／ 導讀 ／

為汽車芯片的安全性建立一套全面的驗證方法是復雜而困難的。

汽車電控系統(tǒng)影響車輛的安全

汽車行業(yè)正在試圖簡化汽車電控單元、SOC和一些其他芯片，同時想讓他們變得更自動化而且更容易駕馭。但是在這個過程中，出現(xiàn)了很多意想不到的難題，功能權(quán)限相互交織，以至于進展緩慢。

現(xiàn)代汽車可能具有多達100個ECU，用于控制諸如發(fā)動機，動力總成，變速箱，制動器，懸架，娛樂系統(tǒng)，傳感器系統(tǒng)等車輛功能。

在ISO 26262中，這些電子系統(tǒng)需要依托汽車安全完整性等級（ASILs），以確定在車輛不同的ECU風險等級，從而評定系統(tǒng)的安全性和可靠性。ASIL的分類范圍從A到D（從最低到最苛刻），對每個ECU都有不同的限制和要求。

從實現(xiàn)的角度來看，要使ECU符合ASIL要求，就需要添加驗證硬件和安全機制，例如關(guān)鍵組件的冗余，糾錯碼，內(nèi)置自檢（BiST），系統(tǒng)看門狗或循環(huán)冗余校驗等。如今，驗證ECU是否符合ASIL要求是一項嚴格且耗時的過程。

Rambus Security 的技術(shù)產(chǎn)品經(jīng)理 Thierry Kouthon表示：“汽車網(wǎng)絡安全為驗證增加了另一組限制�！八�有關(guān)鍵安全系統(tǒng)都是致命的，因為對關(guān)鍵安全系統(tǒng)的成功網(wǎng)絡攻擊可能導致人身危險�！�

諸如SAE J3061和 ISO ／ SAE 21434之類的標準解決了汽車網(wǎng)絡安全問題，該問題在汽車領(lǐng)域涉及潛在威脅而不是已知危害�！斑@極大地增加了驗證工作的規(guī)模，復雜性和時間，這些工作必須在汽車生產(chǎn)日歷的約束范圍內(nèi)執(zhí)行，” Kouthon說。

其中大部分對汽車行業(yè)來說是全新的�！捌�車的數(shù)字化和連接性正在上升，這是由自動駕駛，車載連接性和共享出行等大趨勢推動的，”營銷高級總監(jiān)Sandeep Krishnegowda 說，比如英飛凌的內(nèi)存解決方案�！斑B接水平的提高伴隨著重大的網(wǎng)絡安全風險，因為需要保護對電子系統(tǒng)和數(shù)據(jù)的訪問，車輛安全和消費者隱私。安全性成為汽車系統(tǒng)中基本的要求，確保車載電子設備的信任和可靠性。世界各地的汽車制造商將需要獲得網(wǎng)絡安全批準，才能在相關(guān)當局進行汽車注冊。傳統(tǒng)上，汽車制造商和系統(tǒng)提供商已對安全性和可靠性要求進行了管理。但是，隨著所涉及的電子產(chǎn)品復雜性的提高，解決安全問題的責任現(xiàn)在正通過供應鏈傳播到半導體公司，其中包括存儲設備�！�

復雜的驗證方法

說起來容易做起來難。一方面，汽車應用中使用的設計和算法處于幾乎恒定的通量狀態(tài)，這就是為什么其中許多內(nèi)置了一定程度的可編程性的原因。

“汽車上的許多設計都是高度可配置的，甚至可以根據(jù)從傳感器獲取的數(shù)據(jù)即時進行配置，” ClioSoft 的營銷主管 Simon Rance說。數(shù)據(jù)從這些傳感器傳回處理器。從車輛到數(shù)據(jù)中心再返回到車輛的龐大數(shù)據(jù)量–所有這些都必須跟蹤。如果出現(xiàn)問題，他們必須對其進行跟蹤并找出根本原因。那是需要填補的地方�！�

此外，許多此類設備有望在十年或更長時間內(nèi)完美運行。

“唯一有效的方法就是采用連續(xù)驗證方法，” One Spin Solutions信任與安全產(chǎn)品經(jīng)理 John Hallman 說�！澳�需要在芯片級建立一個驗證套件，當設計變更時，您就可以適應更新。您還需要環(huán)境維護，以免更改安全漏洞，這可能是另一個汽車漏洞引起的故障的模型。但是在所有情況下，您都需要具有進行更改的能力�！�

Hallman說，其中一些可以離線，例如數(shù)字雙胞胎。但是，無論該模型位于何處，它都必須具有靈活性，并始終如一地檢查問題。

工程團隊應該如何考慮驗證安全性確實取決于項目的范圍。西門子業(yè)務部 Mentor汽車業(yè)務部門總經(jīng)理Michael Ziganek表示：“從最簡單的步驟開始，即IVI集群整合，這非常簡單，因為驗證和驗證的功能都是有限的�！� “但是在未來的自動駕駛系統(tǒng)中，這個思路比較困難，尤其是在第4級和第5級，目前尚未找到正確的方法。”

另一個考慮因素是，每個國家的法律體系都沒有為自動駕駛和半自動駕駛做準備。Zikganek說：“最終，OEM需要承擔責任，他們必須確保沒有人真正處于危險之中。” “如果汽車撞車，那是誰的錯？兩三年前，業(yè)界認為這已解決。但是，如果您觀看最近發(fā)生的事情，那么每個人都會拒絕說：“不是那么快。讓我們進入3級自動駕駛，重點關(guān)注高速公路輔助和停車輔助等功能。其他一切真的很難。” 當前ADAS的驗證系統(tǒng)非常簡單，采用了通常的驗證方法，其他所有情況都是例外。如果存在異常，則關(guān)閉系統(tǒng)。但是您無法通過4級和5級做到這一點�！�

最大的挑戰(zhàn)之一是改變汽車界的觀念。汽車公司需要像電子系統(tǒng)公司一樣，從系統(tǒng)層次以及芯片層次開始思考。