汽车动力总成的功能与网路安全三大考量

汽车电子元件的功能安全与网路安全越来越受到关注，伴随着标准化组织的出现，如何实现具备功能安全与网路安全的汽车电子动力系统，对于汽车设计工程师来说就更为重要。在现代电动车设计、开发与大量生产的过程中，功能安全、网路安全与高电压安全都扮演着非常重要的角色。

功能安全

现代车辆中常见软体估计量为1到2亿行程式码。此软体会在各种可程式编辑的电子控制单元上执行，可提供先进驾驶辅助系统功能及车内安全功能。此类系统范例包括盲点监控、自动紧急煞车与智慧主动车距控制巡航系统。具自动与电力功能的车辆必须具备功能安全才能安全运作。

网路安全

由于类型复杂程度与可用连缐量逐渐增加，使车辆更容易受到数位攻击。过去认为可防止网路攻击的黄金标准已不再适用。由于执行控制器区域网路与Bluetooth等通讯协定，加上透过行动通讯全球系统与Wi-Fi网路进行车辆间通讯，汽车无法再以车辆间「气隙」及骇客可能使用的网路进行保护。可以想像骇客使车辆无法移动，必须在以比特币支付赎金后才进行解锁的情境。

高电压

此外，不管是车载充电器、高电压至高电压或高电压至低电压DC/DC转换器，还是电动车牵引转换器，电力动力传动在各方面都採用C2000即时MCU等可程式编辑的微控制器 （MCU）。随着电动车电池电压以达600至800 V，了解高电压安全系统并加以套用也变得同等重要。

汽车安全与网路安全标准

以下国际标准有触及安全与网路安全层面：

* 国际标准化组织（ISO）26262:2018列出道路车辆的功能安全要求。

* ISO 6469:2018 中指定电力推动道路车辆的高电压电力安全要求。

* 联合国欧洲经济委员会 WP29:2020 中详细说明了对全球汽车制造商的汽车网路安全要求。

此外，汽车 Tier 1（子系统制造商）应遵循：

* ISO DIS 21434:2020，目前仍为国际标准草案，并为国际汽车工程师协会（SAE）J3061的超级组合。ISO DIS 21434:2020简要说明遵照ISO 26262功能安全相容V模型产品开发生命週期的网路安全管理架构与活动。

* SAE J3061:2016则是ISO/SAE DIS 21434依据的原始「网路实体车辆系统网路安全手册」。

电动车系统设计人员必须同时考虑这三个安全与网路安全方法面向。ISO 26262 定义四个汽车安全完整性等级（ASIL），如表1所列。

表1：ISO 26262依每个ASIL等级对随机硬体诊断范围进行量化

ISO/SAE 21434 根据攻击向量与影响定义四个网路安全评估等级，如表 2 所示。