|
目前談到汽車電子主動(dòng)安全系統(tǒng),最火熱的概念莫過(guò)于自動(dòng)駕駛技術(shù)。雖然自動(dòng)駕駛技術(shù)當(dāng)前仍然停留在概念階段,但是隨著年初在美國(guó)拉斯維加斯舉辦的CES消費(fèi)電子展和前幾個(gè)月剛剛結(jié)束的上海車展以及亞洲CES消費(fèi)電子展的舉行,多款自動(dòng)駕駛概念車的發(fā)布讓人們看到了自動(dòng)駕駛技術(shù)量產(chǎn)的希望。 然而自動(dòng)駕駛技術(shù)的量產(chǎn)化還需要面對(duì)兩大挑戰(zhàn)——激光傳感器的小型化以及互聯(lián)通訊中的網(wǎng)絡(luò)信息安全Cyber Security。本文將詳細(xì)介紹應(yīng)對(duì)這兩大挑戰(zhàn)的解決方案。針對(duì)激光傳感器的小型化,一種緊湊且高性能的多核微處理器被用來(lái)在緊湊的產(chǎn)品尺寸中基于回波傳輸時(shí)間Time-Of-Flight(TOF)原理實(shí)現(xiàn)高功能安全要求的激光掃描儀。針對(duì)互聯(lián)通訊中的網(wǎng)絡(luò)信息安全Cyber Security,一種基于具有硬件信息安全模塊的微處理器和一種基于公鑰和密鑰的加密專用芯片被分別用于在現(xiàn)有的車身網(wǎng)絡(luò)中以很小的數(shù)據(jù)開(kāi)銷保護(hù)信號(hào)的完整性、安全認(rèn)證和時(shí)效性以及對(duì)車車通訊(C2C)和車設(shè)施通訊(C2I)的無(wú)線通訊進(jìn)行高強(qiáng)度數(shù)據(jù)加密。 激光傳感器的小型化 為了實(shí)現(xiàn)自動(dòng)駕駛的安全性和可靠性,目前的自動(dòng)駕駛測(cè)試車輛普遍使用了大量的傳感器來(lái)探測(cè)周圍的環(huán)境,并且可靠的傳輸給自動(dòng)駕駛控制模塊。這些傳感器包括激光掃描儀、毫米波雷達(dá)、立體攝像頭、超聲波探頭、GPS衛(wèi)星信號(hào)接收器等等。而這些傳感器使得自動(dòng)駕駛測(cè)試車輛的成本較普通車輛大大提升。其中最大的成本開(kāi)銷就來(lái)自于高性能的激光掃描儀。幾乎占到傳感器總成本的大半。為了使自動(dòng)駕駛技術(shù)走向量產(chǎn),傳感器的小型化和降成本成為一種必然方向,其中的重點(diǎn)就是激光傳感器的小型化。 激光掃描儀是一種光學(xué)傳感器,它基于紅外激光束對(duì)周圍的環(huán)境產(chǎn)生一個(gè)光束掃描空間。它的功能是基于回波傳輸延時(shí)時(shí)間Time-Of-Flight(TOF)來(lái)測(cè)量傳感器與目標(biāo)之間的距離。類似仿生學(xué)中,蝙蝠使用超聲波發(fā)出和聽(tīng)到的延時(shí)時(shí)間來(lái)在黑暗的環(huán)境中對(duì)周圍的障礙物做判斷的原理。 激光掃描儀進(jìn)行精確傳感的最大挑戰(zhàn)為紅外激光束以光速傳播導(dǎo)致回波傳輸延時(shí)時(shí)間非常短。舉個(gè)例子,如果需要探測(cè)10米處的一個(gè)目標(biāo),則以光速30萬(wàn)公里每秒按照如下公式計(jì)算得到回波傳輸延時(shí)為66.66納秒。 t_D=2·D/c=2×(10 m)/(300,000,000 m/s )=0.000,000,066,66 s=66.66 ns 如果系統(tǒng)的分辨率為0.1米的話,則相應(yīng)的時(shí)間測(cè)量分辨率也需要做到接近1納秒。因此為了降低激光掃描儀的成本,避免使用昂貴的精密時(shí)間測(cè)量系統(tǒng),主要采取的方法是使用間接模擬計(jì)時(shí)的方法。該方法發(fā)出的激光光束為一個(gè)固定長(zhǎng)度t0的光脈沖。而接收部分如圖1下所示,反射光通過(guò)光敏二極管Photo Diode轉(zhuǎn)化成電流。而電流由開(kāi)關(guān)S1和S2控制分別向電容充電。S1和S2開(kāi)啟相同的時(shí)長(zhǎng)t0,S2比S1延時(shí)t0打開(kāi)。 圖1:采用間接模擬計(jì)時(shí)的測(cè)量方法。 舉個(gè)例子,當(dāng)光脈沖寬度t0被設(shè)定成200納秒時(shí),如圖2反射信號(hào)和發(fā)射信號(hào)之間的延時(shí)為光回波傳輸延時(shí)tD。由于這個(gè)時(shí)間延時(shí)tD使得S1和S2開(kāi)關(guān)對(duì)應(yīng)的電容充電時(shí)間長(zhǎng)度不同。通過(guò)計(jì)算兩個(gè)電容電壓的關(guān)系就可計(jì)算出需求出的目標(biāo)距離。 圖2:反射信號(hào)與發(fā)射信號(hào)之間的延時(shí)造成充電時(shí)間不同。 以圖2為例,具體的計(jì)算過(guò)程如下: D= 1/2·c·t0·S2/(S1+S2)=1/2×300,000,000 m/s×0.000,000,2 s×0.33/(0.33+0.66)=10 m 同時(shí)為了實(shí)現(xiàn)小型化激光掃描儀的功能安全要求,需要使用兩顆微處理器進(jìn)行相互校驗(yàn)。并且兩顆微處理器分別通過(guò)兩個(gè)輸出信號(hào)開(kāi)關(guān)Output Signal Switch Device(OSSD)對(duì)激光模擬計(jì)時(shí)電路進(jìn)行控制,并且對(duì)來(lái)自O(shè)SSD的反饋信號(hào)進(jìn)行交叉校驗(yàn),從而實(shí)現(xiàn)了足夠高的系統(tǒng)功能安全等級(jí)。系統(tǒng)框圖如圖3。 圖3:使用兩顆微處理器進(jìn)行相互校驗(yàn)的系統(tǒng)。 為了滿足激光掃描儀嚴(yán)苛的功能安全需求,對(duì)應(yīng)的處理器必須滿足如下要求。 ·良好的實(shí)時(shí)性能 ·中斷觸發(fā)行為 ·高效的編碼(指令集、編譯器) ·DSP數(shù)字信號(hào)處理性能 ·豐富的外圍設(shè)備 ·足夠的存儲(chǔ)器容量(Flash) ·自主的外圍設(shè)備控制(解除CPU負(fù)擔(dān)) ·有足夠的工具和對(duì)應(yīng)接口 ·具備在片調(diào)試功能 ·合理的功耗 ·合理的系統(tǒng)成本(包括芯片本身和開(kāi)發(fā)成本) 使用一種緊湊且高性能的多核微處理器,比如英飛凌的AURIX微處理器,可以大大節(jié)省PCB的布板面積。將原來(lái)系統(tǒng)所需的兩顆微處理器減小到一顆微處理器的體積。在AURIX微處理器中加入了多個(gè)具有校驗(yàn)內(nèi)核Checker Core的處理核心(圖4紅色部分)。處理內(nèi)核間可以對(duì)外圍信號(hào)進(jìn)行交互校驗(yàn),從而達(dá)到嚴(yán)苛的功能安全要求。并且又可以滿足激光掃描儀高實(shí)時(shí)性以及自主外圍設(shè)備操作等等的性能要求。使得相應(yīng)的激光信號(hào)處理電路可以放入一個(gè)非常緊湊的產(chǎn)品尺寸中。圖4為AURIX微處理器內(nèi)部模塊框圖。 圖4:AURIX微處理器內(nèi)部模塊框圖。 網(wǎng)絡(luò)信息安全 為了讓自動(dòng)駕駛汽車能夠更好的感知周圍環(huán)境,目前的主流方案包括了兩個(gè)方向。一個(gè)方向?yàn)榧訌?qiáng)車內(nèi)自身傳感器的性能,并進(jìn)行多傳感器信號(hào)融合。另一個(gè)方向就是當(dāng)前在汽車行業(yè)相當(dāng)火爆互聯(lián)網(wǎng)智能汽車概念,或者也稱車車通訊技術(shù)。那么傳感器信號(hào)融合勢(shì)必涉及車內(nèi)網(wǎng)絡(luò)通訊,而車車通訊技術(shù)則涉及車車通訊(C2C)和車設(shè)施通訊(C2I)的無(wú)線通訊。如果這些網(wǎng)絡(luò)遭到黑客入侵,從而車輛被遠(yuǎn)程的黑客控制,那后果將不堪設(shè)想。 1.車內(nèi)通訊信息安全解決方案 車內(nèi)通訊信息安全解決方案需要既安全又能夠符合現(xiàn)有車身網(wǎng)絡(luò)嚴(yán)格且高實(shí)時(shí)性要求的總線標(biāo)準(zhǔn)。這就需要最小化數(shù)據(jù)的額外開(kāi)銷和成本增長(zhǎng)。 一種基于具有硬件信息安全模塊的微處理器,比如英飛凌AURIX微處理器的HSM硬件信息安全模塊,可被用于在現(xiàn)有的車身網(wǎng)絡(luò)中以很小的數(shù)據(jù)開(kāi)銷保護(hù)信號(hào)的完整性、安全認(rèn)證和時(shí)效性。 硬件信息安全模塊(HSM)提供了一個(gè)信息安全計(jì)算平臺(tái),由一個(gè)32位CPU、為了存儲(chǔ)加密密鑰和唯一的用戶標(biāo)識(shí)符準(zhǔn)備的特殊訪問(wèn)保護(hù)存儲(chǔ)器和一個(gè)為了高級(jí)加密標(biāo)準(zhǔn)AES128加密算法準(zhǔn)備的硬件加速器。其中AES128硬件加速器是一個(gè)可工作于不同模式用于產(chǎn)生隨機(jī)數(shù)的特殊硬件。目前市場(chǎng)上大部分家用無(wú)線路由器所采用的數(shù)據(jù)加密標(biāo)準(zhǔn)就是AES128。其加密強(qiáng)度和通訊速率已經(jīng)為市場(chǎng)所接收。另外硬件信息安全模塊HSM和AURIX微處理器的其他部分通過(guò)一個(gè)防 火墻分隔開(kāi)來(lái),從而形成了一個(gè)可信的運(yùn)行環(huán)境。 圖5為AURIX微處理器的內(nèi)部框圖。右側(cè)就是上述的硬件信息安全模塊HSM及其具體組成模塊,左側(cè)為AURIX微處理器的其他部分。硬件信息安全模塊HSM和AURIX微處理器的其他部分通過(guò)中間的防 火墻分隔開(kāi)來(lái),從而創(chuàng)建了一個(gè)可信的運(yùn)行環(huán)境(右側(cè)方框部分)。 圖5:AURIX微處理器的內(nèi)部框圖。 圖6為車內(nèi)通訊信息安全解決方案示例圖。由英飛凌AURIX微處理器的HSM硬件信息安全模塊確保ECU1雷達(dá)距離控制電子控制器和ECU2剎車電子控制器間的車內(nèi)通訊信息安全,將來(lái)自黑客的數(shù)據(jù)篡改虛假信息阻隔于車內(nèi)通訊網(wǎng)絡(luò)之外。如標(biāo)注1所示系統(tǒng)挑戰(zhàn)為對(duì)于消息響應(yīng)的安全認(rèn)證,如標(biāo)注2所示發(fā)送方和數(shù)據(jù)鑒定使用了基于高級(jí)加密標(biāo)準(zhǔn)AES的媒體訪問(wèn)控制器MAC。從而支持系統(tǒng)應(yīng)對(duì)關(guān)于消息響應(yīng)安全認(rèn)證的挑戰(zhàn)。 圖6:車內(nèi)通訊信息安全解決方案示例圖。 為了在現(xiàn)有的車身網(wǎng)絡(luò)中以很小的數(shù)據(jù)開(kāi)銷保護(hù)信號(hào),可使用英飛凌AURIX器件提供硬件信息安全模塊(HSM)用高加密強(qiáng)度產(chǎn)生消息鑒定碼。高加密強(qiáng)度是防止通過(guò)長(zhǎng)時(shí)間竊聽(tīng)總線數(shù)據(jù)輕易奪取密鑰此類網(wǎng)絡(luò)攻擊的關(guān)鍵方法。比如使用通用保護(hù)編碼(CPC)方法以最低的成本實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)高實(shí)時(shí)性要求通訊信息安全和安全性提供了有效的保護(hù)。 通用保護(hù)編碼(CPC)方法將消息開(kāi)銷中的完整性、安全認(rèn)證和時(shí)效性整合到一個(gè)編碼中,所以它能夠維持在所有通訊路徑的長(zhǎng)度限制以內(nèi)。時(shí)效性由使用時(shí)間作為參數(shù)產(chǎn)生加密鑒定碼保證,這樣可以防護(hù)回復(fù)和延時(shí)類型的攻擊。這種鑒定編碼通過(guò)循環(huán)冗余檢查算法(CRC)和一個(gè)非常輕度的加密算法連接到有效載荷數(shù)據(jù)。因此這種鑒定編碼維持了原來(lái)循環(huán)冗余檢查CRC算法的安全相關(guān)完整性保護(hù)屬性。逐級(jí)優(yōu)化地引入這種方法不會(huì)對(duì)系統(tǒng)設(shè)計(jì)產(chǎn)生根本性影響,并且減少了風(fēng)險(xiǎn)和成本。 2.車車通訊(C2C)和車設(shè)施通訊(C2I)的無(wú)線通訊網(wǎng)絡(luò)信息安全解決方案 車車通訊(C2C)和車設(shè)施通訊(C2I)被認(rèn)為可以在未來(lái)改進(jìn)道路行駛安全和交通效率,例如在前方道路損壞或者出現(xiàn)車輛事故的時(shí)候駕駛者將得到警告。 在車車通訊中需要交換敏感信息,例如位置和速度信息。由于這部分?jǐn)?shù)據(jù)將來(lái)會(huì)用于觸發(fā)警告信息和自主反應(yīng),因此數(shù)據(jù)的完整性必須得到保護(hù)。其次,保護(hù)駕駛者隱私也非常重要。 網(wǎng)絡(luò)和信息的完整性由公鑰加密方法保護(hù)。這種方法用頻繁改變偽隨機(jī)證書(shū)標(biāo)記發(fā)出消息來(lái)保護(hù)隱私。對(duì)應(yīng)地,秘密的私鑰需要高級(jí)別的保護(hù)起來(lái)。因?yàn)樗鼈兪擒囓囃ㄓ嵭畔踩幕A(chǔ)。 一種基于公鑰和密鑰的加密專用芯片,比如英飛凌SLI 97 V2V信息控制器,可被用于對(duì)車車通訊(C2C)和車設(shè)施通訊(C2I)的無(wú)線通訊進(jìn)行高強(qiáng)度數(shù)據(jù)加密。SLI 97 V2V信息控制器為車車通訊優(yōu)化以提供足夠的保護(hù)安全級(jí)別。通過(guò)建立一個(gè)信息安全保護(hù)的連接到一個(gè)專用的隱私認(rèn)證授權(quán),SLI 97 V2V接收一個(gè)相對(duì)弱的偽隨機(jī)證書(shū)和對(duì)應(yīng)的私鑰。隨后,SLI 97 V2V使用偽隨機(jī)證書(shū)來(lái)標(biāo)記發(fā)出的車車通訊信息,對(duì)無(wú)線通訊數(shù)據(jù)進(jìn)行高強(qiáng)度數(shù)據(jù)加密。并且SLI 97的 衍生型號(hào)已大范圍的應(yīng)用在手機(jī)嵌入式SIM卡應(yīng)用中。因此經(jīng)過(guò)大批量量產(chǎn),質(zhì)量和性能已得到了市場(chǎng)驗(yàn)證。 圖7為典型車車通訊模塊的方框示意圖。車車通訊的核心為中間的車車通訊處理器,它和左中和左下的Flash和DDR3配合運(yùn)行相應(yīng)的車車通訊軟件。車車通訊微處理器和車內(nèi)其他電子控制器的通訊通過(guò)下左以太網(wǎng)和下右CAN總線(比如英飛凌的TLE7250G總線收發(fā)器)兩個(gè)網(wǎng)絡(luò)進(jìn)行。車車通訊處理器通過(guò)左上的GPS接收器即可獲得車輛目前的位置。當(dāng)車車通訊處理器需要通過(guò)上方的車車通訊射頻收發(fā)器就可以通過(guò)無(wú)線通訊和其他車輛或者設(shè)施進(jìn)行通訊。但是為了保證車車通訊中的信息安全,需要通過(guò)右方來(lái)自英飛凌科技的信息安全單元SLI 97對(duì)收發(fā)的數(shù)據(jù)進(jìn)行加密處理。 圖7:車車通訊模塊的方框示意圖。 綜上所述,為了應(yīng)對(duì)激光傳感器小型化的挑戰(zhàn),一種緊湊且高性能的多核微處理器,比如英飛凌AURIX微處理器,可被用來(lái)在緊湊的產(chǎn)品尺寸中實(shí)現(xiàn)高性能高功能安全要求的激光掃描儀應(yīng)用。而為了應(yīng)對(duì)網(wǎng)絡(luò)信息安全Cyber Security的挑戰(zhàn),在車內(nèi)通訊網(wǎng)絡(luò)中,一種基于具有硬件信息安全模塊的微處理器,比如具有HSM模塊的英飛凌AURIX微處理器被用于基于AES128高級(jí)加密標(biāo)準(zhǔn)保護(hù)車內(nèi)電子控制器間的通訊不被外界黑客攻擊。而在車車通訊(C2C)和車設(shè)施通訊(C2I)的無(wú)線通訊中,一種基于公鑰和密鑰的加密專用芯片,比如英飛凌的SLI 97 V2V信息控制器,被用于對(duì)無(wú)線通訊數(shù)據(jù)進(jìn)行高強(qiáng)度加密。解決了上述兩大挑戰(zhàn),自動(dòng)駕駛技術(shù)將有望一步步從概念走向量產(chǎn)化,并逐漸在汽車電子主動(dòng)安全系統(tǒng)得以應(yīng)用。 |
