作者:德州儀器Bharat Rajaram與PROMETO功能安全與網路安全資深顧問Jürgen Belz
汽車電子元件的功能安全與網路安全越來越受到關注,伴隨著標準化組織的出現,如何實現具備功能安全與網路安全的汽車電子動力系統,對於汽車設計工程師來說就更為重要。在現代電動車設計、開發與大量生產的過程中,功能安全、網路安全與高電壓安全都扮演著非常重要的角色。
功能安全
現代車輛中常見軟體估計量為 1 到 2 億行程式碼。此軟體會在各種可程式編輯的電子控制單元上執行,可提供先進駕駛輔助系統功能及車內安全功能。此類系統範例包括盲點監控、自動緊急煞車與智慧主動車距控制巡航系統。具自動與電力功能的車輛必須具備功能安全才能安全運作。
網路安全
由於類型複雜程度與可用連線量逐漸增加,使車輛更容易受到數位攻擊。過去認為可防止網路攻擊的黃金標準已不再適用。由於執行控制器區域網路與 Bluetooth® 等通訊協定,加上透過行動通訊全球系統與 Wi-Fi® 網路進行車輛間通訊,汽車無法再以車輛間「氣隙」及駭客可能使用的網路進行保護。您可想像駭客使車輛無法移動,必須在以比特幣支付贖金後才進行解鎖的情境。
高電壓
此外,不管是車載充電器、高電壓至高電壓或高電壓至低電壓 DC/DC 轉換器,還是電動車牽引轉換器,電力動力傳動在各方面都採用 C2000TM 即時 MCU 等可程式編輯的微控制器 (MCU)。隨著電動車電池電壓以達 600 至 800 V,了解高電壓安全系統並加以套用也變得同等重要。
汽車安全與網路安全標準
以下國際標準有觸及安全與網路安全層面:
- 國際標準化組織 (ISO) 26262:2018 列出道路車輛的功能安全要求。
- ISO 6469:2018 中指定電力推動道路車輛的高電壓電力安全要求。
- 聯合國歐洲經濟委員會 WP29:2020 中詳細說明了對全球汽車製造商的汽車網路安全要求。
此外,汽車 Tier 1 (子系統製造商) 應遵循:
- ISO DIS 21434:2020,目前仍為國際標準草案,並為國際汽車工程師協會 (SAE) J3061 的超級組合。ISO DIS 21434:2020 簡要說明遵照 ISO 26262 功能安全相容 V 模型產品開發生命週期的網路安全管理架構與活動。
- SAE J3061:2016 則是 ISO/SAE DIS 21434 依據的原始「網路實體車輛系統網路安全手冊」。
電動車系統設計人員必須同時考慮這三個安全與網路安全方法面向。
ISO 26262 定義四個汽車安全完整性等級 (ASIL),如表 1 所列。
|
ASIL等級 |
單點故障指標 |
潛在故障指標 |
硬體隨機失效機率指標 |
|
ASIL A |
不適用 |
不適用 |
不適用 |
|
ASIL B |
≥90% |
≥60% |
≤100 功能安全失效率 (FIT) |
|
ASIL C |
≥97% |
≥80% |
≤100 FIT |
|
ASIL D |
≥99% |
≥90% |
≤10 FIT |
表1:ISO 26262依每個ASIL等級對隨機硬體診斷範圍進行量化
ISO/SAE 21434 根據攻擊向量與影響定義四個網路安全評估等級,如表 2 所示。
|
|
|
攻擊向量 |
|||
|
|
|
實體 |
Local |
鄰近 |
網路 |
|
影響 |
近可忽略 |
不適用 |
不適用 |
不適用 |
不適用 |
|
Moderate |
CAL 1 |
CAL 1 |
CAL 2 |
CAL 3 |
|
|
重要 |
CAL 1 |
CAL 2 |
CAL 3 |
CAL 4 |
|
|
嚴重 |
CAL2 |
CAL 3 |
CAL 4 |
CAL 4 |
|
表2:ISO/SAE 21434網路安全評估等級
SAE J3061 定義了四個網路安全評估等級 (CSIL),並針對依 ISO 26262 判定 ASIL 等級的功能或與子系統相關的功能 (如推進、煞車與轉向),為負責這些功能的所有汽車系統建議網路安全程序應用。這些等級可分為 CSIL A、CSIL B、CSIL C 與 CSIL D。
ISO 6469 說明依電路最大工作電壓範圍「U」而定之四個等級,如表 3 所列。
|
電壓等級 |
最高 (最大) 工作電壓 |
|
|
直流電壓 (單位為V) |
AC電壓 (單位為均方根值) |
|
|
A |
0 < U ≤ 60 |
0 < U ≤ 30 |
|
B |
60 < U ≤ 1,500 |
30 < U ≤ 1,000 |
|
B1 |
60 < U ≤ 75 |
30 < U ≤ 50 |
|
B2 |
75 < U ≤ 1,500 |
50 < U ≤ 1,000 |
表3:ISO 6469每個電壓等級的允許最大電壓等級
在設計、開發與大量生產電氣/電子/可程式編輯電子系統時,ISO 21434 和 ISO 26262 在建議執行方式上有顯著的綜合效果。
結論
隨著混和動力汽車與電動車的汽車子系統複雜程度及動力系統電氣化程度上升,功能安全與網路安全也變得越來重要。幸好,廣為接受的規範國際標準有提到這些功能安全與網路安全層面。
TI 可幫助您進行功能安全與網路安全評估,並為您的汽車設計實現功能與網路安全目標。舉例來說,在以 C2000TM 即時 MCU 開發動力系統解決方案時,線上安全內容便是很好的起始點。
其它資源
- 觀看培訓影片:「TI功能安全」
- 閱讀技術白皮書:
- 「了解如何依IEC 62380與SN 29500進行功能安全FIT基本失效率計算」
- 「簡化汽車及工業的功能安全認證」
- 「汽車電氣化的電池管理功能安全考量」
- 「EV電池管理中的有線與無線通訊」
- 「汽車電池管理系統中的功能安全相關無線通訊」
關於德州儀器(TI)
德州儀器(納斯達克股票代碼:TXN)為位居世界領導地位的全球半導體公司,致力於設計、製造、測試以及銷售類比和嵌入式半導體晶片,為工業、汽車、個人電子、通訊設備和企業系統等市場服務。打造更美好的世界是我們的願景,為此,我們以半導體技術為基礎,致力於創造更輕巧、更高效、更可靠及更具成本效益的產品解決方案,使半導體更加普及地被應用於各式電子產品中。推動半導體技術持續更上一層樓,是我們數十年來始終如一的信念。更多詳情,敬請瀏覽TI.com。
