汽车系统和其中使用的半导体是当今最复杂的电子产品。在过去，汽车系统中的电子设备都是扁平化的结构，具有独立的功能来控制动力系统和车辆动力学的各个组件。这些电子系统主要通过传统总线互连协议进行通信，如控制器区域网络(CAN)和面向媒体的系统传输(MOST)技术。

为了支持4级和5级(L4/L5)自动驾驶的实现，大规模的结构调整正在进行中。软件定义车辆、汽车以太网、V2X连接和域控制器单元只是实现L4/L5功能所需的一些新技术。

电子系统存在于动力系统和车辆动力学、高级驾驶辅助系统和自动驾驶、连接、信息娱乐和车内体验。这些电子系统的核心通常是一个复杂的多岛集成电路，包含多核处理、专用的人工智能和机器学习引擎、混合信号处理等。无论是芯片上的复杂系统，还是位于传感器边缘的混合信号IC，安全性和安全性都是必不可少的。IC供应商必须建立必要的安全和安全预防措施，以确保产品在整个使用寿命内的高质量和可靠性。

随着远程更新、远程监控、车对车、车对网通信等功能的引入，人们越来越重视车辆系统的安全。车辆电子系统的进步为对手提供了一个巨大的攻击面。在商业或工业应用程序中，安全性的重点是提供信任、保护资产和保护身份。在汽车行业，这些重点领域仍然存在，但又增加了一个维度。安全性的缺失有可能直接影响车辆安全措施的实施。汽车的功能安全要求由ISO 26262规定。

因此，在汽车电子设计中，安全和安保方面是相互关联、相互依赖的。缺乏强大的安全架构不仅会导致设计故障，而且故障还会在集成电路、系统和整个车辆中开辟新的安全切入点。另一方面，不完整的安全架构可能被对手用来规避或禁用安全功能，使车辆容易出现运行时故障。

汽车安全威胁、缓解措施和标准

在过去十年中，随着车辆及其电子系统的复杂性不断增加，汽车安全已成为一个重点关注领域。因此，已经启动了几项倡议，为车辆安全提供正式的框架和方法。与安全性问题一样，这个问题有多个方面。在分析车辆安全时，必须考虑多种类型的威胁模型，每种模型都存在多个威胁向量，如表所示。下表定义了针对威胁模型和相关威胁向量的缓解技术以及适用的标准。

那么，这些为减轻汽车电子设备威胁提供最先进指导的安全标准是什么呢?下面是每个项目的简要背景。

埃维塔

2008年，欧洲研究项目EVITA启动，以预测车对车通信的发展。为了为车对车通信提供安全基础，EVITA为汽车车载网络设计、验证和原型化了安全构建模块。EVITA项目解决了车辆内外的通信问题，因为后者的完整性取决于前者的完整性。建议的解决方案基于硬件安全锚和利用这些硬件安全模块的软件安全层。用例的范围包括汽车之间以及车辆与路边基础设施之间的通信，来自游牧设备的应用程序的安装，零件的售后更换，以及远程诊断。该项目产生了一系列安全需求，例如ecu之间交换并显示给驾驶者的数据的真实性、完整性、新鲜度、机密性、受控访问和可用性，以及ecu的安全执行环境。

此外，在车对车场景中，EVITA还解决了匿名性和隐私问题。EVITA提供的解决方案是硬件安全模块规范，有三个不同的版本，以适应不同的ECU处理能力。对于大型ecu，如头部单元，建议使用EVITA完整版本。对于引擎控制、中央网关等ecu，建议使用EVITA medium版本。轻版本适用于ecu，如制动执行器或安全气囊执行器。EVITA规范的主要范例是安全性应基于硬件，并且硬件安全模块(HSM)应位于与主机系统CPU相同的芯片上。EVITA催生了若干发展和举措。

安全硬件扩展(SHE)

SHE是2004年由奥迪、宝马、戴姆勒、保时捷和大众成立的赫斯特勒倡议软件联盟的另一个热门项目。它提供了汽车微控制器单元(MCU)片上扩展的规范。它旨在为密钥提供安全的存储和处理环境。与EVITA一样，基于硬件的安全性也是必需的。安全密钥的操作在硬件绑定的飞地内执行，包括具有AES或SHA-2的加密加速器、伪随机数生成器、易失性和非易失性存储器，以及用于对加密操作进行排序和控制密钥的控制逻辑。SHE比EVITA更轻量级，专注于保护汽车MCU使用的加密密钥的机密性，为MCU提供一个未被篡改的真实软件环境，并提供加密服务。SHE是轻量化的，因此在汽车行业很受欢迎。它为加密服务提供了一个简单而流行的API。

ISO / SAE J3101

2020年初，SAE(汽车工程师学会)和ISO发布了新标准ISO/SAE J3101，专门解决地面车辆的硬件安全要求。该标准阐明了汽车硬件安全的150多项单项要求，并全面阐述了安全方面的问题，如硬件安全生命周期、密钥保护、密钥管理、算法、熵和随机性、安全执行环境以及接口控制。它还将需求链接到特定的用例，如经过身份验证的引导、经过身份验证的更新、安全消息传递、安全存储或安全诊断。值得注意的是，ISO/SAE J3101并没有像EVITA或SHE那样描述实现要求的具体设计，而是提供了一种系统的方法来评估汽车安全解决方案，并确定其是否足够。

AUTOSAR

现代车辆中有数百个ecu相互作用，解决每个ecu的安全需求是必要的，但还不够。了解ecu在车内的相互作用也很重要。像AUTOSAR这样的组织在这方面提供了帮助。AUTOSAR的目的是提供软件平台和框架，帮助管理汽车子系统的复杂性。从安全的角度来看，AUTOSAR提供了api来抽象ecu的安全功能，并从高级的角度对其进行管理。安全功能与软件服务相关联，例如加密/解密或身份验证。在较低的级别，可以使用兼容EVITA、SHE或J3101的硬件安全组件。

汽车用嵌入式高速加工机床

为了减少开发汽车硅的开发时间、工作量和风险，芯片架构师现在可以选择授权认证的嵌入式HSM设计，这些设计提供了最先进的安全性并满足功能安全要求。Rambus ISO 26262 ASIL-B认证的RT-640嵌入式HSM是汽车soc安全架构的关键安全IP组件。RT-640是Rambus为汽车市场量身定制的广泛安全和连接解决方案组合的一部分。

链接:

• 白皮书:在安全与保障的交叉点上导航
• 网络:Rambus RT-640 ISO 26262 ASIL-B认证嵌入式HSM
• 网络:Rambus RT-645 ISO 26262 ASIL-D Ready Embedded HSM