汽车电子元件的功能安全与网路安全越来越受到关注,伴随着标准化组织的出现,如何实现具备功能安全与网路安全的汽车电子动力系统,对于汽车设计工程师来说就更为重要。在现代电动车设计、开发与大量生产的过程中,功能安全、网路安全与高电压安全都扮演着非常重要的角色。
功能安全
现代车辆中常见软体估计量为1到2亿行程式码。此软体会在各种可程式编辑的电子控制单元上执行,可提供先进驾驶辅助系统功能及车内安全功能。此类系统范例包括盲点监控、自动紧急煞车与智慧主动车距控制巡航系统。具自动与电力功能的车辆必须具备功能安全才能安全运作。
网路安全
由于类型复杂程度与可用连线量逐渐增加,使车辆更容易受到数位攻击。过去认为可防止网路攻击的黄金标准已不再适用。由于执行控制器区域网路与Bluetooth等通讯协定,加上透过行动通讯全球系统与Wi-Fi网路进行车辆间通讯,汽车无法再以车辆间「气隙」及骇客可能使用的网路进行保护。可以想像骇客使车辆无法移动,必须在以比特币支付赎金后才进行解锁的情境。
高电压
此外,不管是车载充电器、高电压至高电压或高电压至低电压DC/DC转换器,还是电动车牵引转换器,电力动力传动在各方面都采用C2000即时MCU等可程式编辑的微控制器 (MCU)。随着电动车电池电压以达600至800 V,了解高电压安全系统并加以套用也变得同等重要。
汽车安全与网路安全标准
以下国际标准有触及安全与网路安全层面:
* 国际标准化组织(ISO)26262:2018列出道路车辆的功能安全要求。
* ISO 6469:2018 中指定电力推动道路车辆的高电压电力安全要求。
* 联合国欧洲经济委员会 WP29:2020 中详细说明了对全球汽车制造商的汽车网路安全要求。
此外,汽车 Tier 1(子系统制造商)应遵循:
* ISO DIS 21434:2020,目前仍为国际标准草案,并为国际汽车工程师协会(SAE)J3061的超级组合。 ISO DIS 21434:2020简要说明遵照ISO 26262功能安全相容V模型产品开发生命周期的网路安全管理架构与活动。
* SAE J3061:2016则是ISO/SAE DIS 21434依据的原始「网路实体车辆系统网路安全手册」。
电动车系统设计人员必须同时考虑这三个安全与网路安全方法面向。 ISO 26262 定义四个汽车安全完整性等级(ASIL),如表1所列。
表1:ISO 26262依每个ASIL等级对随机硬体诊断范围进行量化
ISO/SAE 21434 根据攻击向量与影响定义四个网路安全评估等级,如表 2 所示。
ASIL等级 |
单点故障指标 |
潜在故障指标 |
硬体随机失效机率指标 |
ASIL A |
不适用 |
不适用 |
不适用 |
ASIL B |
90% |
60% |
100 功能安全失效率 (FIT) |
ASIL C |
97% |
80% |
100 FIT |
ASIL D |
99% |
90% |
10 FIT |
表2:ISO/SAE 21434网路安全评估等级
SAE J3061 定义了四个网路安全评估等级(CSIL),并针对依ISO 26262判定ASIL等级的功能或与子系统相关的功能(如推进、煞车与转向),为负责这些功能的所有汽车系统建议网路安全程序应用。这些等级可分为CSIL A、CSIL B、CSIL C与CSIL D。
ISO 6469 说明依电路最大工作电压范围「U」而定之四个等级,如表3所列。
电压等级 |
最高 (最大) 工作电压 |
直流电压 (单位为V) |
AC电压 (单位为均方根值) |
A |
0 < U 60 |
0 < U 30 |
B |
60 < U 1,500 |
30 < U 1,000 |
B1 |
60 < U 75 |
30 < U 50 |
B2 |
75 < U 1,500 |
50 < U 1,000 |
表3:ISO 6469每个电压等级的允许最大电压等级
在设计、开发与大量生产电气/电子/可程式编辑电子系统时,ISO 21434和ISO 26262在建议执行方式上有显著的综合效果。
结论
随着混和动力汽车与电动车的汽车子系统复杂程度及动力系统电气化程度上升,功能安全与网路安全也变得越来重要。幸好,广为接受的规范国际标准有提到这些功能安全与网路安全层面。
TI可协助进行功能安全与网路安全评估,并为汽车设计实现功能与网路安全目标。举例来说,在以C2000即时MCU开发动力系统解决方案时,线上安全内容便是很好的起始点。
(本文作者Bharat Rajaram任职于德州仪器,Jurgen Belz为PROMETO功能安全与网路安全资深顾问)