随着新一代EV引入无线电池管理技术,将电池组从笨重的通信线束中解放出来,重量更轻、更紧凑,减轻了里程忧虑,但也带来安全性问题。本文作者观点认为,必须确保从设备到网络、再到电池整个寿命周期实施全覆盖,安全性才有保证;故需要涵盖所有可能故障模式,并实施端到端安全机制的系统级设计理念。

在与电动汽车(EV)原始设备制造商(OEM)进行的早期对话中,论及无线电池管理系统(wBMS)技术和业务优势,发现其挑战似乎令人望而生畏!但凡事有两面,其回报也很大,大到不容忽视。相对于有线架构,无线连接的许多固有优势已经在无数应用中得到验证,且BMS是又一个明确摒弃有线方案的对象。

图1:采用wBMS的电动汽车。本文资料来源:ADI

最终采用无线方案后,可将EV电池组从笨重的通信线束中解放出来,使其重量更轻、模块化、更紧凑,这一美好前景已被广泛期待。届时,可省掉高达90%的组件布线以及15%的体积,整个车辆的设计和占用面积可以得到显著优化。同样省去的还有BOM成本、复杂的开发、以及相关的手动安装/维护劳动力成本。

此外,OEM可以很容易地将一项无线电池设计扩展到其整个电动车系,从而不用为每个品牌和型号重新设计大量且昂贵的电池组线束。有了wBMS,OEM可以自由修改其车架设计,而无需担心电池组内大量BMS的重新布线。

从长远来看,持续减轻车辆重量和电池组尺寸,对于未来扩大EV行驶里程至关重要。因此,wBMS技术将在帮助OEM提高其行程能力方面发挥重要作用,有助于消费者克服长期以来对EV的里程焦虑。

这不仅有助于EV的市场普及,也为OEM厂商凭借其实力一跃而起、从而攀升到EV市场领先地位提供了机会。这将是未来电动车领域OEM厂商差异化的主要地方。

安全标准

不过,要实现wBMS提供的承诺,尚需要克服许多挑战。在汽车行驶时,wBMS中使用的无线通信需要具有足够的抗干扰能力,并且系统必须在所有条件下都是安全的。然而,这是系统安全发挥作用的地方,仅靠稳健和安全的设计,可能还不足以抵御蓄意攻击。

干扰源在不断变化,具体取决于汽车行驶的地方(例如,城市还是农村地区),以及是否有人在车内使用工作在同一频段的其他无线设备。电池组内的反射也会降低性能,具体取决于电池芯封装所用的材料。wBMS信号有可能会波动,从而在自然条件下都可能会出现通信中断,更不用说面对恶意行为了。

如果wBMS通信因某种原因中断,则汽车应该可以恢复到“安全模式”,通过驾驶员的干预,降低一些性能便是;更严重的情况是,wBMS通信完全丧失,必须安全停车。这些可以通过适当的安全设计来实现。设计中须考虑到系统中所有可能的故障模式,并实施端到端安全机制,来应对各种随机故障。

但一般的安全设计,没有考虑恶意行为者可能蓄意利用系统谋私、包括远程控制汽车的可能性。早在2016年黑帽(Black Hat)大会期间,这种风险就得到了验证:通过车辆网关,研究人员成功对一辆正在高速行驶中的车辆进行了远程访问!因此,传统的无线解决方案鲁棒性和故障安全设计是不够的,还需要其他的安全措施。黑帽期间的演示是一个宝贵的教训,表明未来汽车中设计的无线系统,不能被用作另一个远程接入点。相比之下,传统的有线解决方案不提供远程访问,因此黑客要获取电池数据,就必须身临车中的高压环境。

在EV电池的整个生命周期中,可能还会出现其他额外的安全挑战,如图2所示。wBMS设计解决方案侧重于掌控EV电池的不同阶段,从诞生到车厂、再到部署和维护、最后到下一个生命周期或寿命结束。这些用例定义了wBMS必须支持的各种功能。例如,在EV使用期间的一个重要考虑因素,就是防止未经授权的远程访问,但是在制造期间却又要赋予更多的灵活性。另一个例子是可维性方面的问题,即维修权法要求车主解决本来源于电池或wBMS方面的相关问题。这意味着必须支持wBMS中软件的合法更新,并且当车辆离开服务中心时,更新机制不能削弱车辆的安全性。

此外,当汽车电池不再满足性能标准时,有时会将其重新用到其他地方。这需要对EV电池的所有权进行安全转移。由于EV电池本身缺乏内置智能,因此需要所附的wBMS来实施适当的安全策略,以最好地服务于EV电池的各个生命周期。在过渡到第二个生命周期之前,需要安全地擦除第一生命周期的所有秘密。ADI已预见了这些问题,并根据核心设计原则(即对维护和增强产品的每个流程中的安全完整性都给予高度重视和全面详尽审查),解决了这些问题。

图2:EV电池及相关wBMS的生命周期。

与此同时,历经三年的制订,事关“道路车辆:网络安全工程”的ISO/SAE 21434标准也于去年8月正式发布。该标准定义了一个类似且详尽的端到端流程框架,具有四个级别的网络安全保证等级。汽车OEM厂商和供应商的评级范围为1~4,其中4代表合规水平最高。该标准实现了汽车行业安全产品开发所需的最高级别的检查和严格性,见图3。

图3:ISO/SAE 21434框架和CAL 4的预期。

从设备到网络的严格审查

按照wBMS产品设计的系统流程,进行威胁评估和风险分析(TARA),并根据客户产品使用方式绘制出威胁图。通过了解系统工作原理以及在其生命周期内使用的各种方式,可以确定哪些关键资产需要保护,又有哪些潜在威胁。

TARA技术有多种选择,包括著名的Microsoft STRIDE方法,该方法试图通过一缩写词STRIDE所代表的六种威胁(欺骗、篡改、拒绝、信息披露、拒绝服务、特权提升)来进行威胁建模。然后,将其应用于组成wBMS系统组件的不同接口,如图4所示。

图4:wBMS的威胁面注意事项。

这些接口是数据和控制流路径上的自然停止点,潜在攻击者可能会在此处未经授权访问系统资产。在这里,通过扮演攻击者的角色,看看每个威胁在每个接口的适用性以及原因,找出可能的攻击路径,并确定威胁发生的可能性,以及所产生后果的严重程度(如果攻击成功的话)。由于威胁的可能性和影响会因产品所处的环境而异(例如,仓库存放与实际应用环境),故在产品不同的生命周期阶段需要重复执行这一思维过程。另外,这些信息将表明需要采取哪些对策。

以图4所示的无线小区监控器和wBMS管理器之间的无线信道为例,如果资产是来自无线小区监控器的数据,并且担心数据泄漏给窃听者,那么可能希望在数据通过无线信道时对其进行加密。如果担心数据在通过通道时被篡改,那么可能希望采用数据完整性机制(如消息完整性代码)来保护数据。如果担心的是数据的来源,那么需要一种能使wBMS管理器无线小区监控器进行鉴权的方法。

通过实践,可以确定wBMS系统的关键安全目标,如图5所示。这些目标需要一些机制来实现。

图5:wBMS的安全目标。

通常我们会经常被问及,“在选择实现特定安全目标的机制方面走了多远?”如果增加过多的措施,毫无疑问会改善产品的整体安全态势,但代价往往太高,并可能给产品最终消费者带来不必要的不便。一种常见的策略是,采用最容易的手段来消除出现可能性最大的威胁。只有价值更高的资产目标才会招致更复杂的攻击,这时才需要更强的安全对策。但这些攻击发生概率极低,因此如果广泛实施,回报率太低。

例如,在wBMS中,当车辆行驶在道路上时,不太可能对IC进行物理篡改来获取蓄电池数据,因为要想在汽车行驶过程中操控汽车部件,需要一名训练有素的机械师,且具备深厚的EV蓄电池知识。现实生活中的攻击者可能会尝试更简单的路径。对网络系统的一种常见攻击是拒绝服务(DoS)攻击,它剥夺用户的产品使用权。如果创建一个便携式无线干扰器,来试图干扰wBMS功能,可能就比较难,但如果是对轮胎放气就非常简单。

将风险与一组适当的措施进行权衡的过程称为风险分析。引入适当对策的前后,通过权衡相关威胁的影响和可能性,可以确定剩余风险是否已降低到合理程度。最终的安全功能只能是客户真正需要的东西、且成本是可接受的。

wBMS的TARA指出了wBMS安全的两个重要方面:设备级安全和无线网络安全。

任何安全系统的第一条规则都是对密钥“保密!”这意味着无论是在设备本身,还是在全球各地的制造过程中都是如此。ADI wBMS设备安全性不仅考虑了硬件和IC,还考虑了IC中的低层软件,确保系统能够将代码从不可篡改的内存安全引导到可信的运行平台。所有软件代码在执行之前都必须经过鉴权,任何现场软件更新都需要依据预装凭据进行授权。系统部署到车辆中后,禁止回退到之前的旧版本(可能易受攻击)。此外,一旦系统部署好,调试端口将被锁定,从而彻底消除未经授权的后门访问系统的可能性。

网络安全旨在保护wBMS电池监控节点与电池组内网络管理器之间的空中通信。安全性从网络接入开始,其中检查所有参与节点的成员资格。这可以防止任何随机节点(即便恰好就在附近)加入网络。在应用层,节点与网络管理器的身份互验证,将进一步保护无线通信,使攻击者不可能在网络管理器中伪装成合法节点,反之亦然。此外,为了确保只有预定的接收者才能访问数据,采用AES加密方式对数据进行加密,防止信息泄漏给任何潜在的窃听者。

密钥防护

与所有安全系统一样,安全的核心是一系列加密算法和密钥。ADI wBMS遵循NIST批准的指导原则,这意味着选择了适合静态数据保护的算法和密钥长度(最小安全强度为128位,如AES-128、SHA-256、EC-256),算法则是通过IEEE 802.15.4这类无线通信标准认证测试的算法。

设备安全中使用的密钥通常在制造过程中安装,并且从不离开IC器件。反过来,无论是在使用或者静止期间,这些用于确保系统安全的密钥,都受到IC器件的物理保护,以防未经授权的访问。作为加密blob,保存在非易失性内存中,层级分明的密钥架构可以保护所有应用级的密钥,包括网络安全密钥。

为了便于网络节点互认证,在制造过程中,wBMS为每个节点提供了唯一的公私密钥对和签名的公钥证书。签名证书允许节点验证其是否正在与另一个合法的节点和有效的网络成员通信,而节点在密钥协议方案中使用唯一的公私密钥对,与另一个节点或BMS控制器建立安全通信信道。这种方法的一个好处是不需要提供安全的安装环境,从而使得wBMS的安装更容易,因为在部署后,通过自动编程,这些节点即可被赋予处理网络安全的权限。

相比之下,过去使用预共享密钥建立安全通道的方案,通常需要安全的安装环境,并要求程序安装员手动编程通信端点的键值。为了简化和降低处理密钥分配问题的成本,为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。但这往往导致了一个惨痛的教训:即任何一点出问题,全盘皆毁!

随着OEM生产规模的扩大,能够利用同一wBMS,在不同的EV平台上掌控众多数量不等的无线节点,并安装在多个不同但必须是安全的制造或服务站点,故倾量向于采用分布式密钥方法,以简化整体密钥管理的复杂性。

只有在确保安全性从设备到网络实施全覆盖,并覆盖到EV电池的整个使用寿命,才能实现wBMS技术的全部益处。从这个角度来看,安全性要求系统级设计理念,包括产品设计生产和使用过程。

作者:Lei poo,ADI汽车电子移动系统架构总监

(参考原文:Ensuring security in wireless battery management systems)

本文为《电子工程专辑》2022年9月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅

责编:Jimmy.zhang
阅读全文,请先
您可能感兴趣
毫无疑问,车规级芯片在可靠性等多方面要求远高于工业级芯片。这对于台积电来说,掌控着全球最先进的芯片制造技术,也必将受益于汽车芯片需求的增长。
在新能源概念背景下,电动汽车市场是否被催肥了?互联网新经济公司的特点是,通过烧钱短期内能把营收做得非常好看,业务增速换算成估值预期,在热钱涌入的阶段往往能成就以小博大的励志故事。现在,成长性这个卖点不性感,盈利才性感了。
在人工智能这条赛道上的玩家,最终比拼的是技术落地能力,这也是衡量AI实力重要依据。未来,寒武纪能否凭借自身研发实力,不断推动技术产业化落地,还将面对芯片市场“大浪淘沙”的严峻考验。
要实现优异的ADC性能,就离不开ADC驱动器。ADC驱动器实际上就是专用放大器,专门设计用来与包括逐次逼近型、流水线型和基于⊿/∑架构的ADC配套工作。这类专用放大器是使ADC实现最佳性能的关键电路。随着ADC向更高速度、更高分辨率发展,这类放大器变得愈加重要。
随着中国向信息化和数字化全面转型,5G、智能汽车、人工智能、物联网等新兴产业快速发展,也带动了芯片需求量的上升。未来中国集成电路市场需求仍然很大,不过从数据表现来看,整体增速正减缓,表明也受到了全球半导体“寒冬”的影响。
各类传感器为形形色色的应用电子系统提供了诸多物理参数输入。但实际应用场景中,面临着各式各样的设计挑战。这些挑战究竟来自传感器自身,还是所处的传感场景?本文作者的观点是:许多应用场景无法依赖物理仪器、而必须通过建模和仿真来解决,而且敏度分析和准确建模同样重要。
由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。

OPPO K10x搭载5000mAh大容量电池与67W超级闪充,一次充电可带来1.3天的续航使用,同时,OPPO 67W超级闪充方案,33分钟即可从1%充到80%。搭载120Hz LCD高刷屏和高通骁龙695 5G移动平台,采用金刚石智冷散热系统,4种不同的散热材料搭配4颗温度传感器,在手机散热的同时,实时感知手机温度并进行智能控温,大幅提升手机温控效果。
海洋光学(Ocean Insight)与等离子蚀刻技术的领先创新者合作,探索适用于检测关键晶圆蚀刻终点的全光谱等离子监测解决方案。

点此查看:2022年PCB行业创新分享会通知广告分割线近日,在相关政府网站上显示,江西省江铜铜箔科技股份有限公司(以下简称:江铜铜箔)通过IPO辅导验收。9月3日,中信证券发布了《关于江西省江铜铜箔科
在新冠疫情期间,我们见证了很多不同寻常的事,其中之一就是供应链困局可能会给很多人带来影响。尤其是汽车行业的供应链十分复杂。现在即便是普通消费者也知道半导体芯片对当今日益智能的汽车有多重要,如果芯片供不
随着HDI板市场的迅速发展,电子产品的微型化,高集成化程度越来越高。HDI孔从简单的盲埋孔逐渐发展到多阶叠孔,电镀填孔起到重要作用。01电镀填孔的优势➤ 改善电气性能,有助于高频线路板设计,提高连接可
互联网时代给用户带来了极大地便利,但也让个人隐私信息无处躲藏。当你打开电商购物平台,APP的精准推荐总是让人感到不安;当你打开搜索平台,跳出的智能搜索清晰记录着你的浏览行为;打开娱乐软件,推荐算法则让
免责声明:内容如有侵权,请联系本部删除!(手机微信同号15800497114)19年以上的高端LED封装企业汇大光电解散导读:9月13日,新三板挂牌企业深圳市汇大光电科技股份有限公司(以下简称汇大光电
关注我们更多精彩等你发现!END往期精选   【免费】FPGA工程师招聘平台简谈FPGA设计中系统运行频率计算方法与组合逻辑的层级SANXIN-B01开发板verilog教程V3电子版学员笔记连载 |
“进入9月,受疫情和全球经济持续低迷的影响,全球智能手机市场需求依旧疲软,消费者换机欲望下降,平均换机周期延长,尽管在旺季效应的带动下,终端品牌的整机库存在逐渐消耗,但在中低端产品项目上,品牌厂商的备
最近,长实执董赵国雄以及协鑫朱共山接连入股氮化镓IDM企业——宏光半导体。尤其是朱共山及家族旗下之全权信托协鑫集团,与宏光半导体签署了战略合作框架协议,将成立合资子公司,推进氮化镓(GaN)技术在充电
芯片供应商骗局近期频频爆雷,假货、跑路、维权无门,两眼一抹黑怎么办?【超人投票】告诉你答案,火眼识别靠谱供应商。【超人投票】是芯片超人在2017年推出的,帮助市场上的朋友找到靠谱供应商的决策工具。5年
免责声明:内容如有侵权,请联系本部删除!(手机微信同号15800497114)来源:东海政法微平台9月15日太平洋石英股份半导体石英材料(三期)项目意向投资签约仪式举  行副市长、县委书记宋波出席仪式