【導讀】只有從流程到產(chǎn)品確保系統安全性，wBMS技術(shù)的全部?jì)?yōu)勢才能實(shí)現。在與電動(dòng)汽車(chē)(EV)車(chē)廠(chǎng)的早期對話(huà)中，就無(wú)線(xiàn)電池管理系統(wBMS)的技術(shù)和商務(wù)方面的挑戰似乎令人生畏，但回報卻非常豐厚，不容忽視。無(wú)線(xiàn)連接相對于有線(xiàn)/電纜架構的許多固有優(yōu)勢已經(jīng)在無(wú)數商業(yè)應用中得到證明，BMS是又一個(gè)明確要拋棄線(xiàn)纜的候選領(lǐng)域。

圖1.使用無(wú)線(xiàn)電池管理系統(wBMS)的電動(dòng)汽車(chē)

更輕巧、模塊化、緊湊型電動(dòng)汽車(chē)電池組的前景——最終擺脫繁瑣的通信線(xiàn)束——已被廣泛接受。通過(guò)消除高達90%的電池組布線(xiàn)和15%的電池組體積，整車(chē)的設計和尺寸得以顯著(zhù)簡(jiǎn)化，物料清單(BOM)成本、開(kāi)發(fā)復雜性和相關(guān)的人工安裝/維護工作也大幅減少。

更重要的是，單一無(wú)線(xiàn)電池設計可以很容易在車(chē)廠(chǎng)的整個(gè)EV車(chē)隊中進(jìn)行擴展，而無(wú)需針對每個(gè)品牌和型號進(jìn)行廣泛且成本高昂的電池組線(xiàn)束重新設計。借助wBMS，車(chē)廠(chǎng)可以自由修改其車(chē)架設計，而不用擔心需要重新布置電池組內的大量BMS布線(xiàn)。

從長(cháng)遠來(lái)看，車(chē)輛重量和電池組尺寸的持續減小對于未來(lái)幾年延長(cháng)電動(dòng)汽車(chē)的續航里程至關(guān)重要。因此，wBMS技術(shù)將在幫助車(chē)廠(chǎng)提升續航能力方面發(fā)揮重要作用，進(jìn)而幫助克服消費者長(cháng)期揮之不去的電動(dòng)汽車(chē)里程焦慮。

這不僅有望刺激電動(dòng)汽車(chē)整體的市場(chǎng)采用率的提升，而且還使車(chē)廠(chǎng)有機會(huì )憑借其實(shí)現長(cháng)續航的實(shí)力躍入電動(dòng)汽車(chē)市場(chǎng)領(lǐng)導地位。展望未來(lái)，這仍將是電動(dòng)汽車(chē)車(chē)廠(chǎng)的一個(gè)主要差異化因素。關(guān)于優(yōu)勢的更多詳細說(shuō)明和市場(chǎng)分析，請參閱 “電動(dòng)汽車(chē)無(wú)線(xiàn)電池管理 革命已經(jīng)開(kāi)始，投資回報潛力巨大”¹。

新安全標準

要兌現wBMS的承諾，需要克服許多挑戰。當汽車(chē)行駛時(shí)，wBMS中使用的無(wú)線(xiàn)通信需要對干擾具有足夠的魯棒性，系統必須在所有情況下都是安全的。但是，僅靠魯棒和安全的設計可能不足以對抗頑固的攻擊者——這就是系統安全性發(fā)揮作用的地方。

如是城市還是農村地區），是否有人在車(chē)內使用另一個(gè)同頻段的無(wú)線(xiàn)設備，都會(huì )導致干擾源發(fā)生變化。電池組內的反射也會(huì )降低性能，具體取決于用于封裝電池的電池組的材料。wBMS信號很可能會(huì )波動(dòng)，在自然條件下通信可能會(huì )被破壞，更不用說(shuō)面對惡意攻擊者了。

如果wBMS通信因為某種原因被中斷，汽車(chē)可以回到“安全模式”，降低性能以允許駕駛員采取行動(dòng)，或者當wBMS通信完全丟失時(shí)，汽車(chē)能夠安全停車(chē)。這可以通過(guò)適當的安全設計來(lái)實(shí)現，考慮系統中所有可能的故障模式，并實(shí)現端到端安全機制以應對組件隨機故障。

但是，安全設計并未考慮惡意行為者利用該系統達到某種目的的可能性，包括遠程控制車(chē)輛。在2016年黑帽會(huì )議期間，研究人員對一輛運動(dòng)中的汽車(chē)展示了這種可能性，通過(guò)車(chē)輛網(wǎng)關(guān)實(shí)現了遠程接入。因此，只有無(wú)線(xiàn)魯棒性和故障安全設計是不夠的，還需要抵御攻擊的安全性。黑帽演示是一個(gè)有價(jià)值的教訓，表明汽車(chē)中的未來(lái)無(wú)線(xiàn)系統需要以某種方式進(jìn)行設計，使其不能作為另一個(gè)遠程入口點(diǎn)被利用。相比之下，常規有線(xiàn)電池組不提供遠程接入，要獲得對電池數據的訪(fǎng)問(wèn)權，黑客需要以物理手段接入車(chē)輛中的高電壓環(huán)境。

在電動(dòng)汽車(chē)電池的全壽命周期中，還可能出現其他安全挑戰，如圖2所示。ADI公司的wBMS設計方法注重了解電動(dòng)汽車(chē)電池經(jīng)歷的不同階段——從出廠(chǎng)到部署和維護，最后到下一次壽命或壽命終結。這些使用場(chǎng)景定義了wBMS必須支持的各種功能。例如，防止未經(jīng)授權的遠程訪(fǎng)問(wèn)是在電動(dòng)汽車(chē)部署期間的一個(gè)考慮事項，但在制造過(guò)程中需要更靈活的訪(fǎng)問(wèn)。另一個(gè)例子是在維修期間，修理權法律要求提供一種方式以便車(chē)主解決電池或相關(guān)wBMS的故障。這意味著(zhù)必須支持wBMS中的軟件以合法方式更新，并且當汽車(chē)離開(kāi)維修站時(shí)，更新機制不應損害汽車(chē)的安全性。

此外，當電動(dòng)汽車(chē)電池不再符合電動(dòng)汽車(chē)性能標準時(shí)，這些電池有時(shí)會(huì )被重新部署到能源部門(mén)。這需要將電動(dòng)汽車(chē)電池的所有權安全轉移到下一生命階段。電池是沒(méi)有內置智能的設備，因此與之相伴的wBMS的責任在于，實(shí)施適當的安全策略以最好地為電動(dòng)汽車(chē)電池壽命周期服務(wù)。過(guò)渡到第二生命（梯次利用）之前，必須安全擦除第一生命的所有秘密 。

ADI公司預見(jiàn)了這些問(wèn)題并按照我們自己的核心設計原則（即特別注重維護和增強從流程到產(chǎn)品的安全完整性并進(jìn)行詳盡審查）加以解決。與此同時(shí)，ISO/SAE 21434²標準“道路車(chē)輛：網(wǎng)絡(luò )安全工程”經(jīng)過(guò)過(guò)去三年的開(kāi)發(fā)，已于2021年8月正式發(fā)布。它定義了類(lèi)似的窮舉式端到端過(guò)程框架，網(wǎng)絡(luò )安全保證分為四級。車(chē)廠(chǎng)和供應商的在1到4的尺度上評分，4表示最高級別的符合性（參見(jiàn)圖3）。

圖2.電動(dòng)汽車(chē)電池生命周期及其相關(guān)的wBMS生命周期

圖3.ISO/SAE 21434框架與CAL 4期望

ADI公司的wBMS方法響應了ISO/SAE 21434要求，實(shí)施了汽車(chē)行業(yè)安全產(chǎn)品開(kāi)發(fā)所需的最高水平的檢查和嚴謹性。為此目的，ADI公司聘請了著(zhù)名的可信認證實(shí)驗室 TüV-NORD來(lái)評估我們內部的開(kāi)發(fā)策略和流程。我們的策略和流程經(jīng)過(guò)審查，完全符合新標準ISO 21434，如圖4所示。

圖4.TüV-Nord證書(shū)

從器件到網(wǎng)絡(luò )的嚴格審查

在wBMS產(chǎn)品設計的系統化流程之后，我們執行威脅評估和風(fēng)險分析(TARA)，以根據客戶(hù)意圖使用該產(chǎn)品的方式來(lái)明確威脅概況。通過(guò)了解系統的用途，以及在壽命期間它的各種使用方式，我們可以確定哪些關(guān)鍵資產(chǎn)需要防范哪些潛在的威脅。

TARA技術(shù)有多種選擇，包括眾所周知的 Microsoft STRIDE 方法，即通過(guò)考慮縮寫(xiě)詞STRIDE所表示的六大威脅來(lái)對威脅建模： 欺騙(S)、篡改(T)、否認(R)、信息披露(I)、拒絕服務(wù)(D)和權限提升(E)。然后，我們可以將其應用于構成wBMS系統的組件的不同接口，如圖5所示。這些接口是數據和控制流路徑上的自然暫停點(diǎn)，潛在攻擊者可能會(huì )藉此對系統資產(chǎn)進(jìn)行未經(jīng)授權的訪(fǎng)問(wèn)。在這種情況下，通過(guò)扮演攻擊者并詢(xún)問(wèn)自己，每個(gè)威脅與每個(gè)接口的相關(guān)程度有多高以及為什么，我們可以找出可能的攻擊路徑，并確定威脅發(fā)生的可能性，以及如果攻擊得逞，后果可能有多嚴重。然后，我們在生命周期的不同階段重復這個(gè)思維過(guò)程，因為可能的威脅和影響因產(chǎn)品所處的環(huán)境（例如倉庫與部署）而有所不同。此信息將指出需要某些對策。

以部署期間的無(wú)線(xiàn)蜂窩監視器與wBMS管理器之間的無(wú)線(xiàn)通道為例，如圖5所示。如果資產(chǎn)是來(lái)自無(wú)線(xiàn)蜂窩監視器的數據，擔心將數據值泄漏給竊聽(tīng)者，那么我們可能需要在數據通過(guò)無(wú)線(xiàn)通道時(shí)加密數據。如果我們擔心數據通過(guò)通道被篡改，那么可能需要利用數據完整性機制（例如消息完整性代碼）保護數據。如果擔心有人識別出數據來(lái)自何處，那么我們需要一種方法來(lái)對與wBMS管理器通信的無(wú)線(xiàn)蜂窩監視器進(jìn)行身份驗證。

通過(guò)此練習，我們就能明確wBMS系統的關(guān)鍵安全目標，如圖6所示。這些目標將要求實(shí)施一些機制。

很多時(shí)候，我們要回答這樣一個(gè)問(wèn)題：“為了實(shí)現特定安全目標而選擇某些機制時(shí)，我們愿意付出多大代價(jià)？”如果增加更多應對措施，則幾乎肯定會(huì )改善產(chǎn)品的整體安全態(tài)勢，但代價(jià)會(huì )很大，而且可能給使用產(chǎn)品的最終消費者帶來(lái)不必要的不便。一個(gè)常見(jiàn)策略是減輕可能性最大且最容易部署的威脅。更復雜的攻擊往往針對較高價(jià)值的資產(chǎn)，可能需要更強的安全對策，但這種情況極不可能發(fā)生，因此如果實(shí)施的話(huà)，回報并不劃算。

圖5.wBMS的威脅面考慮

圖6.wBMS的安全目標

例如，在wBMS中，當車(chē)輛正在道路上行駛時(shí)，對IC器件進(jìn)行物理篡改以獲得對電池數據測量的訪(fǎng)問(wèn)權是極不可能發(fā)生的，因為要對行駛中的汽車(chē)的部件動(dòng)手腳，需要一個(gè)訓練有素且對電動(dòng)汽車(chē)電池有深厚了解的機修工。如果存在更容易的途徑，現實(shí)生活中的攻擊者很可能會(huì )嘗試這樣的路徑。對網(wǎng)絡(luò )系統的常見(jiàn)攻擊類(lèi)型是拒絕服務(wù)(DOS)攻擊——使用戶(hù)無(wú)法使用產(chǎn)品。您可以創(chuàng )建便攜式無(wú)線(xiàn)干擾器來(lái)嘗試干擾wBMS功能（很難），但您也可以給車(chē)胎放氣（容易）。

利用一組適當的緩解措施應對風(fēng)險的步驟稱(chēng)為風(fēng)險分析。通過(guò)衡量相關(guān)威脅在引入適當對策前后的影響和可能性，我們可以確定殘留風(fēng)險是否已被合理地最小化。最終結果是，之所以納入安全特性，是因為這些安全特性是必須的，并且其成本是客戶(hù)可以接受的。

wBMS的TARA指向wBMS安全性的兩個(gè)重要方面：器件級安全性和無(wú)線(xiàn)網(wǎng)絡(luò )安全性。

任何安全系統的第一規則都是“維護密鑰安全！”這意味著(zhù)，在器件上和我們的全球制造業(yè)務(wù)中都要如此。ADI公司的wBMS器件安全性考慮了硬件、IC和IC上的低級軟件，并確保系統能夠從無(wú)法改變的存儲器安全引導到可信平臺以供運行代碼。所有軟件代碼在執行之前都要進(jìn)行身份驗證，任何現場(chǎng)軟件更新都需要預先安裝的憑據提供授權。系統部署到車(chē)輛中之后，禁止回滾到先前（且可能易受攻擊）的軟件版本。此外，系統部署后便要鎖定調試端口，從而消除通過(guò)未經(jīng)授權的后門(mén)訪(fǎng)問(wèn)系統的可能性。

網(wǎng)絡(luò )安全性旨在保護wBMS單元監視節點(diǎn)與電池包外殼內的網(wǎng)絡(luò )管理器之間的無(wú)線(xiàn)通信。安全性從加入網(wǎng)絡(luò )開(kāi)始，所有參與節點(diǎn)的成員資格都要進(jìn)行檢查。這樣可以防止隨機節點(diǎn)加入網(wǎng)絡(luò )，哪怕它們碰巧是附近的節點(diǎn)。在應用層對與網(wǎng)絡(luò )管理器通信的節點(diǎn)進(jìn)行相互認證，將能進(jìn)一步保護無(wú)線(xiàn)通信通道，使得中間人攻擊者無(wú)法充當合法節點(diǎn)來(lái)與管理器通信，反之亦然。此外，為了確保只有目標接收者可以訪(fǎng)問(wèn)數據，使用基于A(yíng)ES的加密來(lái)擾亂數據，防止信息泄漏給任何潛在的竊聽(tīng)者。

保護密鑰

同所有安全系統一樣，安全性的核心是一組加密算法和密鑰。ADI公司的wBMS遵循NIST批準的指導方針，這意味著(zhù)所選的算法和密鑰大小應與適合靜態(tài)數據保護的最低安全強度128位一致（例如AES-128、SHA-256、EC-256），并使用經(jīng)過(guò)充分測試的無(wú)線(xiàn)通信標準（例如IEEE 802.15.4）中的算法。

保障器件安全所用的密鑰通常是在A(yíng)DI制造過(guò)程中安裝的，并且永遠不會(huì )離開(kāi)IC器件。確保系統安全性的這些密鑰則由IC器件在物理上加以保護，無(wú)論在使用時(shí)還是未使用時(shí)，未經(jīng)授權的訪(fǎng)問(wèn)均會(huì )被阻止。然后，分層密鑰框架將所有應用層密鑰作為加密二進(jìn)制大對象(blob)保存在非易失性存儲器中保護起來(lái)，包括網(wǎng)絡(luò )安全中使用的密鑰。

為了便于網(wǎng)絡(luò )中節點(diǎn)的相互認證，ADI的wBMS在制造期間將一個(gè)唯一公鑰密鑰對和一個(gè)簽名的公鑰證書(shū)置入了每個(gè)wBMS節點(diǎn)。通過(guò)簽名證書(shū)，節點(diǎn)可以驗證與之通信的是另一個(gè)合法ADI節點(diǎn)和有效網(wǎng)絡(luò )成員，而唯一公鑰密鑰對由該節點(diǎn)用在密鑰協(xié)議方案中，以與另一個(gè)節點(diǎn)或BMS控制器建立安全通信通道。這種方法的一個(gè)好處是wBMS安裝更容易，不需要安全安裝環(huán)境，因為節點(diǎn)被設定為在部署后自動(dòng)處理網(wǎng)絡(luò )安全性。

相比之下，過(guò)去使用預共享密鑰建立安全通道的方案通常需要一個(gè)安全的安裝環(huán)境和安裝程序來(lái)手動(dòng)寫(xiě)入通信端點(diǎn)的密鑰值。為了簡(jiǎn)化和降低處理密鑰分布問(wèn)題的成本，為網(wǎng)絡(luò )中的所有節點(diǎn)分配一個(gè)默認公共網(wǎng)絡(luò )密鑰通常是許多人采用的捷徑。這常常導致“一處崩潰，滿(mǎn)盤(pán)崩潰”的災難發(fā)生，必須引以為戒。

隨著(zhù)生產(chǎn)規模的擴大，車(chē)廠(chǎng)需要能夠將具有不同數量無(wú)線(xiàn)節點(diǎn)的相同wBMS用于不同的電動(dòng)汽車(chē)平臺，并安裝在不同的安全制造或維修場(chǎng)所，我們傾向使用分布式密鑰方法來(lái)降低整體密鑰管理的復雜性。

結論

只有在電動(dòng)汽車(chē)電池的全壽命周期內確保從器件到網(wǎng)絡(luò )的安全性，才能實(shí)現wBMS技術(shù)的全部?jì)?yōu)勢?？紤]到這一點(diǎn)，安全性要求采取系統級設計理念，涵蓋過(guò)程和產(chǎn)品。

ADI公司預料到了ISO/SAE 21434標準在草案期間解決的核心網(wǎng)絡(luò )安全問(wèn)題，并在我們自己的wBMS設計和開(kāi)發(fā)過(guò)程中采納了相關(guān)應對措施。我們自豪地成為首批在政策和流程方面實(shí)現ISO/SAE 21434合規性的技術(shù)供應商，目前我們的wBMS技術(shù)正在接受最高網(wǎng)絡(luò )安全保障等級認證。

參考電路

¹Shane O’Mahony?！半妱?dòng)汽車(chē)無(wú)線(xiàn)電池管理革命已經(jīng) 開(kāi)始，投資回報潛力巨大” 。ADI公司，2021年11月。

²ISO/SAE 21434:2021 - 道路車(chē)輛。ISO，2021年。

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請聯(lián)系小編進(jìn)行處理。

推薦閱讀：

破解SiC、GaN柵極動(dòng)態(tài)測試難題的魔法棒 — 光隔離探頭

用深度傳感器實(shí)現體積可視化

搞懂RTK定位，看這一篇就夠了！

高速DAC相位噪聲大？很可能是時(shí)鐘噪聲惹的禍，本文教你消除它~

小巧的100W USB PD快充和適配器方案提供超92%的高能效和高可靠性