随着诸如自动驾驶之类的新技术的引入,汽车软件开发需求正在增加。在此过程中,电子控制单元(ECU)和软件功能的数量正在增加,就像接管越来越多的驾驶任务的各个功能的复杂性一样。
据估计,可能有超过1亿行代码,而一辆高级车辆可能具有100多个控制单元。但是,在这些高度复杂的整体系统中,尤其是在车辆互连性不断提高的情况下,如何才能满足功能安全和网络安全的要求?高质量是当今汽车软件开发的基础,而诸如汽车SPICE之类的过程模型是坚实的基础。
AUTOSAR和功能安全
适当的软件体系结构是业界满足这些功能和非功能要求并同时试图控制复杂性的最重要方面。通过AUTOSAR已定义了标准化的体系结构。它允许制造商和供应商之间使用“通用语言”。在此框架中,不仅要确定功能要求和软件组件,还要确定用于描述应用程序,接口和其他元素的数据格式。这种标准化还可以实现OEM和供应商生态系统之间现在常用的合作模型。改善的合作关系显着提高了软件组件的重用性,并总体上提高了质量。
(*图1:Elektrobit的AUTOSAR架构,扩展了功能安全的标准组件)
安全的多核系统
从无提示到操作失败
联网车辆和网络安全
网络安全在汽车系统开发中一直很重要。诸如发动机防盗器,安全电子钥匙或里程表读数的安全保存之类的系统已经是基本设备。但是,车辆之间不断增加的互连性给行业带来了挑战。现在提供在线产品可以从许多制造商处获得:车辆诊断可以部分远程执行,交通信息可以实时传输,导航系统的地图信息可以自动更新。与IT的基本规则一致,“无论什么连接都将受到黑客的攻击”,安全性和数据隐私的系统方面在汽车工业中也越来越突出。通过远程访问或Internet对系统进行的首次成功攻击已经公开,并引起了强烈的反响。为此,SAE于今年年初发布了用于开发安全系统的手册[1]。该手册同时描述了过程和方法,并从ISO26262的生命周期中衍生而来。它本身不是标准,但是在文档中,总结了诸如研究程序或标准以及迄今为止的出版物之类的基本工作。从这个意义上讲,这是一个宝贵的贡献,可以作为引入流程和方法的切入点。
共同考虑安全保障
功能安全性和网络安全性的两个方面通常被孤立地考虑,并且彼此独立。在组织上,任务也分配到汽车公司的不同部门。但是在车辆中,这两个方面必须同时实现。因此,有必要使流程和开发彼此同步。从系统工程的角度来看,这是有道理的,因为在此领域中,功能安全性仅被视为专业工程,而不是彼此隔离。这种认识早已在其他行业中确立,例如在航空工程或机车工程中。
(*图2:用于系统工程的组合过程模型)
与功能安全类似,实际上,安全的目标也是将用作方案基本组件的基本机制标准化。因此,AUTOSAR已经具有加密功能和接口的基本库,并定义了控制单元之间的安全或加密通信。根据使用情况,这些基本组件可以在保护要求较低的简单系统中完全用软件开发,也可以依靠专用硬件。在EVITA项目中,提出了各种方案和系统。因此,具有高保护要求的系统可以使用硬件组件,例如硬件安全模块(HSM)。
在未来的系统架构中,对车辆的在线访问特别重要,必须同时满足功能安全性和安全性的要求。例如,“智能”天线被指定用作车辆的中央接入点,因此配备了远程信息处理功能。此外,它可以执行必须与基本功能隔离的动态应用程序(图3)。
(*图3:结合带有远程信息处理单元的“智能”天线示例的组合架构)
当今,ECU的体系结构要求变得更加复杂。通过标准架构,功能安全性,安全性,多核系统和可用性等方面的组合,可以设计可靠的系统,并根据用例理想地评估和组合各个系统方面。图4显示了各种系统方面的可能解决方案。
在具有实时性和功能安全性要求的经典多核系统中,使用了AUTOSAR体系结构。向具有安全性要求的动态系统过渡将是不稳定的。对于各种情况,都需要结合可以从工具箱中获取的标准元素的灵活“配方”和特殊的解决方案。这些系统一起加入了自动化软件工厂,以确保质量并提高效率,最终使安全和自动驾驶成为可能。