现代汽车网络设计的安全性和复杂性挑战

现在的汽车电子电气架构非常复杂,许多车辆功能分布在多个分散的ECU中。ECU、传感器和执行器并不都是直接连接的,而且大部分数据都是跨网络进行通信的,通常通过链接多个网络的网关进行。最新的E/E架构开始围绕功能域构建,越来越多的域计算机或控制器进行集中计算,吸收了该域的许多高级功能。

以太网支持的面向服务架构(SOA)的使用越来越多,这使得信息技术(IT)领域的原理可以在汽车应用中得到重用。SOA的主要演变是从离散信号到服务的转变,服务通过多个相关信号订阅适合其功能需求的服务。

SOA与物理架构的变更并行发生。计算能力越来越集中,域控制器重新组织成区域布局。一些OEM和集成商在靠近传感器和执行器的区域控制器中选择高计算能力,而另一些则将它们保留在相对简单的网关上。此外,远离功能域会将高完整性要求级联到整个架构中的更多ECU。这些架构可以简化功能的可扩展性,仅在中央计算单元中提供处理和内存空间。集中式或区域架构还有助于减少线束质量并降低OEM的物料(BoM)成本。这种转变的速度因组织、地区和汽车市场而异(图1)。

现代汽车网络设计的安全性和复杂性挑战_第1张图片

图1:集中式与区域式架构

仪表盘、中控屏和抬头显示(HUD)越来越多地成为一个集成的系统,作为驾驶员信息和娱乐系统的扩展。随着仪表中信息的增加以及功能安全考虑,管理这些功能的计算平台需要划分多个分区,这些分区可以是单独的处理器或仅仅是单独的核。这些系统可能连接着分散的LED、开关和其他外围设备,尽管传统的汽车控制开关设备通常连接到车身控制器或网关。

除了系统的信息娱乐部分托管的媒体功能外,驾驶员关键信息还覆盖了车速、故障、驾驶模式、结冰警告、导航方向、里程估计等。一些OEM将cluster称为“组合仪表”,将以前的仪表、警告灯和里程计算整合到一个系统中。每次功能合并时,都要在新组件或ECU中添加新功能,包括里程计算、时钟、温度计和结冰警告(图2)。

现代汽车网络设计的安全性和复杂性挑战_第2张图片

图2:车辆架构中信号流的子集示例

对于汽车网络设计人员来说,每个设计决策都会对整个系统产生影响,应该在设计时考虑流程后期系统测试时能确认正确的行为,而不是通过设计迭代发现问题。本文阐述了车辆网络设计的关键技术,以及如何应对满足车辆设计要求的挑战。

网络负载和网关负载

对于CAN到CAN网关,网络设计人员可以选择将整个信号报文通过网关转发,或者将单个信号重新打包到一个新的报文中转发。这种在网关处提升处理能力和降低网络带宽使用效率的权衡一直存在。AUTOSAR提供协议数据单元(PDU)作为设计元素,用于在不同网络技术之间进行网关连接,同时保留读取单个信号并将它们重新打包到新PDU中的选项。

但是,设计人员可能需要考虑网关如何触发其数据的发送,这会影响整个系统的整体延迟。这通常受到现有ECU或报文和PDU设计的重复使用的限制,这些设计涉及跨多个车辆应用的供应商集成。

一些OEM更喜欢使用现有的预先设计的网络消息和帧封装库来支持 ECU 重用,避免更改。使用像 SAE J1939(适用于重型和越野车辆)这样的标准化协议,可以实现不同品牌的车辆和设备的可靠连接。这两种方法都缩小了优化范围,但不会降低设计的性能和行为考量范围。

对于系统的许多技术细节,网络设计人员遵循特定的OEM定义的设计规则,例如每种网络技术的优先级或调度。LIN和FlexRay是有时间表的时间触发网络。CAN 使用基于帧 ID 的仲裁机制,ID为不同类型的有效载荷保留,包括运行大多数网络的功能和网络管理,以及用于服务和诊断的数据。较高的优先级通常会分配给受变量抖动影响的车辆功能的数据。

以太网和交换机

以太网设计,包括交换机配置,将单个域的网络通信扩展到更广泛的车辆数据,例如传统网络和以太网之间的数据传递,从整体上做为功能域控制器之间的通信骨干网考虑完整的系统。以太网增加了一组网络行为和一组更复杂的标准和协议。然而,这些网络比专用汽车网络更具可扩展性,无论以太网物理层类型如何,都使用相同的通信软件,从而使更新更容易。以太网网络可以以多种波特率交互,能在车辆的大部分区域使用,随着时间的推移技术复杂性会降低。FlexRay和高波特率CAN是一些使用场景上的理想解决方案(见表1),但这些场景看上去在减少。

现代汽车网络设计的安全性和复杂性挑战_第3张图片

表1

以太网为网络设计人员引入了额外的配置选项。协议、方法和不同级别的元素确保数据、信号和服务及时可用,同时允许同一物理网络上的多种类型的数据。同时,虚拟局域网(VLAN)隔离不同类型的数据,并允许对各种数据类型进行优先排序,限制(在带宽利用率方面),甚至禁用。特定的VLAN可用于实施软件更新,允许根据车辆状态或模式对特定功能使用的带宽进行调节。

视频音频桥接(AVB)旨在为以太网网络上的音频和视频数据流增加特定的整形或优先级,确保音频和视频数据不会因数据速率变化而出现爆裂声、噼啪声或其他失真。早期汽车以太网用户采用的AVB与可扩展的面向服务的IP中间件(SOME/IP)以及服务发现(SD)相结合,可实现SOA通信。时间敏感网络(TSN)是一种专门针对具有高完整性要求的功能和用例开发的AVB。TSN扩展了AVB的一些元素,还添加了以前不可用的其他元素。

AUTOSAR已根据需要直接包含或支持上述技术和标准。经典版和自适应版AUTOSAR所需的标准和功能都在基础标准中进行了标准化,以确保兼容性和一致性。

功能安全

多年来,网络设计人员一直在设计时考虑到功能安全,并且在大多数情况下,所使用的机制都得到了很好的理解。针对与更高级别的驾驶员辅助和自动驾驶一起使用的更大数据元素和对象,最近的AUTOSAR版本中增加了新的机制和模式。

传统的网络应用方法是将它们视为QM,如ISO 26262中定义的那样,作为一种机制,在设计中添加元素以验证是否定期准确地接收数据。现在,不断增加的系统完整性要求对某些数据进行冗余,但这是系统级设计考虑的,作为一种附加的设计规则。

数据不正确或丢失会带来潜在安全后果的,主要通过端到端(E2E)保护,从而将一组信号封装在公共报文或PDU中,作为网络总线、网关和COM堆栈的单个实体。这些分组信号具有为其计算的循环冗余校验(CRC)、某种形式的计数器(活动、帧或其他取决于所选方案的计数器)和数据ID,尽管可以使用其他方法。这些保护方法在AUTOSAR中定义成了模式,其中包括用于提供保护的通用机制,包括CRC计算。OEM和系统集成商可以根据其系统设计方法中确定的风险制定自己的设计规则。

网络设计人员根据系统设计阶段确定的功能需求对信号进行分组,并在网络设计中将这些组结构化,或者在已有项目借用的情况下重新包含这些组。证明设计满足现有要求、规则和标准的文档支持对端到端保护的应用进行审核。这些机制由发送方设置并由接收方使用,以确认数据是新鲜的、有效的并且来自正确的发送方。系统设计必须足够健壮,以应对偶尔被拒绝的潜在正确数据或被接受的无效数据,这种情况很少发生,通常是单次发生,但在数百万辆汽车使用数千小时后,这些偶发事件就会发生。

网络安全

ISO/SAE 21434标准与功能安全一起,在设计需要网络安全的车辆系统时提供原则和流程。为了满足功能安全性,需要检查接收到的数据与发送的数据的一致性和正确性,同时对信号组是否正确进行检查。网络安全则要额外的检查以验证数据是否来自正确的发送人,有时还包括数据本身的加密,尽管两者通常不需要一起使用。

现代车辆系统可以交换电话号码、地址、支付细节等数据。这些类型的数据包含个人身份信息(PII),在传输和存储过程中都需要加密,因此也需要加密密钥来写入和读取数据。

用于与安全相关的控制决策的数据需要足够的可信度。在某些情况下,整个系统设计可能在数据的来源或获取中包含足够的冗余,因此不需要对每个元素进行全面保护,并且可以使用融合算法来解决冲突。系统设计的这一部分也可能受到系统组件和可用网络技术(带宽、最大PDU大小等)的限制。消除或减少这些限制是提高网络帧有效载荷和波特率的主要驱动力。

来自决策算法的控制数据(可能是转向、加速、制动等控制输入的指令)对车辆行为有直接影响。系统设计必须确保该数据是正确的,因此非常需要在目标电机或执行器上验证控制数据。可能的身份验证机制包括信号组的散列(#)版本,使接收器能够对数据执行额外的密钥检查。

使用多种保护措施来减轻不同的风险是很常见的。然而,数据的冗余副本或路径可以帮助确定在发生冲突时信任哪些数据,这是一个重要的设计考虑因素。与功能安全相比,网络安全防护表现为跨平台、云连接的防御层构建。必须特别注意确保对确定存在风险的系统有适当的防护层。

电源模式

传统上,车辆网络被设计为保持唤醒,以确保功能在需要时可用。特别注意设计当车辆处于合理状态时的稳健关闭程序。这种方法维持与安全相关的功能和备用功能,以便在网络出现故障时启用驻车制动或维持有限的动力系统运行。为了最大限度地提高能源效率,最好在比休眠或断电组件的唤醒时间更短的时间内,关闭当前不需要的东西。

部分网络允许在不需要时关闭。偶尔也会使用佯装网络,其中一些ECU进入低功耗模式,但继续在网络上处于活动状态。电源模式确实会变得更加复杂。唤醒的ECU可以使用唤醒的传感器生成所需的信号和数据,并通过唤醒的网络发送,这一点非常重要。因此,电源模式可以快速限制信号的路由。

复杂性

最后,必须在整个系统级别考虑复杂性(定义为选项和变体),因为它受到所讨论的所有内容的影响。大多数车辆应用在一系列不同尺寸、车身类型、不同市场等的车辆中共享一个通用的基础E/E架构。根据各自的车辆特性,OEM的低配置汽车总体上使用的ECU少于其高配置汽车。某些信号适用于所有变体,而其他信号可能会因不同车辆类型的计算或测量方式不同而改变来源。例如,车速算法考虑两轮驱动和四轮驱动车辆的不同车轮滑移行为。涵盖功能安全和网络安全的机制也需要考虑相关的车型变化。

总结

本文阐述了E/E系统开发的网络设计阶段的各种挑战和注意事项。这些挑战和决策中的每一个都可能产生难以预测,甚至难以完全理解的广泛的跨领域影响。融合多个学科使设计人员能够了解他们的决策在开发过程中的下游影响,对于加速车辆开发过程至关重要。网络设计考虑并实施了许多要素,这些要素对于确保正确的车辆功能和保护整个系统免受不正确的子系统行为的影响至关重要。此外,重要的是选择一个解决方案,该解决方案能够一致且正确地生成用于开发和验证组成整个系统的每个ECU的配置和文档。

你可能感兴趣的:(网络,汽车,架构,web安全,安全)