确保无线电池管理系统的安全性

最新更新时间:2022-06-29来源: EEWORLD关键字:ADI  BMS  无线 手机看文章 扫描二维码
随时随地手机看文章

在与电动汽车 (EV) OEM们就无线电池管理系统 (wBMS) 的技术和业务优势进行早期探讨时,似乎有很多挑战,但如若成功,回报则非常之大。无线连接相对于有线/有线架构的许多固有优势已经在无数商业应用中得到证明,而 BMS 则是下一个。

图片.png
图 1. 使用无线电池管理系统 (wBMS) 的电动汽车。


更轻巧、模块化和紧凑的电动汽车电池组,可以摆脱繁琐的通信线束,这一优势已被广泛接受。通过消除高达 90% 的电池组布线和 15% 的电池组体积,可以显着简化整车的设计和占地面积,以及材料清单 (BOM) 成本、开发复杂性和相关的手动安装/维护成本。

更重要的是,单个无线电池设计可以很容易地在 OEM 的整个 EV 产线中进行扩展,从而排除了针对每个品牌和型号进行广泛且成本高昂的电池组线束的重新设计。借助 wBMS,OEM可以自由修改其车架设计,而不必担心必须重新布线。

从长远来看,车辆重量和电池组尺寸的持续减小对于未来几年延长电动汽车的行驶里程至关重要。因此,wBMS 技术将在帮助 OEM 提升续航能力方面持续发挥重要作用,从而解决续航焦虑。

这不仅有望刺激更大的整体电动汽车市场采用率,而且行驶里程仍将是未来电动汽车OEM之间的主要差异化。

新的安全标准

要实现 wBMS 提供的承诺,需要克服许多挑战。 wBMS 中使用的无线通信需要在汽车行驶时对干扰具有足够的鲁棒性,并且系统必须在所有条件下都是安全的。但是,仅靠稳健和安全的设计可能不足以对抗黑客——这就是系统安全发挥作用的地方。

干扰源的变化取决于汽车行驶的地点(例如城市与农村)以及是否有人在车内使用另一个在相同频段运行的无线设备。电池组内的反射也会降低性能,具体取决于用于容纳电池单元的电池组的材料。 wBMS 信号很可能会波动,在自然条件下可能会破坏通信,更不用说面对恶意攻击者了。

如果 wBMS 通信以某种方式中断,汽车可以恢复到“安全模式”,降低性能以允许驾驶员采取补救措施,或者在 wBMS 通信完全丢失的情况下安全停车。这可以通过适当的安全设计来实现,该设计考虑系统中所有可能的故障模式并实施解决组件随机故障的端到端安全机制。

但安全设计并未考虑黑客行为,其中可能包括远程控制汽车。在 2016 年黑帽会议期间,研究人员在汽车上证明了这种可能性,通过车辆网关破解了远程访问权。因此,无线稳健性和故障安全设计是不够的;他们需要有信息安全辅助。黑帽演示是一个宝贵的教训,它表明未来汽车中的无线系统不能被用作另一个远程接口。相比之下,传统的有线电池组不提供远程访问,因此要访问电池数据,黑客需要物理访问车辆中的高压环境。

如图 2 所示,在整个 EV 电池生命周期中可能会出现其他安全挑战。在ADI,我们设计 wBMS 的方法侧重于了解 EV 电池从诞生到出厂的不同阶段部署和维护,最后到下一个生命周期或生命周期结束。这些用例定义了 wBMS 必须支持的各种功能。例如,防止未经授权的远程访问是 EV 部署过程中的一项考虑因素,但在制造过程中需要灵活的访问。另一个例子是可维修性,其中维修权法律要求车主解决由电池或相关 wBMS 引起的问题。这意味着一种合法的更新必须支持 wBMS 中的软件,并且更新机制不应危及车辆的安全性。

此外,当电动汽车电池不再符合电动汽车性能标准时,它们有时会被重新部署到能源领域。这需要将 EV 电池的所有权从其第一个生命周期安全地转移到下一个生命周期。由于电池是没有内置智能的设备,因此需要随附的 wBMS 来执行最适合 EV 电池生命周期的适当安全策略。在过渡到第二用途之前,需要安全擦除其在汽车应用中存放的数据。

ADI 预见到了这些问题,并根据我们自己的核心设计原则解决了这些问题,这些原则对维护和增强从流程到产品的安全完整性给予了极高的评价和详尽的审查。与此同时,过去三年一直在开发的关于“道路车辆:网络安全工程”的 ISO/SAE 21434 标准于 2021 年 8 月正式发布。它定义了一个类似的详尽的端到端流程框架,具有四个级别的网络安全保证。汽车 OEM 和供应商的评分范围为 1 到 4,其中 4 表示最高级别的一致性(参见图 3)。

图片.png
图 2. EV 电池生命周期及其相关的 wBMS 生命周期。

图片.png
图 3. ISO/SAE 21434 框架和 CAL 4 期望。


ADI 的 wBMS 方法符合 ISO/SAE 21434 的要求,适用于汽车行业安全产品开发所需的最高级别的检查和严格性。为此,ADI 与著名的可信认证实验室 TÜV-Nord 合作,评估我们的内部开发政策和流程。这使我们的政策和流程经过审查,以完全符合新标准 ISO 21434,如图 4 所示。

图片.png
图 4. TÜV-Nord 的证书。


从设备到网络的严格审查

按照我们在 wBMS 产品设计中的系统流程,进行了威胁评估和风险分析 (TARA),以根据客户如何使用产品来绘制威胁状态。通过了解系统的功能以及在其生命周期内将使用的各种方式,我们可以确定哪些关键资产需要保护以及免受哪些潜在威胁。

TARA 技术有多种选择,包括著名的 Microsoft STRIDE 方法,该方法试图通过考虑 STRIDE 一词缩写的六种威胁来对威胁进行建模:欺骗、篡改、否认、信息泄露、拒绝服务和特权提升.然后,我们可以将其应用于构成 wBMS 系统的组件的不同接口,如图 5 所示。

图片.png

图 5. wBMS 的威胁注意事项。


这些接口是沿数据和控制流路径的自然停止点,潜在的攻击者可能会在未经授权的情况下访问系统资产。在这些地方,通过扮演攻击者的角色并试图访问威胁测试,我们可以绘制出可能的攻击路径,并确定威胁发生的可能性以及评估最终的后果。然后,我们在不同的生命周期阶段重复这个思考过程,因为威胁的可能性和影响可能会因产品所处的环境(例如,仓库与部署)而异。这些信息将表明需要采取某些对策。

以无线监视器和 wBMS 管理器之间的无线信道为例,如图 5 所示。如果资产是来自无线监视器的数据,并且担心数据值泄露给窃听者,那么我们可能希望在数据通过无线通道时对其进行加密。如果我们担心数据在通过通道时被篡改,那么我们可能希望使用数据完整性机制来保护数据,例如消息完整性代码。如果关注的是识别数据的来源,那么我们将需要一种方法来向 wBMS 管理器验证无线监视器。

通过这个练习,我们可以确定 wBMS 系统的关键安全目标,如图 6 所示。这些目标需要一些机制来实现。

图片.png
图 6. wBMS 的安全目标。


很多时候,我们经常被问到特定安全目标方面走了多远?。如果增加更多的对策,几乎肯定会改善产品的整体安全状况,但代价高昂,并且可能给最终消费者使用产品带来不便。一种常见的策略是通过最容易部署减轻最可能威胁。更复杂的攻击倾向于针对更高价值的资产可能需要更强大的安全对策,但这些可能极不可能发生,因此实施回报率很低。

例如,在 wBMS 中,在车辆行驶时对 IC 组件进行物理篡改以获取电池数据测量值的可能性极小,因为需要一名训练有素且具有深厚 EV 电池知识的机械师才能控制在汽车行驶时的汽车零件。如果存在,现实生活中的攻击者可能会尝试更简单的路径。对网络系统的一种常见攻击类型是拒绝服务 (DoS) 攻击——剥夺用户的产品效用。您可以创建一个便携式无线干扰器来尝试干扰 wBMS 功能,但您也可以轻松扎爆轮胎。

将风险与一组适当的缓解措施相协调的这一步骤称为风险分析。通过在采取适当对策之前和之后权衡相关威胁的影响和可能性,我们可以确定剩余风险是否已被合理地最小化。最终可以帮助客户以可接受的成本满足必需的安全功能。

wBMS 的 TARA 指出了 wBMS 安全的两个重要方面:设备级安全和无线网络安全。

任何安全系统的第一条规则是“保密您的密钥!”这意味着在设备和我们的全球制造业务中。 ADI 的 wBMS 设备安全性考虑了硬件、IC 和 IC 上的底层软件,并确保系统能够安全地从不可变内存引导到可信平台以运行代码。所有软件代码在执行之前都经过身份验证,任何现场软件更新都需要通过预安装的凭据进行授权。将系统部署到车辆中后,禁止回滚到软件的先前(并且可能是易受攻击的)版本。此外,一旦部署系统,调试端口就会被锁定,从而消除了未经授权的后门。

网络安全旨在保护 wBMS 电池监控节点和电池组外壳内的网络管理器之间的空中通信。安全性始于网络加入,其中检查所有参与节点的成员资格。这可以防止随机节点加入网络,即使它们碰巧在物理上很近。在应用层向网络管理器的节点相互认证将进一步保护无线通信通道,使中间人攻击者不可能伪装成管理器的合法节点,反之亦然。此外,为了确保只有预期的接收者可以访问数据,基于 AES 的加密用于加密数据,防止信息泄露给任何潜在的窃听者。

保护密钥

与所有安全系统一样,安全的核心是一组加密算法和密钥。 ADI 的 wBMS 遵循 NIST 批准的指南,这意味着选择与适用于静态数据保护(例如 AES-128、SHA-256、EC-256)的最低 128 位安全强度一致的算法和密钥大小) 并使用经过充分测试的无线通信标准(如 IEEE 802.15.4)中的算法。

设备安全中使用的密钥通常在 ADI 的制造过程中安装,并且永远不会离开 IC 设备。这些用于确保系统安全的密钥反过来又受到使用和静止的 IC 设备的物理保护,防止未经授权的访问。然后,分层密钥框架通过将所有应用程序级密钥保存为非易失性内存中的加密块来保护所有应用程序级密钥,包括用于网络安全的那些。

为了促进网络中节点的相互身份验证,ADI 的 wBMS 在制造过程中为每个 wBMS 节点提供了唯一的公私钥对和签名的公钥证书。签署的证书允许节点验证它正在与另一个合法的 ADI 节点和有效的网络成员通信,而唯一的公私密钥对由节点在密钥协商方案中用于建立与另一个节点的安全通信通道或与 BMS 控制器。这种方法的一个好处是更容易安装 wBMS,而不需要安全的安装环境,因为节点被编程为在部署后自动处理网络安全。

相比之下,过去使用预共享密钥建立安全通道的方案通常需要安全的安装环境和安装人员手动编程通信端点的密钥值。为了简化和降低处理密钥分配问题的成本,为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。这通常会导致惨痛的教训发生了一场破坏性的、破坏性的灾难。

随着 OEM 生产规模的扩大,能够利用相同的 wBMS 和不同数量的无线节点跨越不同的 EV 平台,并安装在不同的制造或服务站点,这些站点必须是安全的,我们倾向于使用分布式密钥方法来简化整体密钥管理复杂性。

结论

只有在从设备到网络以及在 EV 电池的整个生命周期内确保安全性的情况下,wBMS 技术的全部优势才能实现。从这个角度来看,安全性需要一种系统级的设计理念,包括流程和产品。

ADI 预见到 ISO/SAE 21434 标准在其起草期间解决的核心网络安全问题,并将它们纳入我们自己的 wBMS 设计和开发精神中。我们很自豪能够成为首批在我们的政策和流程上实现 ISO/SAE 21434 合规性的技术供应商之一,并且目前正在对 wBMS 技术进行认证,以达到最高的网络安全保证级别。


本文作者:ADI 汽车业务部电动汽车集团的系统架构总监Lei Poo


文章编译自:https://www.embedded.com/ensuring-security-in-wireless-battery-management-systems/

关键字:ADI  BMS  无线 编辑:冀凯 引用地址:http://news.eeworld.com.cn/qcdz/ic615091.html

上一篇:18GWh!国轩高科首个欧洲电池基地落定
下一篇:CATL将推出下一代电动汽车电池

推荐阅读

利用IO-Link技术实现小型高能效的工业传感器
无论过去还是现在,许多情况下,工业传感器都采用模拟形态,其中包含检测元件和将检测数据传输至控制器的某种方式。数据采用单向模拟方式进行传输。之后出现了可提供数字开/关信号的二进制传感器,包含电感、电容、超声波、光电等检测元件,以及半导体开关元件。其输出可能是:高端(HS)开关(PNP)或低端(LS)开关(NPN),或者是推挽式(PP)。但数据仍然受到限制,只能从传感器单向传输至主机,不提供纠错控制,仍然需要现场技术人员来执行手动校准等任务。因此,业界亟需一种更好的解决方案来满足“工业4.0”、智能传感器和可重新配置的厂区部署等需求。时下获得公认的解决方案是IO-Link协议,一种相对较新的工业传感器标准,目前已呈现出迅速增长态势。据I
发表于 2022-07-28
利用IO-Link技术实现小型高能效的工业传感器
菲律宾发生7.0级地震,半导体供应链或受影响
中国地震台网正式测定:7月27日8时43分在菲律宾(北纬17.70度,东经120.55度)发生7.0级地震,震源深度10千米。图源:中国地震台网中心另据菲律宾火山地震研究所公布的数据,7月27日8时43分,菲吕宋岛北部发生7.3级地震,震源深度25公里,首都大马尼拉地区有震感。该地震预计会有余震,并会造成损失。菲律宾作为半导体供应链中重要一环,其地震消息受到产业人士关注,具体地震造成的损失尚未可知,但多家半导体巨头均有在本次地震点吕宋岛和有震感的大马尼拉地区设厂。本文将整理各大半导体企业在菲律宾设厂情况。业内人士后续可关注相关工厂的动态,以了解本次地震对半导体供应链的影响。根据以往经验,地震对半导体供应链的影响主要体现在两方面,一是
发表于 2022-07-27
菲律宾发生7.0级地震,半导体供应链或受影响
边缘智能——提高生产力并降低成本的关键
提高生产力和降低运营成本,是所有企业/工厂努力追求的目标,由此引发对增强边缘智能新技术的需求暴增。不过您可能会好奇,“边缘是什么意思”?在ADI看来,“边缘”是机器与现实世界融合或交互之地。聚焦至工厂自动化领域,增强边缘智能意味着减少工厂停机时间,避免生产线停工,每年可为工厂挽回大量生产力损失。事实上,根据麦肯锡2018年10月发表的一篇有关“数字化可超越预测性维护提升可靠性”的文章,每年工厂生产线的停工时间平均为800小时,或每周平均15小时,对公司收入和利润的负面影响不容忽视。举个例子,当工厂停止生产时,汽车制造商每分钟将损失近22000美元。这意味着每小时损失130万美元,或每周损失近2000万美元。而增强边缘智能可为生产线带
发表于 2022-07-27
边缘智能——提高生产力并降低成本的关键
工业自动化2.0演进:具有自我意识的运动控制
工业自动化领域的下一个发展方向要求机器能够独立调整其性能参数,以完成工厂操作人员分配的任务,或根据生产力增强的人工智能(AI)算法的输入,对机器自身重新配置以优化其行为。具有自我意识的机器的价值在于,它能够最大限度提高生产力,延长设备的运行寿命并减少维护成本。具有自我意识的运动控制之旅自我意识,是指系统基于对其能力和系统性能目标的了解,对系统自身的自我认知。事实上,具有自我意识的运动控制系统需要实施多个控制环路,以解译传感器输入和预期系统参数,并允许比较系统自己的操作行为与预期系统性能。为了实现这些目标并创建具有自我意识的运动控制系统,需要创建自适应运动控制代理,以监控系统操作,并根据驱动系统的工作环境动态调整其性能。在ADI看来,
发表于 2022-07-26
工业自动化2.0演进:具有自我意识的运动控制
如何使用Python编程语言和ADALM2000创建虚拟示波器
一个功能齐全的物理实验室造价不菲,其中的各式实验仪器常常价格昂贵,而且管理复杂。试想如果能够构建一个可放入口袋、随时便携的虚拟电子实验室,那么将为未来带来无限的可能。虚拟电子实验室,是通过一系列基于软件的应用来实现的仿真电子仪器所组成的模拟实验室环境,用户可以在该环境中开展大量电子实验。本文旨在演示用户如何使用ADI ADALM2000和简单的开源编程语言Python开发所需的虚拟实验室仪器。通过Python与ADALM2000相结合,可以开发多种虚拟实验室仪器,如示波器、信号发生器、数字万用表等。其中,示波器作为物理电子实验室中常用的基本仪器之一,是个不错的入门选择,将在下文中重点讨论。什么是示波器?示波器可用于常见电路和复杂电路
发表于 2022-07-25
如何使用Python编程语言和ADALM2000创建虚拟示波器
如何加速USB快充电池充电器设计
当前移动终端所拥有的5G连接、4K超高清显示等功能,往往都是“耗电大户”,远超常规双芯电池的储能。面对这些高耗电应用或设备,USB(PD)快充凭借着高效的充电能力,可为终端快速补充电力能源。不过,对于设计人员来说,要想采用USB PD协议标准并非易事,常常需要复杂的固件开发和额外的硬件设计。比如,Type-C端口针脚之间的距离短、电压高(20V),一旦插入或断开连接器的角度不正确,往往会造成损坏。事实上,USB Type-C和USB PD规范要求设计者具备软硬件设计技术,以及对USB规范的深入了解。随着摄像头、AR/VR系统和无线音箱等消费类电子设备逐步引领USB Type-C和USB PD技术发展,如何加速产品上市进程,缩短开发周
发表于 2022-07-22
如何加速USB快充电池充电器设计
小广播
换一换 更多 相关热搜器件

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 动力系统 底盘电子 车身电子 信息及娱乐系统 安全 总线与连接 车用传感器/MCU 检测与维修 其他技术 行业动态

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2022 EEWORLD.com.cn, Inc. All rights reserved