6月27日���,在2023第三屆xEV全球驅(qū)動系統(tǒng)技術(shù)暨產(chǎn)業(yè)大會����,上海電驅(qū)動研究院副總工梅友忠提到:“Tier1的安全目標(biāo)和功能安全需求可以來自主機廠,也可以基于充分的市場需求分析后基于一些假設(shè)得出……怎么平衡安全性和可用性�����,在功能安全開發(fā)中是比較有挑戰(zhàn)的話題……”�����。
隨著新型E/E架構(gòu)的演變�����,功能安全要向網(wǎng)絡(luò)����、數(shù)據(jù)、隱私安全合規(guī)擴展��,最后面向服務(wù)的架構(gòu)SOA可能要基于用戶思維、軟件思維���、硬件思維從整車系統(tǒng)和部件角度��,開展從上到下的安全架構(gòu)設(shè)計�。
以下是演講實錄����。
梅友忠:大家下午好,感謝前面的嘉賓徐總講了很多功能安全和信息安全的信息��,讓我平滑地切入今天要分享的主題��。功能安全這個話題大家都知道��,幾年前就很火��,但是那個時候能落地的并不多���。今天我分享的話題有三個部分��,第一��,基于我司新平臺產(chǎn)品的功能安全實踐�����。第二����,簡單講一下去年開始比較火的ISO/SAE 21434和電驅(qū)動系統(tǒng)信息安全要落實的技術(shù)環(huán)節(jié)。第三����,淺談一下三個安全的趨勢和目標(biāo)�����。
先簡單回顧一下功能安全要做的事情���。右上角是功能安全的定義��,不存在E/E系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險��。我做了一個總結(jié)�����,功能安全的主題是風(fēng)險��,通過People團隊能力�����,Process體系流程和Product產(chǎn)品技術(shù)最終減少和避免系統(tǒng)性失效�,還有就是控制隨機硬件失效。首先是相關(guān)項定義���,Tire1在平臺開發(fā)時做一些假設(shè)�,也會有危害分析及風(fēng)險評估的環(huán)節(jié)���,得到假設(shè)的功能安全目標(biāo)和安全需求�����,然后在系統(tǒng)���、硬件、軟件層面做一些開發(fā)驗證活動���,最后是系統(tǒng)層級的安全確認(rèn)和整車層級的安全確認(rèn)����。電驅(qū)動系統(tǒng)的功能安全開發(fā)涉及了ISO26262,2018標(biāo)準(zhǔn)中幾乎所有部分的要求。
下面展示的是實實在在的電驅(qū)動產(chǎn)品功能安全開發(fā)步驟�����。我們要做一些HARA分析�,會有嚴(yán)重度、暴露度和可控性的打分�,然后得到我們假設(shè)的安全目標(biāo)的ASIL等級。這里展示了系統(tǒng)層級的安全目標(biāo)�,我們可以看到非預(yù)期扭矩過大是目前我們系統(tǒng)里面最高安全等級的目標(biāo)。在系統(tǒng)技術(shù)安全概念設(shè)計階段��,基于QM系統(tǒng)的架構(gòu)設(shè)計還會就一些功能模塊得到技術(shù)安全需求��,也會有一些安全機制狀態(tài)轉(zhuǎn)換的設(shè)計在里面�。
功能安全強調(diào)一致性和追溯性�,不管是安全需求、架構(gòu)元素或是功能模塊���。以扭矩控制功能的功能安全開發(fā)為例����,扭矩功能是放到功能核里面�,監(jiān)控放在監(jiān)控核里面��,還會部署OS和基礎(chǔ)服務(wù)軟件�。我們從SG���、FSR到TSR����,TSR分解到軟硬件需求����,TSR要對應(yīng)到系統(tǒng)架構(gòu)元素上,硬件安全需求是要對應(yīng)到硬件架構(gòu)的元素上��,軟件安全需求也是要對應(yīng)到軟件的架構(gòu)元素上�。
這里說一說FMEA,功能安全系統(tǒng)���、軟件和硬件層級的開發(fā)會用到這個方法�����,功能安全FMEA分析的對象是電氣系統(tǒng)����,而FMEA本身是適用于所有系統(tǒng)的,例如機械系統(tǒng)�����。功能安全FMEA分析是存在風(fēng)險的��,主要目的是識別產(chǎn)品所有故障以及故障能造成的風(fēng)險�,進而對所有的風(fēng)險制定相應(yīng)的措施來控制和降低風(fēng)險。
接著展示的是功能安全硬件架構(gòu)��,主控芯片��、SBC�、驅(qū)動和邏輯電路等,我們都是按照ASIL D的要求設(shè)計集成的����。硬件層面的開發(fā)�,會涉及硬件安全需求、硬件安全分析FMEA/FTA�,還有關(guān)聯(lián)失效分析,也會有一些硬件的安全機制設(shè)計�。關(guān)于FMEDA計算,這里展示了我司新平臺產(chǎn)品基于扭矩安全目標(biāo)的實際計算值�����,會有一些主觀性,但是整體結(jié)果已經(jīng)滿足指標(biāo)要求��。
再談?wù)勡浖δ馨踩_發(fā)的關(guān)注點����,例如軟件架構(gòu)基于AUTOSAR CP并滿足EGA3層架構(gòu)的要求;符合ASPICE2要求的V模型開發(fā);基于MBD開發(fā),配置生成代碼�����,減少手工代碼量�����;應(yīng)用軟件安全分析和關(guān)聯(lián)失效分析����;最后是應(yīng)用符合功能安全要求的軟件組件和軟件工具�。
功能安全里面為何會推薦使用AUTOSAR CP呢?首先強實時性是我們電控系統(tǒng)必須具備的前提��,AUTOSAR CP滿足這個要求����;而CP靜態(tài)資源分配的特點���,因為不允許你對任務(wù)資源進行動態(tài)創(chuàng)建和回收,某種程度上保障了安全��;還有空間分區(qū)��、時間保護�、錯誤處理機制,能夠很好地滿足功能安全要求���。
AUTOSAR CP里面有四大功能安全機制�,內(nèi)存分區(qū)����、時間監(jiān)控,邏輯監(jiān)控和E2E保護����。時間監(jiān)控要保證軟件的運行正確時序和正確的時間分配����;邏輯監(jiān)督要保證軟件運行實體是不是按照正常的邏輯順序執(zhí)行的��;E2E保護����,例如常見的CAN通訊對于信息數(shù)據(jù)有安全完整性的要求��,要應(yīng)用端到端的保護����。
再說一說芯片層級的功能安全,我們常說的功能安全庫�����,level3層級的硬件安全機制是需要有軟件機制配合實現(xiàn)的�����。這里假設(shè)有一個芯片層級的硬件機制��,可以看到需要兩個軟件機制去配置使能并通過相關(guān)寄存器去檢測它的狀態(tài)�,最后還要做一些故障處理的單元設(shè)計,這也是軟件安全設(shè)計的一部分�。如果這個故障狀態(tài)還要反饋給應(yīng)用層,還需要有應(yīng)用接口的設(shè)計����。曾經(jīng)我要思考軟件本身怎么達到ASIL D要求呢?隨著項目的開發(fā)和最終落地���,我個人有了一些結(jié)論:簡單來說就是標(biāo)準(zhǔn)要求你做的你一定要做���,要用先進的軟件質(zhì)量方法,比如要ASPICE的方法嚴(yán)格執(zhí)行�,還有應(yīng)用一些新的軟件開發(fā)技術(shù)?���?傊袊?yán)格的過程,按照標(biāo)準(zhǔn)要求的開發(fā)和驗證方法去執(zhí)行���。
再說一說功能安全測試���,我們以前可能不會把測試單獨拎出來講,然而實際功能安全開發(fā)過程中��,尤其是高ASIL等級要求的系統(tǒng)���,故障注入測試會做得比較細(xì)致����,例如存儲器�、寄存器、時鐘和安全驅(qū)動對應(yīng)的安全機制的測試���;還有AUTOSAR軟件運行周期的監(jiān)控和截止時間��,需要測試軟件實體是不是被正確執(zhí)行��。后面隨著新的E/E架構(gòu)的發(fā)展��,安全測試也會面臨很大挑戰(zhàn)����。如何確保實現(xiàn)所有需求�����?如何提升案例復(fù)用率�����?如何提升迭代效率?如何提升自動化流程��?如何可持續(xù)地集成開發(fā)和驗證�����?這一系列問題都是需要應(yīng)用更先進的測試驗證技術(shù)去解決的���。關(guān)于功能安全產(chǎn)品的開發(fā)還有一個值得深思的問題:功能安全如果做得過度安全容易誤報故障�,會影響可用性�。這個問題可能大多數(shù)還是因為有一些點驗證不到位,需要更多的試驗數(shù)據(jù)去校正這些點��。怎么平衡功能安全和可用性是功能安全開發(fā)當(dāng)中是比較有挑戰(zhàn)的話題����。
這里大致總結(jié)了一下功能安全產(chǎn)品開發(fā)相對于傳統(tǒng)的QM產(chǎn)品開發(fā)有哪些不一樣的地方,藍底色的是新要求的��,黃底色的是需要強化的���。
綜上所述����,從體系、相關(guān)項�����、概念���、系統(tǒng)、硬件����、軟件、驗證和確認(rèn)環(huán)節(jié)對功能安全開發(fā)的整個過程作了提煉��。
下面簡單談一下功能安全和信息安全的融合����,熟悉ISO26262標(biāo)準(zhǔn)的都知道所示的Overview目錄和功能安全標(biāo)準(zhǔn)的目錄差不多,也包括了公司層級的安全管理�、項目層級的安全管理,也有概念設(shè)計階段�����、產(chǎn)品設(shè)計開發(fā)和驗證階段的要求��,整體來看也是根據(jù)V模型的思路來的。現(xiàn)有的ISO/SAE 21434標(biāo)準(zhǔn)并不厚�����,里面缺少了一些技術(shù)實踐的指導(dǎo)��,主要還是針對體系流程而言的���。
接下來就簡單說一說TARA分析��,功能安全是通過HARA得到安全目標(biāo)等級�,信息安全是通過TARA分析得到信息安全等級和CAL等級�����。風(fēng)險評級和風(fēng)險處置決策這個步驟完了之后基本的信息安全的目標(biāo)和需求也就可以得到了�����??梢赃x擇是把識別出來的風(fēng)險避免或減少,或是由多個系統(tǒng)分擔(dān)這個風(fēng)險���,再或者是轉(zhuǎn)移這個風(fēng)險�,當(dāng)然也有可以被接受的風(fēng)險。CAL等級是信息安全保證等級��,這個值越高�����,后續(xù)的開發(fā)過程包括測評環(huán)節(jié)就越需要重點關(guān)注��。那么TRAR是如何和功能安全聯(lián)系在一起的��,實際上不同的ASIL等級�����,綜合攻擊可行性���,也是得到信息安全等級的一種方法。至于CAL等級的評價����,則參考右側(cè)的這個評分矩陣。
再回到我們的電機控制系統(tǒng)�����,信息安全目標(biāo)和需求有了,下一步就該考慮硬件層面和軟件層面怎么落地的問題了����。對于我們這個系統(tǒng)來說,硬件層面的實現(xiàn)措施:不使用外置存儲器�、應(yīng)用安全模塊HSM、預(yù)留足夠存儲空間(內(nèi)存空間要變大����,因為要預(yù)留足夠的空間做一些信息安全相關(guān)的事情)、安全的芯片封裝(例如BGA封裝)�����、隱匿芯片標(biāo)識信息�、關(guān)鍵引腳分散布局、調(diào)試口去除并隱藏和設(shè)置安全身份認(rèn)證��;軟件層面的實現(xiàn)措施:SecOC�����、安全啟動和安全刷寫等���。信息安全里面安全措施例如SecOC機制對功能安全是有增益作用的����,功能安全強調(diào)的E2E機制可以保證信息的完整性,SecOC則可以進一步保證CAN信息的授權(quán)合法性����。信息安全的開發(fā)會涉及AUTOSAR的升級,需要集成AUTOSAR加密協(xié)議棧��,它集成了一些安全機制和加密服務(wù)��。還會涉及HSM核和主核的交互�����,從而需要部分調(diào)整一些軟件安全架構(gòu)的設(shè)計��,例如啟動流程的適配����,時鐘���、內(nèi)存分配等等�����。
這里簡單總結(jié)一下信息安全標(biāo)準(zhǔn)�,21434只規(guī)定了E/E系統(tǒng)概念、開發(fā)�����、生產(chǎn)���、運行��、維護和報廢各階段的管理要求���,而對于工程技術(shù)實現(xiàn)并給出細(xì)節(jié)的要求。這里補充一點:信息安全的測評要比功能安全的要求更高�����。
接著簡單地講講新型E/E架構(gòu)下的功能安全技術(shù)的發(fā)展��。大家可以看到傳統(tǒng)架構(gòu)是基于不同功能分布的��,慢慢地會把一些功能集成到一起���,也叫功能融合�����。功能充分融合后慢慢分成幾個功能域��,稱之為域控制器��。接著還會有域的融合���,最后還有中央集成式和面向服務(wù)的架構(gòu)�。隨著新型E/E架構(gòu)的調(diào)整�,功能安全架構(gòu)也要跟著調(diào)整,主要的是軟件架構(gòu)����、硬件架構(gòu)和通信架構(gòu)����。模塊化、標(biāo)準(zhǔn)化�����、開放化在現(xiàn)在來看其實它已經(jīng)不是什么新鮮的詞了,功能安全開發(fā)要向網(wǎng)絡(luò)���、數(shù)據(jù)����、隱私安全合規(guī)擴展���,最后面向服務(wù)的架構(gòu)可能要基于用戶的思維����、軟件的思維��、硬件的思維從整車系統(tǒng)和部件的角度�����,開展從上到下的新的安全架構(gòu)設(shè)計�����??偠灾軜?gòu)服務(wù)化帶來的信息安全和功能安全的挑戰(zhàn)�,應(yīng)該會從結(jié)果安全向管理體系�、架構(gòu)設(shè)計��、開發(fā)��、集成�����、測試和生產(chǎn)制造全過程安全可控擴展�����。
簡單總結(jié)了一下功能安全最后的發(fā)展趨勢和目標(biāo)�,第一步建立了體系也有相關(guān)的產(chǎn)品;第二步就是全面落地量產(chǎn)�����;第三步就是建設(shè)智能安全平臺���,包括自動化管理平臺�、自動化開發(fā)驗證平臺和自動化安全集成����;第四步就是生態(tài)安全,我們還要考慮敏捷開發(fā)和敏捷驗證��。關(guān)于功能安全這里有三個問題是值得我們進一步思考的��,我們知道功能安全總的來說是要增加成本的�����,滿足低成本目標(biāo)的高功能安全產(chǎn)品技術(shù)怎么實現(xiàn)�?滿足高可用性目標(biāo)的功能安全產(chǎn)品技術(shù)如何落地?現(xiàn)在還要推國產(chǎn)化���,滿足高國產(chǎn)化功能安全產(chǎn)品技術(shù)怎么實施�?
這里總結(jié)預(yù)期功能安全的發(fā)展趨勢和目標(biāo)�����。第一步SOTIF開發(fā)和驗證體系建設(shè)��。第二步全場景SOIFT體系落地���。第三步高度安全的自動駕駛���。最后是信息安全的發(fā)展趨勢與目標(biāo)����,先有開發(fā)體系的建設(shè)���,然后開展規(guī)模應(yīng)用�����,最后有全面的信息安全產(chǎn)業(yè)生態(tài)并可持續(xù)發(fā)展����。
分享的最后放兩頁廣告����,這是我們拿到的ASILD的實踐級管理體系證書和ASILD電驅(qū)動平臺產(chǎn)品認(rèn)證證書。我們有專業(yè)的功能安全團隊和豐富的功能安全項目量產(chǎn)經(jīng)驗���。產(chǎn)品譜系中展示的第三代功率平臺產(chǎn)品已經(jīng)融入了上述所講的功能安全技術(shù)和信息安全技術(shù)�,目前新平臺產(chǎn)品已經(jīng)有幾家國內(nèi)客戶的定點����。謝謝大家!
來源:第一電動網(wǎng)
作者:NE時代
本文地址:http://www.idc61.net/kol/206059
返回第一電動網(wǎng)首頁 >
文中圖片源自互聯(lián)網(wǎng)����,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除。
京公網(wǎng)安備
11010502033163號
