隨著包括標(biāo)準(zhǔn)化組織在內(nèi)的各個(gè)機(jī)構(gòu)對(duì)汽車(chē)電子產(chǎn)品的功能安全與信息安全的日益關(guān)注，汽車(chē)設(shè)計(jì)人員越來(lái)越需要確保汽車(chē)的電動(dòng)和動(dòng)力總成系統(tǒng)實(shí)現(xiàn)更高的功能安全和信息安全。在現(xiàn)代電動(dòng)汽車(chē)的設(shè)計(jì)、開(kāi)發(fā)和大規(guī)模生產(chǎn)中，功能安全、網(wǎng)絡(luò)安全和高壓安全扮演著重要的角色。

功能安全

據(jù)估計(jì)，一臺(tái)現(xiàn)代汽車(chē)上的軟件代碼量普遍在1億到2億行之間。這些軟件在各種各樣的可編程電子控制單元上運(yùn)行，可為車(chē)輛的高級(jí)駕駛輔助系統(tǒng)提供所需的功能和安全特性。這類(lèi)系統(tǒng)的示例包括盲點(diǎn)監(jiān)控、自動(dòng)緊急制動(dòng)和自適應(yīng)巡航控制。具備自動(dòng)駕駛功能的電動(dòng)車(chē)輛需要實(shí)現(xiàn)功能安全來(lái)確保安全運(yùn)行。

網(wǎng)絡(luò)安全

汽車(chē)應(yīng)用的連接類(lèi)型和數(shù)量越來(lái)越多，這使得車(chē)輛更容易受到數(shù)字化攻擊。曾經(jīng)被視為預(yù)防網(wǎng)絡(luò)攻擊黃金標(biāo)準(zhǔn)的措施已經(jīng)不再有效。鑒于控制器局域網(wǎng)和Bluetooth等通信協(xié)議，以及現(xiàn)今適用于車(chē)際通信的全球移動(dòng)通信系統(tǒng)和Wi-Fi網(wǎng)絡(luò)的實(shí)現(xiàn)，黑客利用網(wǎng)絡(luò)可以輕松“劫持”車(chē)輛。請(qǐng)想象一個(gè)場(chǎng)景：黑客控制了您的車(chē)輛，您只能在支付比特幣贖金后才能使用。

高電壓

此外，電動(dòng)傳動(dòng)系統(tǒng)的各個(gè)部分（如車(chē)載充電器、高壓至高壓或高壓至低壓直流/直流轉(zhuǎn)換器，以及電動(dòng)汽車(chē)牽引逆變器）全部使用可編程微控制器(MCU)，如C2000實(shí)時(shí) MCU。隨著電動(dòng)汽車(chē)的電池電壓升高到600V至800V，了解并滿足高壓安全系統(tǒng)的要求變得同樣重要。

汽車(chē)功能安全與信息安全標(biāo)準(zhǔn)

下列國(guó)際標(biāo)準(zhǔn)在功能安全與信息安全方面做出了說(shuō)明：

（1）國(guó)際標(biāo)準(zhǔn)化組織(ISO) 26262: 2018概述了對(duì)道路車(chē)輛的功能安全要求。

（2）ISO 6469: 2018規(guī)定了對(duì)電動(dòng)道路車(chē)輛的高壓電氣安全要求。

（3）聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)WP29: 2020詳述了對(duì)全球汽車(chē)制造商的汽車(chē)網(wǎng)絡(luò)安全要求。

此外，汽車(chē)一級(jí)供應(yīng)商（子系統(tǒng)制造商）還須遵守：

（1）ISO DIS 21434: 2020，該標(biāo)準(zhǔn)目前仍是一項(xiàng)國(guó)際標(biāo)準(zhǔn)草案，并且是美國(guó)汽車(chē)工程師學(xué)會(huì)(SAE)J3061標(biāo)準(zhǔn)的超集。ISO DIS 21434: 2020，該標(biāo)準(zhǔn)遵從ISO 26262符合功能安全的V模式產(chǎn)品開(kāi)發(fā)生命周期，概述了網(wǎng)絡(luò)安全管理框架和活動(dòng)。

（2）SAE J3061: 2016，即原《信息物理車(chē)輛系統(tǒng)網(wǎng)絡(luò)安全指南》，是ISO/SAE DIS 21434的基礎(chǔ)。

電動(dòng)汽車(chē)系統(tǒng)設(shè)計(jì)人員必須考慮功能安全和信息安全的三個(gè)方面。如表1中所列，ISO 26262定義了四個(gè)汽車(chē)安全完整性等級(jí)(ASIL)。

表1：ISO 26262各ASIL等級(jí)的

量化隨機(jī)硬件診斷覆蓋率度量

如表2中所列，ISO/SAE 21434根據(jù)攻擊向量和影響定義了四個(gè)網(wǎng)絡(luò)安全保障等級(jí)(CAL)。

表 2：ISO/SAE 21434網(wǎng)絡(luò)安全保障等級(jí)

SAE J3061定義了四個(gè)網(wǎng)絡(luò)安全完整性等級(jí)(CSIL)，并且為負(fù)責(zé)執(zhí)行相關(guān)功能（包括符合ISO 26262 ASIL等級(jí)的功能，以及與推進(jìn)、制動(dòng)和轉(zhuǎn)向等子系統(tǒng)相關(guān)的功能）的所有汽車(chē)系統(tǒng)提出了網(wǎng)絡(luò)安全流程的應(yīng)用建議。四個(gè)等級(jí)包括CSIL A、CSIL B、CSIL C 和 CSIL D。

如表3中所列，ISO 6469描述了基于電路最大工作電壓范圍“U”的四個(gè)等級(jí)。

表 3：ISO 6469各電壓等級(jí)的最大允許電壓級(jí)

ISO 21434和ISO 26262兩種標(biāo)準(zhǔn)類(lèi)似，對(duì)電氣/電子/可編程電子系統(tǒng)從設(shè)計(jì)、開(kāi)發(fā)和大規(guī)模生產(chǎn)的所有活動(dòng)提供了指南。

結(jié)語(yǔ)

隨著混合動(dòng)力電動(dòng)汽車(chē)和電動(dòng)汽車(chē)中的汽車(chē)子系統(tǒng)日益復(fù)雜，以及動(dòng)力總成的電氣化水平越來(lái)越高，功能安全與信息安全的重要性不言而喻。幸運(yùn)的是，一些公認(rèn)的國(guó)際標(biāo)準(zhǔn)制定了功能安全與信息安全規(guī)范。

TI可對(duì)您的汽車(chē)設(shè)計(jì)進(jìn)行功能安全與信息安全評(píng)估，從而實(shí)現(xiàn)信息安全與功能安全目標(biāo)。例如，在使用C2000實(shí)時(shí)MCU開(kāi)發(fā)動(dòng)力總成解決方案時(shí)，可點(diǎn)擊閱讀原文了解有關(guān)功能安全的在線資源。

本技術(shù)文章由PROMETO功能安全和網(wǎng)絡(luò)安全高級(jí)顧問(wèn)Jürgen Belz合作撰寫(xiě)。

編輯：jq