一起构建一个验证方法在汽车安全芯片是复杂的,多方面的,非常困难。
汽车行业正在努力简化、自动化和控制验证汽车电子控制单元、soc和其他芯片用于车辆,其中许多是变得如此复杂,交织在一起,进步是陷入困境。
现代汽车可能多达100 ecu控制等车辆功能引擎,动力系统,传播,刹车系统、悬架、娱乐系统、传感器系统和更多。的ISO 26262标准地址这些电子系统的安全性和可靠性,依赖于汽车安全完整性水平(ASILs)来确定风险类别不同的ecu。那些ASIL分类范围从A到D(至少大多数要求),每个都有不同的限制和要求的ecu。
从实现的角度来看,建筑ecu ASIL-compliant需要添加验证硬件和安全机制等关键部件冗余,纠错编码,内建自测(阿拉伯学者),系统监管者或循环冗余检查。今天,验证ecu ASIL-compliant是一个严格的和时间密集的过程。
“汽车网络安全增加了另一组约束验证,“蒂埃里Kouthon说,技术产品经理Rambus安全。“安全至上的系统都是强调安全的安全性至关重要的系统上,因为一个成功的网络攻击可能导致人类的危害。”
SAE J3061等标准和ISO / SAE 21434地址汽车网络安全,这在汽车涉及到潜在的威胁,而不是已知的危险。“这大大增加规模,复杂性和时间的验证工作,必须在执行限制汽车生产日历,“Kouthon说。
很大程度上来说,这是崭新的汽车行业“数字化和连接在汽车正在上升,这是由于大趋势如自动驾驶,车内连接,和共享的流动性," Sandeep Krishnegowda说,高级营销主任和应用程序中,内存解决方案,在英飞凌。“连通性有重大的网络安全风险水平的增加,电子系统和数据的访问,车辆安全和消费者隐私需要保护。安全成为汽车系统基本要求,保证信任和车载电子产品的可靠性。世界各地的汽车制造商将需要获得网络安全与有关当局批准登记他们的车辆。传统上,安全需求已经由汽车制造商和系统提供商。然而,随着电子产品的日益复杂化,参与,解决安全的责任是现在传播通过半导体公司的供应链,包括内存设备。”
图1:新概念汽车ECU设计、安全与安全。来源:导师,西门子的业务
这是说起来容易做起来难。首先,设计和算法用于汽车应用程序是在一个几乎经常处于变动的状态,这就是为什么他们中的许多人都内置了某种程度的可编程性。
“很多设计在汽车是高度可配置的,甚至他们可配置的动态基于他们从传感器得到的数据,”西蒙•兰斯说营销主管ClioSoft。“来自这些传感器的数据处理器。庞大的数据量的运行车辆的数据中心和车辆—所有的追踪。如果出现错误,他们必须跟踪,找出问题的根源是什么。这就是有一个需要填满。”
此外,许多这些设备将功能完美的十年或者更长时间。
“这样做的唯一方法就是不断验证方法,”约翰·Hallman说产品经理信任和安全OneSpin解决方案。“你需要设置一个验证套件在芯片层面,设计更改,你适应更新。你还需要保持环境变化的安全漏洞,这可能是一个错误的模型在另一辆车一个漏洞。但是在所有情况下,你需要做出改变的能力。”
一些可以离线,如数字双Hallman说。但不管这种模式所在,它需要灵活和持续检查问题。
工程团队应该考虑如何验证安全取决于项目的范围。“从最简单的一步,这是新集群整合,很简单,因为有一个有限的功能验证和资格,”Michael Ziganek说汽车业务单元总经理导师,西门子业务。“但在自主驾驶系统,该行业仍在苦苦挣扎——特别是在4级和5级,正确的方法尚未被发现的地方。”
另一个考虑是,每个国家的法律制度是准备自治,自治开车。“最后,OEM需要接管的责任,他们必须确保没有人实际上是危险的,”Zikganek说。“如果一个车祸,那又是谁的错呢?两三年前,业界认为这是解决。但如果你看最近发生了什么,每个人都有推迟说,没那么快。让我们去三级自治,专注于公路协助等特性,和停车协助。其他都是非常困难的。对当前的验证ADAS系统非常简单,一般的验证方法,其他的都是一个例外。如果有异常,系统是关闭的,但是你不能这么做4级和5级。”
最大的挑战之一是转变心态在汽车的世界。汽车公司需要开始考虑与电子系统公司一样,从系统级和芯片级。
“有趣的汽车今天看到的进化需要发展,需要验证什么,”马克Serughetti说,高级主管、产品营销和业务发展Synopsys对此。“几年前,人们在看设计的功能和如何进行功能验证,我们知道,在过去四、五年安全已经成为一件大事。ISO 26262正在推动这个地区很多技术的发展。因为它是电子,因为它的计算,因为它是开放网络和各种各样的东西,安全是一起的。你不能分离安全。他们绑在一起。”
但这也需要一种新的方式看待问题。在验证调试工作能引起安全问题,弗兰克Schirrmeister说,高级组的解决方案营销总监节奏。“如果你离开调试通道打开,你就有麻烦了。你有孤立的事情,然后选择性地摆脱他们出于安全考虑。”
的好与坏的标准
多少都可以标准化仍有待观察。安全是必需的,但它是更难设计那些进入系统,因为系统本身是一个几乎恒定的状态变化。使它更难定义标准,特别是因为他们中的许多人是依赖于多个系统的相互作用。
“标准化安全有点棘手,因为很多人做的是看看一个类的威胁,比如联邦信息处理标准的加密设备,应用于智能芯片信用卡,”詹森·奥伯格说,公司的首席执行官龟岛的逻辑。“有一定的标准,但是他们更多关于保护某些类是由市场的威胁。安全,一般来说,很难标准化。它更多的是一个过程。在汽车方面,真正重要的是经历的过程看,芯片将是,因为这将决定什么攻击向量是可行的和可能的影响。重要的是过程的一种威胁模型说,“如果我的建筑单片机会自动驾驶仪系统,或者一个高性能核心ADAS系统中去,有一个过程检查什么攻击者试图妥协,和他们有什么能力。“这是连接到网络的东西,或这是盒装在一个封闭的东西吗?经历整个过程是很重要的。从那里得到你的核心业务和安全需求,然后你可以作为你的验证计划的一部分。”
虽然这个过程是行之有效的软件,这是刚刚开始转向硬件领域。
“很多较大的半导体公司开始做这些事情,这是非常不同于功能安全,确保你容错,”奥伯格说。“如果你有一个翻转,系统仍然正常工作。ISO 26262要求你怎么做,等等,但从安全角度来看是不同的,因为你可以没有翻转,然后有人从设备提取固件,找到了一个漏洞,也许是所有设备或复制所有的汽车使用这种芯片,然后它是一个巨大的混乱。它必须被视为一个过程和更少的只涉及特定的威胁,这是通常的标准做什么。”
了解一个组织站在安全方面的成熟度是第一步,帮助企业在汽车生态系统实现一个方法来验证硬件安全和安全,Marc Witteman Riscure的首席执行官说。“他们有什么样的人?这些人是怎么训练的吗?他们的经验是什么?这给了我们一个印象,他们站在安全成熟。”
从那里可以做差异分析来确定他们想要达到什么水平,和一个训练计划可以让他们实现这一水平,其次是认证。但是关键是要考虑在系统级安全,并可能保持水平。
奥伯格:“安全是整个系统的压力。“这一切都可以追溯到这个威胁建模的过程,计算影响将是什么。如果你完全垂直整合像特斯拉,构建自己的硅,他们有更多的能见度在端系统,这个系统会。如果它是一个更加分散,你买一块商用现货的硅建立其他系统,很难。安全不是可组合。很难建立一个过程的基础设施。公司像苹果和特斯拉有相同类型的模型中,我们看到,变得更普遍在很多科技公司——构建他们的很多基本的信任根硅,因为他们得到更多的可见性系统安全通过这样做。”
不过即使是支离破碎的方法,有建筑过程的方法。“你还可以跟你的客户了解产品,“这是要去哪里,从安全的角度来看你关心什么?“你可以回开发团队并确保过程正在建造中。只是更容易去隔间近在眼前了跟人建立芯片。”
安全可以遵循相同的类型的开发方法的其余部分的设计。
“安全失效模式,以及如何安全机制的失效模式,“Synopsys对此Serughetti说。“然后经过设计验证,所有的传统活动,和安全是平行的。你必须考虑潜在的漏洞,你必须认为,从一开始,设计将是脆弱的。我需要做些什么来预防呢?我怎么验证呢?两个配合我们这方面从高层的角度来看,这是并行流的设计,从技术的角度来看互联。两者之间有很多共同点。在验证方面,例如,我们讨论故障注入,断层活动,当我们做安全。但在某些方面断层运动的概念适用于安全,。你看着注入故障,看看你的反应从安全的角度来看。 We all know that security comes from multiple places — from the software, from the hardware, and we also know it’s possible to look at the thermal signature of a chip to try to figure out how that chip behaves.”
从实现的角度来看,也有相似之处的功能安全。
“在功能安全方面你可能有一个双核同步冗余系统,你需要确保这些系统是分开的身体上,适当地放置标准电池和合法化,”斯图尔特·威廉姆斯说,高级汽车垂直Synopsys对此营销经理。“路由需要以某种方式进行管理,以便从一个核心路由不重叠的另一个核心。可能会有其他需求。从安全的角度也可以有这样的要求。有位置考虑,有路由方面的考虑。以类似的方式,这些技术开发功能性安全从实现的角度,可以应用在安全的世界里,。”
再次,芯片是在实际的汽车将决定最常见的弱点,威胁相关和什么奥伯格说。“如果你看一个ADAS系统,一些不良行为的影响是非常高的。如果是在另一个不是很系统,如控制交流的方式,有更少的业务影响的一个问题。显著低于如果它是一个ADAS系统或一个ECU控制刹车,和必须考虑的。很难说,对于每一个芯片在车里,这些威胁。有可能是一个子集,是真的,但总的来说你必须看看,如果我卖一个ADAS系统,这是我需要做什么。如果我卖到刹车ECU,或我在信息娱乐系统,流程还是一样的。但相关的弱点,和相关的威胁,要随,到哪里去了。这是部分原因很复杂。周围有太多的碎片。”
不过,在安全设计就像卖保险。
“如果你没有它,你可能会后悔,“Schirrmeister说。“就像验证一般来说,这是一个保证完成某些事情。有些地区,如在医疗和国防,几乎不想接这个电话,你从那些可能会告诉你一件事,因为一旦你知道,现在你必须实现它。这是一个迷人的业务从验证的角度来看,但作为一个设计师,你必须非常小心。这就是标准化很重要——分离的最可怕的事情会发生最相关,最常发生。最近没有短缺,指为了创建这个害怕失败状态。然后由用户,他们必须非常冷静的决定哪些项目项目是真正把针。”
结论
众多的压力图所有这些安全与安全之间的相互作用,设计和验证要求汽车制造商打破竖井在他们的组织。据大家所说,oem厂商已经意识到他们必须召集团队沟通和合作设计和验证硬件、软件和系统。这是唯一的方法来有效管理自主汽车发展的复杂性。好消息是这也打开了新的机会在汽车生态系统与咨询服务,支持所有的工作的工具和方法。
- - - - - -埃德·斯珀林对此报道亦有贡献。
相关的
今天的MEMS陀螺仪是“足够好”?
大的改善精度可能需要新的应用程序和市场动态。
在汽车传感器融合的挑战
随着越来越多的自主车辆迷进入视野,增长的巨大的挑战。
谁拥有汽车的芯片架构
汽车制造商和供应商竞争优势,创造整个电子行业的挑战。
形式验证成为关键汽车安全、安全
障碍仍然存在,但应用的增长。
|
|
|
|
|
|
|
|
留下一个回复