上海電驅動梅友忠：如何降低功能安全成本、滿足高國產化功能安全產品技術需要思考

第一電動大牛作者 NE時代 2023-07-06 22:22

6月27日，在2023第三屆xEV全球驅動系統技術暨產業大會，上海電驅動研究院副總工梅友忠提到：“Tier1的安全目標和功能安全需求可以來自主機廠，也可以基于充分的市場需求分析后基于一些假設得出……怎么平衡安全性和可用性，在功能安全開發中是比較有挑戰的話題……”。

隨著新型E/E架構的演變，功能安全要向網絡、數據、隱私安全合規擴展，最后面向服務的架構SOA可能要基于用戶思維、軟件思維、硬件思維從整車系統和部件角度，開展從上到下的安全架構設計。

以下是演講實錄。

梅友忠：大家下午好，感謝前面的嘉賓徐總講了很多功能安全和信息安全的信息，讓我平滑地切入今天要分享的主題。功能安全這個話題大家都知道，幾年前就很火，但是那個時候能落地的并不多。今天我分享的話題有三個部分，第一，基于我司新平臺產品的功能安全實踐。第二，簡單講一下去年開始比較火的ISO/SAE 21434和電驅動系統信息安全要落實的技術環節。第三，淺談一下三個安全的趨勢和目標。

先簡單回顧一下功能安全要做的事情。右上角是功能安全的定義，不存在E/E系統的功能異常表現引起的危害而導致不合理的風險。我做了一個總結，功能安全的主題是風險，通過People團隊能力，Process體系流程和Product產品技術最終減少和避免系統性失效，還有就是控制隨機硬件失效。首先是相關項定義，Tire1在平臺開發時做一些假設，也會有危害分析及風險評估的環節，得到假設的功能安全目標和安全需求，然后在系統、硬件、軟件層面做一些開發驗證活動，最后是系統層級的安全確認和整車層級的安全確認。電驅動系統的功能安全開發涉及了ISO26262,2018標準中幾乎所有部分的要求。

下面展示的是實實在在的電驅動產品功能安全開發步驟。我們要做一些HARA分析，會有嚴重度、暴露度和可控性的打分，然后得到我們假設的安全目標的ASIL等級。這里展示了系統層級的安全目標，我們可以看到非預期扭矩過大是目前我們系統里面最高安全等級的目標。在系統技術安全概念設計階段，基于QM系統的架構設計還會就一些功能模塊得到技術安全需求，也會有一些安全機制狀態轉換的設計在里面。

功能安全強調一致性和追溯性，不管是安全需求、架構元素或是功能模塊。以扭矩控制功能的功能安全開發為例，扭矩功能是放到功能核里面，監控放在監控核里面，還會部署OS和基礎服務軟件。我們從SG、FSR到TSR，TSR分解到軟硬件需求，TSR要對應到系統架構元素上，硬件安全需求是要對應到硬件架構的元素上，軟件安全需求也是要對應到軟件的架構元素上。

這里說一說FMEA，功能安全系統、軟件和硬件層級的開發會用到這個方法，功能安全FMEA分析的對象是電氣系統，而FMEA本身是適用于所有系統的，例如機械系統。功能安全FMEA分析是存在風險的，主要目的是識別產品所有故障以及故障能造成的風險，進而對所有的風險制定相應的措施來控制和降低風險。

接著展示的是功能安全硬件架構，主控芯片、SBC、驅動和邏輯電路等，我們都是按照ASIL D的要求設計集成的。硬件層面的開發，會涉及硬件安全需求、硬件安全分析FMEA/FTA，還有關聯失效分析，也會有一些硬件的安全機制設計。關于FMEDA計算，這里展示了我司新平臺產品基于扭矩安全目標的實際計算值，會有一些主觀性，但是整體結果已經滿足指標要求。

再談談軟件功能安全開發的關注點，例如軟件架構基于AUTOSAR CP并滿足EGA3層架構的要求；符合ASPICE2要求的V模型開發；基于MBD開發，配置生成代碼，減少手工代碼量；應用軟件安全分析和關聯失效分析；最后是應用符合功能安全要求的軟件組件和軟件工具。

功能安全里面為何會推薦使用AUTOSAR CP呢？首先強實時性是我們電控系統必須具備的前提，AUTOSAR CP滿足這個要求；而CP靜態資源分配的特點，因為不允許你對任務資源進行動態創建和回收，某種程度上保障了安全；還有空間分區、時間保護、錯誤處理機制，能夠很好地滿足功能安全要求。

AUTOSAR CP里面有四大功能安全機制，內存分區、時間監控，邏輯監控和E2E保護。時間監控要保證軟件的運行正確時序和正確的時間分配；邏輯監督要保證軟件運行實體是不是按照正常的邏輯順序執行的；E2E保護，例如常見的CAN通訊對于信息數據有安全完整性的要求，要應用端到端的保護。

再說一說芯片層級的功能安全，我們常說的功能安全庫，level3層級的硬件安全機制是需要有軟件機制配合實現的。這里假設有一個芯片層級的硬件機制，可以看到需要兩個軟件機制去配置使能并通過相關寄存器去檢測它的狀態，最后還要做一些故障處理的單元設計，這也是軟件安全設計的一部分。如果這個故障狀態還要反饋給應用層，還需要有應用接口的設計。曾經我要思考軟件本身怎么達到ASIL D要求呢？隨著項目的開發和最終落地，我個人有了一些結論：簡單來說就是標準要求你做的你一定要做，要用先進的軟件質量方法，比如要ASPICE的方法嚴格執行，還有應用一些新的軟件開發技術。總之要有嚴格的過程，按照標準要求的開發和驗證方法去執行。

再說一說功能安全測試，我們以前可能不會把測試單獨拎出來講，然而實際功能安全開發過程中，尤其是高ASIL等級要求的系統，故障注入測試會做得比較細致，例如存儲器、寄存器、時鐘和安全驅動對應的安全機制的測試；還有AUTOSAR軟件運行周期的監控和截止時間，需要測試軟件實體是不是被正確執行。后面隨著新的E/E架構的發展，安全測試也會面臨很大挑戰。如何確保實現所有需求？如何提升案例復用率？如何提升迭代效率？如何提升自動化流程？如何可持續地集成開發和驗證？這一系列問題都是需要應用更先進的測試驗證技術去解決的。關于功能安全產品的開發還有一個值得深思的問題：功能安全如果做得過度安全容易誤報故障，會影響可用性。這個問題可能大多數還是因為有一些點驗證不到位，需要更多的試驗數據去校正這些點。怎么平衡功能安全和可用性是功能安全開發當中是比較有挑戰的話題。

這里大致總結了一下功能安全產品開發相對于傳統的QM產品開發有哪些不一樣的地方，藍底色的是新要求的，黃底色的是需要強化的。

綜上所述，從體系、相關項、概念、系統、硬件、軟件、驗證和確認環節對功能安全開發的整個過程作了提煉。

下面簡單談一下功能安全和信息安全的融合，熟悉ISO26262標準的都知道所示的Overview目錄和功能安全標準的目錄差不多，也包括了公司層級的安全管理、項目層級的安全管理，也有概念設計階段、產品設計開發和驗證階段的要求，整體來看也是根據V模型的思路來的。現有的ISO/SAE 21434標準并不厚，里面缺少了一些技術實踐的指導，主要還是針對體系流程而言的。

接下來就簡單說一說TARA分析，功能安全是通過HARA得到安全目標等級，信息安全是通過TARA分析得到信息安全等級和CAL等級。風險評級和風險處置決策這個步驟完了之后基本的信息安全的目標和需求也就可以得到了。可以選擇是把識別出來的風險避免或減少，或是由多個系統分擔這個風險，再或者是轉移這個風險，當然也有可以被接受的風險。CAL等級是信息安全保證等級，這個值越高，后續的開發過程包括測評環節就越需要重點關注。那么TRAR是如何和功能安全聯系在一起的，實際上不同的ASIL等級，綜合攻擊可行性，也是得到信息安全等級的一種方法。至于CAL等級的評價，則參考右側的這個評分矩陣。

再回到我們的電機控制系統，信息安全目標和需求有了，下一步就該考慮硬件層面和軟件層面怎么落地的問題了。對于我們這個系統來說，硬件層面的實現措施：不使用外置存儲器、應用安全模塊HSM、預留足夠存儲空間（內存空間要變大，因為要預留足夠的空間做一些信息安全相關的事情）、安全的芯片封裝（例如BGA封裝）、隱匿芯片標識信息、關鍵引腳分散布局、調試口去除并隱藏和設置安全身份認證；軟件層面的實現措施：SecOC、安全啟動和安全刷寫等。信息安全里面安全措施例如SecOC機制對功能安全是有增益作用的，功能安全強調的E2E機制可以保證信息的完整性，SecOC則可以進一步保證CAN信息的授權合法性。信息安全的開發會涉及AUTOSAR的升級，需要集成AUTOSAR加密協議棧，它集成了一些安全機制和加密服務。還會涉及HSM核和主核的交互，從而需要部分調整一些軟件安全架構的設計，例如啟動流程的適配，時鐘、內存分配等等。

這里簡單總結一下信息安全標準，21434只規定了E/E系統概念、開發、生產、運行、維護和報廢各階段的管理要求，而對于工程技術實現并給出細節的要求。這里補充一點：信息安全的測評要比功能安全的要求更高。

接著簡單地講講新型E/E架構下的功能安全技術的發展。大家可以看到傳統架構是基于不同功能分布的，慢慢地會把一些功能集成到一起，也叫功能融合。功能充分融合后慢慢分成幾個功能域，稱之為域控制器。接著還會有域的融合，最后還有中央集成式和面向服務的架構。隨著新型E/E架構的調整，功能安全架構也要跟著調整，主要的是軟件架構、硬件架構和通信架構。模塊化、標準化、開放化在現在來看其實它已經不是什么新鮮的詞了，功能安全開發要向網絡、數據、隱私安全合規擴展，最后面向服務的架構可能要基于用戶的思維、軟件的思維、硬件的思維從整車系統和部件的角度，開展從上到下的新的安全架構設計。總而言之，架構服務化帶來的信息安全和功能安全的挑戰，應該會從結果安全向管理體系、架構設計、開發、集成、測試和生產制造全過程安全可控擴展。

簡單總結了一下功能安全最后的發展趨勢和目標，第一步建立了體系也有相關的產品；第二步就是全面落地量產；第三步就是建設智能安全平臺，包括自動化管理平臺、自動化開發驗證平臺和自動化安全集成；第四步就是生態安全，我們還要考慮敏捷開發和敏捷驗證。關于功能安全這里有三個問題是值得我們進一步思考的，我們知道功能安全總的來說是要增加成本的，滿足低成本目標的高功能安全產品技術怎么實現？滿足高可用性目標的功能安全產品技術如何落地？現在還要推國產化，滿足高國產化功能安全產品技術怎么實施？

這里總結預期功能安全的發展趨勢和目標。第一步SOTIF開發和驗證體系建設。第二步全場景SOIFT體系落地。第三步高度安全的自動駕駛。最后是信息安全的發展趨勢與目標，先有開發體系的建設，然后開展規模應用，最后有全面的信息安全產業生態并可持續發展。