Startseite > Automotive > Software + Tools > Navigieren im Spannungsfeld zwischen Safety und Security

Bereitstellung einer Security-IP

Navigieren im Spannungsfeld zwischen Safety und Security

21. November 2023, 8:30 Uhr | Autor: Jacob Wiltgen, Redaktion: Irina Hübner

Safety und Security bei Automotive-Chips ist nach wie vor ein heißes Thema. Ein Satz, der in den Diskussionen immer wieder auftaucht, lautet: Ein Automobil-IC kann »secure« sein, ohne dass er »safe« sein muss, aber ein Automobil-IC kann nicht »safe« sein, ohne auch »secure« zu sein.

▶ Diesen Artikel anhören

Hinzu kommen noch einige Details: Ein Automobil-IC mit einer unvollständigen Security-Architektur bietet potenzielle Angriffsvektoren, die die Safety-Architektur ineffektiv machen und zur Verletzung eines Safety-Ziels führen können. Safety und Security sind eng miteinander verknüpft. Die IC-Teams müssen sich mit beiden befassen, um eine sichere IP oder IC zu gewährleisten.

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Im Rahmen einer Kooperation konzentrierten sich Rambus und Siemens EDA auf die Bereitstellung einer Security-IP, die eine robuste, gegen zufällige Ausfälle geschützte Safety-Architektur enthält. Am Ende der Zusammenarbeit lieferte Rambus ein ASIL-B-zertifiziertes RT-640 Embedded Hardware Security Module (HSM).

Die Automotive Safety Integrity Level

Im Mittelpunkt der ISO-Norm 26262 steht der Begriff Automotive Safety Integrity Level (ASIL). Die Norm definiert ASIL als »eine von vier Stufen zur Festlegung der erforderlichen ISO-26262-Anforderungen und Sicherheitsmaßnahmen für den Gegenstand oder das Element, um ein unangemessenes Risiko zu vermeiden«.

ASIL A gilt als die niedrigste und ASIL D als die strengste Stufe. In der Industrie werden die Begriffe ASIL Ready und ASIL Certified häufig als Bezeichnung für das erreichte Niveau des zu liefernden Produkts verwendet. Der Unterschied zwischen den beiden ist oft verwirrend.

Für ASIL-Ready-Produkte muss das Produkt so konzipiert sein, dass es die Anforderungen einer ASIL-Komponente erfüllt. Es ist jedoch keine tatsächliche Hardware-Implementierung erforderlich. Die Zertifizierung basiert häufig auf Zusicherungen, dass die Zertifizierungsnachweise die ASIL-Anforderungen erfüllen.

Für ASIL-Certified-Produkte muss das Design in Hardware implementiert sein und alle Safety-Merkmale enthalten, die die Sicherheit des Geräts für den Einsatz belegen. Dies wird durch die Verifizierung der Safety-Architektur und die Bereitstellung der wichtigsten Safety-Kennzahlen (SPFM, LFM, PMHF usw.) nachgewiesen.

Bereitstellung eines ASIL-B-zertifizierten Embedded HSM

Es gibt viele Anforderungen, die erfüllt sein müssen, um eine Zertifizierung nach ISO 26262 zu erhalten. Dies sind unter anderem Prozess- und Governance-Aktivitäten, Verifizierung und Validierung sowie Design for Test zur Beseitigung systematischer Fehler und die Implementierung einer robusten Safety-Architektur zum Schutz vor unerwarteten Ausfällen. Die Zusammenarbeit zwischen Siemens und Rambus konzentrierte sich auf zufällige Hardwareausfälle.

Siemens SafetyScope wurde eingesetzt, um das Design mithilfe von Strukturanalyse-Engines zu analysieren und eine frühzeitige Schätzung der Safety-Kennzahlen und der Robustheit der Safety-Architektur zu ermöglichen. Diese Analyse ermöglichte es den Rambus-Ingenieuren, festzustellen, welche safety-kritischen Blöcke abgedeckt sind und wo Abdeckungslücken bestehen, wodurch das Team zur optimalen Safety-Architektur geführt wurde.

Nach der Implementierung der Safety-Funktionen setzte Rambus den simultanen Fehlersimulator Siemens KaleidoScope ein, um Fehler in das Design zu injizieren und die Wirksamkeit der implementierten Safety-Architektur nachzuweisen. Der geschlossene Kreislauf von der frühen Zyklusabschätzung bis zu den validierten Metriken bietet einen Arbeitsablauf mit einer einzigen Iteration, der zu einer effizienten Ausführung des Safety-Lebenszyklus und zur Bereitstellung des Safety-Nachweises führt.

Die mit den Werkzeugen erzielten Ergebnisse wurden dem TÜV-SGS zur Zertifizierung übermittelt.

Techniken zur ganzheitlichen Berücksichtigung von Safety und Security

Zusätzliche Details über die Überschneidung von Safety and Security, über Techniken zur ganzheitlichen Berücksichtigung von Safety and Security sowie über die Zusammenarbeit zwischen Rambus und Siemens liefert das Whitepaper: »Navigieren im Spannungsfeld zwischen Sicherheit und Schutz«. Dieses Dokument gibt es auch auf Rambus.com.

Weitere Informationen über die Siemens Functional Safety Platform und Lösungen bietet die Seite Functional Safety auf Siemens.com.

Das Herzstück einer robusten Security-Architektur ist die IP, die modernste Manipulationsschutz- und Security-Funktionen zum Schutz von Hardware und Software implementiert. Um funktionsfähig zu bleiben, muss diese IP ausreichende Safety-Funktionen zum Schutz vor zufälligen Ausfällen aufweisen. Rambus hat mit Hilfe der Safety-Tools von Siemens ein ASIL-zertifiziertes Embedded-Hardware-Security-Modul entwickelt. Die ASIL-Zertifizierung spart dem Kunden Zeit und Aufwand und gibt die Gewissheit, dass die IP bereits die Anforderungen der ISO 26262 erfüllt.

Der Autor

Jacob Wiltgen
ist Functional Safety Solutions Manager bei Siemens EDA. Er ist verantwortlich für die Definition und Abstimmung funktionaler Sicherheitstechnologien im gesamten Portfolio von IC Verification Solutions. Wiltgen besitzt einen Bachelor of Science in Elektro- und Computertechnik der University of Colorado Boulder. Vor seiner Tätigkeit bei Mentor hatte er verschiedene Design-, Verifizierungs- und Führungspositionen im Bereich der IC- und SoC-Entwicklung bei Xilinx, Micron und Broadcom inne.