置自检(BiST),系统看门狗或循环冗余校验等。如今,验证ECU是否符合ASIL要求是一项严格且耗时的过程。
Rambus Security 的技术产品经理 Thierry Kouthon表示:“汽车网络安全为验证增加了另一组限制。“所有关键安全系统都是致命的,因为对关键安全系统的成功网络攻击可能导致人身危险。”
诸如SAE J3061和 ISO / SAE 21434之类的标准解决了汽车网络安全问题,该问题在汽车领域涉及潜在威胁而不是已知危害。“这极大地增加了验证工作的规模,复杂性和时间,这些工作必须在汽车生产日历的约束范围内执行,” Kouthon说。
其中大部分对汽车行业来说是全新的。“汽车的数字化和连接性正在上升,这是由自动驾驶,车载连接性和共享出行等大趋势推动的,”营销高级总监Sandeep Krishnegowda 说,比如英飞凌的内存解决方案。“连接水平的提高伴随着重大的网络安全风险,因为需要保护对电子系统和数据的访问,车辆安全和消费者隐私。安全性成为汽车系统中基本的要求,确保车载电子设备的信任和可靠性。世界各地的汽车制造商将需要获得网络安全批准,才能在相关当局进行汽车注册。传统上,汽车制造商和系统提供商已对安全性和可靠性要求进行了管理。但是,随着所涉及的电子产品复杂性的提高,解决安全问题的责任现在正通过供应链传播到半导体公司,其中包括存储设备。”
复杂的验证方法
说起来容易做起来难。一方面,汽车应用中使用的设计和算法处于几乎恒定的通量状态,这就是为什么其中许多内置了一定程度的可编程性的原因。
“汽车上的许多设计都是高度可配置的,甚至可以根据从传感器获取的数据即时进行配置,” ClioSoft 的营销主管 Simon Rance说。数据从这些传感器传回处理器。从车辆到数据中心再返回到车辆的庞大数据量–所有这些都必须跟踪。如果出现问题,他们必须对其进行跟踪并找出根本原因。那是需要填补的地方。”
此外,许多此类设备有望在十年或更长时间内完美运行。
“唯一有效的方法就是采用连续验证方法,” One Spin Solutions信任与安全产品经理 John Hallman 说。“您需要在芯片级建立一个验证套件,当设计变更时,您就可以适应更新。您还需要环境维护,以免更改安全漏洞,这可能是另一个汽车漏洞引起的故障的模型。但是在所有情况下,您都需要具有进行更改的能力。”
Hallman说,其中一些可以离线,例如数字双胞胎。但是,无论该模型位于何处,它都必须具有灵活性,并始终如一地检查问题。
工程团队应该如何考虑验证安全性确实取决于项目的范围。西门子业务部 Mentor汽车业务部门总经理Michael Ziganek表示:“从最简单的步骤开始,即IVI集群整合,这非常简单,因为验证和验证的功能都是有限的。” “但是在未来的自动驾驶系统中,这个思路比较困难,尤其是在第4级和第5级,目前尚未找到正确的方法。”
另一个考虑因素是,每个国家的法律体系都没有为自动驾驶和半自动驾驶做准备。Zikganek说:“最终,OEM需要承担责任,他们必须确保没有人真正处于危险之中。” “如果汽车撞车,那是谁的错?两三年前,业界认为这已解决。但是,如果您观看最近发生的事情,那么每个人都会拒绝说:“不是那么快。让我们进入3级自动驾驶,重点关注高速公路辅助和停车辅助等功能。其他一切真的很难。” 当前ADAS的验证系统非常简单,采用了通常的验证方法,其他所有情况都是例外。如果存在异常,则关闭系统。但是您无法通过4级和5级做到这一点。”
最大的挑战之一是改变汽车界的观念。汽车公司需要像电子系统公司一样,从系统层次以及芯片层次开始思考。
1 2 下一页>