Synopsys產(chǎn)品營(yíng)銷和業(yè)務(wù)開發(fā)高級(jí)總監(jiān)Marc Serughetti表示：“當(dāng)今汽車領(lǐng)域最有趣的是看到需要開發(fā)和需要驗(yàn)證的產(chǎn)品的演變�！� “幾年前，人們一直在研究功能以及如何對(duì)設(shè)計(jì)進(jìn)行功能驗(yàn)證，而且我們知道，在過去的四到五年中，安全已成為大問題。ISO 26262正在推動(dòng)該領(lǐng)域的許多技術(shù)發(fā)展。因?yàn)樗�是電子的，因�(yàn)樗�涉及�?jì)算，因?yàn)樗鼘?duì)網(wǎng)絡(luò)和各種事物都是開放的，所以安全性是結(jié)合在一起的。我們無法真正脫離安全保障�！�

但這還需要一種解決問題的新方法。Cadence解決方案營(yíng)銷高級(jí)組主管Frank Schirrmeister說，在驗(yàn)證調(diào)試中有效的方法可能會(huì)導(dǎo)致安全問題�！叭绻�您打開調(diào)試通道，則會(huì)遇到麻煩。您必須隔離事物，然后出于安全原因有選擇地清除它們。”

標(biāo)準(zhǔn)的好和壞

安全性是必需的，但是將它們?cè)O(shè)計(jì)到系統(tǒng)中則更加困難，因?yàn)橄到y(tǒng)本身處于幾乎恒定的變化狀態(tài)。這使得定義標(biāo)準(zhǔn)變得更加困難，特別是因?yàn)槠渲性S多標(biāo)準(zhǔn)依賴于多個(gè)系統(tǒng)的交互作用。

“對(duì)安全進(jìn)行標(biāo)準(zhǔn)化有點(diǎn)棘手，因?yàn)楹芏嗳怂�做的只是查看一類威脅，例如適用于信用卡智能芯片的密碼設(shè)備聯(lián)邦信息處理標(biāo)準(zhǔn)中的那些威脅，” JTortuga Logic首席執(zhí)行官說�！坝心承�標(biāo)準(zhǔn)，它們更多地是為了保護(hù)該市場(chǎng)定義的某些類別的威脅。通常，安全性很難標(biāo)準(zhǔn)化。它更多地是關(guān)于一個(gè)過程。

在汽車方面，真正重要的是要經(jīng)過一個(gè)案例來查看芯片的位置，因?yàn)檫@將決定哪種攻擊媒介是可行的，以及可能產(chǎn)生的影響。重要的是，采用一種威脅模型說“如果我要構(gòu)建此MCU，這將在自動(dòng)駕駛系統(tǒng)中使用，或者在ADAS系統(tǒng)中將使用高性能內(nèi)核，其中有一個(gè)案例可以檢查攻擊者將試圖破壞什么以及它們具有什么功能。這是連接到網(wǎng)絡(luò)的東西，還是裝在機(jī)箱中的東西？完成整個(gè)過程很重要。從那里您可以獲得核心業(yè)務(wù)和安全要求，然后可以將其作為驗(yàn)證計(jì)劃的一部分�！�

盡管此案例已針對(duì)軟件建立，但它剛剛開始轉(zhuǎn)移到硬件領(lǐng)域。

Oberg說：“許多較大的半導(dǎo)體公司開始做這些事情，這與功能安全性大不相同，后者是確保您具有容錯(cuò)能力�！� “如果您有一點(diǎn)動(dòng)靜，您的系統(tǒng)仍然可以正常工作。ISO 26262對(duì)如何執(zhí)行操作有要求，依此類推，但是從安全的角度來看，它有所不同，因?yàn)槟�可能不�?huì)發(fā)生任何翻轉(zhuǎn)，而如果有人從設(shè)備中提取固件，發(fā)現(xiàn)一個(gè)可能在所有設(shè)備或所有設(shè)備上復(fù)制的漏洞。使用該芯片的汽車，將有一個(gè)巨大的混亂。必須將其視為一個(gè)過程，而不是僅涵蓋特定威脅，這通常是標(biāo)準(zhǔn)所要做的�！�

Riscure首席執(zhí)行官M(fèi)arc Witteman表示，了解組織在安全性成熟度方面的地位是幫助汽車生態(tài)系統(tǒng)中的公司實(shí)施一種方法來驗(yàn)證硬件的安全性和安全性的第一步。“他們有什么樣的人？這些人如何訓(xùn)練？他們的經(jīng)驗(yàn)是什么？這給我們留下了他們?cè)诎踩�性成熟度方面的印象�！?/p>

從那里可以進(jìn)行差距分析以確定他們想要達(dá)到的水平，并且可以實(shí)施培訓(xùn)計(jì)劃以使他們達(dá)到該水平，然后進(jìn)行認(rèn)證。但是關(guān)鍵是要在系統(tǒng)級(jí)別以及潛在的系統(tǒng)級(jí)級(jí)別考慮安全性。

“安全是整個(gè)系統(tǒng)的安全，”奧伯格強(qiáng)調(diào)�！斑@一切都可以追溯到威脅建模的過程－確定影響是什么。如果像特斯拉這樣的完全垂直集成的公司可以構(gòu)建自己的芯片，那么它們?cè)诮K端系統(tǒng)以及該系統(tǒng)將要運(yùn)行的地方具有更大的可視性。如果它更加零碎，并且您要購買商用的現(xiàn)成的硅片來構(gòu)建另一個(gè)系統(tǒng)，則非常困難。安全性是不可組合的。圍繞這種基礎(chǔ)架構(gòu)構(gòu)建流程非常困難。蘋果和特斯拉等公司擁有相同類型的模型，而且我們看到，這在許多科技公司中變得越來越普遍－建立起許多芯片的信任根基，因?yàn)樗鼈儷@得了更多的知名度這樣做可以提高系統(tǒng)安全性�！�

安全性可以遵循與設(shè)計(jì)其余部分相同的開發(fā)方法。

Synopsys的Serughetti說：“在安全方面，您要研究故障模式，以及如何為這些故障模式建立安全機(jī)制�！� “然后，您要進(jìn)行設(shè)計(jì)，驗(yàn)證，所有傳統(tǒng)活動(dòng)，并且安全性與此并行。您必須查看潛在的漏洞，并且必須從一開始就考慮設(shè)計(jì)將易受攻擊的地方。例如，在驗(yàn)證方面，我們談?wù)摪踩�注入時(shí)的故障注入，故障活動(dòng)。但是在某些方面，故障活動(dòng)的概念也適用于安全性。您正在尋找注入故障的方法，以從安全角度看您如何應(yīng)對(duì)。我們都知道安全性來自多個(gè)地方－來自軟件，來自硬件，而且我們也知道有可能查看芯片的熱特征以試圖弄清楚該芯片的性能�！�

從實(shí)現(xiàn)的角度來看，功能安全性和安全性之間也存在相似之處。

“在功能安全方面，您可能有一個(gè)雙核鎖步冗余系統(tǒng)，您需要確保這些系統(tǒng)在物理上分開，并正確放置并標(biāo)準(zhǔn)化了標(biāo)準(zhǔn)單元，”斯圖爾特·威廉姆斯（Stewart Williams）說，新思科技 “路由需要以某種方式進(jìn)行管理，以使來自一個(gè)核心的路由不會(huì)與另一個(gè)核心重疊�？赡苓�有其他要求。從安全角度來看，也可能存在這些要求。有放置注意事項(xiàng)，有布線注意事項(xiàng)。因此，以類似的方式，從實(shí)現(xiàn)角度看，為功能安全而開發(fā)的這些技術(shù)也可以在安全領(lǐng)域中應(yīng)用�！�

再次，芯片在實(shí)際汽車中的位置將決定哪些威脅是相關(guān)的以及常見的弱點(diǎn)，奧伯格說�！叭绻�您查看ADAS系統(tǒng)，則行為異常的影響非常大。如果它位于另一個(gè)不太關(guān)鍵的系統(tǒng)中（例如控制AC的方式），那么問題對(duì)業(yè)務(wù)的影響就較小。它的重要性不如使用ADAS系統(tǒng)或控制制動(dòng)器的ECU，必須予以考慮。很難說，對(duì)于汽車中的每個(gè)芯片，這些都是威脅�？赡苡幸徊糠质钦�確的，但總的來說，您必須注意：“如果我要銷售ADAS系統(tǒng)，這就是我需要做的。如果我要向制動(dòng)ECU銷售，或者我在信息娛樂系統(tǒng)中，則過程仍然相同。但是相關(guān)的弱點(diǎn)和相關(guān)的威脅，將會(huì)根據(jù)前進(jìn)的方向而變化。這就是它復(fù)雜的部分原因。周圍有很多碎片�！�

結(jié)論

要解決安全性，可靠性，設(shè)計(jì)和驗(yàn)證之間所有這些相互作用的巨大壓力，汽車制造商必須打破其組織內(nèi)的孤島。根據(jù)所有人的說法，OEM已經(jīng)意識(shí)到他們必須召集團(tuán)隊(duì)來改善溝通和共同設(shè)計(jì)并驗(yàn)證硬件，軟件和系統(tǒng)。這是經(jīng)濟(jì)有效地管理自動(dòng)駕駛汽車開發(fā)復(fù)雜性的唯一方法。好消息是，這也為整個(gè)汽車生態(tài)系統(tǒng)帶來了新的機(jī)遇，以借助咨詢服務(wù)，工具和方法來支持所有這些工作。