Автомобильная экосистема начинает смещаться в сторону зональной архитектуры, что делает функциональность автомобиля менее зависимой от базового оборудования и обеспечивает большую гибкость в выборе того, что и где обрабатывается.
Влияние этого сдвига является одновременно широким и значительным. Для автопроизводителей это может привести к консолидации оборудования и расширению возможностей аварийного переключения в случае, если что-то пойдет не так с какой-либо системой автомобиля. Предыдущие конструкции требовали специального электронного блока управления (ЭБУ) для каждой функции автомобиля и предлагали мало вариантов, кроме резервирования, которое дорого обходится и увеличивает вес. Но зональный подход также меняет способ реализации безопасности, и вопрос о том, сделает ли это транспортное средство более или менее безопасным, может занять годы, прежде чем кто-либо даст окончательный ответ.
«Раньше в системе не было гибкости», — сказал Роберт Швайгер, директор по автомобильным решениям компании Каденция. «Для каждой функции был предусмотрен один аппаратный блок, предназначенный, например, для антиблокировочной тормозной системы или подъема окон. Он был посвящен делу, и не было никакой гибкости».
Рис. 1: Функциональная защитная электроника в действии. Источник: Каденс
В зональной архитектуре центральный вычислительный блок окружен зональными контроллерами, которые также обладают большой вычислительной мощностью. Определенные функции, выполняемые на центральном компьютере, назначаются для запуска на конкретном зональном контроллере для выполнения предварительной обработки на зональном контроллере. Эти предварительно обработанные данные затем передаются в центральный вычислительный блок для выполнения чего-то другого.
«Это дает возможность использовать очень мощную аппаратную архитектуру для самых разных целей и позволяет использовать дополнительный аспект консолидации оборудования. Не только объединение функций, но и объединение оборудования в более мощные блоки, что приводит к экономии средств. Экономия затрат всегда является ключевым аспектом в автомобилестроении, которым нельзя пренебрегать», — пояснил он.
Дополнительная масштабируемость в любом направлении достигается за счет добавления дополнительных зональных контроллеров или удаления некоторых из них для автомобилей начального уровня, сохраняя при этом гибкость в назначении определенных функций оборудованию.
Проблемы безопасности
По сути, переход к зональной архитектуре означает замену различных, слабосвязанных, специфичных для домена путей передачи данных сетевой инфраструктурой, которая действует как супермагистраль данных с точками доступа в каждой зоне, объяснил Роман Пальерер, директор автомобильных сетей компании Elektrobit. Это означает, что пакеты данных теперь можно легко направить в любую точку сети.
«Хотя такая бесперебойная связь «что угодно и где угодно» предлагает множество преимуществ и помогает снизить затраты, она увеличивает вероятность новых нарушений безопасности», — сказал Паллиерер. «По соображениям безопасности не каждая часть сети должна иметь возможность свободно взаимодействовать с другой частью сети. Например, связь с функциональным блоком, предназначенным для автономного вождения, должна быть ограничена дополнительными механизмами безопасности».
Цель с точки зрения безопасности состоит в том, чтобы обернуть все в уровни безопасности, а не просто сосредотачиваться на подсистеме, обеспечивая при этом некоторую гибкость в том, как отразить атаку.
«Это кибербезопасность на уровне IP, на уровне SoC, на уровне платы, на разных уровнях внутри разных программных модулей», — сказал Курт Шулер, вице-президент по маркетингу компании Артерис ИП. «Это должен быть настоящий подход «пояса и подтяжек».
Автомобильная промышленность начинает использовать стандарты, разработанные совместно с такими организациями, как SAE, ISO и IEEE, что указывает на то, что этот рынок очень серьезно относится к безопасности.
«Это как страховка», — сказал Шулер. «Никто об этом не знает, никого не волнует, никто не сможет сказать, существует ли оно там. Я вложил в него все эти деньги, но никто не взял мои машины в заложники и не установил на мой компьютер программу-вымогатель, так что я вложил их зря». Однако в случае чего-то подобного, когда в прессе появляется сообщение о том, что кто-то может что-то взломать, это на определенный период лишит отрасль возможности вывести эти новые технологии на рынок. У людей действительно есть стимул, хотя бы по этой причине, а не из-за того, что «Эй, на тебя подадут в суд, потому что у тебя не было кибербезопасности».
Это особенно важно, поскольку в новые автомобили внедряется множество новых технологий. «У вас есть только один раз, чтобы произвести первое впечатление», — сказал он. «Вы пытаетесь изменить поведение человека. Если действительно легко взломать, скажем, автономный грузовик и превратить его в машину террористов, или если какой-нибудь ребенок просто ради развлечения сделает с ним какую-нибудь глупость, это вызовет резонанс в прессе. И это остановит эти компании от желания иметь дело с этой технологией».
Это не означает, что зональная архитектура решает все проблемы. Но оно предоставляет возможности для улучшения безопасности с течением времени по мере выявления новых уязвимостей.
«Если вы посмотрите на то, как сегодня разрабатываются зональные архитектуры, то, по большому счету, идея состоит в том, чтобы повторно использовать ЭБУ для торможения, рулевого управления и тому подобного, как есть, насколько это возможно», — сказал Дэвид Фриц, старший директор по автономным технологиям и ADAS в Siemens Digital Industries Software. «Центральный вычислительный центр выполняет все дополнительные вычисления, которые раньше не требовались. Затем все выходит в зону, и зона повторно использует существующее оборудование. Это промежуточный шаг. Это практический шаг, потому что вы можете получить автономный интеллект уровня 4 и уровня 5, но вам не придется беспокоиться о мехатронных аспектах и его перепроектировании».
Для некоторых компаний даже это слишком обременительно. «Нет причин, по которым логика управления тормозными суппортами не может быть реализована в центральном компьютере, а затем вы подключаетесь непосредственно к самому исполнительному механизму», — сказал Фриц. «Итак, они рассматривают датчики и исполнительные механизмы, с Автомобильный Ethernet связи. В том случае, как они реализованы сегодня, уязвимость зональной архитектуры промежуточного уровня аналогична уязвимостям обычных автомобилей, так что особой выгоды от нее нет. С другой стороны, как только они доберутся до автомобильного Ethernet, до самого привода, тогда единственный способ вторгнуться в систему — это использовать эквивалент межсетевых экранов и тому подобное, которые вы помещаете в центральную вычислительную систему. . В конце концов, у вас будет гораздо более безопасная система, чем сейчас, даже несмотря на то, что она зональная, поскольку сама зона использует такой же интерфейс. Все это делается аппаратно, но не программно, потому что вы не можете взломать аппаратное обеспечение, но можете взломать программное обеспечение. Так что это смешанная картина».
Единого подхода к безопасности не существует, отчасти потому, что постоянно возникают новые угрозы, а отчасти потому, что автомобильная архитектура постоянно меняется.
«Безопасность означает что-то свое для каждой компании, и у каждого есть свое собственное представление о том, как реализовать супербезопасную систему, которая сочетается с безопасностью, потому что не бывает безопасности без безопасности, и наоборот», — сказал Швайгер из Cadence. «Если система небезопасна и я могу манипулировать тормозной системой, то она уже не безопасна. Если вы послушаете специалистов по безопасности, они всегда говорят о поверхности атаки. Чем больше возможностей подключения к внешней среде, тем больше возможностей у злоумышленников для системы. Если существует связь между транспортными средствами или связь между транспортными средствами и инфраструктурой, или если есть доступ к облаку, или Ethernet в автомобиле и провода Ethernet доступны, это также потенциально может привести к проникновению в систему. . Если это очень настраиваемая и тесно связанная система, то, конечно, у нее должно быть больше возможностей для взлома».
Однако в чем автопроизводители согласны, так это в необходимости встроить безопасность как часть архитектуры, а не пытаться наложить ее поверх существующей конструкции. «Безопасность — это не одна из тех вещей, которые можно добавить позже», — сказал Крис Кларк, архитектор автомобильных решений в компании Synopsys. «Поэтому, даже если у меня сегодня есть традиционная модель или я перейду к зональной модели в будущем, мне придется обеспечить эту безопасность. И поэтому я по своей сути получаю безопасные функции хорошей практики кибербезопасности и хорошо развитой инфраструктуры».
Безопасность выходит за рамки легковых автомобилей. Грузоперевозкам также уделяется немало внимания, и в этом сегменте соображения иные.
«Когда мы думаем о наших потребительских автомобилях, они действительно автономны», — сказал Кларк. «У нас есть возможность обновления по беспроводной сети, с помощью которой мы получаем обновления информации об автомобиле и решаем проблемы кибербезопасности. С тяжелыми грузоперевозками ситуация будет такой же. Будут те же самые возможности и решения. Разница в том, что мы всегда думаем о грузовике, а не о прицепе. Чтобы достичь необходимого уровня эффективности, трейлеры также начнут приобретать некоторые навыки. Им придется участвовать в общем плане торможения, будь то холодильная установка или обычная установка, а также использовать расширенные функции, такие как балансировка и управление весовой нагрузкой. Во всех этих компонентах есть электроника, и гораздо проще взломать прицеп, который будет подключен к тяжелому грузовику, и получить физический доступ к внутренней сети этого тяжелого грузовика».
Ответственность за надежность тяжелого грузовика по-прежнему будет лежать на OEM-производителе, и это не изменится. «Что меняется и все еще остается предметом дискуссий и дискуссий, так это то, кто теперь несет ответственность за общую кибербезопасность всего автомобиля, и на этот вопрос еще нет ответа», — сказал Кларк.
Это также означает, что с точки зрения отрасли до сих пор остаются без ответа вопросы о том, как развертывать зональные архитектуры на уровне экосистемы. Дэйв Прискак, вице-президент по разработке приложений в onsemi, сказал, что зональная архитектура может иметь смысл для одного OEM-производителя, но это очень сложно распознать с точки зрения отрасли.
«У зонального наблюдения за датчиками есть много преимуществ», — сказал Прискак. «Благодаря группировке, о которой мы много говорим, поскольку у нас есть как изображения, так и лидар, есть преимущества в том, что эти типы датчиков более тесно связаны, а также немного более автономны в своей зоне, чтобы попытаться получить некоторые тяжелого подъема с центрального мозга».
С архитектурной точки зрения здесь есть много проблем. «Мы не заметили особых изменений в этой сфере, потому что на самом деле вы просите, чтобы все компании, производящие продукты в этой сфере, изменили свой интерфейс», — сказал он. «Таким образом, даже если вы получаете OEM-производителя, который говорит: «Вот как мы хотим спроектировать автомобиль», вы должны иметь на борту все устройства уровня 1. Все должны согласиться, что именно так они собираются разрабатывать интерфейсы для этих продуктов, чтобы они сочетались друг с другом. Я вижу, как это происходит на микроуровне, но для того, чтобы один из OEM-производителей сказал: «Это то, что мы собираемся сделать», потребуется сила природы, потому что это неестественно. В настоящее время большинство камер говорят низковольтная дифференциальная сигнализация (LVDS), а может быть коаксиальный кабель. А если мы перейдем к зональной архитектуре, она может перейти к Ethernet, а это означает, что теперь все, что находится на узле Ethernet, должно изменить интерфейсы. Чтобы изменить эти большие проблемы, требуется очень много усилий».
Показательный пример: «Мы говорим о переходе от CAN к Ethernet уже около пяти лет? Не было большого движения, потому что для достижения согласия нужны обе половины», — сказал Прискак. «Все меняется, но в автомобилестроении эти изменения происходят очень медленно. Мы не делаем задачу проще, потому что с каждым годом она становится все сложнее и сложнее: мы добавляем все больше и больше технологий, все больше и больше полупроводников. Это усложняет достижение стандарта».
Когда преимущества перевешивают затраты на внесение изменений, тогда эти изменения будут реализованы более широко. «Чтобы сделать автономные транспортные средства реальностью, нам необходимо сократить объем вычислений, необходимых для практической реализации», — сказал он. «В какой-то момент должна возникнуть зональная архитектура, чтобы разгрузить часть глубокого мышления центрального хост-компьютера и обеспечить большую автономию зон, чтобы иметь возможность обнаруживать объекты и другие вещи, чтобы вы просто отправляли предупреждение большому мозгу, а не отправлять все необработанные данные в большой мозг, чтобы он принял одно решение на основе всех потоков данных. Сейчас все в порядке, потому что мы не находимся в автономном режиме. Таким образом, мы можем рассматривать вещи независимо, например, ведение по полосе движения как нечто отдельное, защиту IP как нечто отдельное. Но когда вы начнете собирать все это воедино, в багажнике окажется гигантский компьютер Cray».
Ключевым моментом здесь является продуманная защита сложной системы.
«Если вы используете подход, предусматривающий проектную безопасность, вы можете использовать подход с использованием контроллера домена или подход с зональной архитектурой», — сказал Моше Шлизель, генеральный директор GuardKnox. «Пока у вас нет архитектуры, в которой подсеть, содержащая ЭБУ тормозов, имеет подключение к Интернету, пока у вас нет таких странных архитектур и вы принимаете во внимание эти проблемы, тогда у вас есть защищенная архитектура. Однако зональная архитектура гораздо более эффективна, как правило, с точки зрения самой архитектуры, но также и с точки зрения стоимости жизненного цикла, поскольку, если вам не требуется отзыв или вы используете профилактическое обслуживание, поскольку существует возможность подключения и мониторинга. и вы понимаете, что происходит в автомобиле, собираете данные, можете прогнозировать и устранять эти проблемы, прежде чем они станут массовой проблемой, вот и все. Оставим в стороне тот факт, что мы знаем, что грузовики наверняка будут подключаться к инфраструктуре, а это уже другая область. Если вы построите его правильно, то он будет не только экономически эффективным, он будет не только выполнять свою работу, но и будет безопасным».
Изменение автомобильной архитектуры
Что меняется, когда автомобили проектируются с учетом перемещения данных.
Центры обработки данных на колесах
Автопроизводители переходят на чипы HPC для повышения производительности и снижения стоимости системы.
Победит ли автомобильный Ethernet?
Почему так сложно дать однозначный ответ и каковы другие претенденты.
Конкурирующие подходы к Auto Sensor Fusion
Стоимость, объем данных и сложность определяют множество решений.
Центр автомобильных знаний
Главные статьи, видеоролики, блоги, официальные документы и специальные отчеты по автомобильной электронике.
Источник: https://semiengineering.com/zonal-architectures-play-key-role-in-vehicle-security/.
- доступ
- Учетная запись
- Действие
- дополнительный
- Все
- Позволяющий
- Приложения
- архитектура
- ПЛОЩАДЬ
- около
- автоматический
- автомобилей
- автомобильный
- автомобильная промышленность
- автономный
- автономный грузовик
- автономные транспортные средства
- блоги
- доска
- Коробка
- нарушения
- строить
- Строительство
- Каденция
- камеры
- автомобиль
- заботится
- легковые автомобили
- Генеральный директор
- изменение
- чипсы
- облако
- Связь
- Связь
- Компании
- Компания
- Вычисление
- вычисление
- связи
- Коммутация
- связь
- консолидация
- потребитель
- контроллер
- Расходы
- Информационная безопасность
- данным
- Дейв
- сделка
- дебаты
- Проект
- развивать
- Интернет
- директор
- вождение
- Падение
- экосистема
- Эффективный
- затрат
- Electronics
- Проект и
- Особенности
- Фига
- First
- соответствовать
- Трансформируемость
- fun
- функция
- будущее
- хорошо
- мотыга
- Управляемость
- Аппаратные средства
- здесь
- Как
- How To
- HTTPS
- идея
- IEEE
- Изображениями
- Влияние
- В том числе
- промышленности
- промышленность
- информация
- Инфраструктура
- страхование
- интеграции.
- Интеллекта
- Интернет
- IP
- вопросы
- IT
- работа
- Основные
- знания
- большой
- вести
- уровень
- Уровень 4
- Кредитное плечо
- дело
- легкий
- Ограниченный
- загрузка
- Длинное
- Создание
- управление
- рынок
- Маркетинг
- смешанный
- модель
- деньги
- Мониторинг
- сеть
- сетей
- сетей
- Новости
- Предложения
- Хорошо
- Опции
- заказ
- организации
- Другое
- PC
- Люди
- производительность
- перспектива
- физический
- Играть
- мощностью
- президент
- нажмите
- Продукция
- для защиты
- защиту
- вымогателей
- Сырье
- необработанные данные
- Реальность
- причины
- уменьшить
- Отчеты
- РОБЕРТ
- Катить
- Run
- Бег
- безопасный
- Сохранность
- Масштабируемость
- бесшовные
- безопасность
- нарушения безопасности
- Полупроводниковые приборы
- смысл
- датчик
- Поделиться
- сдвиг
- умный
- стащить
- So
- Software
- Решения
- РЕШАТЬ
- Space
- стандартов
- Начало
- Истории
- потоки
- подали в суд
- Поверхность
- система
- говорить
- технологии
- Технологии
- Будущее
- мышление
- угрозы
- время
- топ
- грузовик
- Грузоперевозки
- Грузовики
- Обновление ПО
- Updates
- автомобиль
- Транспорт
- Против
- вице-президент
- Видео
- объем
- Уязвимости
- уязвимость
- КТО
- выиграть
- в
- Работа
- год
- лет