Mehr Sicherheit im automobilen Mikrocontroller

Fehlverhalten reduzieren

Anzeige
Elektronische Sicherheitssysteme haben zweifellos einen Einfluss auf einen anhaltenden positiven Trend in der Verkehrssicherheit: Die Zahl der Verkehrstoten in Deutschland sank von über 10 000 im Jahr 1992 auf heute knapp ein Drittel davon. Damit dieser Trend anhält, läuft die Entwicklung noch umfangreicherer Sicherheits- systeme bereits auf Hochtouren.

Autor: Kai Konrad, Manager Produkt-Marketing, Mikrocontroller, Automotive Division, Infineon Technologies AG, München

Neue Generationen von Fahrerassistenz- und Sicherheitssystemen erzeugen jedoch stetig steigende Datenmengen, die innerhalb und außerhalb des Fahrzeugs sicher übertragen werden müssen. Ethernet überträgt zukünftig innerhalb des Fahrzeugs die steigende Informationsmenge zwischen Steuergeräten, und die Fahrzeug-zu-Fahrzeug-Kommunikation stellt bald den Kontakt zur Außenwelt her. Die Sicherheit muss hier bereits in den einzelnen angeschlossenen Komponenten verfügbar sein, um mögliches Fehlverhalten von Einzelsystemen auf ein Mindestmaß zu reduzieren.
Security und Safety
Das deutsche Wort „Sicherheit“ unterscheidet nicht zwischen den englischen Begriffen „Safety“ und „Security“. Beide fokussieren auf die Risikoreduzierung, aber mit unterschiedlicher Sichtweise: Safety definiert die Risikoreduktion gegen unabsichtliches oder zufälliges Fehlverhalten. Bei Security ist der Schutz vor beabsichtigtem, mutwillig herbeigeführtem Fehlverhalten das Ziel.
Weitere Unterschiede finden sich bei der Definition von Risiko: Für Safety wird das Risiko über den möglichen Schaden eines Fehlverhaltens und der Wahrscheinlichkeit des Eintretens definiert. Im Bereich Security ist dagegen nicht die Wahrscheinlichkeit von Interesse, sondern der Aufwand, der benötigt wird, um ein Fehlverhalten auszulösen.
Als Beispiel für die Unterschiede kann man Tachometermanipulation nennen. Ein gefälscht niedriger Kilometerstand führt für einen potenziellen Käufer eines gebrauchten Fahrzeugs zu einem finanziellen Schaden – diese Manipulation zu verhindern, ist Aufgabe von Security. Darüber hinaus kann wegen der Manipulation die Einhaltung von Wartungsintervallen nicht sichergestellt werden. Damit verschlechtert sich die Sicherheit in Bezug auf potenzielle unabsichtliche Fehler, was unter den Bereich Safety fällt.
Zur Sicherstellung der Security ist es notwendig, den Manipulationsaufwand so weit zu erhöhen, dass es unwirtschaftlich wird, das Fehlverhalten „zu niedriger Tachostand“ auszulösen. Daraus kann man beispielhaft erkennen, dass Sicherheit im Automobil der Zukunft nicht aus Safety oder Security allein besteht, sondern als ganzheitlicher Ansatz anzusehen ist.
Sicherheit ist immer eine Systemanforderung
Die Basis eines sicheren Systems im Sinne von Safety bietet die in 2011 verabschiedete ISO 26262. Die Norm gibt eine Richtlinie vor, wie sicher Systeme gegen unabsichtliches Fehlverhalten sein müssen. Hierfür definiert die Norm Asil (Automotive Safety Integrity Level) Stufen von A bis D für Systeme. Asil D ist die höchste Stufe und stellt an die Systementwicklung die größte Herausforderung. Asil D wird eine Reihe von Systemen notwendig sein, um die geforderte Sicherheit zu gewährleisten. Hierzu gehören beispielsweise Airbag, Brems- und elektrische Lenksysteme und Antriebssysteme.
Die Schlüsselkomponente in elektronischen Systemen ist der Mikrocontroller, eine hochkomplexe Komponente mit Logik-, Speicher- und Mixed-Signal-Technologie.
Mikrocontroller übernehmen nicht nur die Steuerung und Regelung, sondern auch Überwachungs- und Sicherheitsaufgaben. Die Mikrocontrollerfamilie Aurix für Automobilanwendungen wird bei Infineon Technologies entwickelt, um einen ganzheitlichen und flexiblen Sicherheitsansatz im Sinne von Safety und Security zu ermöglichen.
Neue Mikrocontroller unterstützen Sicherheit
Um Safety im Mikrocontroller effizient zu erreichen, sind eine intelligente Nutzung von Redundanz und Diversität auf Funktionsebene und eine ausgereifte Architektur mit Schutz- und Diagnose-Mechanismen notwendig.
Generell hat sich hier eine Partitionierung des Mikrocontrollers in drei Bereiche empfohlen: Die „vitalen Bestandteile“ des Mikro- controllers, der Bereich der „Controllerperipherie“ und Bestandteile, die sich auf das „gesamte Steuergerät“ beziehen.
Zu den „vitalen Bestandteilen“ gehören im Aurix-System die CPUs, Speicher und Bus-Systeme. Diese müssen in sich die Fähigkeit haben, den höchsten Asil-Level D und damit extrem niedrige Fehlerraten zu unterstützen.
Da die Nutzung und Asil-Fähigkeit der Peripheriebereiche von der gewählten Anwendung abhängen, nutzt man hier die Möglichkeiten der Asil-Dekomposition. Durch eine intelligente Verwendung von beispielsweise zwei Asil B-fähigen Timern kann so ein Asil D erreicht werden. Außerdem gibt es Bestandteile, die Überwachungsfunktionen außerhalb des Mikrocontrollers übernehmen und den Anwender dabei unterstützen, einen höheren Asil im System zu erreichen. Dazu gehören Spannungsüberwachungen und Input/Output-Monitore, die im Mikrocontroller integriert sind. Bei der Safety-Architektur werden also sämtliche Bestandteile des Mikrocontrollers in Betracht gezogen.
Die Aurix-Familie bietet neben einer hocheffizienten Safety-Architektur auch eine flexible Security-Ausstattung, um Anforderungen für Wegfahrsperre, Tachomanipulation und IP-Schutz abzudecken und zusätzlich neue, bisher nur theoretische Angriffsszenarien. Die Security-Architektur hat das Ziel, die Hürden für Attacken so weit nach oben zu setzten, dass zum Beispiel der kommerzielle Aspekt für Angreifer uninteressant wird.
Infineon implementierte einen Schutz gegen unerlaubtes Debuggen und unerlaubten Zugriff auf Flash-Speicher schon in der Audo NG Tricore-Familie und bietet in der Audo MAX-Familie bereits ein „Secure Hardware Extension“ (SHE)- Modul an. Bei der neuen Aurix-Familie wurde mit dem „Hardware Security Modul“ (HSM) ein neuer Weg eingeschlagen. Das HSM kann als eigenständiger Mikrocontroller im Mikrocontroller gesehen werden. Es ist durch eine Firewall von der Tricore-Architektur getrennt und stellt den vertrauenswürdige Bereich auf dem Chip dar. Das HSM basiert auf einem programmierbaren Prozessorkern, welcher auch in Chipkarten verwendet wird. Es hat eigene Flash und RAM-Speicher, in welche vertrauliche Informationen wie Security-Applikationen, Daten und Schlüssel abgelegt werden können sowie Security-Erweiterungen wie einen ein AES-Modul zur hardwarebeschleunigten Ver- und Entschlüsselung sowie Hashgenerierung.
Vertraulichkeit im Mikrokontroller
Das HSM gewährleistet die Security im Fahrzeug: Es übernimmt durch Signatur von Nachrichten oder sogar die vollständige Verschlüsselung die sichere Kommunikation auf den Fahrzeugbussen und zur Außenwelt. Das lässt sich hardwarebeschleunigt durch symmetrische Verschlüsselung oder Signierung mit dem AES Modul durchführen. Aber auch asymmetrische Public/Private-Key-Verfahren kann die CPU berechnen. Tachometerdaten zum Beispiel werden dann sicher im Fahrzeug übertragen und verschlüsselt gespeichert.
Infineon Technologies, Tel.: 089 234-0,
Anzeige

Aktuelle Ausgabe

Titelbild AutomobilKONSTRUKTION S5
Ausgabe
S5.2019
LESEN
ARCHIV
ABO

Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Whitepaper aller unserer Industrieseiten

Video-Tipps

Unser aktueller Video-Tipp: 100 Jahre BMW

Weiterbildung

Weiterbildungsangebote für den Konstruktions- und Entwicklungsingenieur

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de