旋转对汽车安全性至关重要的验证

人工智能芯片的包含在航空电子设备在汽车和日益把关注advanced-node设计,可以满足所有的ASIL-D要求的温度和压力。设计师应该如何处理这个任务,尤其是当这些设备需要比应用程序吗?半导体工程与库尔特·舒勒坐下来讨论这些问题,负责营销的副总裁Arteris IP;解决方案营销主管弗兰克•Schirrmeister高级组节奏;首席执行官泰德Miracco Cylynt;首席执行官迪恩Drako Drako汽车;商业管理主任迈克尔•海特微指令、安全性和软件业务单元马克西姆集成;尼尔,营销主管数字验证技术导师,西门子业务;塞吉奥Marchese、技术营销经理OneSpin解决方案;高级主管马克•Serughetti,验证小组Synopsys对此;首席执行官和Hagai ArbelVtool。阅读第一部分在这里,第二部分在这里。

SE:我们如何改变汽车工业的心态更加关注安全性至关重要的设备和验证?

海特:这是一个非常缓慢的工业几十年,但是速度已有所加快大大在过去5到10年。日益关注和计划迁移到电动汽车和内燃机部队全新架构的。扩散和可用性的电子内容还驱动变化是可能的。

Marchese:安全是一个经济学种族和你永远不会安全。第一个开关在心态方面,尤其在汽车相关,如何不断地评估系统的安全。你持续监控的新漏洞被发现在每一个组件,你的系统或软件组件?一旦发现,你如何评价的含义在您的系统组件的系统级?同时,如何分配责任到供应链吗?当你建立一个新的东西将是至少部分覆盖的汽车标准,这意味着公司将被迫事件响应计划整个供应链管理的责任。你要有系统级工具将帮助做到这一点。等有新的漏洞数据库,硬件被引入CWE(常见的弱点枚举)数据库,为软件,只是代表一个大的转变不仅在工程层面的考虑安全,而且还组织水平和供应链的水平。

Schirrmeister:团队工作在这个行业中痛苦地意识到它。第一个挑战是安全要求,标准化有失踪的事情,所以心态在某种意义上是伟大的,人们意识到安全需求。会有一个简单的架构,“这永远不会发生”类型的解决方案最后跳出来?我有点怀疑。但心态。人们意识到安全是名单上的第一件事就是为带状方面。这将是非常困难的来验证体系层面。你不知道你不知道,会发生什么事情是你现在有几个区域走到一起,即使他们正确地由集装箱化和你可以做认证和所有这些事情在这些方面。好事是心态和意识来解决安全问题。这不是一个监督或马后炮。 It’s something that happens throughout the process. That’s why, when you look at the tools, one of the first things you have to do is put all these items together in the FMEDA at the front. You need to have something to put it all together to try to address as many items that can clash, and you’re not aware that they could clash. You can put them together, and then test automation, among other things, play into this. The desire is there. The mindset is there. Is it technically easy? No. It’s really hard to do in any type of architecture.

Serughetti:这是一件大事,我们谈论的心态。安全、安全等,不是可有可无的。他们都是过程的一部分,从需求开始,通过实现,通过验证。这是心态的关键方面。后这是周围的工具你把它,以确保事情完成,和最佳实践。但另一件事是,我们已经说过,安全。我们回到电脑的例子。你得到了安全更新,所以我们不能指望会有一件事完成,然后我们就做完了。这是一个连续的迭代方法从概念到产品的部署。这是什么挑战的行业当我们谈论无线更新。 How quickly can you make sure that what you are pushing over the air has what you need in terms of safety or security? What’s good enough? And that’s going to be very challenging, because if you look at avionics, when there’s a big problem they’re going to ground the planes and then they’re going to fix them. I can’t see people saying, ‘Everybody stop using their car today until we fix the problem.’ That is not going to happen, and that’s what’s challenging.

SE:看起来像一旦心态,然后它变得清晰的技术步骤需要发生什么事。

海特:我同意。许多厂商已经宣布他们的计划是“所有”或大量电动汽车前进。当然,特斯拉只是电动车从一开始,这个来自一个非常不同的心态比传统汽车制造商。这一切都迫使一个心态的变化。

手:我要翻。有一些有趣的事情,弗兰克和马克说,一旦你有了心态,你思考这个问题,然后去解决它。我可以去相反的方向。弗兰克提到FMEDA的一些东西。各种分析工具,有很多的供应商正在研究,这些工具的想法是改变人们的心态,心态并不是,我知道这是如何工作的。“这是”,我需要思考什么?我可以告诉你应该做什么吗?然后我们在几年前转向功能安全,在这一点上,“能失败它应该的方式吗?但是如果你拉伸,几年时间,一套全新的漏洞。和我们的想法是,我们能帮助的人,不管他们做的软件或硬件,他们有什么新事物需要担心吗?他们不需要担心。他们不会坐在那里,想,“我不知道我不知道,所以我要这样做。’ Part of the challenge we face when we look at safety-critical designs is as an industry exposing what are the new challenges. Frank was talking about when you look at functional safety, you look at some of these other things we know that we need to fix, and it’s absolutely true. Go back five years and people would have said, ‘Do I care?’ The answer would have been no. There would have been 10 people in a company who would have said, ‘Absolutely. My life depends on this, and our customers’ lives depends on it.’ Now, every single ASIC designer in that company would say, ‘Yes.’

Schirrmeister:这是一个流体的过程。总会有新的挑战被添加。它是完成还是足够吗?不,就像设计测试。我们一直致力于设计测试了几十年。这是设计安全,要求将改变随着时间的推移,有新东西堆在所有的时间,但希望有适当地解决它。它不再是一个事后产生的想法;人们正在建设在设计测试。

手:我同意你的观点,这不是马后炮了。人知道这一点。有趣的是,速度——无论是漏洞,攻击区,失效模式,选择任何其中之一——发展比我们更快处理设计功能。这真的没有改变。你建立,它的工作原理。你测试它,它工作。你测试的方法是行不通的。世界上令人愉快的地方。弹性时,你可以开始一个项目。今天的设计师,如果你看看汽车,或你看着mil /航空,这是一个多年的项目。 The difference is the speed of innovation changes. What was the state-of-the-art when a project started is going to change so quickly during it. This eventually will settle down, just like the state-of-the-art of functional verification settled down. Right now, when it comes to safety criticality, whether it be security, whether it be functional safety, who knows what the next one will be, and it’s not just automotive. It’s industrial, it’s aerospace, and even data centers are now worrying about this. The pace of change is so much faster than we’ve seen in the past. So you may start a project saying you fully understand the state-of-the-art of vulnerabilities, but you get to the end of it and you say, ‘Oh no, there have been 15 new zero-day vulnerabilities because we’re running four OSes in containers and it’s a mess.’

SE:总结一下,并确认走多远?它停在生产吗?

手:验证永远不会停止。它不会停止当你带出来。人们继续测试。它不会停止当你去制造。这是不断学习的,你喂它回到了下一代。

Marchese:核实后会增加产品部署,因为你得到很多安全研究人员和人民试图打破你的产品找到错误和缺陷,开发人员没有发现。得到更多的关注你的产品。然后你需要什么变化,从某种意义上说,保持这个流并使用它为您的事件反应评估影响一定的脆弱性,访问修复。,你需要确保你正在释放一个无线更新解决问题,而不是创造五个。

Schirrmeister:都是一个大圈。在一天结束的时候,引擎,为你提供的数据来证实或否认你是安全,包括硅验证,系统和系统的系统。我们不能阻止汽车驾驶和地面车队。固定随着时间的在线更新,或者是改善在下一版本,和你把工作区。但它将继续下去。芯片、系统和系统相关的系统——所有这些数据正在回来。这就是为什么我们都急于找到中央地方把所有需求,跟踪它们随着时间的推移,把旁边的调试数据。

Arbel:验证永远不会停止,因为它的产品的实际定义。你的产品只可以验证功能,现在只有尽可能安全的证明你的安全。它是如此的复杂,它变得如此复杂的安全实际能力来定义产品的能力验证和安全。

海特:这是一个很好的问题。在我职业生涯的早期,我是一个半导体集成电路设计师,和我的团队和我总是问自己同样的问题。验证通常需要多个时间超过实际的设计,并创建一个迭代循环来解决一个问题,有时只创建一个或多个当修复另一个意想不到的问题。如果足够好规范编写,那么验证通过这本书无疑是一个起点。但重要的是要有一个独立的验证团队花时间玩系统试图让它打破在正常使用。验证自己的设计师做的是危险的,因为他们有自己的偏见如何解释设计规范。在一天结束的时候,像这样复杂的系统,应该有一个组合验证的书和制造商做自己不用剧本的测试。

Miracco:停止验证在设计阶段是一个以硬件为中心为心态。验证应该继续post-manufacturing,到产品的生命周期。缺陷和漏洞被发现他们可以打补丁软件,或考虑到下一代的设计周期。设计应完成与实现补丁和代码更新的可能性,因为这也会延长产品的生命周期提高价值和安全性。

有关的故事
为什么关键安全验证是如此困难
专家在餐桌上:专有硬件使软件开发变得更加困难;如何处理无线更新。
变量复杂的安全性至关重要的设备验证
专家在餐桌上:最好的方法是什么设计汽车,比如人工智能芯片能经得起时间的考验吗?