侵權(quán)投訴
訂閱
糾錯
加入自媒體

汽車電控系統(tǒng)影響車輛的安全

Synopsys產(chǎn)品營銷和業(yè)務(wù)開發(fā)高級總監(jiān)Marc Serughetti表示:“當(dāng)今汽車領(lǐng)域最有趣的是看到需要開發(fā)和需要驗證的產(chǎn)品的演變! “幾年前,人們一直在研究功能以及如何對設(shè)計進(jìn)行功能驗證,而且我們知道,在過去的四到五年中,安全已成為大問題。ISO 26262正在推動該領(lǐng)域的許多技術(shù)發(fā)展。因為它是電子的,因為它涉及計算,因為它對網(wǎng)絡(luò)和各種事物都是開放的,所以安全性是結(jié)合在一起的。我們無法真正脫離安全保障!

但這還需要一種解決問題的新方法。Cadence解決方案營銷高級組主管Frank Schirrmeister說,在驗證調(diào)試中有效的方法可能會導(dǎo)致安全問題!叭绻蜷_調(diào)試通道,則會遇到麻煩。您必須隔離事物,然后出于安全原因有選擇地清除它們。”

標(biāo)準(zhǔn)的好和壞

安全性是必需的,但是將它們設(shè)計到系統(tǒng)中則更加困難,因為系統(tǒng)本身處于幾乎恒定的變化狀態(tài)。這使得定義標(biāo)準(zhǔn)變得更加困難,特別是因為其中許多標(biāo)準(zhǔn)依賴于多個系統(tǒng)的交互作用。

“對安全進(jìn)行標(biāo)準(zhǔn)化有點棘手,因為很多人所做的只是查看一類威脅,例如適用于信用卡智能芯片的密碼設(shè)備聯(lián)邦信息處理標(biāo)準(zhǔn)中的那些威脅,” JTortuga Logic首席執(zhí)行官說。“有某些標(biāo)準(zhǔn),它們更多地是為了保護該市場定義的某些類別的威脅。通常,安全性很難標(biāo)準(zhǔn)化。它更多地是關(guān)于一個過程。

在汽車方面,真正重要的是要經(jīng)過一個案例來查看芯片的位置,因為這將決定哪種攻擊媒介是可行的,以及可能產(chǎn)生的影響。重要的是,采用一種威脅模型說“如果我要構(gòu)建此MCU,這將在自動駕駛系統(tǒng)中使用,或者在ADAS系統(tǒng)中將使用高性能內(nèi)核,其中有一個案例可以檢查攻擊者將試圖破壞什么以及它們具有什么功能。這是連接到網(wǎng)絡(luò)的東西,還是裝在機箱中的東西?完成整個過程很重要。從那里您可以獲得核心業(yè)務(wù)和安全要求,然后可以將其作為驗證計劃的一部分。”

盡管此案例已針對軟件建立,但它剛剛開始轉(zhuǎn)移到硬件領(lǐng)域。

Oberg說:“許多較大的半導(dǎo)體公司開始做這些事情,這與功能安全性大不相同,后者是確保您具有容錯能力。” “如果您有一點動靜,您的系統(tǒng)仍然可以正常工作。ISO 26262對如何執(zhí)行操作有要求,依此類推,但是從安全的角度來看,它有所不同,因為您可能不會發(fā)生任何翻轉(zhuǎn),而如果有人從設(shè)備中提取固件,發(fā)現(xiàn)一個可能在所有設(shè)備或所有設(shè)備上復(fù)制的漏洞。使用該芯片的汽車,將有一個巨大的混亂。必須將其視為一個過程,而不是僅涵蓋特定威脅,這通常是標(biāo)準(zhǔn)所要做的!

Riscure首席執(zhí)行官Marc Witteman表示,了解組織在安全性成熟度方面的地位是幫助汽車生態(tài)系統(tǒng)中的公司實施一種方法來驗證硬件的安全性和安全性的第一步!八麄冇惺裁礃拥娜?這些人如何訓(xùn)練?他們的經(jīng)驗是什么?這給我們留下了他們在安全性成熟度方面的印象。”

從那里可以進(jìn)行差距分析以確定他們想要達(dá)到的水平,并且可以實施培訓(xùn)計劃以使他們達(dá)到該水平,然后進(jìn)行認(rèn)證。但是關(guān)鍵是要在系統(tǒng)級別以及潛在的系統(tǒng)級級別考慮安全性。

“安全是整個系統(tǒng)的安全,”奧伯格強調(diào)!斑@一切都可以追溯到威脅建模的過程-確定影響是什么。如果像特斯拉這樣的完全垂直集成的公司可以構(gòu)建自己的芯片,那么它們在終端系統(tǒng)以及該系統(tǒng)將要運行的地方具有更大的可視性。如果它更加零碎,并且您要購買商用的現(xiàn)成的硅片來構(gòu)建另一個系統(tǒng),則非常困難。安全性是不可組合的。圍繞這種基礎(chǔ)架構(gòu)構(gòu)建流程非常困難。蘋果和特斯拉等公司擁有相同類型的模型,而且我們看到,這在許多科技公司中變得越來越普遍-建立起許多芯片的信任根基,因為它們獲得了更多的知名度這樣做可以提高系統(tǒng)安全性。”

安全性可以遵循與設(shè)計其余部分相同的開發(fā)方法。

Synopsys的Serughetti說:“在安全方面,您要研究故障模式,以及如何為這些故障模式建立安全機制! “然后,您要進(jìn)行設(shè)計,驗證,所有傳統(tǒng)活動,并且安全性與此并行。您必須查看潛在的漏洞,并且必須從一開始就考慮設(shè)計將易受攻擊的地方。例如,在驗證方面,我們談?wù)摪踩⑷霑r的故障注入,故障活動。但是在某些方面,故障活動的概念也適用于安全性。您正在尋找注入故障的方法,以從安全角度看您如何應(yīng)對。我們都知道安全性來自多個地方-來自軟件,來自硬件,而且我們也知道有可能查看芯片的熱特征以試圖弄清楚該芯片的性能!

從實現(xiàn)的角度來看,功能安全性和安全性之間也存在相似之處。

“在功能安全方面,您可能有一個雙核鎖步冗余系統(tǒng),您需要確保這些系統(tǒng)在物理上分開,并正確放置并標(biāo)準(zhǔn)化了標(biāo)準(zhǔn)單元,”斯圖爾特·威廉姆斯(Stewart Williams)說,新思科技 “路由需要以某種方式進(jìn)行管理,以使來自一個核心的路由不會與另一個核心重疊?赡苓有其他要求。從安全角度來看,也可能存在這些要求。有放置注意事項,有布線注意事項。因此,以類似的方式,從實現(xiàn)角度看,為功能安全而開發(fā)的這些技術(shù)也可以在安全領(lǐng)域中應(yīng)用。”

再次,芯片在實際汽車中的位置將決定哪些威脅是相關(guān)的以及常見的弱點,奧伯格說!叭绻榭碅DAS系統(tǒng),則行為異常的影響非常大。如果它位于另一個不太關(guān)鍵的系統(tǒng)中(例如控制AC的方式),那么問題對業(yè)務(wù)的影響就較小。它的重要性不如使用ADAS系統(tǒng)或控制制動器的ECU,必須予以考慮。很難說,對于汽車中的每個芯片,這些都是威脅。可能有一部分是正確的,但總的來說,您必須注意:“如果我要銷售ADAS系統(tǒng),這就是我需要做的。如果我要向制動ECU銷售,或者我在信息娛樂系統(tǒng)中,則過程仍然相同。但是相關(guān)的弱點和相關(guān)的威脅,將會根據(jù)前進(jìn)的方向而變化。這就是它復(fù)雜的部分原因。周圍有很多碎片!

結(jié)論

要解決安全性,可靠性,設(shè)計和驗證之間所有這些相互作用的巨大壓力,汽車制造商必須打破其組織內(nèi)的孤島。根據(jù)所有人的說法,OEM已經(jīng)意識到他們必須召集團隊來改善溝通和共同設(shè)計并驗證硬件,軟件和系統(tǒng)。這是經(jīng)濟有效地管理自動駕駛汽車開發(fā)復(fù)雜性的唯一方法。好消息是,這也為整個汽車生態(tài)系統(tǒng)帶來了新的機遇,以借助咨詢服務(wù),工具和方法來支持所有這些工作。

<上一頁  1  2  
聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    文章糾錯
    x
    *文字標(biāo)題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號