為汽車芯片的安全性建立一套全面的驗證方法是復雜而困難的。

汽車電控系統影響車輛的安全

汽車行業正在試圖簡化汽車電控單元、SOC和一些其他芯片,同時想讓他們變得更自動化而且更容易駕馭。但是在這個過程中,出現了很多意想不到的難題,功能權限相互交織,以至于進展緩慢。

現代汽車可能具有多達100個ECU,用于控制諸如發動機,動力總成,變速箱,制動器,懸架,娛樂系統,傳感器系統等車輛功能。

在ISO 26262中,這些電子系統需要依托汽車安全完整性等級(ASILs),以確定在車輛不同的ECU風險等級,從而評定系統的安全性和可靠性。ASIL的分類范圍從A到D(從最低到最苛刻),對每個ECU都有不同的限制和要求。

從實現的角度來看,要使ECU符合ASIL要求,就需要添加驗證硬件和安全機制,例如關鍵組件的冗余,糾錯碼,內置自檢(BiST),系統看門狗或循環冗余校驗等。如今,驗證ECU是否符合ASIL要求是一項嚴格且耗時的過程。

Rambus Security 的技術產品經理 Thierry Kouthon表示:“汽車網絡安全為驗證增加了另一組限制。“所有關鍵安全系統都是致命的,因為對關鍵安全系統的成功網絡攻擊可能導致人身危險。”

諸如SAE J3061和 ISO / SAE 21434之類的標準解決了汽車網絡安全問題,該問題在汽車領域涉及潛在威脅而不是已知危害。“這極大地增加了驗證工作的規模,復雜性和時間,這些工作必須在汽車生產日歷的約束范圍內執行,” Kouthon說。

其中大部分對汽車行業來說是全新的。“汽車的數字化和連接性正在上升,這是由自動駕駛,車載連接性和共享出行等大趨勢推動的,”營銷高級總監Sandeep Krishnegowda 說,比如英飛凌的內存解決方案。“連接水平的提高伴隨著重大的網絡安全風險,因為需要保護對電子系統和數據的訪問,車輛安全和消費者隱私。安全性成為汽車系統中基本的要求,確保車載電子設備的信任和可靠性。世界各地的汽車制造商將需要獲得網絡安全批準,才能在相關當局進行汽車注冊。傳統上,汽車制造商和系統提供商已對安全性和可靠性要求進行了管理。但是,隨著所涉及的電子產品復雜性的提高,解決安全問題的責任現在正通過供應鏈傳播到半導體公司,其中包括存儲設備。”

復雜的驗證方法

說起來容易做起來難。一方面,汽車應用中使用的設計和算法處于幾乎恒定的通量狀態,這就是為什么其中許多內置了一定程度的可編程性的原因。

“汽車上的許多設計都是高度可配置的,甚至可以根據從傳感器獲取的數據即時進行配置,” ClioSoft 的營銷主管 Simon Rance說。數據從這些傳感器傳回處理器。從車輛到數據中心再返回到車輛的龐大數據量–所有這些都必須跟蹤。如果出現問題,他們必須對其進行跟蹤并找出根本原因。那是需要填補的地方。”

此外,許多此類設備有望在十年或更長時間內完美運行。

“唯一有效的方法就是采用連續驗證方法,” One Spin Solutions信任與安全產品經理 John Hallman 說。“您需要在芯片級建立一個驗證套件,當設計變更時,您就可以適應更新。您還需要環境維護,以免更改安全漏洞,這可能是另一個汽車漏洞引起的故障的模型。但是在所有情況下,您都需要具有進行更改的能力。”

Hallman說,其中一些可以離線,例如數字雙胞胎。但是,無論該模型位于何處,它都必須具有靈活性,并始終如一地檢查問題。

工程團隊應該如何考慮驗證安全性確實取決于項目的范圍。西門子業務部 Mentor汽車業務部門總經理Michael Ziganek表示:“從最簡單的步驟開始,即IVI集群整合,這非常簡單,因為驗證和驗證的功能都是有限的。” “但是在未來的自動駕駛系統中,這個思路比較困難,尤其是在第4級和第5級,目前尚未找到正確的方法。”

另一個考慮因素是,每個國家的法律體系都沒有為自動駕駛和半自動駕駛做準備。Zikganek說:“最終,OEM需要承擔責任,他們必須確保沒有人真正處于危險之中。” “如果汽車撞車,那是誰的錯?兩三年前,業界認為這已解決。但是,如果您觀看最近發生的事情,那么每個人都會拒絕說:“不是那么快。讓我們進入3級自動駕駛,重點關注高速公路輔助和停車輔助等功能。其他一切真的很難。” 當前ADAS的驗證系統非常簡單,采用了通常的驗證方法,其他所有情況都是例外。如果存在異常,則關閉系統。但是您無法通過4級和5級做到這一點。”

最大的挑戰之一是改變汽車界的觀念。汽車公司需要像電子系統公司一樣,從系統層次以及芯片層次開始思考。

Synopsys產品營銷和業務開發高級總監Marc Serughetti表示:“當今汽車領域最有趣的是看到需要開發和需要驗證的產品的演變。” “幾年前,人們一直在研究功能以及如何對設計進行功能驗證,而且我們知道,在過去的四到五年中,安全已成為大問題。ISO 26262正在推動該領域的許多技術發展。因為它是電子的,因為它涉及計算,因為它對網絡和各種事物都是開放的,所以安全性是結合在一起的。我們無法真正脫離安全保障。”

但這還需要一種解決問題的新方法。Cadence解決方案營銷高級組主管Frank Schirrmeister說,在驗證調試中有效的方法可能會導致安全問題。“如果您打開調試通道,則會遇到麻煩。您必須隔離事物,然后出于安全原因有選擇地清除它們。”

標準的好和壞

安全性是必需的,但是將它們設計到系統中則更加困難,因為系統本身處于幾乎恒定的變化狀態。這使得定義標準變得更加困難,特別是因為其中許多標準依賴于多個系統的交互作用。

“對安全進行標準化有點棘手,因為很多人所做的只是查看一類威脅,例如適用于信用卡智能芯片的密碼設備聯邦信息處理標準中的那些威脅,” JTortuga Logic首席執行官說。“有某些標準,它們更多地是為了保護該市場定義的某些類別的威脅。通常,安全性很難標準化。它更多地是關于一個過程。

在汽車方面,真正重要的是要經過一個案例來查看芯片的位置,因為這將決定哪種攻擊媒介是可行的,以及可能產生的影響。重要的是,采用一種威脅模型說“如果我要構建此MCU,這將在自動駕駛系統中使用,或者在ADAS系統中將使用高性能內核,其中有一個案例可以檢查攻擊者將試圖破壞什么以及它們具有什么功能。這是連接到網絡的東西,還是裝在機箱中的東西?完成整個過程很重要。從那里您可以獲得核心業務和安全要求,然后可以將其作為驗證計劃的一部分。”

盡管此案例已針對軟件建立,但它剛剛開始轉移到硬件領域。

Oberg說:“許多較大的半導體公司開始做這些事情,這與功能安全性大不相同,后者是確保您具有容錯能力。” “如果您有一點動靜,您的系統仍然可以正常工作。ISO 26262對如何執行操作有要求,依此類推,但是從安全的角度來看,它有所不同,因為您可能不會發生任何翻轉,而如果有人從設備中提取固件,發現一個可能在所有設備或所有設備上復制的漏洞。使用該芯片的汽車,將有一個巨大的混亂。必須將其視為一個過程,而不是僅涵蓋特定威脅,這通常是標準所要做的。”

Riscure首席執行官Marc Witteman表示,了解組織在安全性成熟度方面的地位是幫助汽車生態系統中的公司實施一種方法來驗證硬件的安全性和安全性的第一步。“他們有什么樣的人?這些人如何訓練?他們的經驗是什么?這給我們留下了他們在安全性成熟度方面的印象。”

從那里可以進行差距分析以確定他們想要達到的水平,并且可以實施培訓計劃以使他們達到該水平,然后進行認證。但是關鍵是要在系統級別以及潛在的系統級級別考慮安全性。

“安全是整個系統的安全,”奧伯格強調。“這一切都可以追溯到威脅建模的過程-確定影響是什么。如果像特斯拉這樣的完全垂直集成的公司可以構建自己的芯片,那么它們在終端系統以及該系統將要運行的地方具有更大的可視性。如果它更加零碎,并且您要購買商用的現成的硅片來構建另一個系統,則非常困難。安全性是不可組合的。圍繞這種基礎架構構建流程非常困難。蘋果和特斯拉等公司擁有相同類型的模型,而且我們看到,這在許多科技公司中變得越來越普遍-建立起許多芯片的信任根基,因為它們獲得了更多的知名度這樣做可以提高系統安全性。”

安全性可以遵循與設計其余部分相同的開發方法。

Synopsys的Serughetti說:“在安全方面,您要研究故障模式,以及如何為這些故障模式建立安全機制。” “然后,您要進行設計,驗證,所有傳統活動,并且安全性與此并行。您必須查看潛在的漏洞,并且必須從一開始就考慮設計將易受攻擊的地方。例如,在驗證方面,我們談論安全注入時的故障注入,故障活動。但是在某些方面,故障活動的概念也適用于安全性。您正在尋找注入故障的方法,以從安全角度看您如何應對。我們都知道安全性來自多個地方-來自軟件,來自硬件,而且我們也知道有可能查看芯片的熱特征以試圖弄清楚該芯片的性能。”

從實現的角度來看,功能安全性和安全性之間也存在相似之處。

“在功能安全方面,您可能有一個雙核鎖步冗余系統,您需要確保這些系統在物理上分開,并正確放置并標準化了標準單元,”斯圖爾特·威廉姆斯(Stewart Williams)說,新思科技 “路由需要以某種方式進行管理,以使來自一個核心的路由不會與另一個核心重疊。可能還有其他要求。從安全角度來看,也可能存在這些要求。有放置注意事項,有布線注意事項。因此,以類似的方式,從實現角度看,為功能安全而開發的這些技術也可以在安全領域中應用。”

再次,芯片在實際汽車中的位置將決定哪些威脅是相關的以及常見的弱點,奧伯格說。“如果您查看ADAS系統,則行為異常的影響非常大。如果它位于另一個不太關鍵的系統中(例如控制AC的方式),那么問題對業務的影響就較小。它的重要性不如使用ADAS系統或控制制動器的ECU,必須予以考慮。很難說,對于汽車中的每個芯片,這些都是威脅。可能有一部分是正確的,但總的來說,您必須注意:“如果我要銷售ADAS系統,這就是我需要做的。如果我要向制動ECU銷售,或者我在信息娛樂系統中,則過程仍然相同。但是相關的弱點和相關的威脅,將會根據前進的方向而變化。這就是它復雜的部分原因。周圍有很多碎片。”

結論

要解決安全性,可靠性,設計和驗證之間所有這些相互作用的巨大壓力,汽車制造商必須打破其組織內的孤島。根據所有人的說法,OEM已經意識到他們必須召集團隊來改善溝通和共同設計并驗證硬件,軟件和系統。這是經濟有效地管理自動駕駛汽車開發復雜性的唯一方法。好消息是,這也為整個汽車生態系統帶來了新的機遇,以借助咨詢服務,工具和方法來支持所有這些工作。