
区域架构在车辆安全中发挥关键作用
汽车生态系统正在向区域架构转变,使车辆功能对底层硬件的依赖程度降低,并允许在何处处理何种内容方面具有更大的灵活性。
这种转变的影响既广泛又重大。对于汽车制造商来说,这可能会导致硬件整合,并提供更多的故障处理选项,以防车辆中的任何系统出现问题。过去的设计需要为每个车辆功能配备一个专用的电子控制单元 (ECU),并且除了冗余之外几乎没有其他选择,这既昂贵又增加了重量。但区域方法也会改变安全性的实施方式,以及这是否会使车辆安全性更高或更低,这可能需要数年时间才能得出结论性答案。
“过去,系统没有灵活性,对于每个功能,都有一个专门用于防抱死制动或车窗升降的硬件盒。它是专门的,没有灵活性。”
图1:运行中的功能性安全电子设备. 来源: Cadence
在区域架构中,中央计算单元被区域控制器包围,区域控制器也有很大计算能力。在中央计算上运行的某些功能被分配在一个特定的区域控制器上运行,以便在区域控制器上执行预处理。然后将预处理过的数据传递到中央计算单元以执行其他操作。
“这使我们能够灵活地运用一个非常强大的硬件架构来处理各种事情,并允许进一步整合巩固硬件。不仅是整合功能,还将硬件整合到更强大的盒子上,从而节省成本。节约成本始终是汽车行业不容忽视的一个关键因素。
通过为入门级汽车添加额外或移除一些区域控制器,可以实现在任一方向上额外的可扩展性,同时仍然可以灵活地将某些功能分配给硬件。
安全问题
本质上,区域架构意味着用网络基础设施替换各种松散耦合的特定于域的数据路径,该网络基础设施就像数据高速公路一样,每个区域都有接入点。这意味着现在可以轻松地将数据包路由到网络中的任何一点。
虽然这种通信提供了许多好处并有助于降低成本,但它增加了新的安全漏洞的可能性,但出于安全原因,并非网络的每个部分都应该能够与网络的另一部分自由通信。例如,与专用于自动驾驶的功能单元的通信必须受到额外安全机制的限制。
从安全角度来看,其目标是将所有内容都包裹在安全层中,而不是仅仅关注子系统,同时允许在如何抵御攻击方面具有一定的灵活性。
IP 级别、SoC(国有企业)级别、董事会级别的网络安全,是不同软件模块中不同级别的网络安全。汽车行业开始利用与 SAE、ISO 和 IEEE 等组织共同制定的标准,这表明汽车市场非常重视安全性。
这就像保险,没人知道,没人关心,没人能够知道它是否在那里。我将所有这些钱都投入其中,但没人把我的汽车当人质,也没人将勒索软件安装到我的电脑上,所以我一无所获。然而,对于这样的事情,当媒体报道有人能够侵入某些东西时,这将在一段时间内扼杀该行业将这些新技术推向市场的能力。人们确实有动机,即使仅仅是因为这个原因,而不是因为‘嘿,你会因为没有网络安全而被起诉。
这一点尤其重要,因为大量新技术被纳入新车。如果真的很容易侵入,比如说,把一辆自动驾驶卡车变成恐怖分子的工具,或者某个孩子只是为了好玩而用它做一些愚蠢的事情,那将引起媒体关注。这将阻止这些公司想要处理这项技术。
这并不意味着区域架构可以解决所有问题。但随着新漏洞的曝光,它确实提供了随着时间的推移改进安全性的选项。
如果你看看当今区域架构的开发方式,就会发现,大体上的想法是尽可能地重复将ECU 用于制动、转向等方面,中央计算完成了以前不必完成的所有额外计算。然后一切都传到该区域,该区域重新使用现有的硬件。这是一个中间步骤。这是一个实用的步骤,因为您可以获得 4 级和 5 级自主的智能,但您不必担心机电一体化方面和重新设计。
处理制动卡钳的逻辑没有理由不能在中央计算中完成,然后你就直接连接到执行器本身。所以有企业正在研究与汽车以太网连接的传感器和执行器。就他们今天的做法而言,中间步骤区域架构的漏洞与传统汽车中的漏洞完全相同,因此这并没有真正的好处。另一方面,一旦它们到达汽车以太网,一直到达执行器本身,那么入侵系统的唯一方法就是通过防火墙之类的东西,你把它放在中央计算系统中。最终,您将拥有一个比现在更安全的系统,即使它是区域性的,因为区域本身使用相同类型的接口。所有这些都是在硬件中完成的,而不是软件,因为你无法真正破解硬件,但你可以破解软件。所以这是一个混合包。
没有一致的安全方法,一部分原因是新威胁不断出现,另一部分原因是汽车架构一直在不断变化。
安全对每个公司来说意味着不同的东西,每个人都有自己的想法,如何实现一个与安全相伴的超级安全系统,因为没有安全就没有保障,反之亦然。如果您听安全专家的话,他们总是谈论攻击的表面。提供给外部的连接越多,攻击者对系统的选择就越多。如果有车对车通信或车对基础设施通信,或者如果有云访问,或者车内有以太网并且可以访问以太网线,这也可能产生潜入系统的路径。如果它是一个高度可配置、高度连接的系统,当然有更多的可能可以闯入该系统。
然而,汽车制造商一致同意需要将安全性作为架构的一部分,而不是试图将其置于现有设计之上。安全性不是一种您以后可以添加的东西。所以,即使我今天使用传统模型,或者我将来使用区域模型,我也必须建立这种安全性。因此,我确实获得了良好的网络安全实践和完善的基础设施的安全特性。
安全性不仅限于乘用车。卡车运输也受到了关注,在该领域,考虑因素有所不同。
当我们考虑消费车辆时,它们真的是独立的,我们拥有无线更新功能,可以获取汽车的信息更新并解决网络安全问题。重型卡车运输也将如此。将会有那些完全相同的功能和解决方案。不同的是,我们总是想到卡车,而不考虑拖车。为了达到必要的效率水平,拖车也将开始智能起来。他们将必须参与整体制动计划,无论是制冷装置还是常规装置,以及重量负载平衡和管理等高级功能。所有这些组件中都有电子设备,对一辆将与重型卡车相连的拖车进行篡改要容易得多,并可以物理访问重型卡车的内部网络。
确保重型卡车的坚固性仍然是 OEM 的责任,这一点不会改变。改变的是,现在谁负责整个车辆的整体网络安全态势,这仍有待辩论和讨论,这个问题还没有得到回答。
以区域方式查看传感器有很多优势,因为我们同时拥有成像和激光雷达,让这些类型的传感器更紧密地耦合在一起,并且在它们的区域中更加自主,尝试采取一些中央大脑的繁重工作。
从架构上来说,这有很多挑战,我们没有看到该领域发生太多变化,因为你真正要求的是所有将产品制造到该领域以改变其界面的公司,因此即使一个 OEM 说,“这就是我们想要设计汽车的方式’,您也必须让所有的一级供应商都加入进来。每个人都必须同意,他们将如何为这些产品开发接口,以便将它们组合在一起。我可以从微观层面看到它发生,但对于其中一个原始设备制造商来说,这需要一种自然的力量,‘这就是我们要做的事情’,因为这不是自然的。如果我们要使用区域架构,它可能会使用以太网,这意味着现在以太网上的所有东西都必须更改接口。这些巨大的挑战需要付出巨大的努力来改变。”
举个例子:“我们一直在谈论从 CAN 到以太网的问题,到现在五年了吧?没有太多动静,因为需要双方同意,”Priscak 说。 “事情正在发生变化,但在汽车领域,这是一个非常缓慢的变化。我们并没有让它变得更容易,因为每年我们都会添加越来越多的技术、越来越多的半导体,它变得越来越复杂。这使得达到标准变得更加困难。”
当优势超过进行更改的成本时,这些更改将得到更广泛的实施。 为了让自动驾驶汽车成为现实,我们必须减少实现这一目标所需的计算量。 区域架构必须在某个时候出现,以便减轻中央主机的一些深入思考,并在区域上拥有更多的自主权,以便能够检测物体和其他事物。这样相对于必须将所有原始数据发送到大脑,您只需向大脑发送警告,以便它根据所有数据流做出一个决定。目前一切都很好,因为我们还没有处于自主模式。所以我们能够独立看待事物,比如车道引导是它自己的事情,知识产权保护是它自己的事情。但是当你开始把这一切放在一起时,你就会在后备箱里放上一台巨大的克雷计算机。
通过设计确保一个复杂系统的安全是这里的关键。
如果您使用的是设计安全方法,则可以使用域控制器方法或区域架构方法。只要你没有一奇怪的个架构,这个构架包含刹车 ECU 的子网连接到互联网,并且你考虑到这些问题,那么你就有了安全架构。但是,区域架构要高效得多,通常从架构本身来看,但从生命周期成本的角度来看也是如此,因为如果您不需要召回,或者如果您正在使用预测性维护,因为有连接和监控,并且您了解车辆中发生的情况,您收集数据,您能够预测并在这些问题成为大规模问题之前解决这些问题,就这样。撇开我们知道卡车肯定会连接到基础设施这一事实,这是另一个领域。如果您正确地构建它,那么它不仅具有成本效益,它将不仅可以发挥作用,它也将得到保护。
图2:使用树拓扑的区域架构图。来源: GuardKnox
我不会说区域架构能带来更好的安全性,而是说它强制执行更高级别的安全概念。(糟糕的)设计方法“隐匿安全”在区域架构中不起作用。非常需要明确规划路由路径并确定应对这些路径应用哪些安全措施。以太网交换机在这方面发挥着关键作用,因此,它们需要变得智能。它们需要软硬件集成来实现必要的性能,同时灵活地整合不断增加的功能,包括安全性。好消息是这些安全概念不仅限于区域架构,还可以应用于不强制执行、但允许它们的旧汽车架构。”
总结
原始设备制造商和一级供应商必须有可靠的安全策略来保护车辆,这要求能够在现场对车辆进行更改,以确保它们在整个生命周期内都安全。
我们谈论自动驾驶汽车,但想象一下,如果有人可以黑进汽车并接管控制权, 这可能是所有 OEM 的恐怖场景。安全性和安全性一样,绝对是在架构开始时就需要解决的问题。如果你把它作为事后的想法,它就不起作用。现在我已经完成了我的芯片。让我们想想我如何保护它。这样思维肯定行不通。
文章转载自公众号:智能汽车开发者平台
