6月27日，在2023第三屆xEV全球驅(qū)動(dòng)系統(tǒng)技術(shù)暨產(chǎn)業(yè)大會(huì)，上海電驅(qū)動(dòng)研究院副總工梅友忠提到：“Tier1的安全目標(biāo)和功能安全需求可以來自主機(jī)廠，也可以基于充分的市場需求分析后基于一些假設(shè)得出……怎么平衡安全性和可用性，在功能安全開發(fā)中是比較有挑戰(zhàn)的話題……”。

隨著新型E/E架構(gòu)的演變，功能安全要向網(wǎng)絡(luò)、數(shù)據(jù)、隱私安全合規(guī)擴(kuò)展，最后面向服務(wù)的架構(gòu)SOA可能要基于用戶思維、軟件思維、硬件思維從整車系統(tǒng)和部件角度，開展從上到下的安全架構(gòu)設(shè)計(jì)。

以下是演講實(shí)錄。

梅友忠：大家下午好，感謝前面的嘉賓徐總講了很多功能安全和信息安全的信息，讓我平滑地切入今天要分享的主題。功能安全這個(gè)話題大家都知道，幾年前就很火，但是那個(gè)時(shí)候能落地的并不多。今天我分享的話題有三個(gè)部分，第一，基于我司新平臺(tái)產(chǎn)品的功能安全實(shí)踐。第二，簡單講一下去年開始比較火的ISO/SAE 21434和電驅(qū)動(dòng)系統(tǒng)信息安全要落實(shí)的技術(shù)環(huán)節(jié)。第三，淺談一下三個(gè)安全的趨勢(shì)和目標(biāo)。

先簡單回顧一下功能安全要做的事情。右上角是功能安全的定義，不存在E/E系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。我做了一個(gè)總結(jié)，功能安全的主題是風(fēng)險(xiǎn)，通過People團(tuán)隊(duì)能力，Process體系流程和Product產(chǎn)品技術(shù)最終減少和避免系統(tǒng)性失效，還有就是控制隨機(jī)硬件失效。首先是相關(guān)項(xiàng)定義，Tire1在平臺(tái)開發(fā)時(shí)做一些假設(shè)，也會(huì)有危害分析及風(fēng)險(xiǎn)評(píng)估的環(huán)節(jié)，得到假設(shè)的功能安全目標(biāo)和安全需求，然后在系統(tǒng)、硬件、軟件層面做一些開發(fā)驗(yàn)證活動(dòng)，最后是系統(tǒng)層級(jí)的安全確認(rèn)和整車層級(jí)的安全確認(rèn)。電驅(qū)動(dòng)系統(tǒng)的功能安全開發(fā)涉及了ISO26262,2018標(biāo)準(zhǔn)中幾乎所有部分的要求。

下面展示的是實(shí)實(shí)在在的電驅(qū)動(dòng)產(chǎn)品功能安全開發(fā)步驟。我們要做一些HARA分析，會(huì)有嚴(yán)重度、暴露度和可控性的打分，然后得到我們假設(shè)的安全目標(biāo)的ASIL等級(jí)。這里展示了系統(tǒng)層級(jí)的安全目標(biāo)，我們可以看到非預(yù)期扭矩過大是目前我們系統(tǒng)里面最高安全等級(jí)的目標(biāo)。在系統(tǒng)技術(shù)安全概念設(shè)計(jì)階段，基于QM系統(tǒng)的架構(gòu)設(shè)計(jì)還會(huì)就一些功能模塊得到技術(shù)安全需求，也會(huì)有一些安全機(jī)制狀態(tài)轉(zhuǎn)換的設(shè)計(jì)在里面。

功能安全強(qiáng)調(diào)一致性和追溯性，不管是安全需求、架構(gòu)元素或是功能模塊。以扭矩控制功能的功能安全開發(fā)為例，扭矩功能是放到功能核里面，監(jiān)控放在監(jiān)控核里面，還會(huì)部署OS和基礎(chǔ)服務(wù)軟件。我們從SG、FSR到TSR，TSR分解到軟硬件需求，TSR要對(duì)應(yīng)到系統(tǒng)架構(gòu)元素上，硬件安全需求是要對(duì)應(yīng)到硬件架構(gòu)的元素上，軟件安全需求也是要對(duì)應(yīng)到軟件的架構(gòu)元素上。

這里說一說FMEA，功能安全系統(tǒng)、軟件和硬件層級(jí)的開發(fā)會(huì)用到這個(gè)方法，功能安全FMEA分析的對(duì)象是電氣系統(tǒng)，而FMEA本身是適用于所有系統(tǒng)的，例如機(jī)械系統(tǒng)。功能安全FMEA分析是存在風(fēng)險(xiǎn)的，主要目的是識(shí)別產(chǎn)品所有故障以及故障能造成的風(fēng)險(xiǎn)，進(jìn)而對(duì)所有的風(fēng)險(xiǎn)制定相應(yīng)的措施來控制和降低風(fēng)險(xiǎn)。

接著展示的是功能安全硬件架構(gòu)，主控芯片、SBC、驅(qū)動(dòng)和邏輯電路等，我們都是按照ASIL D的要求設(shè)計(jì)集成的。硬件層面的開發(fā)，會(huì)涉及硬件安全需求、硬件安全分析FMEA/FTA，還有關(guān)聯(lián)失效分析，也會(huì)有一些硬件的安全機(jī)制設(shè)計(jì)。關(guān)于FMEDA計(jì)算，這里展示了我司新平臺(tái)產(chǎn)品基于扭矩安全目標(biāo)的實(shí)際計(jì)算值，會(huì)有一些主觀性，但是整體結(jié)果已經(jīng)滿足指標(biāo)要求。

再談?wù)勡浖δ馨踩_發(fā)的關(guān)注點(diǎn)，例如軟件架構(gòu)基于AUTOSAR CP并滿足EGA3層架構(gòu)的要求；符合ASPICE2要求的V模型開發(fā)；基于MBD開發(fā)，配置生成代碼，減少手工代碼量；應(yīng)用軟件安全分析和關(guān)聯(lián)失效分析；最后是應(yīng)用符合功能安全要求的軟件組件和軟件工具。

功能安全里面為何會(huì)推薦使用AUTOSAR CP呢？首先強(qiáng)實(shí)時(shí)性是我們電控系統(tǒng)必須具備的前提，AUTOSAR CP滿足這個(gè)要求；而CP靜態(tài)資源分配的特點(diǎn)，因?yàn)椴辉试S你對(duì)任務(wù)資源進(jìn)行動(dòng)態(tài)創(chuàng)建和回收，某種程度上保障了安全；還有空間分區(qū)、時(shí)間保護(hù)、錯(cuò)誤處理機(jī)制，能夠很好地滿足功能安全要求。

AUTOSAR CP里面有四大功能安全機(jī)制，內(nèi)存分區(qū)、時(shí)間監(jiān)控，邏輯監(jiān)控和E2E保護(hù)。時(shí)間監(jiān)控要保證軟件的運(yùn)行正確時(shí)序和正確的時(shí)間分配；邏輯監(jiān)督要保證軟件運(yùn)行實(shí)體是不是按照正常的邏輯順序執(zhí)行的；E2E保護(hù)，例如常見的CAN通訊對(duì)于信息數(shù)據(jù)有安全完整性的要求，要應(yīng)用端到端的保護(hù)。

再說一說芯片層級(jí)的功能安全，我們常說的功能安全庫，level3層級(jí)的硬件安全機(jī)制是需要有軟件機(jī)制配合實(shí)現(xiàn)的。這里假設(shè)有一個(gè)芯片層級(jí)的硬件機(jī)制，可以看到需要兩個(gè)軟件機(jī)制去配置使能并通過相關(guān)寄存器去檢測(cè)它的狀態(tài)，最后還要做一些故障處理的單元設(shè)計(jì)，這也是軟件安全設(shè)計(jì)的一部分。如果這個(gè)故障狀態(tài)還要反饋給應(yīng)用層，還需要有應(yīng)用接口的設(shè)計(jì)。曾經(jīng)我要思考軟件本身怎么達(dá)到ASIL D要求呢？隨著項(xiàng)目的開發(fā)和最終落地，我個(gè)人有了一些結(jié)論：簡單來說就是標(biāo)準(zhǔn)要求你做的你一定要做，要用先進(jìn)的軟件質(zhì)量方法，比如要ASPICE的方法嚴(yán)格執(zhí)行，還有應(yīng)用一些新的軟件開發(fā)技術(shù)。總之要有嚴(yán)格的過程，按照標(biāo)準(zhǔn)要求的開發(fā)和驗(yàn)證方法去執(zhí)行。

再說一說功能安全測(cè)試，我們以前可能不會(huì)把測(cè)試單獨(dú)拎出來講，然而實(shí)際功能安全開發(fā)過程中，尤其是高ASIL等級(jí)要求的系統(tǒng)，故障注入測(cè)試會(huì)做得比較細(xì)致，例如存儲(chǔ)器、寄存器、時(shí)鐘和安全驅(qū)動(dòng)對(duì)應(yīng)的安全機(jī)制的測(cè)試；還有AUTOSAR軟件運(yùn)行周期的監(jiān)控和截止時(shí)間，需要測(cè)試軟件實(shí)體是不是被正確執(zhí)行。后面隨著新的E/E架構(gòu)的發(fā)展，安全測(cè)試也會(huì)面臨很大挑戰(zhàn)。如何確保實(shí)現(xiàn)所有需求？如何提升案例復(fù)用率？如何提升迭代效率？如何提升自動(dòng)化流程？如何可持續(xù)地集成開發(fā)和驗(yàn)證？這一系列問題都是需要應(yīng)用更先進(jìn)的測(cè)試驗(yàn)證技術(shù)去解決的。關(guān)于功能安全產(chǎn)品的開發(fā)還有一個(gè)值得深思的問題：功能安全如果做得過度安全容易誤報(bào)故障，會(huì)影響可用性。這個(gè)問題可能大多數(shù)還是因?yàn)橛幸恍c(diǎn)驗(yàn)證不到位，需要更多的試驗(yàn)數(shù)據(jù)去校正這些點(diǎn)。怎么平衡功能安全和可用性是功能安全開發(fā)當(dāng)中是比較有挑戰(zhàn)的話題。

這里大致總結(jié)了一下功能安全產(chǎn)品開發(fā)相對(duì)于傳統(tǒng)的QM產(chǎn)品開發(fā)有哪些不一樣的地方，藍(lán)底色的是新要求的，黃底色的是需要強(qiáng)化的。

綜上所述，從體系、相關(guān)項(xiàng)、概念、系統(tǒng)、硬件、軟件、驗(yàn)證和確認(rèn)環(huán)節(jié)對(duì)功能安全開發(fā)的整個(gè)過程作了提煉。

下面簡單談一下功能安全和信息安全的融合，熟悉ISO26262標(biāo)準(zhǔn)的都知道所示的Overview目錄和功能安全標(biāo)準(zhǔn)的目錄差不多，也包括了公司層級(jí)的安全管理、項(xiàng)目層級(jí)的安全管理，也有概念設(shè)計(jì)階段、產(chǎn)品設(shè)計(jì)開發(fā)和驗(yàn)證階段的要求，整體來看也是根據(jù)V模型的思路來的?，F(xiàn)有的ISO/SAE 21434標(biāo)準(zhǔn)并不厚，里面缺少了一些技術(shù)實(shí)踐的指導(dǎo)，主要還是針對(duì)體系流程而言的。

接下來就簡單說一說TARA分析，功能安全是通過HARA得到安全目標(biāo)等級(jí)，信息安全是通過TARA分析得到信息安全等級(jí)和CAL等級(jí)。風(fēng)險(xiǎn)評(píng)級(jí)和風(fēng)險(xiǎn)處置決策這個(gè)步驟完了之后基本的信息安全的目標(biāo)和需求也就可以得到了。可以選擇是把識(shí)別出來的風(fēng)險(xiǎn)避免或減少，或是由多個(gè)系統(tǒng)分擔(dān)這個(gè)風(fēng)險(xiǎn)，再或者是轉(zhuǎn)移這個(gè)風(fēng)險(xiǎn)，當(dāng)然也有可以被接受的風(fēng)險(xiǎn)。CAL等級(jí)是信息安全保證等級(jí)，這個(gè)值越高，后續(xù)的開發(fā)過程包括測(cè)評(píng)環(huán)節(jié)就越需要重點(diǎn)關(guān)注。那么TRAR是如何和功能安全聯(lián)系在一起的，實(shí)際上不同的ASIL等級(jí)，綜合攻擊可行性，也是得到信息安全等級(jí)的一種方法。至于CAL等級(jí)的評(píng)價(jià)，則參考右側(cè)的這個(gè)評(píng)分矩陣。

再回到我們的電機(jī)控制系統(tǒng)，信息安全目標(biāo)和需求有了，下一步就該考慮硬件層面和軟件層面怎么落地的問題了。對(duì)于我們這個(gè)系統(tǒng)來說，硬件層面的實(shí)現(xiàn)措施：不使用外置存儲(chǔ)器、應(yīng)用安全模塊HSM、預(yù)留足夠存儲(chǔ)空間（內(nèi)存空間要變大，因?yàn)橐A(yù)留足夠的空間做一些信息安全相關(guān)的事情）、安全的芯片封裝（例如BGA封裝）、隱匿芯片標(biāo)識(shí)信息、關(guān)鍵引腳分散布局、調(diào)試口去除并隱藏和設(shè)置安全身份認(rèn)證；軟件層面的實(shí)現(xiàn)措施：SecOC、安全啟動(dòng)和安全刷寫等。信息安全里面安全措施例如SecOC機(jī)制對(duì)功能安全是有增益作用的，功能安全強(qiáng)調(diào)的E2E機(jī)制可以保證信息的完整性，SecOC則可以進(jìn)一步保證CAN信息的授權(quán)合法性。信息安全的開發(fā)會(huì)涉及AUTOSAR的升級(jí)，需要集成AUTOSAR加密協(xié)議棧，它集成了一些安全機(jī)制和加密服務(wù)。還會(huì)涉及HSM核和主核的交互，從而需要部分調(diào)整一些軟件安全架構(gòu)的設(shè)計(jì)，例如啟動(dòng)流程的適配，時(shí)鐘、內(nèi)存分配等等。

這里簡單總結(jié)一下信息安全標(biāo)準(zhǔn)，21434只規(guī)定了E/E系統(tǒng)概念、開發(fā)、生產(chǎn)、運(yùn)行、維護(hù)和報(bào)廢各階段的管理要求，而對(duì)于工程技術(shù)實(shí)現(xiàn)并給出細(xì)節(jié)的要求。這里補(bǔ)充一點(diǎn)：信息安全的測(cè)評(píng)要比功能安全的要求更高。

接著簡單地講講新型E/E架構(gòu)下的功能安全技術(shù)的發(fā)展。大家可以看到傳統(tǒng)架構(gòu)是基于不同功能分布的，慢慢地會(huì)把一些功能集成到一起，也叫功能融合。功能充分融合后慢慢分成幾個(gè)功能域，稱之為域控制器。接著還會(huì)有域的融合，最后還有中央集成式和面向服務(wù)的架構(gòu)。隨著新型E/E架構(gòu)的調(diào)整，功能安全架構(gòu)也要跟著調(diào)整，主要的是軟件架構(gòu)、硬件架構(gòu)和通信架構(gòu)。模塊化、標(biāo)準(zhǔn)化、開放化在現(xiàn)在來看其實(shí)它已經(jīng)不是什么新鮮的詞了，功能安全開發(fā)要向網(wǎng)絡(luò)、數(shù)據(jù)、隱私安全合規(guī)擴(kuò)展，最后面向服務(wù)的架構(gòu)可能要基于用戶的思維、軟件的思維、硬件的思維從整車系統(tǒng)和部件的角度，開展從上到下的新的安全架構(gòu)設(shè)計(jì)?？偠灾?，架構(gòu)服務(wù)化帶來的信息安全和功能安全的挑戰(zhàn)，應(yīng)該會(huì)從結(jié)果安全向管理體系、架構(gòu)設(shè)計(jì)、開發(fā)、集成、測(cè)試和生產(chǎn)制造全過程安全可控?cái)U(kuò)展。

簡單總結(jié)了一下功能安全最后的發(fā)展趨勢(shì)和目標(biāo)，第一步建立了體系也有相關(guān)的產(chǎn)品；第二步就是全面落地量產(chǎn)；第三步就是建設(shè)智能安全平臺(tái)，包括自動(dòng)化管理平臺(tái)、自動(dòng)化開發(fā)驗(yàn)證平臺(tái)和自動(dòng)化安全集成；第四步就是生態(tài)安全，我們還要考慮敏捷開發(fā)和敏捷驗(yàn)證。關(guān)于功能安全這里有三個(gè)問題是值得我們進(jìn)一步思考的，我們知道功能安全總的來說是要增加成本的，滿足低成本目標(biāo)的高功能安全產(chǎn)品技術(shù)怎么實(shí)現(xiàn)？滿足高可用性目標(biāo)的功能安全產(chǎn)品技術(shù)如何落地？現(xiàn)在還要推國產(chǎn)化，滿足高國產(chǎn)化功能安全產(chǎn)品技術(shù)怎么實(shí)施？

這里總結(jié)預(yù)期功能安全的發(fā)展趨勢(shì)和目標(biāo)。第一步SOTIF開發(fā)和驗(yàn)證體系建設(shè)。第二步全場景SOIFT體系落地。第三步高度安全的自動(dòng)駕駛。最后是信息安全的發(fā)展趨勢(shì)與目標(biāo)，先有開發(fā)體系的建設(shè)，然后開展規(guī)模應(yīng)用，最后有全面的信息安全產(chǎn)業(yè)生態(tài)并可持續(xù)發(fā)展。

分享的最后放兩頁廣告，這是我們拿到的ASILD的實(shí)踐級(jí)管理體系證書和ASILD電驅(qū)動(dòng)平臺(tái)產(chǎn)品認(rèn)證證書。我們有專業(yè)的功能安全團(tuán)隊(duì)和豐富的功能安全項(xiàng)目量產(chǎn)經(jīng)驗(yàn)。產(chǎn)品譜系中展示的第三代功率平臺(tái)產(chǎn)品已經(jīng)融入了上述所講的功能安全技術(shù)和信息安全技術(shù)，目前新平臺(tái)產(chǎn)品已經(jīng)有幾家國內(nèi)客戶的定點(diǎn)。謝謝大家！

返回第一電動(dòng)網(wǎng)首頁 >