目前谈到汽车电子主动安全系统,最火热的概念莫过于自动驾驶技术。虽然自动驾驶技术当前仍然停留在概念阶段,但是随着年初在美国拉斯维加斯举办的CES消费电子展和前几个月刚刚结束的上海车展以及亚洲CES消费电子展的举行,多款自动驾驶概念车的发布让人们看到了自动驾驶技术量产的希望。
然而自动驾驶技术的量产化还需要面对两大挑战——激光传感器的小型化以及互联通讯中的网络信息安全Cyber Security。本文将详细介绍应对这两大挑战的解决方案。针对激光传感器的小型化,一种紧凑且高性能的多核微处理器被用来在紧凑的产品尺寸中基于回波传输时间Time-Of-Flight(TOF)原理实现高功能安全要求的激光扫描仪。针对互联通讯中的网络信息安全Cyber Security,一种基于具有硬件信息安全模块的微处理器和一种基于公钥和密钥的加密专用芯片被分别用于在现有的车身网络中以很小的数据开销保护信号的完整性、安全认证和时效性以及对车车通讯(C2C)和车设施通讯(C2I)的无线通讯进行高强度数据加密。
激光传感器的小型化
为了实现自动驾驶的安全性和可靠性,目前的自动驾驶测试车辆普遍使用了大量的传感器来探测周围的环境,并且可靠的传输给自动驾驶控制模块。这些传感器包括激光扫描仪、毫米波雷达、立体摄像头、超声波探头、GPS卫星信号接收器等等。而这些传感器使得自动驾驶测试车辆的成本较普通车辆大大提升。其中最大的成本开销就来自于高性能的激光扫描仪。几乎占到传感器总成本的大半。为了使自动驾驶技术走向量产,传感器的小型化和降成本成为一种必然方向,其中的重点就是激光传感器的小型化。
激光扫描仪是一种光学传感器,它基于红外激光束对周围的环境产生一个光束扫描空间。它的功能是基于回波传输延时时间Time-Of-Flight(TOF)来测量传感器与目标之间的距离。类似仿生学中,蝙蝠使用超声波发出和听到的延时时间来在黑暗的环境中对周围的障碍物做判断的原理。
激光扫描仪进行精确传感的最大挑战为红外激光束以光速传播导致回波传输延时时间非常短。举个例子,如果需要探测10米处的一个目标,则以光速30万公里每秒按照如下公式计算得到回波传输延时为66.66纳秒。
t_D=2·D/c=2×(10 m)/(300,000,000 m/s )=0.000,000,066,66 s=66.66 ns
如果系统的分辨率为0.1米的话,则相应的时间测量分辨率也需要做到接近1纳秒。因此为了降低激光扫描仪的成本,避免使用昂贵的精密时间测量系统,主要采取的方法是使用间接模拟计时的方法。该方法发出的激光光束为一个固定长度t0的光脉冲。而接收部分如图1下所示,反射光通过光敏二极管Photo Diode转化成电流。而电流由开关S1和S2控制分别向电容充电。S1和S2开启相同的时长t0,S2比S1延时t0打开。
图1:采用间接模拟计时的测量方法。
举个例子,当光脉冲宽度t0被设定成200纳秒时,如图2反射信号和发射信号之间的延时为光回波传输延时tD。由于这个时间延时tD使得S1和S2开关对应的电容充电时间长度不同。通过计算两个电容电压的关系就可计算出需求出的目标距离。
图2:反射信号与发射信号之间的延时造成充电时间不同。
以图2为例,具体的计算过程如下:
D= 1/2·c·t0·S2/(S1+S2)=1/2×300,000,000 m/s×0.000,000,2 s×0.33/(0.33+0.66)=10 m
同时为了实现小型化激光扫描仪的功能安全要求,需要使用两颗微处理器进行相互校验。并且两颗微处理器分别通过两个输出信号开关Output Signal Switch Device(OSSD)对激光模拟计时电路进行控制,并且对来自OSSD的反馈信号进行交叉校验,从而实现了足够高的系统功能安全等级。系统框图如图3。
图3:使用两颗微处理器进行相互校验的系统。
为了满足激光扫描仪严苛的功能安全需求,对应的处理器必须满足如下要求。
·良好的实时性能
·中断触发行为
·高效的编码(指令集、编译器)
·DSP数字信号处理性能
·丰富的外围设备
·足够的存储器容量(Flash)
·自主的外围设备控制(解除CPU负担)
·有足够的工具和对应接口
·具备在片调试功能
·合理的功耗
·合理的系统成本(包括芯片本身和开发成本)
使用一种紧凑且高性能的多核微处理器,比如英飞凌的AURIX微处理器,可以大大节省PCB的布板面积。将原来系统所需的两颗微处理器减小到一颗微处理器的体积。在AURIX微处理器中加入了多个具有校验内核Checker Core的处理核心(图4红色部分)。处理内核间可以对外围信号进行交互校验,从而达到严苛的功能安全要求。并且又可以满足激光扫描仪高实时性以及自主外围设备操作等等的性能要求。使得相应的激光信号处理电路可以放入一个非常紧凑的产品尺寸中。图4为AURIX微处理器内部模块框图。
图4:AURIX微处理器内部模块框图。
网络信息安全
为了让自动驾驶汽车能够更好的感知周围环境,目前的主流方案包括了两个方向。一个方向为加强车内自身传感器的性能,并进行多传感器信号融合。另一个方向就是当前在汽车行业相当火爆互联网智能汽车概念,或者也称车车通讯技术。那么传感器信号融合势必涉及车内网络通讯,而车车通讯技术则涉及车车通讯(C2C)和车设施通讯(C2I)的无线通讯。如果这些网络遭到黑客入侵,从而车辆被远程的黑客控制,那后果将不堪设想。
1.车内通讯信息安全解决方案
车内通讯信息安全解决方案需要既安全又能够符合现有车身网络严格且高实时性要求的总线标准。这就需要最小化数据的额外开销和成本增长。
一种基于具有硬件信息安全模块的微处理器,比如英飞凌AURIX微处理器的HSM硬件信息安全模块,可被用于在现有的车身网络中以很小的数据开销保护信号的完整性、安全认证和时效性。
硬件信息安全模块(HSM)提供了一个信息安全计算平台,由一个32位CPU、为了存储加密密钥和唯一的用户标识符准备的特殊访问保护存储器和一个为了高级加密标准AES128加密算法准备的硬件加速器。其中AES128硬件加速器是一个可工作于不同模式用于产生随机数的特殊硬件。目前市场上大部分家用无线路由器所采用的数据加密标准就是AES128。其加密强度和通讯速率已经为市场所接收。另外硬件信息安全模块HSM和AURIX微处理器的其他部分通过一个防 火墙分隔开来,从而形成了一个可信的运行环境。
图5为AURIX微处理器的内部框图。右侧就是上述的硬件信息安全模块HSM及其具体组成模块,左侧为AURIX微处理器的其他部分。硬件信息安全模块HSM和AURIX微处理器的其他部分通过中间的防 火墙分隔开来,从而创建了一个可信的运行环境(右侧方框部分)。
图5:AURIX微处理器的内部框图。
图6为车内通讯信息安全解决方案示例图。由英飞凌AURIX微处理器的HSM硬件信息安全模块确保ECU1雷达距离控制电子控制器和ECU2刹车电子控制器间的车内通讯信息安全,将来自黑客的数据篡改虚假信息阻隔于车内通讯网络之外。如标注1所示系统挑战为对于消息响应的安全认证,如标注2所示发送方和数据鉴定使用了基于高级加密标准AES的媒体访问控制器MAC。从而支持系统应对关于消息响应安全认证的挑战。
图6:车内通讯信息安全解决方案示例图。
为了在现有的车身网络中以很小的数据开销保护信号,可使用英飞凌AURIX器件提供硬件信息安全模块(HSM)用高加密强度产生消息鉴定码。高加密强度是防止通过长时间窃听总线数据轻易夺取密钥此类网络攻击的关键方法。比如使用通用保护编码(CPC)方法以最低的成本实现点对点高实时性要求通讯信息安全和安全性提供了有效的保护。
通用保护编码(CPC)方法将消息开销中的完整性、安全认证和时效性整合到一个编码中,所以它能够维持在所有通讯路径的长度限制以内。时效性由使用时间作为参数产生加密鉴定码保证,这样可以防护回复和延时类型的攻击。这种鉴定编码通过循环冗余检查算法(CRC)和一个非常轻度的加密算法连接到有效载荷数据。因此这种鉴定编码维持了原来循环冗余检查CRC算法的安全相关完整性保护属性。逐级优化地引入这种方法不会对系统设计产生根本性影响,并且减少了风险和成本。
2.车车通讯(C2C)和车设施通讯(C2I)的无线通讯网络信息安全解决方案
车车通讯(C2C)和车设施通讯(C2I)被认为可以在未来改进道路行驶安全和交通效率,例如在前方道路损坏或者出现车辆事故的时候驾驶者将得到警告。
在车车通讯中需要交换敏感信息,例如位置和速度信息。由于这部分数据将来会用于触发警告信息和自主反应,因此数据的完整性必须得到保护。其次,保护驾驶者隐私也非常重要。
网络和信息的完整性由公钥加密方法保护。这种方法用频繁改变伪随机证书标记发出消息来保护隐私。对应地,秘密的私钥需要高级别的保护起来。因为它们是车车通讯信息安全的基础。
一种基于公钥和密钥的加密专用芯片,比如英飞凌SLI 97 V2V信息控制器,可被用于对车车通讯(C2C)和车设施通讯(C2I)的无线通讯进行高强度数据加密。SLI 97 V2V信息控制器为车车通讯优化以提供足够的保护安全级别。通过建立一个信息安全保护的连接到一个专用的隐私认证授权,SLI 97 V2V接收一个相对弱的伪随机证书和对应的私钥。随后,SLI 97 V2V使用伪随机证书来标记发出的车车通讯信息,对无线通讯数据进行高强度数据加密。并且SLI 97的 衍生型号已大范围的应用在手机嵌入式SIM卡应用中。因此经过大批量量产,质量和性能已得到了市场验证。
图7为典型车车通讯模块的方框示意图。车车通讯的核心为中间的车车通讯处理器,它和左中和左下的Flash和DDR3配合运行相应的车车通讯软件。车车通讯微处理器和车内其他电子控制器的通讯通过下左以太网和下右CAN总线(比如英飞凌的TLE7250G总线收发器)两个网络进行。车车通讯处理器通过左上的GPS接收器即可获得车辆目前的位置。当车车通讯处理器需要通过上方的车车通讯射频收发器就可以通过无线通讯和其他车辆或者设施进行通讯。但是为了保证车车通讯中的信息安全,需要通过右方来自英飞凌科技的信息安全单元SLI 97对收发的数据进行加密处理。
图7:车车通讯模块的方框示意图。
综上所述,为了应对激光传感器小型化的挑战,一种紧凑且高性能的多核微处理器,比如英飞凌AURIX微处理器,可被用来在紧凑的产品尺寸中实现高性能高功能安全要求的激光扫描仪应用。而为了应对网络信息安全Cyber Security的挑战,在车内通讯网络中,一种基于具有硬件信息安全模块的微处理器,比如具有HSM模块的英飞凌AURIX微处理器被用于基于AES128高级加密标准保护车内电子控制器间的通讯不被外界黑客攻击。而在车车通讯(C2C)和车设施通讯(C2I)的无线通讯中,一种基于公钥和密钥的加密专用芯片,比如英飞凌的SLI 97 V2V信息控制器,被用于对无线通讯数据进行高强度加密。解决了上述两大挑战,自动驾驶技术将有望一步步从概念走向量产化,并逐渐在汽车电子主动安全系统得以应用。