智己汽车：当电子电气架构迭代至中央集成式，如何布局其信息安全和功能安全？

智能网联汽车快速变革，用户需求导向的车载网联功能及产品层出不穷，而汽车的智能化、网联化也伴随着更高的安全风险及挑战。

“智能网联汽车的安全风险分为四层威胁和十二大风险。这四层包括：云平台威胁、通讯链路传输风险、汽车本身的智能终端风险，以及外部设备如充电桩和移动APP带来的风险。”2023年12月7日，在2023中国汽车功能安全与质量管理峰会上，智己汽车电子电气部兼云管端软件及安全部总监姚劲谈到。

针对以上风险，姚劲表示：“我们要制定相应的安全措施，如网联安全、内网安全和关键ECU安全。”

中央集成式电子电气架构的信息安全开发和功能安全领域，有哪些解决方案？姚劲结合他的实战经验展开分享。

姚  劲 | 智己汽车电子电气部兼云管端软件及安全部总监

以下为演讲内容整理：

电子电气架构发展趋势

在当前的汽车开发体系下，汽车已经成为了与手机类似的智能终端。传统的功能手机和汽车电子产业已无法满足消费者对安全和智能体验的需求。对于用户来说，他们需要更大的数据处理能力、更好的开放环境，以及更快的软件开发和迭代速度。

传统汽车网络拓扑架构的问题在于硬件堆砌导致成本上升，软件主要依赖于Tier1开发，没有快速开发的能力，通讯带宽低无法满足大数据实时传输的需求，且安全性差、冗余设计不足。

图片来源：演讲嘉宾素材

现在，行业已经完成了从分布式架构到中央计算架构的升级和改革。从最初的分布式架构过渡到域融合架构，再到“中央计算+区域网管”，结合云管端整个电子电气架构的模式。其开发模式也从传统的“烟囱式”架构方式转变为水平分层的方式，将所有功能整合在一起，然后由车厂进行整合发布和部署。这种模式可以加快软件的迭代和部署，更好地满足消费者对汽车产品功能的需求。

图片来源：演讲嘉宾素材

从目前来看，EE架构发展背后的逻辑主要包括用户需求、车厂期望以及新技术的发展。从用户需求来看，主要包括体验、性价比、服务和安全等方面的需求。从车厂角度来看，需要考虑经济性、供应链可控、保供、技术先进性以及开发敏捷性等因素。而新技术的发展则包括各种芯片技术的快速迭代、处理器算力大幅提升、车载通讯技术的发展、软件的标准中间件和服务架构的研发或量产经验等。这些新技术都会促进整个电子电气架构的升级，实现2B和2C的双重收益。

好的电子电气架构的核心点主要包括高集成度、可重用、可成长、高性能、低耦合和高开放这几大点。

图片来源：演讲嘉宾素材

中央计算和区域控制物理架构的形态，主要是将控制器的分层功能上移到整个大的计算平台，将软件迭代也聚焦在这个平台。同时，标准的中间件平台以及SOR架构设计可以实现软件与软件的解耦、标准化的交互接口实现硬件的解耦、车云和智能终端的互联互通实现算力共享。

从通信与服务和设备管理方面来看，包含了区域控制器向上层提供整车的设备抽象，提供平台化的信号接口实现IO和计算的解耦；向下提供设备驱动，兼容标准的ECU、执行器、预留的外设接口；也支持高带宽和低时延的通讯技术，实现区域的网关和区域的智能配电。

而驱动器、传感器和执行器则更多做了平台化的标准处理。简化了软件复杂度，具备基本执行高安全和高实时性的功能。后续做到硬件的热插拔、即插即用也都是我们的目标，打造可扩展、可升级、可替换的电子电气平台。通过软硬件解耦、平台化接口设计、标准中间件平台，赋能软硬件快速迭代。

图片来源：演讲嘉宾素材

算力需求在功能渲染、逻辑决策、图像渲染、音视频以及存储设置等方面体现得淋漓尽致，涵盖了座舱、智能驾驶和域控等各个领域。到现在为止，高通的主流智舱芯片提供的200k DMIPS算力，可以满足L3以下的智能驾驶需求，对于L2+也在500TOPS之内可以满足。车控方面，一般会预留20kDMIPS以满足决策需求。对于区域控制器，需要2-5kDMIPS的实时计算和控制能力，而标准的执行器一般小于2k。

在带宽需求方面，随着架构的升级，我们已经从早期的CAN、LIN以及100兆以太网，发展到了现在需要实现共享存储和OTA升级的阶段，带宽需求也在日益增加。目前，1个G的以太网已经成为业界主流，cinfd极大地拓展了cin即时通讯的能力。而GMSL和TI的FPD则能够达到24G的视频数据带宽传输需求。对于平台来说，区域控制器的主要任务还是控制信号的传输，目前100兆以太网已经能够满足其需求。

电子电气架构的升级也会带来一些技术挑战。从安全的角度来看，主要涉及两个方面：一是信息安全的需求，二是功能安全。

中央集成式电子电气架构的信息安全开发

随着大数据、云计算、人工智能、4G/5G蜂窝通讯技术、V2X技术、智能驾驶技术、信息安全及芯片/摄像头技术的蓬勃发展，带动了智能网联汽车的快速变革，用户需求导向的车载网联功能及产品层出不穷，但汽车的智能化、网联化也伴随着更高的安全风险及挑战。从2014年开始，安全风险就在与日俱增，尤其在信息安全和数据安全方面。

我们将智能网联汽车的安全风险分为四层威胁和十二大风险。这四层包括：云平台威胁、通讯链路传输风险、汽车本身的智能终端风险，以及外部设备如充电桩和移动APP带来的风险。针对这些风险，我们需要制定相应的安全措施。针对四层安全威胁，我们会采取三层安全机制：网联安全、内网安全和中央计算控制器的安全。 

通过AUTOSAR定义的安全标准组件来充分考虑安全风险，包括在设计时如何实施设计，如何确保真实性、完整性、身份认证、加密、身份管理、钥匙的更新和存储等等。从AUTOSAR本身来看，也考虑了安全设计的组件。

在整体云管端设计上，不仅要考虑汽车本身的安全，还要考虑运营平台、体系准入要求以及体系建设等方面的一体化网络安全方案。首先，我们需要匹配整车生命周期的安全流程体系准入要求，包括业界常讲的CSMS体系认证和整车出口的VTI认证。在运营方面，我们需要建立全方位车辆安全服务管理平台和运营中心以及态势感知平台来配合IDPS。在车端我们需要建立整车多层纵深防御安全体系包括国密PKI的证书体系、安全芯片以及整车和产品的零部件安全测试以及渗透测试等。这是一个综合的流程需要我们在整个汽车的生命周期内持续关注和执行。

为了确保网络安全，我们建立了相应的测试实验室。该实验室主要覆盖整车及零部件层级，类型包括安全复合型测试和渗透测试。实验室拥有零部件的测试台架和机柜，以及整车的测试实验室。这些实验室涵概了云管端以及最终的数据安全等方面的测试范围。

关于网络安全的渗透测试，我们主要从以下几个方面进行考虑：进场通讯、T-box的测试、云平台的测试、APP以及智舱和控制器的测试。这些渗透测试涵盖了各个关键板块。

在运营方面，我们通过整车部署的RDPS，将安全事件和潜在的供给上传到态势感知系统。这包括漏洞库的升级、事件的感知和响应以及处理等操作。以上是我们在新的架构升级下针对信息安全所做的一些工作。

中央集成式电子电气架构的功能安全开发

针对中央集成式的电子电气架构，功能安全本身的开发流程和手段并没有太大变化。我们仍然遵循26262的开发流程体系，构建整个系统模型，并根据功能分配到系统和零部件。我们引入相关的安全需求，定制系统方案和系统的安全机制，定义零部件的软件开发的需求和验证应力，以实现整个闭环管理。

从流程和开发方法上讲，我们认为并没有太大的变化。然而，针对目前集中式电子电气架构，系统集中功能安全的设计要求提高。在开发时，我们需要着重关注供应失效带来的功能安全风险，这是中央计算架构下功能安全需要重点考虑的。

在采用中央集成式的电子电气架构时，主干网采用车载以太网形成环网或非环网，并大规模应用车载以太网。功能安全相关的通讯链路除了传统的E2E要求之外，更多需要考虑像GPTP时间同步、多发选收以及折叠倒换等通讯冗余机制。

回到刚才的话题，在中央计算大脑里面架构层面的安全分析和设计需要进一步细化到控制器本身。原来在系统层面的设计现在要细化到控制器本身进行微观设计。这包含控制器本身的硬件和软件的开发。有总体的要求转变对车载智能计算基础平台、中央大脑和车控操作系统具体安全的要求。

其中，目前需要重点考虑五大块：

一是安全处理的处理单元，主要负责安全处理，包含多种硬件设计和专署的芯片。

二是MCU控制单元，主要负责运行车控相关的单一计算业务，一般主要是要给它定到ACLD的需求。

三是车载操作系统是车载智能计算平台的核心和软件站；我们把车控操作系统划分成智能操作，智能驾驶操作系统和安全车控操作系统两大块，对安全车控操作系统它的安全等级也是会划分到ACLD，这块要求也比较高。

四是操作系统内核来讲它主要是硬件分布的硬件架构，不同的单元加载的内核具备不同的功能安全等级，需要有安全等级的不同多内核设计。

五，核心是安全框架。特别增加了安全框架的设计，提供一系列功能安全的机制和措施，包括对硬件设备，操作系统，应用程序进行实时的监测，以及发现故障时的及时处理，实现安全隔离，防止故障蔓延，这是对整个中央车载智能基础平台硬件和软件方面安全设计的考虑。

举一个实例，在实例开发中，我们目前选用ACLD等级的MCU芯片，并采用内件自测的监测电路来监测这个电路的工作状态。此外，我们选用ACLD等级的电源芯片，实现冗余的监控。我们对独立监控的任务实现冗余的计算，采用两路独立输入，以避免因单一失效带来的供应失效。

中央计算对数据存储和通讯链路要求实时高效率，因此我们采用像既有校验这样的高效方法对数据进行存储和通讯校验。

（以上内容来自智己汽车电子电气部兼云管端软件及安全部总监姚劲于2023年12月7日在2023中国汽车功能安全与质量管理峰会发表的《中央集成式电子电气架构的安全开发》主题演讲。）