为汽车芯片的安全性建立一套全面的验证方法是复杂而困难的。
1、汽车电控系统影响车辆的安全
汽车行业正在试图简化汽车电控单元、SOC 和一些其他芯片,同时想让他们变得更自动化而且更容易驾驭。但是在这个过程中,出现了很多意想不到的难题,功能权限相互交织,以至于进展缓慢。
现代汽车可能具有多达 100 个 ECU,用于控制诸如发动机,动力总成,变速箱,制动器,悬架,娱乐系统,传感器系统等车辆功能。
在 ISO 26262 中,这些电子系统需要依托汽车安全完整性等级(ASILs),以确定在车辆不同的 ECU 风险等级,从而评定系统的安全性和可靠性。ASIL 的分类范围从 A 到 D(从最低到最苛刻),对每个 ECU 都有不同的限制和要求。
从实现的角度来看,要使 ECU 符合 ASIL 要求,就需要添加验证硬件和安全机制,例如关键组件的冗余,纠错码,内置自检(BiST),系统看门狗或循环冗余校验等。如今,验证 ECU 是否符合 ASIL 要求是一项严格且耗时的过程。
Rambus Security 的技术产品经理 Thierry Kouthon 表示:“汽车网络安全为验证增加了另一组限制。“所有关键安全系统都是致命的,因为对关键安全系统的成功网络攻击可能导致人身危险。”
诸如 SAE J3061 和 ISO / SAE 21434 之类的标准解决了汽车网络安全问题,该问题在汽车领域涉及潜在威胁而不是已知危害。“这极大地增加了验证工作的规模,复杂性和时间,这些工作必须在汽车生产日历的约束范围内执行,” Kouthon 说。
其中大部分对汽车行业来说是全新的。“汽车的数字化和连接性正在上升,这是由自动驾驶,车载连接性和共享出行等大趋势推动的,”营销高级总监 Sandeep Krishnegowda 说,比如英飞凌的内存解决方案。“连接水平的提高伴随着重大的网络安全风险,因为需要保护对电子系统和数据的访问,车辆安全和消费者隐私。安全性成为汽车系统中基本的要求,确保车载电子设备的信任和可靠性。世界各地的汽车制造商将需要获得网络安全批准,才能在相关当局进行汽车注册。传统上,汽车制造商和系统提供商已对安全性和可靠性要求进行了管理。但是,随着所涉及的电子产品复杂性的提高,解决安全问题的责任现在正通过供应链传播到半导体公司,其中包括存储设备。”
2、复杂的验证方法
说起来容易做起来难。一方面,汽车应用中使用的设计和算法处于几乎恒定的通量状态,这就是为什么其中许多内置了一定程度的可编程性的原因。
“汽车上的许多设计都是高度可配置的,甚至可以根据从传感器获取的数据即时进行配置,” ClioSoft 的营销主管 Simon Rance 说。数据从这些传感器传回处理器。从车辆到数据中心再返回到车辆的庞大数据量–所有这些都必须跟踪。如果出现问题,他们必须对其进行跟踪并找出根本原因。那是需要填补的地方。”
此外,许多此类设备有望在十年或更长时间内完美运行。
“唯一有效的方法就是采用连续验证方法,” One Spin Solutions 信任与安全产品经理 John Hallman 说。“您需要在芯片级建立一个验证套件,当设计变更时,您就可以适应更新。您还需要环境维护,以免更改安全漏洞,这可能是另一个汽车漏洞引起的故障的模型。但是在所有情况下,您都需要具有进行更改的能力。”
Hallman 说,其中一些可以离线,例如数字双胞胎。但是,无论该模型位于何处,它都必须具有灵活性,并始终如一地检查问题。
工程团队应该如何考虑验证安全性确实取决于项目的范围。西门子业务部 Mentor 汽车业务部门总经理 Michael Ziganek 表示:“从最简单的步骤开始,即 IVI 集群整合,这非常简单,因为验证和验证的功能都是有限的。” “但是在未来的自动驾驶系统中,这个思路比较困难,尤其是在第 4 级和第 5 级,目前尚未找到正确的方法。”
另一个考虑因素是,每个国家的法律体系都没有为自动驾驶和半自动驾驶做准备。Zikganek 说:“最终,OEM 需要承担责任,他们必须确保没有人真正处于危险之中。” “如果汽车撞车,那是谁的错?两三年前,业界认为这已解决。但是,如果您观看最近发生的事情,那么每个人都会拒绝说:“不是那么快。让我们进入 3 级自动驾驶,重点关注高速公路辅助和停车辅助等功能。其他一切真的很难。” 当前 ADAS 的验证系统非常简单,采用了通常的验证方法,其他所有情况都是例外。如果存在异常,则关闭系统。但是您无法通过 4 级和 5 级做到这一点。”
最大的挑战之一是改变汽车界的观念。汽车公司需要像电子系统公司一样,从系统层次以及芯片层次开始思考。
Synopsys 产品营销和业务开发高级总监 Marc Serughetti 表示:“当今汽车领域最有趣的是看到需要开发和需要验证的产品的演变。” “几年前,人们一直在研究功能以及如何对设计进行功能验证,而且我们知道,在过去的四到五年中,安全已成为大问题。ISO 26262 正在推动该领域的许多技术发展。因为它是电子的,因为它涉及计算,因为它对网络和各种事物都是开放的,所以安全性是结合在一起的。我们无法真正脱离安全保障。”
但这还需要一种解决问题的新方法。Cadence 解决方案营销高级组主管 Frank Schirrmeister 说,在验证调试中有效的方法可能会导致安全问题。“如果您打开调试通道,则会遇到麻烦。您必须隔离事物,然后出于安全原因有选择地清除它们。”
3、标准的好和坏
安全性是必需的,但是将它们设计到系统中则更加困难,因为系统本身处于几乎恒定的变化状态。这使得定义标准变得更加困难,特别是因为其中许多标准依赖于多个系统的交互作用。
“对安全进行标准化有点棘手,因为很多人所做的只是查看一类威胁,例如适用于信用卡智能芯片的密码设备联邦信息处理标准中的那些威胁,” JTortuga Logic 首席执行官说。“有某些标准,它们更多地是为了保护该市场定义的某些类别的威胁。通常,安全性很难标准化。它更多地是关于一个过程。
在汽车方面,真正重要的是要经过一个案例来查看芯片的位置,因为这将决定哪种攻击媒介是可行的,以及可能产生的影响。重要的是,采用一种威胁模型说“如果我要构建此 MCU,这将在自动驾驶系统中使用,或者在 ADAS 系统中将使用高性能内核,其中有一个案例可以检查攻击者将试图破坏什么以及它们具有什么功能。这是连接到网络的东西,还是装在机箱中的东西?完成整个过程很重要。从那里您可以获得核心业务和安全要求,然后可以将其作为验证计划的一部分。”
尽管此案例已针对软件建立,但它刚刚开始转移到硬件领域。
Oberg 说:“许多较大的半导体公司开始做这些事情,这与功能安全性大不相同,后者是确保您具有容错能力。” “如果您有一点动静,您的系统仍然可以正常工作。ISO 26262 对如何执行操作有要求,依此类推,但是从安全的角度来看,它有所不同,因为您可能不会发生任何翻转,而如果有人从设备中提取固件,发现一个可能在所有设备或所有设备上复制的漏洞。使用该芯片的汽车,将有一个巨大的混乱。必须将其视为一个过程,而不是仅涵盖特定威胁,这通常是标准所要做的。”
Riscure 首席执行官 Marc Witteman 表示,了解组织在安全性成熟度方面的地位是帮助汽车生态系统中的公司实施一种方法来验证硬件的安全性和安全性的第一步。“他们有什么样的人?这些人如何训练?他们的经验是什么?这给我们留下了他们在安全性成熟度方面的印象。”
从那里可以进行差距分析以确定他们想要达到的水平,并且可以实施培训计划以使他们达到该水平,然后进行认证。但是关键是要在系统级别以及潜在的系统级级别考虑安全性。
“安全是整个系统的安全,”奥伯格强调。“这一切都可以追溯到威胁建模的过程 - 确定影响是什么。如果像特斯拉这样的完全垂直集成的公司可以构建自己的芯片,那么它们在终端系统以及该系统将要运行的地方具有更大的可视性。如果它更加零碎,并且您要购买商用的现成的硅片来构建另一个系统,则非常困难。安全性是不可组合的。围绕这种基础架构构建流程非常困难。苹果和特斯拉等公司拥有相同类型的模型,而且我们看到,这在许多科技公司中变得越来越普遍 - 建立起许多芯片的信任根基,因为它们获得了更多的知名度这样做可以提高系统安全性。”
安全性可以遵循与设计其余部分相同的开发方法。
Synopsys 的 Serughetti 说:“在安全方面,您要研究故障模式,以及如何为这些故障模式建立安全机制。” “然后,您要进行设计,验证,所有传统活动,并且安全性与此并行。您必须查看潜在的漏洞,并且必须从一开始就考虑设计将易受攻击的地方。例如,在验证方面,我们谈论安全注入时的故障注入,故障活动。但是在某些方面,故障活动的概念也适用于安全性。您正在寻找注入故障的方法,以从安全角度看您如何应对。我们都知道安全性来自多个地方 - 来自软件,来自硬件,而且我们也知道有可能查看芯片的热特征以试图弄清楚该芯片的性能。”
从实现的角度来看,功能安全性和安全性之间也存在相似之处。
“在功能安全方面,您可能有一个双核锁步冗余系统,您需要确保这些系统在物理上分开,并正确放置并标准化了标准单元,”斯图尔特·威廉姆斯(Stewart Williams)说,新思科技 “路由需要以某种方式进行管理,以使来自一个核心的路由不会与另一个核心重叠。可能还有其他要求。从安全角度来看,也可能存在这些要求。有放置注意事项,有布线注意事项。因此,以类似的方式,从实现角度看,为功能安全而开发的这些技术也可以在安全领域中应用。”
再次,芯片在实际汽车中的位置将决定哪些威胁是相关的以及常见的弱点,奥伯格说。“如果您查看 ADAS 系统,则行为异常的影响非常大。如果它位于另一个不太关键的系统中(例如控制 AC 的方式),那么问题对业务的影响就较小。它的重要性不如使用 ADAS 系统或控制制动器的 ECU,必须予以考虑。很难说,对于汽车中的每个芯片,这些都是威胁。可能有一部分是正确的,但总的来说,您必须注意:“如果我要销售 ADAS 系统,这就是我需要做的。如果我要向制动 ECU 销售,或者我在信息娱乐系统中,则过程仍然相同。但是相关的弱点和相关的威胁,将会根据前进的方向而变化。这就是它复杂的部分原因。周围有很多碎片。”
4、结论
要解决安全性,可靠性,设计和验证之间所有这些相互作用的巨大压力,汽车制造商必须打破其组织内的孤岛。根据所有人的说法,OEM 已经意识到他们必须召集团队来改善沟通和共同设计并验证硬件,软件和系统。这是经济有效地管理自动驾驶汽车开发复杂性的唯一方法。好消息是,这也为整个汽车生态系统带来了新的机遇,以借助咨询服务,工具和方法来支持所有这些工作。