变量复杂的安全性至关重要的设备验证

人工智能芯片的包含在航空电子设备在汽车和日益把关注advanced-node设计,可以满足所有的ASIL-D要求的温度和压力。设计师应该如何处理这个任务,尤其是当这些设备需要比应用程序吗?半导体工程与库尔特·舒勒坐下来讨论这些问题,负责营销的副总裁Arteris IP;解决方案营销主管弗兰克•Schirrmeister高级组节奏;首席执行官泰德Miracco Cylynt;首席执行官迪恩Drako Drako汽车;商业管理主任迈克尔•海特微指令、安全性和软件业务单元马克西姆集成;尼尔,营销主管数字验证技术导师,西门子业务;塞吉奥Marchese、技术营销经理OneSpin解决方案;高级主管马克•Serughetti,验证小组Synopsys对此;首席执行官和Hagai ArbelVtool。

SE:行业站在今天的任务验证安全性至关重要的设备?

海特:并不所有系统普遍采用的汽车运输今天,尽管健壮的安全解决方案的形式存在硬件安全模块(hsm)的半导体供应商。在箴言,我们正开始看到一个上升的兴趣我们汽车安全的身份验证安全性至关重要的汽车零部件在HSM可能过度身体大小,复杂性、功耗和成本。我们也看到,如ISO 21434标准接近的出版物,呼吁安全要考虑汽车的生命周期的所有阶段。而标准预计不会调用特定的算法或实现,我们相信这和欧盟等政府监管网络安全法案将要求增加汽车oem厂商认证的安全性至关重要的设备。

Miracco:当涉及到安全性至关重要的设备,有大量的漏洞。软件是特别脆弱,需要更好的代码硬化,更好的过程的安全软件,和管理的软件。同时,我们看到很多间谍,半导体行业是一个具有高度针对性的行业。这是一个非常脆弱的行业,不仅有很多盗窃的源代码,但是设计代码和IP。在半导体行业,需要有更好的问责制。有很多工作要做。我不认为我们有一个很好的地方。很多的工业间谍和知识产权没有得到适当的保护,从皇室的角度,而不是支付时使用。

Arbel:首先,高安全性的验证时意味着验证需要做的书。基本上,如果验证是通过这本书,它满足,根据定义,大部分的要求ISO 26262。当然,这还没有发生,所以迫使企业去做一个更好的,更有建设性的方式。第二,真的没有“完成”验证。你去tape-out当你感到舒适或是否足够安全,你的设备的功能。但是现在你必须证明,当生活取决于,你需要以某种方式收敛周期和测量验证的成熟好多了。从这个意义上说,应该有更好的工具来验证收敛,验证调试和验证成熟。整个“完成”的定义验证需要更多的是一个严重的方面在芯片设计周期。

手:安全性至关重要的设计时的一大挑战是,几十年来我们一直在建筑设计功能。我们设计的功能。我们试图把我们需要做的。我们会打破这个功能吗?当我们看高安全性的设计时,我们在看设计弹性,不管是对功能安全或安全。在许多方面,它的事情将如何试图验证函数不正确——“会发生什么当事情变坏?这是一个不同的心态。这是一种心态,我们必须提供工具。时的说法,没有如果,出现问题从未被设计过的方式,因为你假设底层硬件故障或不可思议的方式破坏设计安全或安全或类似的东西。你要给人这种观点,这是一个非常不同的方式对设计师和建筑师思考。这是完全不同的。 We’ve got decades of figuring out if a design works and how does it not work when we intend it to not work — constrained random, complex verification environments. Once you get to functional safety, it’s a completely different mindset. Safety criticality, whether it be through security or through random failures, is a whole new way of looking at the problem. It’s a whole new set of skills that designers need to learn, and as an industry we have to enable them with the tools to do that.

Serughetti:当我们看在市场上发生了什么,functional-safety和安全性至关重要的方面是非常重要的。首先,功能验证是开始好functional-safety安全的关键。我们看到我们看是改变多个维度。安全并不是独立的。它跟安全。一切都联系在一起。第二,你不解决安全在一个地方。设计方面,验证方面。第三个维度是真的,当我们看,安全不是硬件,它不是软件。这是他们两人——系统,。 Complexity in the activities related to safety-critical is increasing, and as a result we need to think about verification, but also more intelligent ways to look at those aspects because the systems are becoming more complex.

Schirrmeister:我同意有一个需要镜像验证流问题当我们完成安全验证流程。没有安全就没有安全,没有安全不安全。他们是交织在一起的。从整体的角度来看,需要添加额外的元素。一个是整体的一部分在模拟和数字域。不仅仅是数字一块一块和数字的软件。正如马克已经指出的那样,它包括模拟组件。整体也意味着它在设计、验证和实现流程。此外,实现方面。这就是为什么当前做的几个项目的标准化委员会非常重要的整体视图的数据格式。 The last element of holistic view requires some individual specificity across application domains. We see safety today in automotive, in aero/defense quite a bit, but it goes across. But then when you talk to health care people, suddenly new standard numbers come up. When you talk to industrial people, new standard numbers come up. They’re always somewhat related, but they address the specificity of the different application domains.

Marchese:国家的安全,我们已经看到在过去的十年里,重视安全增加了很多,现在更广泛的知识和意识和专业知识是可用的,特别是在pre-silicon硬件开发流程,太好了。更多的今天正在做的。我看到很多旧同事从20年前,我们不知道什么是安全的。现在每个人都暴露在所有阶段的安全流动。这里的每个人都说过,当然现在安全了,和无安全保障。再次,安全设计、安全融入整个硬件开发流程,将会有大量的学习,有标准,像汽车标准,当然是非常重要的。该行业将学习如何真正把安全,特别是还安全应用程序,因为它是非常重要的。更多的意识和知识会蔓延到整个社区工程。这是下一个大事件。

舒勒:芯片级的我们仍然有情况和方法验证人分开的功能安全人员和方法。这导致一些重叠和返工。工具和数据交换标准(如IEEE P2851由IEEE和Accellera)成熟,我们就可以有更多的自动化,通过故障注入功能安全验证可以作为常规的一部分执行验证过程。这将有助于这个行业的每一个人都更有信心,产品不回归诊断覆盖率作为新版本的开发,并将提供集成商/关键安全系统的用户更容易地执行安全机制的故障注入验证,如果他们的愿望。

SE:解决安全与多个维度和具体需求在汽车安全关键方面,开发人员需要一个特定于应用程序的操作系统汽车吗?

Drako:是的,我们做的。电子产品的主要类别是什么?桌面电脑,笔记本电脑,手机,游戏机,数据中心,和汽车。这些都是大容量的应用程序。的电话,iOS和Android。人们试图用Linux,但它不工作。桌面,Windows和Mac。数据中心,有Linux和Windows服务器。索尼游戏机,要么是操作系统,无论Xbox附带,Xbox的专用操作系统。有什么车?什么都没有。 Every automotive maker is trying to make their own thing. So there are 20 or 30 different OSes. The only one that’s halfway decent is the Tesla, because it’s based on Linux. But it’s evolving way beyond Linux. It’s like the iOS of cars. The other OEMs have nothing. Tesla is like the Apple of cars, and what Tesla has done is used an x86 PC, put in graphics from Nvidia, and put one computer in the car. They worked on software to make it do what it needs to do. On the other hand, if you look at a Ford or a Chrysler or a Ferrari or a Mercedes or a BMW, they have not one computer in the car, but 100, and they try and make them talk via CAN bus. The Tier 2s make their own computers and the OEM tries to hook it all up, and it is basically a mess that costs a lot more money. What they need is one OS.

海特:有趣的问题。这将开发谁?虽然它肯定可能有助于开发人员有共同的操作系统的发展,没有政府的规定,我不指望这能是由汽车oem厂商。这是不太可能的专业领域,他们可能很难赚钱,如果是更关注的“引擎盖下”的架构比用户体验。

如果我们把电脑和智能手机作为案例研究,这些市场开始小,几个玩家开发自己的操作系统作为他们的工业增长,引导更多的人他们的产品和服务,直到他们最终占据了空间。在电脑空间这是微软和苹果。然后与苹果和谷歌在智能手机类似的情况。甚至巨头微软在智能手机领域失败。但汽车行业已经非常成熟,并将汽车的引擎盖下面操作系统真的对消费者是一个卖点吗?似乎很难想象任何一个OEM开发一个操作系统,然后用它控制开源或闭源模型。另一方面,汽车变得越来越互联V2X,我设想,球员像微软、苹果、谷歌和亚马逊甚至将调查商业模式围绕一个操作系统,促进了连接到他们的云服务。多深这样一个操作系统渗透进车内的架构,并将消费者选择开关吗?渗透更深层次的架构,也许它可以帮助关键安全系统开发越多,但难度将提供消费者的多个操作系统的选择。这可能会把一个OEM下跌超过他们想要与一个给定的操作系统供应商。 My short answer is that I don’t see this happening any time soon for a deep under-the-hood OS.

手:这是一个有趣的想法,但事实是,我们总是在多个解决方案的一个问题。任何一个齐次解似乎永远不会持续很长时间。最重要的是有一个理解你试图解决的挑战,和有工具和能力来解决。我们可能有一个非常特定的操作系统,但已经有操作系统为汽车设计。有操作系统为mil /航空设计目的,等等。但从来没有一个。总是有新的设计和新的要求,操作系统可能不支持。问题是,你应该依靠操作系统提供商做所有你需要的东西吗?答案是,不是这个行业是如何工作的。行业找到一个机会。 The industry then grows and addresses that opportunity. There are layers below the OS. You have to make sure that hardware and software work reliably. Can you inject errors into software, and see those errors be propagated through the software and the hardware and get to the end point? The idea of an application-specific operating system is a good one. Do I think it’s the solution? No. There will always be two or three different versions, and there always has to be an underlying methodology that allows us to say, ‘How safe is this? Can we bombard it with security threats? Can we inject random faults, not just in hardware but in software and see how they propagate through the system? That’s the challenge. How do we give those tools to people to say, ‘If you’ve got a perfectly working system, go use it, it’s all good.’ To rip off Jurassic Park, ‘Nature finds a way.’ There will be another operating system. There will be another way to do it.

Miracco:我同意尼尔。我不认为一个操作系统就足够了。这就是太死板。它可以工作的唯一方法就是如果是开源的,因为你需要的一种手段解决零日威胁,你需要能够迅速解决问题因为自然会找到一个方法。你不能离开这些漏洞开放多年来当委员会一起试图找出如何安全的完全开放的谷仓的门。

Schirrmeister:我们已经没有了吗?已经有这些操作系统层。如果你看看automotive-specific操作系统,他们已经在Autosar垂直强调,Genivi等等。有些开源的口味和协作的味道。他们处理automotive-specific抽象。Autosar及其各种化身帮助的细节设计链半导体一级和OEM有效互动。有一个分层。没有一个。也有与集装箱化趋势,人们创建虚拟机监控程序,你在上面层的各种其他组件,例如,多媒体相关方面。如果你做得更像Genivi甚至一个Android,可以用集装箱装安全元素。 Some of it is there, but nature will find its way.

Serughetti:你不能锁定技术的人群,因为如果你只是由技术驱动你基本上会扼杀创新。伟大的创新总是做些不一样的东西。当涉及到安全性至关重要,有多个方面。技术,是安全至上的心态,当你开发你的产品,然后有工具,使您能够验证到合规、合规。你不能把自己锁进一个特定的技术。这是一个完整的解决方案需要。这是一种心态,你必须有一个函数的安全性至关重要的方面。

舒勒:无法确定你的意思“特定于应用程序的。“他们肯定需要一个操作系统,分析了功能安全合规、诊断和开发过程。普通商业ISO 26262 -兼容的汽车rtos QNX据我所知,ThreadX,完整性和eMCOS。我相信有更多的。一些商业提供者提供特定于应用程序的软件“平台”包ADAS的RTOS软件中间件和应用程序,安全,等等。此外,也有一些开源的操作系统,分析了ISO 26262合规包括SAFERTOS和西风RTOS。很多(大部分?)的软件开发AUTOSAR架构。这是一件好事,因为越来越多的虚拟化软件的任务和应用程序在这些嵌入式系统和一个商定的系统级软件架构必须允许从不同的团队和软件公司进行互操作,特别是当我们混合实时期限与虚拟化。

手:我想追随弗兰克说的东西因为他提出了一个有趣的点。如果你看一些现代安全至上的系统中,它不再是一个操作系统。有一个集装箱化。这是真的。你看我们处理的一些系统,有多个操作系统的硬件平台上跨多个板,多个系统,没有一个答案。所以你必须找出如何处理这些复杂的系统。一定程度的复杂性我们没有即使在正常处理,云计算或家庭计算或任何这类的事情。真的很复杂,当你看着它,它不是一个漏洞,这是一连串的漏洞的任何系统性故障所在。在传统意义上你有一个操作系统,一个硬件平台,一个软件平台,你安全,你都好。但随着弗兰克指出,这不是大多数的现代系统。 Most of the modern systems have multiprocessor containerized environments, multiple OSes, and that is part of what Ted was alluding to earlier. It’s not a single solution. You’ve got to have a systemic approach to the problem.

Marchese:在汽车、建筑的困难是,它的变化很多,无论如何,我们将看到在操作系统和软件方面变化。我们会从独立ecu更集中的系统,与更多的传感器连接。还有所有的安全需求,AI等全新功能与视觉自动驾驶功能。很多改变来影响软件在所有层,从操作系统到上层。

相关的
旋转对汽车安全性至关重要的验证
专家们表第3部分:改变汽车的心态;验证后制造;安全更新。
为什么关键安全验证是如此困难
专家表第2部分:专有硬件使软件开发变得更加困难;如何处理无线更新。