Synopsys产品营销和业务开发高级总监Marc Serughetti表示：“当今汽车领域最有趣的是看到需要开发和需要验证的产品的演变。” “几年前，人们一直在研究功能以及如何对设计进行功能验证，而且我们知道，在过去的四到五年中，安全已成为大问题。ISO 26262正在推动该领域的许多技术发展。因为它是电子的，因为它涉及计算，因为它对网络和各种事物都是开放的，所以安全性是结合在一起的。我们无法真正脱离安全保障。”

但这还需要一种解决问题的新方法。Cadence解决方案营销高级组主管Frank Schirrmeister说，在验证调试中有效的方法可能会导致安全问题。“如果您打开调试通道，则会遇到麻烦。您必须隔离事物，然后出于安全原因有选择地清除它们。”

标准的好和坏

安全性是必需的，但是将它们设计到系统中则更加困难，因为系统本身处于几乎恒定的变化状态。这使得定义标准变得更加困难，特别是因为其中许多标准依赖于多个系统的交互作用。

“对安全进行标准化有点棘手，因为很多人所做的只是查看一类威胁，例如适用于信用卡智能芯片的密码设备联邦信息处理标准中的那些威胁，” JTortuga Logic首席执行官说。“有某些标准，它们更多地是为了保护该市场定义的某些类别的威胁。通常，安全性很难标准化。它更多地是关于一个过程。

在汽车方面，真正重要的是要经过一个案例来查看芯片的位置，因为这将决定哪种攻击媒介是可行的，以及可能产生的影响。重要的是，采用一种威胁模型说“如果我要构建此MCU，这将在自动驾驶系统中使用，或者在ADAS系统中将使用高性能内核，其中有一个案例可以检查攻击者将试图破坏什么以及它们具有什么功能。这是连接到网络的东西，还是装在机箱中的东西？完成整个过程很重要。从那里您可以获得核心业务和安全要求，然后可以将其作为验证计划的一部分。”

尽管此案例已针对软件建立，但它刚刚开始转移到硬件领域。

Oberg说：“许多较大的半导体公司开始做这些事情，这与功能安全性大不相同，后者是确保您具有容错能力。” “如果您有一点动静，您的系统仍然可以正常工作。ISO 26262对如何执行操作有要求，依此类推，但是从安全的角度来看，它有所不同，因为您可能不会发生任何翻转，而如果有人从设备中提取固件，发现一个可能在所有设备或所有设备上复制的漏洞。使用该芯片的汽车，将有一个巨大的混乱。必须将其视为一个过程，而不是仅涵盖特定威胁，这通常是标准所要做的。”

Riscure首席执行官Marc Witteman表示，了解组织在安全性成熟度方面的地位是帮助汽车生态系统中的公司实施一种方法来验证硬件的安全性和安全性的第一步。“他们有什么样的人？这些人如何训练？他们的经验是什么？这给我们留下了他们在安全性成熟度方面的印象。”

从那里可以进行差距分析以确定他们想要达到的水平，并且可以实施培训计划以使他们达到该水平，然后进行认证。但是关键是要在系统级别以及潜在的系统级级别考虑安全性。

“安全是整个系统的安全，”奥伯格强调。“这一切都可以追溯到威胁建模的过程－确定影响是什么。如果像特斯拉这样的完全垂直集成的公司可以构建自己的芯片，那么它们在终端系统以及该系统将要运行的地方具有更大的可视性。如果它更加零碎，并且您要购买商用的现成的硅片来构建另一个系统，则非常困难。安全性是不可组合的。围绕这种基础架构构建流程非常困难。苹果和特斯拉等公司拥有相同类型的模型，而且我们看到，这在许多科技公司中变得越来越普遍－建立起许多芯片的信任根基，因为它们获得了更多的知名度这样做可以提高系统安全性。”

安全性可以遵循与设计其余部分相同的开发方法。

Synopsys的Serughetti说：“在安全方面，您要研究故障模式，以及如何为这些故障模式建立安全机制。” “然后，您要进行设计，验证，所有传统活动，并且安全性与此并行。您必须查看潜在的漏洞，并且必须从一开始就考虑设计将易受攻击的地方。例如，在验证方面，我们谈论安全注入时的故障注入，故障活动。但是在某些方面，故障活动的概念也适用于安全性。您正在寻找注入故障的方法，以从安全角度看您如何应对。我们都知道安全性来自多个地方－来自软件，来自硬件，而且我们也知道有可能查看芯片的热特征以试图弄清楚该芯片的性能。”

从实现的角度来看，功能安全性和安全性之间也存在相似之处。

“在功能安全方面，您可能有一个双核锁步冗余系统，您需要确保这些系统在物理上分开，并正确放置并标准化了标准单元，”斯图尔特·威廉姆斯（Stewart Williams）说，新思科技 “路由需要以某种方式进行管理，以使来自一个核心的路由不会与另一个核心重叠。可能还有其他要求。从安全角度来看，也可能存在这些要求。有放置注意事项，有布线注意事项。因此，以类似的方式，从实现角度看，为功能安全而开发的这些技术也可以在安全领域中应用。”

再次，芯片在实际汽车中的位置将决定哪些威胁是相关的以及常见的弱点，奥伯格说。“如果您查看ADAS系统，则行为异常的影响非常大。如果它位于另一个不太关键的系统中（例如控制AC的方式），那么问题对业务的影响就较小。它的重要性不如使用ADAS系统或控制制动器的ECU，必须予以考虑。很难说，对于汽车中的每个芯片，这些都是威胁。可能有一部分是正确的，但总的来说，您必须注意：“如果我要销售ADAS系统，这就是我需要做的。如果我要向制动ECU销售，或者我在信息娱乐系统中，则过程仍然相同。但是相关的弱点和相关的威胁，将会根据前进的方向而变化。这就是它复杂的部分原因。周围有很多碎片。”

结论

要解决安全性，可靠性，设计和验证之间所有这些相互作用的巨大压力，汽车制造商必须打破其组织内的孤岛。根据所有人的说法，OEM已经意识到他们必须召集团队来改善沟通和共同设计并验证硬件，软件和系统。这是经济有效地管理自动驾驶汽车开发复杂性的唯一方法。好消息是，这也为整个汽车生态系统带来了新的机遇，以借助咨询服务，工具和方法来支持所有这些工作。