提高汽车以太网应用的安全性
本文介绍了一种新的方法,通过将fmeda等分析方法与基于仿真的方法相结合,从而显著减少安全验证工作,并实现更快的产品认证。自动化故障注入是一种成熟的测试方法,用于验证安全机制的正确实施,并对fit率进行更真实的估计。
汽车行业正在全力开发自动驾驶汽车,并牢记两个主要目标:
·实现全自动驾驶(完全无人驾驶)
·减少交通事故,让汽车更安全
高级驾驶辅助系统(adas)利用摄像头、激光雷达、毫米波雷达和超声波等各种传感器,来全面感知汽车周围的环境。这些传感器生成大量实时数据。基于高速通信的汽车以太网提供了进一步在车内分发数据的带宽。
除了传感器之外,还需要高清数字地图、高精度定位、基于云的服务,以及车对车和车对基础设施(v2x)通信,以确保自动驾驶汽车的鲁棒性、可靠性和安全性。因此,汽车的电子的技术范围迅速增加,比如依靠新型高性能soc处理所有传感器数据,以实时控制车辆。
这些对安全至关重要的soc需要专门的功能安全验证流程,然后才能用于汽车。iso 26262是公认的标准,用于确保汽车系统的功能安全。iso 26262标准第2版(2018年发布)的扩展部分专门对半导体相关的失效分析提出了要求。
提高汽车以太网应用的安全性
汽车行业的发展趋势正趋向基于开放ieee标准的车载(ivn)以太网。在开放联盟sig的推动下,这些标准有利于开发更简单,但更强大的汽车电气/电子架构。音频/视频桥接(avb)和时间敏感网络(tsn)是实现汽车以太网的关键标准。
avb通过ieee 802网络启用时间同步的流媒体服务。然而,为了满足关键任务控制功能(例如基于摄像头的驾驶辅助系统和紧急制动)的安全要求,业界正在开发一套新的开放标准(统称为tsn)。tsn能够实时实现稳健、低延迟、确定性和同步的数据包传输,是avb标准的一个超级集合。它支持安全相关机制,包括:
·帧抢占(ieee 802.3br)以优先考虑不同的数据类别
·帧复制和消除,以支持可靠通信的冗余路径(ieee 802.1cb)
·发送/接收数据包验证/确认,以确认成功接收数据
·监管和过滤(ieee 802.1qci),以检测和缓解网络中其他系统的破坏性传输(例如,防止“胡说八道”故障),从而提高网络的稳健性
·主时钟冗余和故障检测,支持实时时钟(ieee 802.1as-rev)
在以下示例中,我们将重点关注车内的高速通信,并分析以太网mac(媒体访问控制器)的安全相关功能对fit的影响,从而对以太网通信可实现的总体asil(汽车安全完整性等级)的影响。
图1:安全机制有助于提高以太网mac的稳健性
结合安全分析和安全验证
由于所有安全关键子系统都影响汽车的整体安全,因此全面的安全架构是实现所需安全目标的关键。soc的安全功能是整个安全系统的关键部分。因此,很重要的一点是,可以在soc级别利用ip模块的安全特性减少整体工作量。在设计ip的安全特性时,应牢记这种重复使用。
安全机制的主要目标是检测故障并启动适当的措施,例如使系统处于安全模式(失效安全),甚至纠正故障以继续正常运行(失效运行)。
有多种方法可用于评估系统的整体安全水平。失效模式影响分析(fmea)的主要目标是,确定组件失效对系统可靠性或安全性的影响。此外,fmeda分析根据iec 61508和iso 26262标准的要求,确定系统的安全失效占比(sff)和诊断覆盖率(dc)。
需要输入组件的已知失效模式和相关失效率(fit)数据来分析,并在必要时优化系统的整体安全等级。由于fmea是一种自下而上的方法,因此分析的准确性在很大程度上取决于最低级别的fit率的准确性。然而,由于这种方法依赖于标准器件普遍可用的fit率,不适用于特定应用的soc,因为fit率通常不适用于设计ip。
因此,仅通过查看设计的结构,fit率计算往往是估计值,并且本质上是静态的。因此,这些fit率估计往往非常悲观,这可能导致设计的安全组件的过度设计。更好的方法是只考虑实际的失效模式,即查看与每个应用程序关联的相关安全机制。
从fmea计划开始,安全工程师通常会估算芯片所有组件(ip)的fit率。有针对性的故障注入,使他们能够模拟对系统行为的影响并对故障进行分类。与静态方法(例如基于目录的方法)相比,使用故障注入的故障分类提供了更真实的fit率估计。
故障可分为三类:
·不会传播到系统中且对系统的正确运行没有负面影响的故障
·检测到的导致系统危险失效的故障
·未检测到的导致系统危险失效的故障
观察点的故障分类可以计算系统的安全故障占比(sff)和诊断覆盖率(dc)。92%的sff值等价于10e-4到10e-3之间的失效概率(pfd)。对应于安全完整性等级(sil)为3,换算成每小时失效率(pfh)为10e-8至10e-7之间,fit率<100,至少对应于asil-c。如计算所示(图2),通过更好地识别未检测到的危险故障,可以显著提高系统的安全等级。
图2:使用故障注入验证soc安全架构
确保以太网ip中的功能安全
通常以太网mac ip中添加了多种安全机制,以使其对汽车soc(例如adas应用)具有功能安全性(图1)。此外,需要一种定义明确的方法,比如基于高度集成的验证工具实现对复杂soc的所有安全机制的自动化安全验证。
安全验证和功能验证需要齐头并进。功能验证期间生成的仿真结果也可以重新用于安全验证:
·fmeda和故障树分析(fta)等标准技术用于创建结构化的安全计划,记录设计的所有安全机制——无论是作为上下文中的安全元素,还是作为上下文之外的安全元素。
·失效模式应与设计元素相关联,以计算准确的fit率分布。对于具有动态行为的安全元素,基于目录的fit率不够准确。而将失效模式与设计联系起来,使其更加准确。
·故障注入活动应与fmeda报告相关联。与进行盲目的故障分析活动相比,这使得故障分析活动更加现实。
·中央故障数据库是必不可少的——由于解决方案将使用多个引擎,所有引擎必须能够相互通信并共享数据,这意味着要有一个可扩展、可搜索的中央数据库。
故障注入是一个计算密集型的过程。有许多不同类型的执行引擎可用于故障注入:
·基于软件的仿真引擎(如cadence incisive功能安全模拟器)
·硬件辅助引擎(cadence palladium平台)
·形式化方法论(cadence jaspergold平台)
我们需要使用所有可用的引擎来获得故障注入的最佳吞吐量。基于仿真的引擎可用于短期测试、完全回归以及需要详细调试的场景。硬件辅助引擎可用于完整soc的长延迟测试和基于软件的测试。通过进行形式化的逻辑和等价性分析,可以使用形式化引擎形式化地减少故障注入空间。
上述所有技术的巧妙组合,对于有效的功能安全验证非常重要。因此,对于以太网mac,功能验证首先在安全功能关闭的情况下完成,这为功能提供了基线指标。然后,打开安全功能以评估设计在功能安全模式下的行为。这也使我们能够衡量单点失效率和诊断覆盖率等指标,并确保它们符合我们的资格要求。
测量上述指标的最有效方法,是在定义的故障注入点使用故障注入——无论是永久性故障还是瞬态故障(图3)。fmeda结果可用于识别要注入的最佳故障集。故障观察点在安全机制之前和之后设置,可连接回fmeda中的失效模式。通过比较有故障注入和无故障注入的仿真结果来检测故障。值的任何不匹配(包括这些值出现的时间)都会检测到故障。只有通过系统传播到观察点的注入故障才能被后续的安全机制识别,并通过纠错码(ecc)进行修复。
图3:结合安全分析和安全验证
上述功能安全解决方案和方法是一种结构化和可扩展的方法,这意味着创建的fmeda和测量的指标可以反馈到使用此ip的更大soc中。这个过程允许用户在soc级别重复使用已经在ip级别完成的工作,并在soc级别实现更高的质量。
对于以太网mac ip,我们的安全目标是asil-b。这一目标是通过添加适当的安全机制来实现的,如图1所示。ip的未来版本将针对更高级别的asil认证。
总结
对于采用以太网的安全通信的复杂汽车soc,需要适当的ip,包括安全机制和协议支持。此外,安全验证需要可扩展的方法。将分析方法与基于仿真的方法相结合的综合方法,有助于显著减少安全验证工作,并实现更快的iso26262产品认证。
自动化故障注入是一种适用的测试方法,用于验证安全机制的实施,并为fmeda分析提供准确的fit率估计。这清楚地说明了为什么支持tsn等协议标准,以及用于故障识别的综合安全机制对于汽车设计很重要。
高通推出其首款基于云端的AI加速器:Qualcomm Cloud AI 100,正式宣布进军云计算领域
带参数子程序的参数传递过程
华为P10国行版惊艳上市,关于华为P10你想知道的都在这里!
自举电路的基本拓扑结构及驱动方式
普爱德:“微观”打造锂电转轮除湿机
提高汽车以太网应用的安全性
医疗观察:看微型芯片如何为助听器供电?
三星于1月29日要求美国专利商标局作废爱立信拥有的四项专利
如何使用电磁铁和指尖陀螺构建一个简单的发电机
导电滑环现如今已经被广泛运用于各个领域之中
声控小夜灯电路图
自制简易恒流源选配LED发光管
Arivizio新版MR协作工具可支持AR用户进行远程协作
华为云数据库助力微鲤科技智能升级
输血袋连接力测试仪
S7-1500与S7-300PN CPU的TCP通信
讲一下有关运算放大器的随机噪声 它是怎么产生的?
阿里云入选大数据领域权威竞赛,计算速度提升了2.2倍
绿色电源技术大盘点
NASA好奇号安度“恐怖7分钟” 嵌入式建奇功
汽车行业正在全力开发自动驾驶汽车,并牢记两个主要目标:
·实现全自动驾驶(完全无人驾驶)
·减少交通事故,让汽车更安全
高级驾驶辅助系统(adas)利用摄像头、激光雷达、毫米波雷达和超声波等各种传感器,来全面感知汽车周围的环境。这些传感器生成大量实时数据。基于高速通信的汽车以太网提供了进一步在车内分发数据的带宽。
除了传感器之外,还需要高清数字地图、高精度定位、基于云的服务,以及车对车和车对基础设施(v2x)通信,以确保自动驾驶汽车的鲁棒性、可靠性和安全性。因此,汽车的电子的技术范围迅速增加,比如依靠新型高性能soc处理所有传感器数据,以实时控制车辆。
这些对安全至关重要的soc需要专门的功能安全验证流程,然后才能用于汽车。iso 26262是公认的标准,用于确保汽车系统的功能安全。iso 26262标准第2版(2018年发布)的扩展部分专门对半导体相关的失效分析提出了要求。
提高汽车以太网应用的安全性
汽车行业的发展趋势正趋向基于开放ieee标准的车载(ivn)以太网。在开放联盟sig的推动下,这些标准有利于开发更简单,但更强大的汽车电气/电子架构。音频/视频桥接(avb)和时间敏感网络(tsn)是实现汽车以太网的关键标准。
avb通过ieee 802网络启用时间同步的流媒体服务。然而,为了满足关键任务控制功能(例如基于摄像头的驾驶辅助系统和紧急制动)的安全要求,业界正在开发一套新的开放标准(统称为tsn)。tsn能够实时实现稳健、低延迟、确定性和同步的数据包传输,是avb标准的一个超级集合。它支持安全相关机制,包括:
·帧抢占(ieee 802.3br)以优先考虑不同的数据类别
·帧复制和消除,以支持可靠通信的冗余路径(ieee 802.1cb)
·发送/接收数据包验证/确认,以确认成功接收数据
·监管和过滤(ieee 802.1qci),以检测和缓解网络中其他系统的破坏性传输(例如,防止“胡说八道”故障),从而提高网络的稳健性
·主时钟冗余和故障检测,支持实时时钟(ieee 802.1as-rev)
在以下示例中,我们将重点关注车内的高速通信,并分析以太网mac(媒体访问控制器)的安全相关功能对fit的影响,从而对以太网通信可实现的总体asil(汽车安全完整性等级)的影响。
图1:安全机制有助于提高以太网mac的稳健性
结合安全分析和安全验证
由于所有安全关键子系统都影响汽车的整体安全,因此全面的安全架构是实现所需安全目标的关键。soc的安全功能是整个安全系统的关键部分。因此,很重要的一点是,可以在soc级别利用ip模块的安全特性减少整体工作量。在设计ip的安全特性时,应牢记这种重复使用。
安全机制的主要目标是检测故障并启动适当的措施,例如使系统处于安全模式(失效安全),甚至纠正故障以继续正常运行(失效运行)。
有多种方法可用于评估系统的整体安全水平。失效模式影响分析(fmea)的主要目标是,确定组件失效对系统可靠性或安全性的影响。此外,fmeda分析根据iec 61508和iso 26262标准的要求,确定系统的安全失效占比(sff)和诊断覆盖率(dc)。
需要输入组件的已知失效模式和相关失效率(fit)数据来分析,并在必要时优化系统的整体安全等级。由于fmea是一种自下而上的方法,因此分析的准确性在很大程度上取决于最低级别的fit率的准确性。然而,由于这种方法依赖于标准器件普遍可用的fit率,不适用于特定应用的soc,因为fit率通常不适用于设计ip。
因此,仅通过查看设计的结构,fit率计算往往是估计值,并且本质上是静态的。因此,这些fit率估计往往非常悲观,这可能导致设计的安全组件的过度设计。更好的方法是只考虑实际的失效模式,即查看与每个应用程序关联的相关安全机制。
从fmea计划开始,安全工程师通常会估算芯片所有组件(ip)的fit率。有针对性的故障注入,使他们能够模拟对系统行为的影响并对故障进行分类。与静态方法(例如基于目录的方法)相比,使用故障注入的故障分类提供了更真实的fit率估计。
故障可分为三类:
·不会传播到系统中且对系统的正确运行没有负面影响的故障
·检测到的导致系统危险失效的故障
·未检测到的导致系统危险失效的故障
观察点的故障分类可以计算系统的安全故障占比(sff)和诊断覆盖率(dc)。92%的sff值等价于10e-4到10e-3之间的失效概率(pfd)。对应于安全完整性等级(sil)为3,换算成每小时失效率(pfh)为10e-8至10e-7之间,fit率<100,至少对应于asil-c。如计算所示(图2),通过更好地识别未检测到的危险故障,可以显著提高系统的安全等级。
图2:使用故障注入验证soc安全架构
确保以太网ip中的功能安全
通常以太网mac ip中添加了多种安全机制,以使其对汽车soc(例如adas应用)具有功能安全性(图1)。此外,需要一种定义明确的方法,比如基于高度集成的验证工具实现对复杂soc的所有安全机制的自动化安全验证。
安全验证和功能验证需要齐头并进。功能验证期间生成的仿真结果也可以重新用于安全验证:
·fmeda和故障树分析(fta)等标准技术用于创建结构化的安全计划,记录设计的所有安全机制——无论是作为上下文中的安全元素,还是作为上下文之外的安全元素。
·失效模式应与设计元素相关联,以计算准确的fit率分布。对于具有动态行为的安全元素,基于目录的fit率不够准确。而将失效模式与设计联系起来,使其更加准确。
·故障注入活动应与fmeda报告相关联。与进行盲目的故障分析活动相比,这使得故障分析活动更加现实。
·中央故障数据库是必不可少的——由于解决方案将使用多个引擎,所有引擎必须能够相互通信并共享数据,这意味着要有一个可扩展、可搜索的中央数据库。
故障注入是一个计算密集型的过程。有许多不同类型的执行引擎可用于故障注入:
·基于软件的仿真引擎(如cadence incisive功能安全模拟器)
·硬件辅助引擎(cadence palladium平台)
·形式化方法论(cadence jaspergold平台)
我们需要使用所有可用的引擎来获得故障注入的最佳吞吐量。基于仿真的引擎可用于短期测试、完全回归以及需要详细调试的场景。硬件辅助引擎可用于完整soc的长延迟测试和基于软件的测试。通过进行形式化的逻辑和等价性分析,可以使用形式化引擎形式化地减少故障注入空间。
上述所有技术的巧妙组合,对于有效的功能安全验证非常重要。因此,对于以太网mac,功能验证首先在安全功能关闭的情况下完成,这为功能提供了基线指标。然后,打开安全功能以评估设计在功能安全模式下的行为。这也使我们能够衡量单点失效率和诊断覆盖率等指标,并确保它们符合我们的资格要求。
测量上述指标的最有效方法,是在定义的故障注入点使用故障注入——无论是永久性故障还是瞬态故障(图3)。fmeda结果可用于识别要注入的最佳故障集。故障观察点在安全机制之前和之后设置,可连接回fmeda中的失效模式。通过比较有故障注入和无故障注入的仿真结果来检测故障。值的任何不匹配(包括这些值出现的时间)都会检测到故障。只有通过系统传播到观察点的注入故障才能被后续的安全机制识别,并通过纠错码(ecc)进行修复。
图3:结合安全分析和安全验证
上述功能安全解决方案和方法是一种结构化和可扩展的方法,这意味着创建的fmeda和测量的指标可以反馈到使用此ip的更大soc中。这个过程允许用户在soc级别重复使用已经在ip级别完成的工作,并在soc级别实现更高的质量。
对于以太网mac ip,我们的安全目标是asil-b。这一目标是通过添加适当的安全机制来实现的,如图1所示。ip的未来版本将针对更高级别的asil认证。
总结
对于采用以太网的安全通信的复杂汽车soc,需要适当的ip,包括安全机制和协议支持。此外,安全验证需要可扩展的方法。将分析方法与基于仿真的方法相结合的综合方法,有助于显著减少安全验证工作,并实现更快的iso26262产品认证。
自动化故障注入是一种适用的测试方法,用于验证安全机制的实施,并为fmeda分析提供准确的fit率估计。这清楚地说明了为什么支持tsn等协议标准,以及用于故障识别的综合安全机制对于汽车设计很重要。
高通推出其首款基于云端的AI加速器:Qualcomm Cloud AI 100,正式宣布进军云计算领域
带参数子程序的参数传递过程
华为P10国行版惊艳上市,关于华为P10你想知道的都在这里!
自举电路的基本拓扑结构及驱动方式
普爱德:“微观”打造锂电转轮除湿机
提高汽车以太网应用的安全性
医疗观察:看微型芯片如何为助听器供电?
三星于1月29日要求美国专利商标局作废爱立信拥有的四项专利
如何使用电磁铁和指尖陀螺构建一个简单的发电机
导电滑环现如今已经被广泛运用于各个领域之中
声控小夜灯电路图
自制简易恒流源选配LED发光管
Arivizio新版MR协作工具可支持AR用户进行远程协作
华为云数据库助力微鲤科技智能升级
输血袋连接力测试仪
S7-1500与S7-300PN CPU的TCP通信
讲一下有关运算放大器的随机噪声 它是怎么产生的?
阿里云入选大数据领域权威竞赛,计算速度提升了2.2倍
绿色电源技术大盘点
NASA好奇号安度“恐怖7分钟” 嵌入式建奇功