内容提要：在本文中，我们将首先介绍功能安全，然后通过与CAN（控制器局域网）和FlexRay等传统IVN（车载网络）协议的比较，研究汽车以太网对功能安全的需求。然后通过对未来网络的探索确定对安全的进一步需求。

摘要
本文研究了汽车以太网对功能安全的需求。为此，使用ISO 26262标准，但也与传统IVN（车载网络）进行了比较。此外，未来汽车网络对汽车以太网的安全性有进一步的需求，我们也考虑和研究未来汽车网络的前景。通过这些努力，我们发现汽车以太网中有几个安全驱动尤其适用于交换机。
1.简介
汽车网联化、电气化和自动化大趋势正在快速发展。车联网来自车内互联、车内在线的需求。电气化由世界各国政府推动，制定排放法规。同样，世界各国政府减少死亡人数的目标，例如欧盟委员会设定的将死亡人数减半的目标，正在推动汽车行业转向自动驾驶汽车。在这些车辆中，对电子产品和半导体的需求将大大增加，主要是为了为车辆配备更多的传感器和处理能力。事实上，未来10 年，每辆汽车的半导体价值将增加一倍以上。这些架构需要更多的车内带宽，而功能安全将在这些车辆中发挥越来越大的作用。
从这些趋势可以清楚地看出，汽车以太网和功能安全将不可避免地成为现代和未来汽车的一部分。本文主要探讨以太网（特别是交换机和PHY）内部功能安全的需求。
在本文中，我们将首先介绍功能安全，然后通过与CAN（控制器局域网）和FlexRay等传统IVN（车载网络）协议的比较，研究汽车以太网对功能安全的需求。然后通过对未来网络的探索确定对安全的进一步需求。
2.功能安全简介
最初，例如对于防抱死制动系统，汽车行业通过IEC 61508标准证明功能安全合规性。然而，该标准是一个总括标准，允许个别行业（如核电行业和机械工程）从中导出他们的特定标准。在汽车行业，人们也很快意识到需要考虑特定需求。对“灾难性事件”不适用，也无法根据IEC 61508区分导致一名或多名人员死亡的事件。此外，IEC 61508中定义的SIL（安全完整性等级）需要调整，事实证明汽车系统通常需要在SIL2和SIL3之间进行分类。由于这些主要原因，汽车行业定义了汽车特定安全标准，最初针对乘用车和轻型多用途车。该标准称为ISO 26262，第一次修订于2011年11月发布。
之后对发布的标准进行新的修订，现在范围包括道路车辆（轻便摩托车除外），但卡车、公共汽车和（半）拖车也不包括在内。此外，还增加了针对半导体的指南。
在ISO 26262中定义了所谓的ASIL（汽车安全完整性等级），范围从ASIL A到ASIL D，其中ASIL D是最高安全等级。ASIL的含义本质上是特定汽车系统中剩余的残余风险有多少。实现ASIL所需的风险降低是通过减少随机和系统失效来实现的。系统失效是由人为错误引起的，可以通过适当的设计过程来避免。例如，随机失效可能是由热磨损或老化引起的。这些失效可以通过实施适当的安全措施（如自检、冗余或监控）来检测。还应注意，与硬件相关的失效可以是随机的或系统的，而与软件相关的失效将始终是系统的。
在开发符合ISO 26262的系统时，定义了两个主要阶段，即概念阶段和产品开发阶段。在概念阶段，第一步是执行相关项定义，它描述了系统及其环境，还包括代理（驱动程序）。之后进行危害分析和风险评估，识别和分析危害情况。现在还定义了安全目标，以防止危害事件造成的损害。现在将为每个单独的安全目标设置ASIL，参数级别如下：严重性、暴露性和可控性。评估也可能产生QM（质量管理）级别，在这种情况下，安全要求不成立。最后，在概念阶段，创建功能安全概念，其中包含功能安全要求以及功能安全验证标准。概念阶段定义的功能安全要求是基于架构的，即独立于硬件和软件。在产品开发阶段，即ISO 26262兼容系统开发的下一个主要阶段，会产生技术安全要求。架构中现在也引入了硬件和软件。系统设计和验证完成后，定义硬件和软件安全要求。之后，进行硬件和软件设计和验证。
2.1车辆安全
在现代汽车系统中，安全性发挥着至关重要的作用，而安全性的重要性只会在未来的联网（自动驾驶）汽车中越来越大。然而，安全和防护有时仍然混为一谈。我们将整体车辆安全定义为功能安全、网络安全和可靠性的折衷，参见图1。请注意，功能安全和网络安全是相互关联的，有时甚至可以权衡取舍。例如，如果我们将（以太网）消息真实性与安全性相关联作为主要要求，并将消息延迟作为基本安全相关要求，那么如果我们添加更多安全性（例如，成对密钥分发而不是单一密钥分发），这需要更多的资源并导致延迟。另一个例子，在 IEEE802.1 TSN（时间敏感网络）的范围内，我们可以将消息可用性视为对功能安全的主要要求，而将消息完整性视为对网络安全性的主要要求。帧复制和消除将提高可用性，但它增加了帧被黑客操纵的风险。
图1中要讨论和显示的另一个联系是功能安全性和可靠性之间的联系。设备可靠性取决于内在技术失效率，这与a.o.封装失效率和任务概况等其他参数一起用于计算硬件失效率。硬件失效率是ISO 26262中指定的失效模式影响和诊断分析的输入。

3.汽车以太网中的功能安全
在本节中，我们要确定汽车以太网的安全需求，为此我们从与传统IVN的比较开始。传统IVN中的主要协议是CAN、LIN（本地互连网络）、FlexRay和MOST（面向媒体的系统传输）。在表1中，我们将以太网与CAN和FlexRay进行比较，因为LIN和MOST通常不应用于安全关键应用。
3.1瞬态故障
瞬态故障是发生并随后消失的故障。瞬态故障可能是由瞬态干扰（例如ISO 7637中规定的）或EMC（电磁兼容性）或ESD（静电放电）事件引起的。由于以太网运行的数据速率明显高于传统IVN，以太网对瞬态故障的敏感性会更大。另一种瞬态故障是软错误。软错误是由alpha粒子（与设备封装相关）以及来自太空的宇宙射线引起的。由于这是瞬态和快速效应，它特别适用于锁存器和SRAM（静态随机存取存储器），它不仅会引起单事件混乱，还会引起多比特混乱。如表1所示，以太网是在CMOS技术中实现的，具有非常小的特征尺寸，但传统的IVN是在高压双极CMOS DMOS（双扩散金属氧化物半导体（double diffusion metal oxide semiconductor））技术中实现的，具有相当大的特征尺寸。此外，在以太网交换机中，有大量的数字处理和易失性存储器。所有这些都使得以太网必须考虑软错误率（包括安全机制），而CAN和FlexRay则不能考虑。
3.2 PMHF预算分配
在ISO 26262标准中，项目被指定为数组或系统数组，以在车辆级别实现功能。让我们将此定义链接到基于多个域的车辆架构，通过中央网关连接。很明显，对于许多ADAS（高级驾驶员辅助功能），如紧急制动或自适应巡航控制，整体实施将在ADAS领域进行，包括雷达和/或激光雷达等传感器和摄像头，以及在包含制动系统的动力系统领域进行。此互连将包含多个以太网交换机。
同样，安全目标也在车辆级别上定义，并且每个安全目标都有一个关联的PMHF（硬件失效概率指标）。该PMHF可以通过对各个系统求和来计算，如图2所示。

因此，为了满足PMHF对安全目标的要求，IVN（PMHFb）的PMHF，特别是包括以太网交换机，必须满足，

在ISO 26262标准中，潜伏故障是一种本身不会导致违反安全目标的故障，但与其他故障（例如总线上的位翻转）一起出现时可能就是这种情况。潜伏故障的一个示例可能是ECU 1的CRC模块中的失效，如图3中的红色叉号所示。在基于CAN的系统的情况下，其他ECU中的CRC模块现在仍将检测到另一个错误，如总线上的位翻转，并且这些ECU将发送错误帧，从而向融合ECU通知位翻转。然而，在基于以太网的实施情况下，当ECU 1和融合ECU之间的连接发生位翻转时，雷达ECU不会检测到，融合ECU也不会收到通知。图3中间描述了另一种情况，下一个失效现在是ECU本身的失效（而不是总线上的位翻转）。这种失效现在既不会被基于CAN的实现中的其他节点/ECU检测到，也不会被基于以太网的系统中的其它节点检测到。因此，需要针对CRC模块中的潜在故障采取安全措施，这通常是基于CAN的实现的情况，因为CRC模块随后在具有足够安全措施的微控制器中实现，然而，在基于以太网的系统中，CRC模块可能在交换机中实现。
4.未来网络
汽车行业正在走向自动驾驶。SAE定义了六个自动化级别，从“无辅助”到“无驾驶员”。
这将成为功能安全的主要进一步驱动因素。与较低自动化水平相关的汽车系统在出现问题时仍将有驾驶员作为后备力量，但这不适用于最高自动化水平。因此，对于这些车辆来说，确保冗余是很重要的。在本节中，我们将特别针对汽车以太网进行讨论。
4.1无缝冗余
标准以太网不具备无缝冗余。例如，RSTP（快速生成树协议）可能需要几秒钟的时间来重新配置。
对于无缝冗余，存在两个主要原则，第一个是PRP（并行冗余协议），其中冗余在网络拓扑中，流量在两个网络中复制。另一个主要原则是基于环形协议的HSR（高可用性无缝冗余），流量在两个方向上发送。我们将首先审查HSR原则，然后再审查PRP。
4.2 TSN（时间敏感网络）
时间敏感网络是标准的集合，这是最初在音频和视频桥接小组中完成的工作的延续（和重命名）。TSN的一种标准是IEEE802.1CB，拓扑如图4所示。
有一个发话器发送一个帧，该帧在左侧交换机中复制并在两个方向上发送，根据图4中的绿色和蓝色路径到右侧的交换机，这些帧包含一个序列数字。在右侧的开关中，消除了重复项并删除了序列标签。

该协议可以在交换机中处理，终端节点不需要额外的硬件或软件。从功能安全的角度来看，这种附加功能（更大的内存和处理能力）确实会影响安全指标，需要加以考虑。
此外，交换机中的失效可能导致协议失败。这也在图4中进行了说明。因此，SPF（单点失效）、PHY或入口带宽配置文件或（源MAC的）过滤可能会导致协议失效。类似地，交换机或传出PHY中的共因失效也可能导致协议失效。对于图4中右侧的开关，可以识别出类似的示例。还可以分别在发送方和接收方实现复制和消除，但这并不能解决我们刚刚发现的所有潜伏安全问题。
总之，在交换机中实施无缝冗余协议对功能安全具有重大影响，需要在交换机中采取安全措施。
4.3并行冗余协议
在PRP实施的情况下，硬件（部分）加倍。
这不会导致上一节中讨论的问题，但它可能是一个更昂贵的系统解决方案。
5.结论
汽车以太网是未来汽车架构的首选技术，这必须包括功能安全。功能安全就是降低风险，为此，产品措施和适当的开发流程都需要到位。
结果表明，设备可靠性、功能安全性和防护性相互关联，所有这些都有助于车辆安全。特别是功能安全和网络安全将在未来的车辆架构中扮演越来越重要的角色，它们相互关联，有时甚至处于权衡之中。
为了更好地理解以太网中对功能安全的需求，对传统IVN和以太网进行了比较，发现汽车以太网，尤其是交换机，与传统IVN有根本的不同，特别是w.r.t.技术和拓扑。这对功能安全有直接影响，例如为了处理SER。更大的数字内容和内存内容将需要进一步的功能安全措施。
进一步表明，以太网将是一个相关项的一部分，它将消耗与安全目标相关的部分PMHF，因此迫使以太网设备上的PMHF较低，如PHMF预算分配所示。
我们还讨论并审查了L2 E2E保护是否能以CAN中的可比方式包含在以太网中，但表明这需要仔细评估（如LPF所示的示例），以便在交换机中实施。
最后，我们讨论并回顾了未来的网络，尤其是容错网络，发现冗余硬件是必需的，但在HSR的专门要求中，交换机需要特殊的安全措施。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！