点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
汽车工程师都熟悉ISO 26262标准,因为它定义了在电子系统中开发功能安全的流程,其中由于所有电子元件都正确可靠地运行,因此可以保护人身安全。汽车电子现在已经发展到涵盖数十种应用。ISO 26262来自1998年首次发布的父标准IEC 61508。功能安全定义为“由于电气/电子系统的故障行为引起的危险而不存在不合理的风险。
系统故障将是硬件中的设计错误,导致系统中出现意外情况,而随机硬件故障将是芯片中的硅缺陷,导致卡住位甚至阿尔法粒子导致存储位翻转。SoC 设计人员的目标是使其设计能够抵御故障,确保安全性。汽车安全完整性等级 (ASIL) 定义了针对系统和随机故障的最高保护级别,称为 ASIL-D,它要求针对单点故障的覆盖率为 >99%,对潜在故障的覆盖率为 >90%。对于控制制动和安全气囊的汽车电子设备,您需要符合 ASIL-D 级标准。为了达到安全目标,需要阻止、避免、设计或减轻任何故障。在基于处理器的 SOC 中发现的四种常用硬件安全机制包括:●ECC内存保护
●看门狗定时器
●软件自检
●双核锁步
纠错码 (ECC) 可用于存储器接口,例如:指令本地 SRAM 或高速缓存、数据本地 SRAM 或高速缓存以及高速缓存标签存储。在系统级别,您可以监控 ECC 错误信息。对 32 位字计算 7 位 ECC 综合症,自动纠正单比特存储器数据错误,而对于多位错误,则发出异常信号。 为了确保软件的正常执行,WWDT 充当系统监控器,在正常操作窗口中,软件重新启动 WWDT,但是如果 WWDT 倒计时太早或太晚,则会导致对 SoC 的重置请求。ISO 26262标准将程序序列监控(PSM)定义为确保正确执行代码的一种方式,因此WWDT是使用的安全机制。
![]()
WWDT
使用逻辑内置自检(BIST),硬件测试一部分逻辑,检测静态故障,同时在芯片中增加约5%的开销,并在几毫秒内运行,通常产生90%的故障覆盖率。逻辑 BIST 可以在启动时运行,然后报告检测到的任何故障。使用软件自检没有硬件开销,因为它只是在不同时间测试逻辑的软件,例如定期运行时检查。ISO 26262 将软件自检列为随机故障的安全机制,具有中等诊断覆盖率。通过硬件冗余(基于时间的冗余或硬件冗余),可以实现更高的容错能力。内存的 ECC 就是一个例子,可以添加三冗余投票触发器、关键状态寄存器 (CSR) 的奇偶校验保护,或者处理器使用双核锁步 (DCLS)。![]()
DCLS
甚至还有一个双内存锁步,增加了核心逻辑和内存的冗余。
![]()
双内存锁步
道路车辆有一个网络安全标准,称为ISO 21434,增加了汽车的安全生命周期。SoC 中使用的四种常用威胁防护机制包括:●硬件隔离 – 划分内存中的受信任区域和不受信任区域可以使用 WWDT 实现异常检测,在意外程序执行时发出警报。使用双内存锁步方法时,任何发散执行都会导致安全故障。如今的传统汽车至少有40种芯片,而汽车中的芯片总数可以达到500种,因此安全设计需要遵循ISO 26262标准的纪律。满足安全目标意味着汽车中使用的处理器IP经过ASIL认证,达到适当的水平。 WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中,3月9-10日,上海
AutoSec 7周年年会暨中国汽车网络安全及数据安全合规峰会,5月10-11日,上海
更多文章
智能网联汽车信息安全综述
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247518211&idx=2&sn=e1a0f580eba80e20540742a4ff6a1d5e&chksm=e927ccd8de5045ce9311908149b73e3d7df304e7896f9cc6091059004caca7b4bf79333368cf#rd
如有侵权请联系:admin#unsafe.sh