在硬件中锚定安全性,以保护安全关键的ecu和传感器的安全性。
现代汽车根据其级别、品牌和型号可以拥有多达100个电子控制单元(ecu),在电动汽车中,ecu的数量甚至更高。ECU是汽车电子系统中的嵌入式系统。它们用于控制车辆的所有功能,包括发动机、动力系统、变速箱、刹车、悬挂、仪表盘、娱乐系统等。
自动驾驶汽车的出现加速了这一趋势,因为它严重依赖传感器和执行器来控制汽车并对外部条件做出反应。这些电子元件的可靠性对于车辆的安全性和可靠性至关重要。因此,ISO 26262等行业标准已经制定出来,以确保汽车电气和电子系统的功能安全。
ISO 26262标准定义了一种基于风险的方法来处理汽车电子设备发生的危险操作情况。它依赖于汽车安全完整性等级(ASILs)来确定车辆中不同ecu的风险等级。例如,发动机控制ECU比负责尾灯的ECU属于更高的风险级别。从A(要求最低)到D(最严格),存在四个完整性级别,这导致了对ecu的不同约束和要求。
从实际的角度来看,构建符合asil的ecu需要添加验证硬件和安全机制,例如关键组件的冗余、错误纠正代码、内置自检(BIST)、系统看门狗或循环冗余检查。ecu还需要控制越来越多的传感器和执行器;例如,一个安全气囊ECU除了控制加速度、角速率和压力传感器外,还控制车辆中的几个安全气囊,以评估撞击的方向和强度。这些增加的机制和组件增加了系统和硬件验证过程的复杂性。与用于非汽车硬件的验证流程不同,它们需要不同的验证流程。验证过程还必须支持故障注入,以测试各种故障处理场景。
有几个因素使得汽车ecu和传感器的验证成为一个具有挑战性的过程。验证需要覆盖实时嵌入式混合信号域,并且必须在系统级进行,而不仅仅是在组件级。一些验证场景需要时间来完成,这与汽车行业严格的生产日程相冲突,这些生产日程要求第一时间正确设计。
最后,由于有四个不同的ASIL级别,现在验证范围不仅必须根据其自身的内部规范验证设备,而且还必须根据其预期的安全级别验证外部规范。指定类别中的所有设备都必须满足或超过ASIL建立的阈值。这为评估作为安全关键系统设计关键组件的解决方案提供了统一、公正的标准。
汽车网络安全为验证增加了另一组限制,因为所有安全关键系统都是安全关键系统。这是因为对安全关键系统的成功网络攻击可能导致人类危险。请注意,相反的情况并不正确,因为安全关键型系统,如信息娱乐系统,并不一定是安全关键型的。
汽车对黑客来说是很有吸引力的目标。在许多被广泛宣传的实验中,这些漏洞已经被成功攻破,有时会导致有人利用汽车的信息娱乐系统作为网关,从远程控制汽车。SAE J3061和ISO/SAE 21434等标准专注于汽车网络安全,以避免此类事件的发生。
网络安全关注的是潜在的威胁,而不是危害,这些威胁更具挑战性,因为它们可能未被发现。安全性要求在所有情况下都有已知的行为,因此必须扩大验证范围,以涵盖预期的输入和意外/未经授权/非法的输入。这大大增加了核查工作的规模。挑战在于包括额外的输入集并执行适当的验证,所有这些都在汽车生产日历所施加的时间限制内。
保护任何电子系统的基础是基于硬件的安全。这可以通过在汽车ecu中使用的ic中嵌入信任的硬件根来实现。Rambus提供为汽车应用量身定制的ISO-26262 ASIL-B和ASIL-D就绪硬件信任内核根。这些信任内核的根(分别为RT-640和RT-645)使用最先进的反篡改安全技术,可以防止各种故障,如永久故障、瞬时故障和潜在故障,以及硬件和软件攻击。与拥有20多年知名安全经验的Rambus公司合作,汽车设计师可以帮助确保他们的安全关键soc免受网络攻击。
额外的资源:
白皮书:设计实现安全
博客:Rambus CryptoManager根信任核心认证ASIL-B/D,可用于增强汽车应用程序的安全性
网站:信任解决方案的Rambus根
网站:Rambus CryptoManager Trust RT-640的根目录(ASIL-B准备)
网站:信任RT-645的Rambus密码管理根目录(ASIL-D准备)
|
|
|
|
|
|
|
|
|
留下回复