上海电驱动梅友忠：如何降低功能安全成本、满足高国产化功能安全产品技术需要思考

6月27日，在2023第三届xEV全球驱动系统技术暨产业大会，上海电驱动研究院副总工梅友忠提到：“Tier1的安全目标和功能安全需求可以来自主机厂，也可以基于充分的市场需求分析后基于一些假设得出……怎么平衡安全性和可用性，在功能安全开发中是比较有挑战的话题……”。

随着新型E/E架构的演变，功能安全要向网络、数据、隐私安全合规扩展，最后面向服务的架构SOA可能要基于用户思维、软件思维、硬件思维从整车系统和部件角度，开展从上到下的安全架构设计。

以下是演讲实录。

梅友忠：大家下午好，感谢前面的嘉宾徐总讲了很多功能安全和信息安全的信息，让我平滑地切入今天要分享的主题。功能安全这个话题大家都知道，几年前就很火，但是那个时候能落地的并不多。今天我分享的话题有三个部分，第一，基于我司新平台产品的功能安全实践。第二，简单讲一下去年开始比较火的ISO/SAE 21434和电驱动系统信息安全要落实的技术环节。第三，浅谈一下三个安全的趋势和目标。

先简单回顾一下功能安全要做的事情。右上角是功能安全的定义，不存在E/E系统的功能异常表现引起的危害而导致不合理的风险。我做了一个总结，功能安全的主题是风险，通过People团队能力，Process体系流程和Product产品技术最终减少和避免系统性失效，还有就是控制随机硬件失效。首先是相关项定义，Tire1在平台开发时做一些假设，也会有危害分析及风险评估的环节，得到假设的功能安全目标和安全需求，然后在系统、硬件、软件层面做一些开发验证活动，最后是系统层级的安全确认和整车层级的安全确认。电驱动系统的功能安全开发涉及了ISO26262,2018标准中几乎所有部分的要求。

下面展示的是实实在在的电驱动产品功能安全开发步骤。我们要做一些HARA分析，会有严重度、暴露度和可控性的打分，然后得到我们假设的安全目标的ASIL等级。这里展示了系统层级的安全目标，我们可以看到非预期扭矩过大是目前我们系统里面最高安全等级的目标。在系统技术安全概念设计阶段，基于QM系统的架构设计还会就一些功能模块得到技术安全需求，也会有一些安全机制状态转换的设计在里面。

功能安全强调一致性和追溯性，不管是安全需求、架构元素或是功能模块。以扭矩控制功能的功能安全开发为例，扭矩功能是放到功能核里面，监控放在监控核里面，还会部署OS和基础服务软件。我们从SG、FSR到TSR，TSR分解到软硬件需求，TSR要对应到系统架构元素上，硬件安全需求是要对应到硬件架构的元素上，软件安全需求也是要对应到软件的架构元素上。

这里说一说FMEA，功能安全系统、软件和硬件层级的开发会用到这个方法，功能安全FMEA分析的对象是电气系统，而FMEA本身是适用于所有系统的，例如机械系统。功能安全FMEA分析是存在风险的，主要目的是识别产品所有故障以及故障能造成的风险，进而对所有的风险制定相应的措施来控制和降低风险。

接着展示的是功能安全硬件架构，主控芯片、SBC、驱动和逻辑电路等，我们都是按照ASIL D的要求设计集成的。硬件层面的开发，会涉及硬件安全需求、硬件安全分析FMEA/FTA，还有关联失效分析，也会有一些硬件的安全机制设计。关于FMEDA计算，这里展示了我司新平台产品基于扭矩安全目标的实际计算值，会有一些主观性，但是整体结果已经满足指标要求。

再谈谈软件功能安全开发的关注点，例如软件架构基于AUTOSAR CP并满足EGA3层架构的要求；符合ASPICE2要求的V模型开发；基于MBD开发，配置生成代码，减少手工代码量；应用软件安全分析和关联失效分析；最后是应用符合功能安全要求的软件组件和软件工具。

功能安全里面为何会推荐使用AUTOSAR CP呢？首先强实时性是我们电控系统必须具备的前提，AUTOSAR CP满足这个要求；而CP静态资源分配的特点，因为不允许你对任务资源进行动态创建和回收，某种程度上保障了安全；还有空间分区、时间保护、错误处理机制，能够很好地满足功能安全要求。

AUTOSAR CP里面有四大功能安全机制，内存分区、时间监控，逻辑监控和E2E保护。时间监控要保证软件的运行正确时序和正确的时间分配；逻辑监督要保证软件运行实体是不是按照正常的逻辑顺序执行的；E2E保护，例如常见的CAN通讯对于信息数据有安全完整性的要求，要应用端到端的保护。

再说一说芯片层级的功能安全，我们常说的功能安全库，level3层级的硬件安全机制是需要有软件机制配合实现的。这里假设有一个芯片层级的硬件机制，可以看到需要两个软件机制去配置使能并通过相关寄存器去检测它的状态，最后还要做一些故障处理的单元设计，这也是软件安全设计的一部分。如果这个故障状态还要反馈给应用层，还需要有应用接口的设计。曾经我要思考软件本身怎么达到ASIL D要求呢？随着项目的开发和最终落地，我个人有了一些结论：简单来说就是标准要求你做的你一定要做，要用先进的软件质量方法，比如要ASPICE的方法严格执行，还有应用一些新的软件开发技术。总之要有严格的过程，按照标准要求的开发和验证方法去执行。

再说一说功能安全测试，我们以前可能不会把测试单独拎出来讲，然而实际功能安全开发过程中，尤其是高ASIL等级要求的系统，故障注入测试会做得比较细致，例如存储器、寄存器、时钟和安全驱动对应的安全机制的测试；还有AUTOSAR软件运行周期的监控和截止时间，需要测试软件实体是不是被正确执行。后面随着新的E/E架构的发展，安全测试也会面临很大挑战。如何确保实现所有需求？如何提升案例复用率？如何提升迭代效率？如何提升自动化流程？如何可持续地集成开发和验证？这一系列问题都是需要应用更先进的测试验证技术去解决的。关于功能安全产品的开发还有一个值得深思的问题：功能安全如果做得过度安全容易误报故障，会影响可用性。这个问题可能大多数还是因为有一些点验证不到位，需要更多的试验数据去校正这些点。怎么平衡功能安全和可用性是功能安全开发当中是比较有挑战的话题。

这里大致总结了一下功能安全产品开发相对于传统的QM产品开发有哪些不一样的地方，蓝底色的是新要求的，黄底色的是需要强化的。

综上所述，从体系、相关项、概念、系统、硬件、软件、验证和确认环节对功能安全开发的整个过程作了提炼。

下面简单谈一下功能安全和信息安全的融合，熟悉ISO26262标准的都知道所示的Overview目录和功能安全标准的目录差不多，也包括了公司层级的安全管理、项目层级的安全管理，也有概念设计阶段、产品设计开发和验证阶段的要求，整体来看也是根据V模型的思路来的。现有的ISO/SAE 21434标准并不厚，里面缺少了一些技术实践的指导，主要还是针对体系流程而言的。

接下来就简单说一说TARA分析，功能安全是通过HARA得到安全目标等级，信息安全是通过TARA分析得到信息安全等级和CAL等级。风险评级和风险处置决策这个步骤完了之后基本的信息安全的目标和需求也就可以得到了。可以选择是把识别出来的风险避免或减少，或是由多个系统分担这个风险，再或者是转移这个风险，当然也有可以被接受的风险。CAL等级是信息安全保证等级，这个值越高，后续的开发过程包括测评环节就越需要重点关注。那么TRAR是如何和功能安全联系在一起的，实际上不同的ASIL等级，综合攻击可行性，也是得到信息安全等级的一种方法。至于CAL等级的评价，则参考右侧的这个评分矩阵。

再回到我们的电机控制系统，信息安全目标和需求有了，下一步就该考虑硬件层面和软件层面怎么落地的问题了。对于我们这个系统来说，硬件层面的实现措施：不使用外置存储器、应用安全模块HSM、预留足够存储空间（内存空间要变大，因为要预留足够的空间做一些信息安全相关的事情）、安全的芯片封装（例如BGA封装）、隐匿芯片标识信息、关键引脚分散布局、调试口去除并隐藏和设置安全身份认证；软件层面的实现措施：SecOC、安全启动和安全刷写等。信息安全里面安全措施例如SecOC机制对功能安全是有增益作用的，功能安全强调的E2E机制可以保证信息的完整性，SecOC则可以进一步保证CAN信息的授权合法性。信息安全的开发会涉及AUTOSAR的升级，需要集成AUTOSAR加密协议栈，它集成了一些安全机制和加密服务。还会涉及HSM核和主核的交互，从而需要部分调整一些软件安全架构的设计，例如启动流程的适配，时钟、内存分配等等。

这里简单总结一下信息安全标准，21434只规定了E/E系统概念、开发、生产、运行、维护和报废各阶段的管理要求，而对于工程技术实现并给出细节的要求。这里补充一点：信息安全的测评要比功能安全的要求更高。

接着简单地讲讲新型E/E架构下的功能安全技术的发展。大家可以看到传统架构是基于不同功能分布的，慢慢地会把一些功能集成到一起，也叫功能融合。功能充分融合后慢慢分成几个功能域，称之为域控制器。接着还会有域的融合，最后还有中央集成式和面向服务的架构。随着新型E/E架构的调整，功能安全架构也要跟着调整，主要的是软件架构、硬件架构和通信架构。模块化、标准化、开放化在现在来看其实它已经不是什么新鲜的词了，功能安全开发要向网络、数据、隐私安全合规扩展，最后面向服务的架构可能要基于用户的思维、软件的思维、硬件的思维从整车系统和部件的角度，开展从上到下的新的安全架构设计。总而言之，架构服务化带来的信息安全和功能安全的挑战，应该会从结果安全向管理体系、架构设计、开发、集成、测试和生产制造全过程安全可控扩展。

简单总结了一下功能安全最后的发展趋势和目标，第一步建立了体系也有相关的产品；第二步就是全面落地量产；第三步就是建设智能安全平台，包括自动化管理平台、自动化开发验证平台和自动化安全集成；第四步就是生态安全，我们还要考虑敏捷开发和敏捷验证。关于功能安全这里有三个问题是值得我们进一步思考的，我们知道功能安全总的来说是要增加成本的，满足低成本目标的高功能安全产品技术怎么实现？满足高可用性目标的功能安全产品技术如何落地？现在还要推国产化，满足高国产化功能安全产品技术怎么实施？

这里总结预期功能安全的发展趋势和目标。第一步SOTIF开发和验证体系建设。第二步全场景SOIFT体系落地。第三步高度安全的自动驾驶。最后是信息安全的发展趋势与目标，先有开发体系的建设，然后开展规模应用，最后有全面的信息安全产业生态并可持续发展。