加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
    • 一、芯片安全
    • 二、操作系统安全
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

智能网联汽车信息安全发展报告(2021)系列十三:智能网联汽车终端安全

2022/07/15
562
阅读需 12 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

自1946年2月,第一台电子计算机ENIAC在美国加州问世以来,短短数十年时间,计算机在人类社会里经历了电子管时代(1946年到1959年)、晶体管时代(1960年到1964年)、集成电路时代(1965年到1970年)、大规模集成电路时代(1971年至今)4个时代的更迭,技术也在不断创新。

进入二十世纪七十年代以来,伴随着计算机技术的迅猛发展,一大批先驱者为打破美国政府和军事工业集团对计算机技术的垄断,开始打造个人计算机(PC),使计算机的发展、人类的生活方式、通讯的有效手段都取得了跳跃式的进步。这些早期的计算机技术爱好者既推动了计算机技术的飞跃发展,也为计算机和信息安全埋下了一颗不小的定时炸弹。

经过长时间的探索、分析,可以把计算机终端安全大致分为两方面,分别是计算机终端的物理安全和计算机终端的系统安全。

计算机终端的物理安全主要就是计算机所在物理环境的安全与计算机自身硬件的安全。物理环境安全就如同一个人他的生存、生活、工作环境,当环境适宜时候心情、工作都会比较舒畅,环境恶劣的时候人也会生病。同理,计算机也有自己比较适宜的工作环境(备注:周边环境的湿度、温度、电压、雷击等),当环境的某个或多个因素超过计算机的极限承受能力时,计算机也会像人一样“生病”。对于计算机终端物理安全的第二点就是计算机各个元器件的自身安全,如硬件的自身损耗、人为破坏、被盗丢失等,这时候,我们就有主要计算机的使用过程中对于硬件的保护和维护工作。随着人类科技实力的不断提高,目前计算机各个零部件的寿命、强度都有了明显提高,但因为自身构造等特点,一些硬件使用不当极易遭到破坏,导致计算机无法正常使用,其中在汽车终端应用中,芯片安全就显得更为重要。

而计算机终端的系统安全是针对操作系统的相关技术。操作系统是计算机的基础系统软件,计算机通过操作系统使得各类模块与单元之间相互联系,为程序员提供编写程序的接口,帮助实现软件的运行,以便为用户提供各式各样的服务。现如今的操作系统,已经从过去简单循环体过渡到复杂的分布式操作系统。而随着用户人数的不断扩大,各类需求也接踵而至,操作系统已成为一种复杂且庞大的计算机软件。随着计算机网络与应用技术的不断发展,信息系统安全问题越来越引起人们的关注,信息系统一旦遭受破坏,用户及单位将受到重大的损失。对信息系统进行有效的保护,是必须面对和解决的迫切课题,而操作系统安全在计算机系统整体安全中至关重要,加强操作系统安全和优化服务是实现信息系统安全的关键环节。当前,对操作系统安全构成威胁的问题主要有系统漏洞、脆弱的登录认证方式、访问控制形同虚设、计算机病毒、特洛伊木马、隐蔽通道、系统后门恶意程序和代码感染等,加强操作系统安全工作是整个信息系统安全的基础。

一、芯片安全

汽车行业正在试图简化汽车电控单元、SOC和一些其他芯片,同时想让他们变得更自动化而且更容易驾驭。但是在这个过程中,出现了很多意想不到的难题,以至于进展缓慢。

现代汽车可能具有多达100个ECU,用于控制诸如发动机,动力总成,变速箱,制动器,悬架,娱乐系统,传感器系统等车辆功能。

汽车上的电子电气组件和软件规模呈指数级增长,汽车的失效已从传统的机械损坏演变成了电子电气的失效和软件BUG,同时电子电气的失效和软件BUG又可能会导致汽车控制发生致命性的错误,从而危及驾驶员和乘客的生命安全。为了解决这一问题,更严苛的汽车功能安全标准ISO 26262便应运而生了。

ISO 26262是汽车的电子电气相关的“功能安全”标准,该标准于2011年11月正式发布,2018年推出了第二版,追加了半导体指南,对产品所使用的半导体元器件的具体安全机制增加了新的规定。

ISO 26262是一套复杂的认证体系,主要有两方面,一是生产流程认证;二是产品功能认证,要求安全机制符合ASIL各等级认证,ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求更严格。

从实现的角度来看,要使ECU符合ASIL要求,就需要添加验证硬件和安全机制,例如关键组件的冗余,纠错码,内置自检(BiST),系统看门狗或循环冗余校验等。如今,验证ECU是否符合ASIL要求是一项严格且耗时的过程。

和其他规范标准不同的是,ISO 26262标准是预先计算出汽车电控方面的故障风险,并把降低该风险的机制作为功能的一部分预先植入系统中,从而实现“功能安全”的标准化开发工艺。ISO 26262标准的对象涵盖从车辆的构思到系统的处理/控制芯片嵌入式软件、元器件开发及相关的生产、维护、报废等整个车辆开发生命周期。例如,针对集成电路的质量可靠性标准AEC-Q100可以看作是ISO 26262的一个基础,ISO 26262 ASIL会将AEC-Q100作为硬件可靠性的一个质量指标,同时在AEC-Q100基础上进行额外的功能安全开发。

ISO 26262标准最初是由欧洲整车厂推动成立,目前美国、日本、韩国、中国都在陆续跟进这一标准。当前国际主流OEM如宝马、奔驰、通用、大众等,国内主流OEM如长城、上汽、吉利、比亚迪等都已对重要控制系统实施功能安全开发要求,并将供应商的功能安全开发能力和产品功能安全能力作为供应链准入的准则之一。

通俗地讲,虽然ISO 26262不是全球强制性标准,但它已获得汽车界的广泛认可,成为汽车供应链厂商的准入门票。没有通过ISO 26262认证的产品或厂商,OEM、Tier1将不得不将其拒之门外。

二、操作系统安全

操作系统(Operating System,OS)是基础性的计算机软件,用于联系计算机的硬件和软件,方便计算机调度内部资源,为程序员及计算机用户提供相应的服务。随着软件的持续发展,汽车领域开始用软件定义汽车,汽车OS就是通过将传统汽车电子基础软件整合得到。传统汽车电子产品有以下两类:(1)汽车电子控制装置。该装置将指令直接发送到汽车的执行机构,从而达到控制车辆的目的。这类装置统称为电子控制单元(Electronic Control Unit,简称ECU)。汽车里具体的电子控制单元还有很多种,它们的主要任务就是负责监测保障汽车的驾驶安全。(2)车载电子设备。这类设备通常包括仪表,音响,流媒体等等,常常是为了使驾驶员得到更好的驾驶体验。与车辆安全关系不大。

未来汽车操作系统将主要分为自动驾驶OS和智能座舱OS两大类。不同车企/Tier1根据自身的规划,对域的划分个数不尽相同,如博世分为5个域(动力域、底盘域、座舱域、自动驾驶域、车身域),大众MEB平台车型为3个域(自动驾驶域、智能座舱域、车身控制域),华为同样也为3个域(自动驾驶域、智能座舱域、整车控制域)。虽然有多个域,一般主要分为注重开放、兼容性、生态的智能座舱域操作系统和注重实时、安全、稳定的自动驾驶域操作系统两大类型。

随着计算机领域技术的发展,未来汽车也将拥有专属的操作系统。根据汽车的需求及实际情况,未来汽车OS主要会是两种,一种是注重开放性,兼容性以此来提高驾驶员驾驶体验的智能座舱OS,另一种则更关注汽车驾驶安全,保障汽车稳定驾驶的自动驾驶OS。

广义上讲,汽车的操作系统通常包括系统软件和功能软件。自下而上将汽车智能计算平台分为硬件平台、系统软件、功能软件和应用算法软件等四个部分。

1)硬件平台。该平台基于异构分布式架构,拥有可以灵活选择芯片、拓展配置,堆砌算力等特性。

2)系统软件。系统软件主要包含三层:硬件抽象层、操作系统内核和中间件,针对汽车场景定制的复杂大规模嵌入式系统运行环境。

3)功能软件。功能软件主要包含自动驾驶的核心共性功能模块,帮助搭建自动驾驶的整体模块,支撑相关技术。

4)应用算法软件。算法软件主要为完成实现人机交互,自动驾驶等功能。根据对汽车底层操作系统改造程度,将汽车OS分为以下三种:

1)基础型操作系统:打造全新底层操作系统和所有系统组件,如系统内核、底层驱动以及虚拟器等,如QNX、Linux、WinCE等。

2)定制型操作系统:在基础型操作系统之上进行深度定制化开发,如修改内核、硬件驱动、运行时环境、应用程序框架等。

3)ROM型汽车操作系统:基于Linux或Android等基础型操作系统进行有限的定制化开发,不涉及系统内核更改,一般只修改更新操作系统自带的应用程序等。
 

相关推荐

电子产业图谱

通用技术中国汽研政研中心,围绕汽车电动化、智能化、网联化和新服务,组织开展汽车政策法规、前沿技术、产业地图、企业战略、商业模式等跟踪、解读和研究工作。