电动汽车动力总成系统的网络安全分析(超详细解析)
1. 本文说明
本文总结新能源汽车动力总成系统的网络安全(cyber security),并按照ISO21434的结构编写,即确定关键资产、所面临的威胁、威胁的风险定级,并给出安全需求。本文的目的是发现当前的动力总成系统所欠缺的安全设计,以在早期规避和减缓安全风险。本文的重点在威胁分析部分,动力总成的设计人员需确认相关的网络安全威胁是否考虑到,是否有相关的措施以缓解相关的安全威胁。
2. 网络安全和功能安全的背景
随着汽车电动化、网联化、智能化的发展,汽车的网络安全已经成为关键要素。它是功能安全(Safety)的先决条件,必须全面和系统地实施。在车辆研发过程中,网络安全和功能安全必须同步考虑。
3. 缩写
| 缩写 | 全称 |
|---|---|
| VCU | Vehicle Control Unit |
| BMS | Battery Management System |
| CAN | Controller Area Network |
| epbi | 集成化电子驻车制动系统 |
| PT | Powertrain (动力总成) |
| E2E | 端到端 |
| JTAG | Joint Test Action Group |
| 三电 | 电机、电池、电控 |
4. 动力总成的概述和组成
动力总成的概念指的是为车辆提供动力并将动力传到到路面的一系列零部件组合。动力总成系统对于电动汽车而言,就相当于是新能源汽车控制系统的核心,一般由整车控制系统(VCU)、驱动电机(MOTOR)及控制系统(MCU)、变速器及其控制系统(驻车P档或者自动变速器)组成。动力总成系统技术的好坏一定程度决定了汽车性能的发挥,是新能源汽车的动力核心。其中软硬件结合的部件、且与外界有数据交互的部件是高风险区域。VCU和车内通信网络是网络安全的重点,而BMS和动力电池组是功能安全的重点。
5.动力总成TARA分析
本节依据ISO/SAE 21434标准对动力总成做系统化的TARA(Threat Analysis and Risk Assessment)分析,以指导制定动力总成在生产、测试和维护过程中的网络安全治理目标和方案。
5.1 项目定义
5.1.1 项目边界
新能源动力总成系统由整车控制系统、电机控制器、驱动电机和变速箱等组成。并由电池供电系统提供动力源。网络安全分析边界可约束在这两个区域内展开。见图5-1-3示意架构
5.1.2 项目功能
-
加速/制动踏板传送信号至VCU,并由VCU统一管理发送信令至电机控制器,电机控制器将直流电转换为电机需要的交流电,并通过转速或转矩闭环来控制电机运作,使电机按指令要求执行。
-
动力电池组向电机控制器供电过程中,BMS监控其运行状态,并上报电池包状态参数至VCU。VCU也可接受上层控制指令,经由BMS发出调整功率输出指令(DC/DC转换器执行)
-
BMS监控充电机的充电过程,并管理充电参数。
5.1.3 初步架构
图6-1-3 动力总成功能示意架构图
5.2 资产识别和影响等级
5.2.1 主要资产分类
| 资产类别 | 资产说明 |
|---|---|
| 人身安全(Safety) | VCU作为整车的大脑,一旦失效,可能导致汽车失控,危及人身安全。 |
| 核心知识产权 | VCU作为电动汽车的核心,一般由车企自研,其算法和实现由车企自研。VCU的实现(固件)是核心知识产权。 |
| 动力总成总线上所传输的数据 | 动力总成关系到整车的性能,CAN总线上会传输关键的数据。这些数据展示着整车运行时的状况,也是分析整车性能的关键。因此,这部分数据的重要性极高。 |
5.2.2 数据资产分类
| 分类 | 数据项 |
|---|---|
| 完整性关键的数据 | 凡是输入给VCU的数据,并影响着VCU的驾驶策略。这类数据属于完整性关键的数据,例如油门踏板数据、刹车踏板数据、开关量数据、BMS数据。 |
| 保密性数据 | BMS的电池数据 |
| 高可用性数据 | 刹车踏板和油门踏板的输入数据(一旦因线路不可用等原因而无法输入VCU,将危及驾驶安全) |
5.2.3 资产识别与影响等级评定
- 假设Navigation ECU已经实施了比较好的安全措施,防止了无效数据通信
- 假设 Gateway ECU具有很强的安全控制能力,比如防火墙等
表6-2-2 资产识别与影响等级表
| 编号 | 资产 | 网络安全属性(C) | 网络安全属性(I) | 网络安全属性(A) | 损坏情况 | 影响等级 |
|---|---|---|---|---|---|---|
A-001 |
VCU硬件 | N | N | Y | VCU因硬件失效,不能正常工作,从而危及车辆的正常行驶 | Severe |
| A-002 | 校验数据(VCU启动时,未验证芯片的完整性) | N | Y | Y | VCU关键芯片替换,不能正常工作 | Severe |
| A-003 | 校验数据(VCU关键输入数据的完整性未校验) | N | Y | Y | VCU关键输入数据被篡改 | Severe |
| A-004 | 校验数据(VCU软件的健壮性不足) | N | Y | Y | VCU缺乏对畸形数据或异常数据的校验,而进入错误的处理逻辑 | Severe |
| A-005 | 检验数据(在行驶状态下升级VCU) | N | Y | Y | VCU升级失败,无法正常工作,危及行驶安全 | Severe |
| A-006 | 校验数据(VCU未校验升级包的完整性) | N | Y | Y | 错误升级包,车辆功能异常,危及行驶人安全 | Severe |
| A-007 | 检验数据(VCU未检查升级包与当前车辆配置的匹配性) | N | Y | Y | 升级包中的硬编码数据未考虑各车配置的灵活性,导致局部功能失效 | Moderate |
| A-008 | CAN总线(设备ID未与优先级相匹配) | N | Y | Y | 当总线繁忙时,高优先级的数据发不出来 | Moderate |
| A-009 | CAN总线(关键输入数据未做完整性保护) | N | Y | Y | 对于油门踏板、刹车踏板、关键开关量等数据未增加完整性保护措施 | Severe |
| A-010 | 线路冗余(关键输入数据未做冗余输入) | N | N | Y | 如果只有单路输入,一旦线路故障,则可能导致刹车或油门输入无法进入VCU,导致紧急时刻无法响应用户的操作,危及司机安全。 | Severe |
| A-011 | JTAG调试(关键部件未关闭JTAG的调试功能) | Y | N | N | JTAG功能未关闭或可以轻易打开 | Moderate |
| A-012 | 存储安全(公私钥存储安全) | Y | N | Y | 存储区上的公私钥被篡改,使得验签功能失效 | Severe |
| A-013 | PKI系统(缺失PKI体系) | Y | N | N | 系统没有集成根秘钥,无法验证关键操作的签名。关键设备缺乏数字证书,无法验证关键部件的真伪。 | Severe |
| A-014 | 芯片安全(对特定内存区域的执行保护(Execute-only protection)) | Y | N | N | 试图使用另一个加密区域中的代码对Execute-Only Protection加密区域中的代码进行复制、读取等操作都未被禁止 | Moderate |
| A-015 | 芯片及操作系统安全(芯片中代码段和数据段未分离) | Y | N | N | 芯片架构决定了代码段和数据段是否分离,在未做分离的情况下,可能导致恶意代码的执行 | Moderate |
| A-016 | 通信数据(VCU到电机控制器的信令请求) | N | Y | Y | 车辆将不能使用加速/制动踏板完成工作,车辆动力失效。 | Major |
| A-017 | 通信数据(VCU到BMS的信令请求) | N | Y | Y | 车辆不能变换调整功率,空调等系统失效 | Major |
| A-018 | 通信数据(VCU获取BMS数据上报请求) | N | Y | Y | 车辆获取不到充电机和电池包的状态信息,表盘信息不准确或不可用 | Moderate |
| A-019 | 通信数据(BMS获取动力电池上报请求) | N | Y | Y | 车辆获取不到电池包的状态参数信息,表盘信息不准确或不可用 | Moderate |
| A-020 | 通信数据(BMS获取充电机上报请求) | N | Y | Y | 车辆获取不到充电机的充电参数信息,无法监控充电状态,表盘信息不准确或不可用 | Moderate |
| A-021 | VCU固件 | Y | Y | N | 固件被刷写 | Severe |
| A-022 | BMS固件 | Y | Y | N | 固件被刷写 | Severe |
注:资产编号Asset(A-001 A-002 A-003等)
网络安全属性三要素C (Confidentiality) I(Integrity) A(Availability) N(No) Y(Yes)
风险影响等级 Severe(极其严重) Major(严重) Moderate(中等) Negligible(忽略不计)
5.3 威胁场景识别
表6-3-1 威胁场景识别表
| 编号 | 损坏情况 | 威胁场景 |
|---|---|---|
| D-001 | VCU硬件失效,不能正常工作 | VCU失效后,无法正确的控制车辆,危及车身形态,甚至危及司机生命安全 |
| D-002 | VCU关键芯片替换,不能正常工作 | 维修人员或黑客替换关键芯片,可能导致芯片与汽车配置不符,危及车辆行驶 |
| D-003 | VCU关键输入数据被篡改 | VCU关键的输入数据被黑客篡改,从而导致车辆进入错误的逻辑,诱发车辆事故 |
| D-004 | VCU缺乏对畸形数据或异常数据的校验,而进入错误的处理逻辑 | 由于传输错误或黑客恶意构造畸形数据,这些错误的数据进入逻辑运算,导致VCU给出不合理的输出 |
| D-005 | VCU行驶状态下升级失败,无法正常工作,危及行驶安全 | VCU升级时,未检查是否处在行驶状态,导致VCU升级失败。 |
| D-006 | VCU错误升级包,车辆功能异常,危及行驶人安全 | VCU在升级前,未检查升级包是否由原厂发布,即未检查升级包的签名,导致升级包错误或被黑客篡改的升级包导致车辆功能异常 |
| D-007 | VCU升级包中的硬编码数据未考虑各车配置的灵活性,导致局部功能失效 | 由于电动车的配置灵活,同一型号的车辆配置也可能不同。VCU在升级时,未检查升级包与本车配置的匹配性 |
| D-008 | 当总线繁忙时,高优先级的数据发不出来 | 优先级高的设备未使用更小的ID,导致总线繁忙时数据阻塞 |
| D-009 | 对于油门踏板、刹车踏板、关键开关量等数据未增加CAN总线完整性保护措施 | 黑客构造虚假数据,并将虚假数据输入CAN总线,CAN执行虚假数据。 |
| D-010 | 如果只有单路输入,一旦线路故障,则可能导致刹车或油门输入无法进入VCU,导致紧急时刻无法响应用户的操作,危及司机安全。 | 对于油门踏板、刹车踏板的输入,未做双链路的冗余输入,也未做两路输入的差值比对 |
| D-011 | JTAG功能未关闭或可以轻易打开 | 竞争对手或黑客可以通过JTAG口逆向分析车辆功能和数据 |
| D-012 | 存储区上的公私钥被篡改,使得验签功能失效 | 黑客提供内置的公钥,使得验签时用错误的公钥验签,并推送被篡改过的升级包 |
| D-013 | 系统没有集成根秘钥,无法验证关键操作的签名。关键设备缺乏数字证书,无法验证关键部件的真伪。 | VCU、BMS等关键组件缺失PKI体系,没有集成根秘钥,关键设备也未签发数字证书 |
| D-014 | 试图使用另一个加密区域中的代码对Execute-Only Protection加密区域中的代码进行复制、读取等操作都未被禁止 | 黑客试图读取芯片中的关键代码段 |
| D-015 | 芯片架构决定了代码段和数据段是否分离,在未做分离的情况下,可能导致恶意代码的执行 | 黑客试图构造缓冲区溢出并执行恶意代码 |
| D-016 | 车辆动力系统不可用,加速或刹车失灵 | VCU到电机控制器的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致动力总成系统不可用 |
| D-017 | 车辆电池功率变换失效,空调等无法使用 | VCU到BMS的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致无法调整转换电池功率,不同电池功率的车载系统不可用 |
| D-018 | 车辆仪表信息错误或不可用 | BMS获取电池包的上报状态参数信息完整性丧失,导致BMS到仪表的传输信息错误,仪表显示故障。BMS获取充电机的上报充电参数信息完整性丧失,导致无法监控充电过程已经BMS到仪表的传输信息错误,仪表显示故障。 |
| D-019 | 固件篡改或不可用 VCU的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写。 | BMS的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写。 |
注:识别表编号Discriminate(D-001 D-002 D-003等)
5.4 攻击路径分析和可行性评级
表6-4-1 攻击路径和可行性评级表
| 编号 | 威胁场景 | 攻击路径 | 攻击可行性评级 |
|---|---|---|---|
| R-001 | VCU失效后,无法正确的控制车辆,危及车身形态,甚至危及司机生命安全 | VCU硬件失效(硬件生产部门缺陷问题流程追溯) | 低 |
| R-002 | VCU关键芯片替换,不能正常工作 | 维修人员(黑客)维修过程排查 | 中 |
| R-003 | VCU关键的输入数据被黑客篡改,从而导致车辆进入错误的逻辑,诱发车辆事故 | 1. 攻击者通过蜂窝、OBD等篡改关键输入信息 2. 经由Navigation ECU、Gateway ECU转发恶意输入信息 3. VCU接收恶意输入 |
高 |
| R-004 | 由于传输错误或黑客恶意构造畸形数据,这些错误的数据进入逻辑运算,导致VCU给出不合理的输出 | 1. 攻击者通过蜂窝、OBD等传输错误或构造畸形数据 2. 经由Navigation ECU、Gateway ECU转发恶意数据 3. VCU进入错误逻辑运算 |
高 |
| R-005 | VCU升级时,未检查是否处在行驶状态,导致VCU升级失败。 | 1. VCU启动升级程序 2. 检查汽车处于行驶状态 3. VCU升级失败 |
中 |
| R-006 | VCU在升级前,未检查升级包是否由原厂发布,即未检查升级包的签名,导致升级包错误或被黑客篡改的升级包导致车辆功能异常 | 1. VCU启动升级程序 2. VCU不检查是否为合法身份的升级包 3. 不合法升级包启动完成 4. 车辆功能异常 |
中 |
| R-007 | 由于电动车的配置灵活,同一型号的车辆配置也可能不同。VCU在升级时,未检查升级包与本车配置的匹配性。VCU升级包中的硬编码数据未考虑各车配置的灵活性,导致局部功能失效 | 1. VCU启动升级程序 2. VCU硬编码部分不检查升级包与本车配置的匹配性 3.VCU局部功能失效 |
中 |
| R-008 | 优先级高的设备未使用更小的ID,导致总线繁忙时数据阻塞 | 1.CAN总线繁忙 2.优先级高的设备未使用优先级高的ID 3.阻塞数据,设备不能及时接收信号 |
低 |
| R-009 | 黑客构造虚假数据,并将虚假数据输入CAN总线 | 1.CAN总线中数据通信被黑客劫持(通过黑客攻击劫持CAN总线数据) 2.构造恶意报文并重放报文数据 3. CAN总线中的ECUs不做完整性和鲜活度校验 4.动力系统CAN指令执行异常 |
中 |
| R-010 | 对于油门踏板、刹车踏板的输入,未做双链路的冗余输入,也未做两路输入的差值比对 | 1. 系统为做双链路冗余 2. 一路线路故障 3. 动力系统失效 |
低 |
| R-011 | 竞争对手或黑客可以通过JTAG口逆向分析车辆功能和数据 | 1. JTAG功能未关闭或忘记关闭 2. 攻击者JTAG口接入调试 3. 读取车辆可执行程序 4. 逆向分析代码逻辑 |
高 |
| R-012 | 黑客提供内置的公钥,使得验签时用错误的公钥验签,并推送被篡改过的升级包 | 1.攻击者通过蜂窝、OBD等通道,并拥有输入漏洞植入木马 2.公私钥存储区被感染,修改公私钥文件 3.推送恶意升级包 4.接管权限并控制车机功能 |
高 |
| R-013 | VCU、BMS等关键组件缺失PKI体系,没有集成根秘钥,关键设备也未签发数字证书 | 1.VCU、BMS无PKI体系颁发的证书 2.报文明文发送或者单向认证 3.无双向验证,攻击者中间人劫持截获数据包 4.篡改报文并实施攻击 |
高 |
| R-014 | 黑客试图读取芯片中的关键代码段 | 1. 攻击者控制一个区域的代码执行 2.恶意读取另一个Execute-Only Protection区域的代码 3.逆向分析读取的代码逻辑 |
低 |
| R-015 | 黑客试图构造缓冲区溢出并执行恶意代码 | 1. 攻击者获取内核代码的已知或0day缓冲区溢出漏洞 2.构造恶意代码,并通过数据段溢出至代码段执行 |
低 |
| R-016 | VCU到电机控制器的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致动力总成系统不可用 | 1. 攻击者获得OBD连接器的本地访问权限 2.攻击者通过OBD连接器发送恶意控制信号 3. Gateway ECU转发恶意信号到VCU 4.恶意信号欺骗电机控制器 |
中 |
| R-017 | VCU到BMS的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致无法调整转换电池功率,不同电池功率的车载系统不可用 | 1. 攻击者从蜂窝接口进入Navigation ECU 2.受损的Navigation ECU发送恶意控制信号 3.Gateway ECU将恶意信号转发到VCU 4.恶意信号欺骗BMS和电池系统 |
高 |
| R-018 | VCU到BMS的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致无法调整转换电池功率,不同电池功率的车载系统不可用 | 1. 攻击者获得OBD连接器的本地访问权限 2.攻击者通过OBD连接器发送恶意控制信号 3.Gateway ECU转发恶意信号到VCU 4.恶意信号欺骗BMS和电池系统 |
中 |
| R-019 | BMS获取电池包的上报状态参数信息完整性丧失,导致BMS到仪表的传输信息错误,仪表显示故障。 | 1.攻击者通过OTA缺陷或其他烧写脆弱环节篡改BMS固件程序 2.BMS中的恶意程序上报错误参数信息或上报空数据到VCU 3.VCU转发错误数据,仪表等显示电池故障 |
中 |
| R-020 | BMS获取充电机的上报充电参数信息完整性丧失,导致无法监控充电过程已经BMS到仪表的传输信息错误,仪表显示故障。 | 1. 攻击者通过OTA缺陷或其他烧写脆弱环节篡改BMS固件程序 2.BMS中的恶意程序上报错误参数信息或上报空数据到VCU 3.VCU转发错误数据,仪表等显示充电故障,并无法监控充电过程数据 |
中 |
| R-021 | VCU的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写 | 1.攻击者接管OTA升级流程 2.VCU固件程序被恶意重写 |
中 |
| R-022 | BMS的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写 | 1. 攻击者接管OTA升级流程 2. BMS固件程序被恶意重写 |
中 |
注:攻击路径表编号 Route(R-001 R-002 R-003等)
5.5 风险值确定与风险治理决策
表6-5-2 风险治理决策结果
| 编号 | 威胁场景 | 风险值 | 风险治理决策 |
|---|---|---|---|
| P-001 | VCU失效后,无法正确的控制车辆,危及车身形态,甚至危及司机生命安全 | 3 | 降低风险 |
| P-002 | VCU关键芯片替换,不能正常工作 | 4 | 降低风险 |
| P-003 | VCU关键的输入数据被黑客篡改,从而导致车辆进入错误的逻辑,诱发车辆事故 | 5 | 降低风险 |
| P-004 | 由于传输错误或黑客恶意构造畸形数据,这些错误的数据进入逻辑运算,导致VCU给出不合理的输出 | 5 | 降低风险 |
| P-005 | VCU升级时,未检查是否处在行驶状态,导致VCU升级失败。 | 4 | 降低风险 |
| P-006 | VCU在升级前,未检查升级包是否由原厂发布,即未检查升级包的签名,导致升级包错误或被黑客篡改的升级包导致车辆功能异常 | 4 | 降低风险 |
| P-007 | 由于电动车的配置灵活,同一型号的车辆配置也可能不同。VCU在升级时,未检查升级包与本车配置的匹配性。VCU升级包中的硬编码数据未考虑各车配置的灵活性,导致局部功能失效 | 2 | 降低风险 |
| P-008 | 优先级高的设备未使用更小的ID,导致总线繁忙时数据阻塞 | 2 | 降低风险 |
| P-009 | 黑客构造虚假数据,并将虚假数据输入CAN总线 | 4 | 降低风险 |
| P-010 | 对于油门踏板、刹车踏板的输入,未做双链路的冗余输入,也未做两路输入的差值比对 | 3 | 降低风险 |
| P-011 | 竞争对手或黑客可以通过JTAG口逆向分析车辆功能和数据 | 3 | 降低风险 |
| P-012 | 黑客提供内置的公钥,使得验签时用错误的公钥验签,并推送被篡改过的升级包 | 5 | 降低风险 |
| P-013 | VCU、BMS等关键组件缺失PKI体系,没有集成根秘钥,关键设备也未签发数字证书 | 5 | 降低风险 |
| P-014 | 黑客试图读取芯片中的关键代码段 | 2 | 降低风险 |
| P-015 | 黑客试图构造缓冲区溢出并执行恶意代码 | 2 | 降低风险 |
| P-016 | VCU到电机控制器的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致动力总成系统不可用 | 3 | 降低风险 |
| P-017 | VCU到BMS的请求信号被篡改或欺骗,导致数据通信的完整性丧失,进而导致无法调整转换电池功率,不同电池功率的车载系统不可用 | 4 | 降低风险 |
| P-018 | BMS获取电池包的上报状态参数信息完整性丧失,导致BMS到仪表的传输信息错误,仪表显示故障。 | 2 | 降低风险 |
| P-019 | BMS获取充电机的上报充电参数信息完整性丧失,导致无法监控充电过程已经BMS到仪表的传输信息错误,仪表显示故障。 | 2 | 降低风险 |
| P-020 | VCU的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写 | 4 | 降低风险 |
| P-021 | BMS的OTA升级过程被篡改或被接管,导致固件被篡改或被刷写。 | 4 | 降低风险 |
注:风险决策编号 Policy(P-001 P-002 P-003等)
6 参考资料
6.1 动力总成的组成
EV Powertrain Components - Basics (evreporter.com)
电力系统的组成:
纯电动汽车是由电力驱动系统、电源系统和辅助系统等三部分组成。电力驱动系统包括控制器、功率转换器、电动机、机械传动装置和车轮等。电动机就像是传统汽车中的发动机,其主要任务是在驾驶人的控制下,高效率地将动力电池存储的电能转化为车轮的动能驱动车辆,或者在制动时将车轮上的动能转化为电能反馈到动力电池中以实现车辆的制动能量回收。控制器就像人体的神经中枢,电动汽车必须通过一个整车控制系统来进行各子系统的协调控制,从而实现整车的最佳性能。电源系统包括蓄电池组、电池管理系统(BMS)等。
电动汽车动力总成系统指为电动汽车提供运行动力的装置,由电机、电机控制器及减速箱组成。
6.3 参考文档
电动汽车动力总成系统简介 - 百度文库 (baidu.com)
汽车各种控制器简述(VCU、BCM、IKEY、ESC、ESP、EPB、SAS等)_懂车帝 (dongchedi.com)
The Electric Vehicle Powertrain - The Electric Vehicle Powertrain - Content - avl.com
ISO/SAE 21434|网络安全从头至尾实施指导(转载) - 知乎 (zhihu.com)
ADAS系统新能源车动力执行策略详解(二) (360doc.com)
图解电动汽车:电动汽车电控系统_阿基米东的博客-CSDN博客
纯电动汽车整车控制器(VCU)详细介绍_搜狐汽车_搜狐网 (sohu.com)
新能源整车控制器VCU在电动汽车中的有什么作用?-有驾 (yoojia.com)
6.4 遗留问题
动力总成中哪些部件自研?哪些外购?不同的实现方式会有着不同的处理策略。
VCU为自研
电机、减速器、BMS、电池包 这几个部件,哪些是自研的?
6.5 BMS
通过CAN总线接口与车载总控制器、电机控制器、能量控制系统、车载显示系统等进行实时通信。
BMS要实现单体电池电压电流检测、电量计算、均衡管理等九大功能。
其中温度的测量对于电池组工作状态的评估具有重大意义,包含单体电池的温度测量和电池组流体温度监测。电池组中温度传感器的放置位置以及使用个数,对温度测量影响较大,此外,不同温度区间对于BMS模块的精度要求也有不同,一般涉及到分级管理的概念。
动力电池BMS一端与电池相连,另一端又与整车的控制及电子系统相连接,BMS通过CAN总线接口与车载总控制器、电机控制器、能量控制系统、车载显示系统等进行实时通讯。
电动汽车BMS需要在高温、震动的环境里工作,因此对可靠性及稳定性有着极高的要求,此外电动汽车涉及人身安全,相关测试极其严格。此外BMS所用的元器件应当是汽车级的,与充电桩、汽车电子等相连时需要考虑大量的标准与要求,并应该符合电磁兼容。
6.6 VCU
整车控制器VCU(Vehicle control unit)作为新能源车中央控制单元,是整个控制系统的核心。VCU采集电机及电池状态,采集加速踏板信号、制动踏板信号、执行器及传感器信号,根据驾驶员的意图综合分析做出相应判定后,监控下层的各部件控制器的动作,它负责汽车的正常行驶、制动能量回馈、整车发动机及动力电池的能量管理、网络管理、故障诊断及处理、车辆状态监控等,从而保证整车在较好的动力性、较高经济性及可靠性状态下正常稳定的工作
VCU通过采集驾驶员操控信息,车辆行使信息、发动机、电机、电池、变速箱数据及各个子系统的反馈信息,经过计算向各个子系统发送控制命令,从而实现VCU对整车的控制。整车控制器的策略是在不同工况下结合电机、电池和发动机驱动汽车,使得效率最佳。处理器采用英飞凌公司32位处理器TC1728N。
6.7 车身控制单元(BCM)
6.8 CAN
一般汽车的CAN网络可以分成动力总成总线、底盘控制总线、车身控制总线、娱乐系统总线、诊断控制总线共计五条CAN总线。
6.8.1 PT CAN (PowerTrain CAN ) 动力总成CAN总线
PT CAN总线上一般有以下ECU:
ECM ( Engine Control Module ) 发动机控制模块
SRS ( SupplementalRestraintSystem) 电子安全气囊
BMS ( Battery Management System ) 电池管理系统
EPB Electronic Park Brake 电子驻车系统
PT CAN负责车辆动力,是整车CAN网络信号优先级及信号传输速率最高的一条CAN总线。
6.8.2 CH CAN (Chassis CAN) 底盘控制CAN总线
CH CAN总线上一般有以下ECU:
ABS ( Antilock Brake System ) 防抱死制动系统
ESP(Electronic Stability Program) 车身电子稳定系统
EPS(Electric Power Steering) 电子转向助力
CH CAN负责汽车底盘及4个轮子的制动/稳定/转向,由于涉及整车制动/助力转向等, 所以其网络信号优先级也是较高的。
6.8.3 Body CAN车身控制总线
Body CAN总线上一般有以下ECU:
AC ( Air Condition ) 空调
AVM(Around View Monitor) 360环视
BCM(Body Control Module) 天窗, 车窗, 雾灯, 转向灯, 雨刮…
IMMO(Immobilizer) 发动机防盗系统
TPMS(Tire Pressure Monitoring System) 胎压监控系统
Body CAN负责车身上的一些提高舒适性/安全性的智能硬件的管理与控制,其网络信号优先级较低, 因为以上设备都是辅助设备。
6.8.4 Info CAN ( Infomercial CAN ) 娱乐系统总线
Info CAN 总线上一般有以下ECU:
VAES( Video Audio Entertainment System) 车载娱乐系统(中控)
IPK(Instrument Pack) 组合仪表, 当今的数字仪表, 基本有音乐, 地图, 通话等娱乐功能.
Info CAN是辅助可选设备, 所以优先级也是较低的,主要负责车身上的一些提高娱乐性的智能硬件的管理与控制
6.8.5 DiagCAN ( Diagnose CAN ) 诊断控制总线
DiagCAN总线主要提供远程诊断功能,只有一个ECU:
6.9 ISO21434
随着汽车内的产品信息技术与开发、生产和运营中的企业信息技术的融合,汽车网络安全已经获得了巨大的相关性。ISO 21434提供了一个汽车网络安全的框架。
取代了SAE J3061
汽车网络安全ISO 21434标准提供了在产品、项目和组织层面减少网络安全风险的指导方针。
网络犯罪的影响是多方面的,如改变车辆的功能,以产生非预期的行为,操纵数据和软件,使其发生故障,或通过拒绝服务(DOS)攻击和勒索,轻而易举地破坏常规功能。拒绝服务(DOS)攻击和勒索软件(Ransomeware)用于破坏常规功能。
没有网络安全就没有功能安全。基于汽车网络安全的具体挑战,OEM和供应商必须实现对汽车E/E系统操纵的有效保护
车载网络和系统结构必须提供灵活性和可扩展性,并在设计时考虑到网络安全问题。
Some of the technical features supporting these security enablers include:
• The ability to protect memory blocks.
• Memory zone ownership by bus masters such as the C28x central processing unit (CPU), control law accelerator and direct memory access.
• Execute-only protection for certain memory regions (with callable secure copy and secure cyclic redundancy check software Application Programming Interface functions available in the boot read-only memory).
• Protecting the CPU from improper access through debugging ports and logic while it is executing code from secure memory regions (also called secure Joint Test Action Group).
• Unique identification for each product.
• Hardware acceleration engine for 128-bit Advanced Embedded Standard (AES) encryption.
• Secure boot.
- 盘丝大仙我的剑只有我的心上人才能拔出
- 赞同
- 威望
