在汽车什么可能出错

半导体工程坐下来讨论汽车工程Jinesh Jain,主管高级架构在福特的帕洛阿尔托研究和创新中心;雷德Shatara、市场发展汽车信息娱乐意法半导体;乔•Hupcey验证产品技术专家导师图形;亚历克西斯Boutillier、高级企业应用工程师Arteris;和丽莎Minwell,eSilicon的IP市场营销高级总监。以下是摘录的谈话。

SE:你看到什么变化在汽车市场,问题在哪里?

Hupcey:如果你看看自驾车辆,汽车工业是看到类似的需求正如我们所看到的在航空和其他相关产业。现在事情必须容错。如果你看看254和ISO 26262,有很多重叠。ISO是致力于汽车行业的细微差别。我们熟悉这个验证。我们用来跟踪需求回到规范看到如果你实现了以系统的方式验证计划。这种自我记录的过程和工具和好的结果来了这里的前景。有什么不同这是强调高安全性的验证时,无论是在纯软件,固件,裸机软件,所有的RTL的方法。有一些新的要求。

Boutillier:从一个知识产权看来这是一个有趣的故事。我们已经在汽车市场很长一段时间,但直到最近没有任何特定的需求。有些事情可以做在软件以满足ISO 26262的要求。不再是这样。SoC变得越来越复杂,还有更多的功能被添加到他们。为了满足需求与软件是不可能的。所以我们有很多需求和文档来满足ISO 26262的要求。我们在SEooC-safety元素的上下文(意味着我们必须验证IP假设有人会使用安全性至关重要的SoC。自去年以来我们也看到什么是一致性,和一个CPU管理一致性。这是一个新的水平的复杂性。

耆那教徒的:一切都变化,从各自的功能传感器提供了每个函数一直到生态系统的商业模式。只有这样,我们才能得到的收获的这些系统。的一部分,这是处理ISO 26262验证和确认。我们需要确保这些系统是最好的。在一天结束的时候,我们想要一个功能安全系统,由大众负担得起的。的主题,它自上而下,自下而上,所有的方式通过。当你看这些组件,负担能力的关键元素,功能稳定,这是一个非常可靠的system-accurate做的每件事。那么怎样才能满足所有这些吗?有机会在这些地区。

Shatara:自动车辆从每个角落大行其道。只是处理oem和看到车辆的变化,第一个问题是积极的安全。我们谈论视觉系统和雷达。清楚的是,没有一家公司可以做到。我们联手AUTOVOX, V2X我们联手Mobileye视觉系统。那些带来巨大的安全和功能的安全问题。为了安全也将适应照明和制动。改变的另一件事是混合动力和电动汽车。使得它更环保的权力。从硅的角度来看,你必须使用不同的硅。 Traditional mosFETs don’t handle a lot of temperature. If you look at silicon carbide, that handles 100 to 200° C. You can buy this like a normal transistor. You can shrink your hardware in the car now and get extended range. That’s also happening.

Hupcey:所以你可以安全运行热。

Shatara:没错。这是电动和混合动力汽车的一件事。另一件事是改变信息娱乐系统连接。与整合的新东西。手机不知道内容是从哪里来的。无论是传统的卫星通信或高清,它都必须一起工作。另一个大问题是功能安全。所有这些必须ASIL-B符合客户需求。如果你有一百万功能设备车辆,事情会出错。标准的由来是这个危害是致命的。 What do you do after that?

Minwell:在过去当你建立IP汽车,每个人都做自己的,它是一个特殊的过程。大约五到六年前,一个客户向我走了过来,问,“为什么不能IP提供商提出标准的IP是合格的,准备好了吗?这是大约40 nm节点。这就是我们今天。尽可能多的目标是使用相同的IP,您将使用在汽车和商业目的IP提供商支持的额外的规格。我们也为汽车做芯片。我们理解资格程序和如何测试我们开发的IP。有一个重大的挑战从知识产权的角度了解IP和可靠性提供文档和质量的需求。你所看到的是所有的IP提供商是必须加强他们的游戏能够这样做。也不是一直在测试他们的IP系统的公司。他们有一个额外的挑战。

SE: SoC的实现只是现在推出汽车。会出现什么问题?

Boutillier:安全是一个大问题。有可能出错的事情是无意的,但当你谈论安全,你看着滥用知识产权,这不是设计。你有多种多样的联系不同的交互不是SoC或IP的一部分,所以你要到位的元素定义的用例和确保它只能使用这种方式。你想确认,没有人知道你如何做,因为这是安全的一部分。您还需要一种方法来确定哪里出了问题,如果不是有意的和正确的,给这些信息尽快回来。

Hupcey:oem和组件提供商从没想到有人会试图攻击一辆汽车。汽车电子产品内置隔离,假设一切都将工作和娱乐结合在一起。现在你有潜在的外部行动。你有一个完全开放的、不设防的网络。所以,例如,CAN总线。它有24位。这就是足以控制翻转,这是被设计用来做什么。很明显有一个电子签名不足。这是需要改变。那是验证可以发挥作用的地方。做的所有组件在网络内部的汽车处理安全协议有效吗?你设计一辆车所以不信任自己。如果轮胎压力传感器开始发送数据包没有妥善签署,则系统假定区域的汽车已经妥协和报告错误或“安全检查”指示灯。验证可以帮助人们扮演很多的角色设计。 There are a lot of people invested in the CAN bus, and now there are whole other layers that need to be added on top of that. Security is a key part of that.

耆那教徒的:诊断是一个重要组成部分。他们将不得不做一些从未做过的。现在你必须从系统的角度看这个开始。你甚至能检测吗?如果出现问题,需要采取纠正措施,确保工作。在实验室里,有许多我们试图回答的问题。什么是我们所需要的最小数量的传感器自动车辆吗?是什么软件,会使用所有这些信息,这样你有一个完整的健壮的360度的理解环境?然后你需要看看这将驻留的硅和这些如何影响对方。现在,当你谈论传感器、冗余性和鲁棒性,需要来自多个传感器和你融合的方式。 How are you going to achieve 100% or 99.9999% coverage? In many cases, a single sensor will not allow you to get there, so you will need multiple sensors. And then with each of these systems, how do you put these together in a way that is affordable, optimal, and how will the silicon handle that? Is it lockstep cores? Is it CPUs? These all have to be thought of from a power standpoint. And if we use GPUs, how do we get that into a car? It has to meet ASIL-B today, but it will have to meet ASIL-D. How do you define those requirements?

Shatara:到不同ASILs是需要一段时间。我们必须确保一切是安全的,所以你必须看看网关进汽车。还有所有的ecu。他们中的一些人将会有一个单独的安全元素。如何确保数据完整性的所有人吗?如果你看什么可以出错,政府的任务是,每辆车必须有一个全球定位系统,汽车必须相互交谈。如果黑客进来接管一辆汽车,现在网络中行为不端和篡改的GPS坐标吗?这是一场灾难。

Hupcey它要去的地方。网络中每个节点,传感器或执行机构,必须有自己的密钥管理方案。这是一个很大的背离过去。你不能相信任何连接到网络在任何级别。

Shatara:但是OEM必须负责,任何无线数据在车里,盒子必须保证数据的真实性。

Hupcey:我同意。所有更新的空气必须签署。

Shatara:如果被篡改,这是不应该运行的代码呢?你怎么处理这个模块吗?

Hupcey:如果有任何妥协,车辆被认为是不安全的,你就完成了。它。安全同时使用。你失败了车辆安全、拉到路边。

有关的故事
什么可能出错在汽车(第2部分)
了解安全风险,藏钥匙的地方,为什么国防工业能够提供一定的帮助。
汽车安全技术存在的问题
影响生态系统可以采用自动车辆慢收益与谨慎。
汽车的成本就越高
供应商希望进入这一市场在设计时支付溢价,认证和验证要求。
律师、保险和自动驾驶汽车
半导体公司不得不面对超过技术在汽车市场。