抗干扰汽车微型网络（RAMN）开源测试平台的设计

汽车测试平台对于实现现代汽车的高水平安全性至关重要，但目前现有的解决方案成本高昂，且并未针对物理攻击评估进行优化。因此，安全研究人员无法自由研究汽车网络面临的攻击及其应对措施，也难以开展具有潜在破坏性的测试，或评估硬件制造公差带来的影响。此外，昂贵的测试平台通常需要在研究人员之间共享，这使得他们无法对测试平台进行定制，也无法将其带到家庭办公环境中使用。为解决这一问题，我们研发了一款成本相对较低的开源汽车测试平台，名为 “抗干扰汽车微型网络（RAMN）”，其尺寸仅相当于一张信用卡大小，可集成在一块印刷电路板（PCB）中。该测试平台包含四个电子控制单元（ECU），这些单元连接到一个支持灵活数据速率（CAN-FD）的通用控制器局域网（CAN 总线）。它能够在与实际电子控制单元相同的环境条件下运行，体积小巧，可适配汽车测试所用设备，且设计上能够与硬件安全研究人员常用的工具对接。此外，它还可与自动驾驶模拟器 CARLA 形成闭环连接，以模拟功能完善的汽车网络。我们发布这款测试平台，旨在为安全研究人员提供更大的研究自由度，同时也希望这能成为推动汽车硬件和软件行业更加开放的又一步，最终提升汽车的安全性。

汽车安全作为一个研究领域，近年来日益受到信息安全界的广泛关注。为演示各类攻击手段及相应的防御措施，研究人员要么使用真实车辆，要么采用能够模拟汽车架构的测试平台。在各类安全会议中，往往会设有 “汽车黑客村” 展区，人们在那里可以看到许多由旧汽车零部件组装而成的自制汽车测试平台。设计汽车安全测试平台并非易事，设计者需要考虑诸多因素，如成本、尺寸、易用性、可复现性、与实际场景的贴合度以及保密协议（NDA）要求等。这就导致这些测试平台通常只能满足特定的、有限的使用场景。

爱好者开发的测试平台主要用于辅助汽车安全知识的教学以及漏洞挖掘；学术研究用测试平台则旨在为安全技术提供规范且可复现的评估环境，同时确保测试过程的安全性。然而，目前现有的所有测试平台均未针对物理安全测试进行优化，且无法适配硬件安全研究人员所使用的测试设备。此外，由于这些测试平台未采用车规级组件，当处于实际电子控制单元（ECU）的工作环境（如高温环境）中时，它们很容易损坏。

另一个问题是测试平台成本高昂，研究人员往往不得不共用一个测试平台。这使得他们在研究过程中受到诸多限制，无法自由开展实验 —— 因为他们既担心损坏测试平台，又无法对其进行永久性修改。这一因素还导致研究人员难以对多种物理攻击及相应的防御措施进行评估，可能会使下一代汽车面临安全漏洞风险。最后，自 2020 年以来，居家办公逐渐成为许多研究人员的常态，但昂贵的测试平台因存在较高风险，不便于存放在家中使用。

为解决上述问题，我们研发了 “抗干扰汽车微型网络（RAMN）”—— 一款针对物理测试优化的开源测试平台。它被集成在一块信用卡大小的印刷电路板（PCB）中，因此能够适配汽车测试设备以及硬件安全研究人员使用的设备。该平台主要采用车规级组件，可承受高达 150°C 的温度，能够在与真实电子控制单元相同的环境条件下运行。同时，其设计成本较低，研究人员可以购置多个测试平台，无需担心损坏或独占使用的问题。

本文其余部分的结构安排如下：第 2 章简要介绍 “车规级” 的定义及其对汽车安全级别产生的影响；第 3 章阐述相关研究成果，确定理想测试平台应满足的需求，并详细介绍我们设计的测试平台；第 4 章对该测试平台进行评估；第 5 章分析测试平台的局限性；第 6 章对全文进行简要总结。

2.1 “车规级” 的定义

现代汽车的架构依赖多个具有不同功能的电子控制单元（ECU）。例如，安全气囊电子控制单元负责检测碰撞冲击并触发安全气囊展开。通常情况下，电子控制单元只能使用经过车规认证的硬件和软件。

避免因失效引发灾难性后果是首要目标。然而，在软件层面，漏洞的存在难以避免；在硬件层面，单个组件也总会存在一定概率的失效风险。国际标准化组织（ISO）制定的 ISO 26262 标准，旨在将因软件漏洞和组件失效导致灾难性事件发生的概率控制在极低水平。这一研究领域被称为功能安全。具体而言，ISO 26262 标准定义了不同的关键级别，即汽车安全完整性等级（ASIL）。其中，“QM” 级适用于非关键电子控制单元；ASIL A 级适用于低关键度的电子控制单元；而 ASIL D 级则适用于那些一旦发生失效就可能危及人员生命安全的电子控制单元。硬件和软件若要应用于电子控制单元，必须证明其符合对应安全完整性等级（ASIL）的相关要求。

除了 ISO 26262 标准规定的安全需求外，组件还需满足可靠性要求。具体来说，车规级硬件的可靠性要求由汽车电子协会（AEC）制定。该协会发布了多份文件，明确了车规组件必须通过的测试项目。其中，AEC-Q100规定了集成电路的测试标准，AEC-Q200则明确了无源组件的测试要求。AEC-Q100 将组件分为 0 至 3 四个等级，其中 0 级的要求最为严苛，其工作温度上限可达 150°C。测试项目包括温度循环测试（如在 - 55°C 至 150°C 之间交替循环 2000 次）、高温存储测试（如在 175°C 环境下存放 1000 小时）以及高温工作测试（如在 150°C 环境下持续工作 1000 小时）。此外，还包括由汽车工程师协会（SAE）制定的 SAE J1752/3 标准中规定的电磁兼容性测试。

为通过这些测试，组件可能需要采用经过长期实践验证的成熟技术和保守的设计规则，这与通用组件的设计规则有所不同。最后，除了行业标准要求外，制造商还会根据自身经验和实际限制，额外增加一些要求。例如，为便于制造后进行目视检查，部分制造商可能只允许使用带有外部引脚的组件。

微控制器通常是电子控制单元（ECU）的核心处理单元。考虑到上述要求，微控制器制造商通常会专门推出面向汽车应用的产品线。例如，瑞萨电子（Renesas）推出了 RH850 系列微控制器，英飞凌（Infineon）则推出了 AURIX 系列微控制器。这类车规级微控制器通常价格较高，且获取其数据手册和用户指南需要签署保密协议（NDA）。它们往往具备特殊的安全功能，例如，关键电子控制单元所使用的微控制器可能配备两个中央处理器（CPU），这两个 CPU 采用锁步配置运行相同代码，以降低未能检测到 CPU 硬件失效的概率。

用于生成微控制器运行代码的软件工具链也必须满足特殊要求，这些工具包括编译器、运行时库、实时操作系统（RTOS）、框架以及应用程序等。汽车软件开发要求由多项标准规定，包括 ISO 26262、ISO/IEC 15504（即汽车软件过程改进及能力评定模型，ASPICE）以及汽车工业软件可靠性协会（MISRA）制定的标准。软件供应商通常也会推出专门的汽车级软件产品，例如，Green Hills 编译器、Wind River Diab 编译器属于车规级编译器；EB tresos、ETAS RTA-OS属于车规级实时操作系统；AUTOSAR及其前身 OSEK则属于车规级框架。

需要注意的是，部分电子控制单元（如远程信息处理电子控制单元和信息娱乐单元）可能无需遵守上述诸多软硬件要求，因为它们对安全性的要求相对较低，且安装在汽车内部 —— 汽车内部环境对组件的要求不像其他部位那么严苛。

汽车制造商（通常被称为原始设备制造商，OEM）通常不会自行设计和测试电子控制单元（ECU），而是将这一任务外包给所谓的 “一级供应商（Tier1）”。一级供应商通常会按照 ISO/TS 16949、ISO 26262标准以及各原始设备制造商（OEM）特定的流程来开发电子控制单元。一款电子控制单元要获得装车使用许可，必须通过一系列测试，具体包括：

· 可靠性测试（如高温工作测试、温度冲击测试、高湿度测试、过电压测试、启动测试、静电放电测试等）；

· 电磁兼容性测试，包括电磁干扰（EMI）测试（限制电子控制单元向外辐射噪声）和电磁敏感度（EMS）测试（确保电子控制单元能够抵抗外部传入的噪声）；

· 机械测试（如加速度测试、冲击测试、振动测试等）；

· 防呆测试（如操作人员掉落电子控制单元、电池极性接反、跨接启动时 donor 连接错误等场景的测试）；

· 其他相关测试。

不同的原始设备制造商（OEM）会要求进行不同的测试，且测试合格标准也可能存在差异，但总体而言差异不会特别显著。因此，同一款电子控制单元被不同原始设备制造商采用的情况并不少见。电子控制单元的设计既要遵循原始设备制造商（OEM）规定的准则，也要符合一级供应商（Tier1）自身制定的准则，这些准则具体包括：

· 常规电子设计准则，例如，去耦电容需靠近组件的电源引脚，同时要避免形成不必要的天线结构；

· 汽车专用设计准则，例如，确保高压线路之间有足够的间距以防止电迁移，并且将过孔数量增加一倍；

· 可制造性设计（DFM）准则，以确保电子控制单元能够满足大规模量产需求。

2.2 车规级标准对安全性的影响

综合上述要求和流程来看，电子控制单元（ECU）在软硬件方面与智能手机等消费电子产品存在明显差异。智能手机的工作温度范围较窄（0°C–85°C），使用寿命较短（2–3 年），且失效率较高（百万分之 300）。相比之下，安装在发动机舱内的电子控制单元需承受 - 40°C 至 150°C 的温度范围，使用寿命需超过 10 年，且失效率需接近零。

此外，尽管消费电子产品可以在产品中采用防篡改和代码混淆技术，但汽车行业为快速查明失效原因并评估失效再次发生的风险，必须始终开展失效分析。如果一部智能手机突然出现失效，通常不会造成危害，制造商只需更换失效设备，用户也会很快淡忘此事。然而，安全气囊电子控制单元一旦发生失效，就可能造成人员伤亡，因此必须迅速开展调查，调查结果甚至可能导致产品召回。

这些限制使得汽车行业无法采用许多反逆向工程技术，例如永久锁定调试端口以及对部分数据进行加密处理等。因此，尽管智能手机会采用最新技术，但电子控制单元（ECU）仅能使用经过充分验证的成熟技术，这也导致汽车行业常被认为 “技术落后”。

人们可能会疑惑，车规级电子产品的安全和可靠性要求究竟会对电子控制单元（ECU）的安全性产生怎样的影响。已有研究探讨了 MISRA-C 标准与 CERT-C 标准之间的差异，同时研究人员也已证实电子控制单元容易受到软件和硬件攻击。车规级微控制器中配备的安全功能（如纠错码存储器，ECC 存储器）会显著增加攻击难度，但并不能完全阻止攻击。同样，那些旨在提高可靠性和电磁兼容性的功能（如 RAM 加扰技术），也被证明只能增加攻击难度，而无法彻底防范攻击。在此背景下，我们认为有必要进一步深入研究车规级电子产品的安全性。

2.3 现有测试平台存在的问题

测试平台对于安全研究至关重要，许多研究人员已开发并分享了他们自行设计的安全测试平台。这些测试平台的设计形式多样，既有纯软件测试平台，也有高端汽车模拟器。不少爱好者还利用旧汽车零部件组装出了自己的汽车测试平台。原始设备制造商（OEM）也会自行开发测试平台，例如丰田汽车公司提出了一款名为 PASTA 的便携式自适应测试平台，该平台与爱好者自制的测试平台类似，但采用了可复现的开源技术。

现有的安全测试平台可分为两类：一类采用车规级技术，另一类则不采用。采用车规级技术的测试平台具有与真实汽车环境高度相似的优势，这意味着基于该平台得出的研究结果也适用于真实车辆。然而，使用车规级技术要求研究人员签署保密协议（NDA），这使得他们无法公开发表研究成果。因此，这类测试平台通常仅由行业内的大型企业内部使用。

爱好者利用旧汽车零部件搭建的测试平台无需签署保密协议（NDA），但平台中的组件多为 “黑箱” 式组件，难以进行定制化修改。研究人员常常会采用 Arduino 和树莓派（Raspberry Pi）开发板来搭建原型测试平台，但这类平台的可复现性较差。采用非车规级技术搭建的测试平台有一个显著优势：成本较低，且相关文档和软件可在网上直接获取。

然而，由于未采用车规级技术，汽车行业的研究人员对基于非车规级测试平台得出的新研究成果往往持怀疑态度，他们可能会提出 “但在采用车规级技术的真实汽车上，情况不会是这样的，因为……”，并要求在车规级测试平台上重新验证研究结果。理想情况下，车规级微控制器制造商和软件供应商应公开其技术规格，以鼓励相关研究，但截至 2020 年，这一目标仍不现实。因此，我们需要找到一种解决方案，既能确保测试平台价格亲民且开源，又能在性能和特性上与车规级解决方案尽可能接近。

现有测试平台还存在成本高昂的问题。这一问题使得许多优秀的研究人员无法购置或借用测试平台用于居家办公。即使是资金充足的研究人员，也因担心损坏测试平台或需要与从事其他不兼容研究的人员共用测试平台，而无法开展具有潜在破坏性的研究或对测试平台进行永久性修改。

2.4 物理测试面临的困难

由于需要签署保密协议（NDA）的测试平台限制过多，我们决定将研究重点放在 “非车规级” 测试平台上。开源测试平台存在一个问题：采用非车规级硬件意味着其在硬件技术层面与车规级设备存在差异，因此不太适合用于物理测试。此外，这些测试平台通常体积较大，不便放入测试设备中，体积最小的测试平台也有手提箱大小，且设计用途是在室温环境下放置在桌面上使用。

然而，真实的电子控制单元（ECU）并非在室温桌面环境下工作，而是要在极端条件下运行，例如，发动机舱内的温度可能达到 105°C，甚至在暴雨等恶劣天气下也需正常工作。人们无法将一个手提箱大小的测试平台带入洁净室，并放入高压灭菌器或扫描电子显微镜中。即便能放进去，测试平台在温度达到 85°C 之前也很可能已经损坏。

但需要注意的是，在部分微控制器中，高温环境（通常指 60°C 以上）更容易引发失效 [28][29]。与智能卡在检测到高温时可自行关机不同，电子控制单元（ECU）必须在极端条件下持续工作，因此更容易受到环境压力引发的攻击。由此可见，车规级技术需要在多种环境条件下进行测试，而不能仅局限于室温环境。

研究人员发现，设备老化实际上会提高其抵御静态功耗分析攻击和模板攻击的能力。通过有意让测试平台老化，研究人员可以验证某项防御措施不仅在汽车刚出厂时有效，而且在汽车使用老化后依然能够发挥作用。然而，现有的汽车测试平台在经历汽车加速老化过程后会损坏。同时，测试平台的高昂成本也使得研究人员无法在多个测试平台上对技术进行评估。

但实际上，电子控制单元（ECU）所使用的组件存在制造公差（如电压、阻抗等方面的差异）。要证明某项技术适用于汽车领域，就必须确保该技术不仅能在经过精细调试的特定测试平台上正常工作，还能在因制造公差而存在微小差异的多个测试平台上稳定运行。

我们已论证车规级电子产品的物理测试具有重要意义，但现有测试平台无法满足这一需求。为解决这一问题，我们研发了一款开源汽车测试平台，该平台融合了车规级硬件和非车规级软件，专门针对物理测试（如侧信道分析、故障注入、破坏性测试等）进行了优化。在本章中，我们首先介绍非汽车领域的物理安全平台，提炼出理想测试平台应具备的关键需求，然后详细阐述我们设计的测试平台。

3.1 物理安全测试平台

目前，已有多款旨在简化物理安全攻击评估的平台问世。SASEBO 项目推出了一款专门用于测试密码模块的测试平台；FOBOS和 SCARF也被提出作为评估物理安全防御措施的平台；广受欢迎的侧信道与故障注入平台 ——ChipWhisperer 项目，还推出了一款 “UFO Target” 平台，可用于 “攻击各类嵌入式目标设备”。

现有物理测试平台具有以下共同特点：

· 集成在一块印刷电路板（PCB）中，或由多块相互连接的印刷电路板组成；

· 配备低噪声电源；

· 便于访问时钟、电源线等关键信号；

· 内置放大器、数据采集工具等常用工具。

尽管这些平台广受欢迎，且在许多场景中表现出色，但它们均未采用车规级技术，因此无法解决我们面临的问题。此外，这些平台的设计目标是攻击单个组件（如微控制器或密码模块），而非组件网络（如控制器局域网（CAN）/ 灵活数据速率控制器局域网（CAN-FD）网络）。

3.2 测试平台需求

通过对现有平台的调研，我们确定了一款针对物理测试优化的汽车安全测试平台应满足以下需求：

· （R1）与现有工具和平台兼容：目前已有众多可用的平台和工具，保持与现有测试平台的兼容性，可确保研究人员能够自由地在不同平台之间切换。

· （R2）采用车规级组件：车规级组件具有独特的特性，采用这类组件能使测试平台更贴近真实汽车环境。

· （R3）开源：开源特性可确保研究结果能够得到准确分析和复现，同时也便于其他研究人员对测试平台进行改进或重新开发，以适应不同研究需求。

· （R4）成本低廉：成本低意味着研究人员可以购置多个测试平台，从而能够在平台上开展具有潜在破坏性的测试或进行不可逆的修改。在 2020 年居家办公成为常态的背景下，这一特性也使得研究人员能够在家中开展研究工作。

· （R5）体积小巧，可适配常用测试设备（如高压灭菌器、扫描电子显微镜（SEM）等）：小巧的体积便于研究人员利用汽车测试设备开展研究，例如模拟高温高湿环境，同时也能适配硬件安全测试设备（如微探针台）。

· （R6）针对物理安全测试优化：具备低噪声电源、便于访问关键信号以及内置常用工具等特点，确保能够高质量地开展物理安全攻击评估。

3.3 设计方案

我们设计的这款 CAN/CAN-FD 汽车安全测试平台基于单块印刷电路板（PCB），具有以下特性：

· 采用与 PASTA 平台相同的高层架构（满足需求 R1）；

· 针对低成本大规模量产进行优化（满足需求 R4）；

· 体积与信用卡相当（满足需求 R4、R5）；

· 配备低噪声电源和用于访问关键信号的探针，针对物理测试进行优化（满足需求 R6）；

· 主要采用符合 AEC-Q100和 AEC-Q200标准的组件，可承受高达 150°C 的温度（满足需求 R2）；

· 开源（满足需求 R3）；

· 独立运行（通过 USB 供电，无需 CAN 适配器、编程器等额外设备）（满足需求 R4、R6）。

3.4 详细设计

3.4.1 复用 PASTA 平台架构

该测试平台包含四个电子控制单元（ECU），其架构与 PASTA 平台一致，具体包括：

· 网关电子控制单元（Gateway ECU）

· 动力传动系统电子控制单元（Powertrain ECU）

· 底盘电子控制单元（Chassis ECU）

· 车身电子控制单元（Body ECU）

这些电子控制单元均连接到同一个 CAN/CAN-FD 总线。其中，网关电子控制单元还与 USB 端口相连，通过 “slcan” 协议或 socketCAN 驱动程序，可将其用作通用 CAN/CAN-FD 适配器。借助 STM32 内置的 DFU 引导加载程序，可通过 USB 对网关电子控制单元进行重新编程。此外，网关电子控制单元还能分别控制每个电子控制单元的电源模块。通过开启或关闭某个电子控制单元的电源，网关电子控制单元可利用 STM32 内置的 CAN 引导加载程序，通过 CAN 总线对其他电子控制单元进行编程。因此，所有电子控制单元均可通过 USB 独立进行重新编程。

复用 PASTA 平台架构具有诸多优势：一方面，原本使用 PASTA 平台的研究人员可将其研究成果直接应用于 RAMN 平台；另一方面，对于无力购置 PASTA 平台的研究人员而言，RAMN 平台可作为 PASTA 平台的替代方案。与仅支持 CAN 总线技术的 PASTA 平台不同，RAMN 平台同时兼容 CAN 技术及其最新升级版本 ——CAN-FD 技术。RAMN 平台的框图如图 1 所示，电路板实物图如图 2 所示。

图 1、RAMN 平台框图

图 2、RAMN 主板实物图

3.4.2 支持低成本大规模量产

为确保印刷电路板（PCB）能够实现低成本大规模量产，在设计过程中采用了宽松的设计规则（例如，线路间距为 0.15 毫米），且仅设计为两层板。此外，电路板仅使用带有外部引脚的组件（不使用方形扁平无引脚封装（QFN）和球栅阵列封装（BGA）的组件），且组件尺寸足够大（0608 及以上规格），便于手工焊接。这意味着该电路板不仅易于返工维修，还可完全通过手工焊接完成组装。

因此，大多数印刷电路板制造厂商都能以较低的成本生产和组装 RAMN 平台。同时，该平台也便于爱好者和学生自行制作和组装。低成本测试平台具有以下诸多优势：

· 使得研究人员能够在合理的预算范围内开展破坏性测试（如高温测试）；

· 研究人员无需与他人共用测试平台，可拥有专属平台。这样一来，他们就能对平台进行定制化修改（如重新编写固件、更换组件）和物理特性调整（如使组件老化），且不会影响其他研究人员的工作，同时也能在家中开展研究；

· 便于研究人员在多个测试平台上验证研究结果。由于组件制造公差的存在，不同测试平台的特性会略有差异。通过在多个平台上验证结果，可确保研究成果不仅适用于特定硬件，还能在更大的制造公差范围内保持有效性。上述优势如图 3 所示。

图 3、制造公差对测试平台物理特性的影响

3.4.3 小巧的外形设计

整个测试平台集成在一块尺寸为 85.60 毫米 ×53.98 毫米（与信用卡大小相当）的印刷电路板（PCB）上，并设有四个 M3 螺孔，便于将其安装在测试设备上。

凭借小巧的体积，该测试平台可适配以下设备：

· 安全研究人员使用的测试设备：硬件安全研究人员在洁净室中常使用微探针台、激光切割机、聚焦离子束工作站、扫描电子显微镜（SEM）工作站等专用设备；

· AEC-Q100 测试设备：该测试平台可放入用于 AEC-Q100组件认证的设备中，如高加速应力测试（HAST）舱和横电磁波（TEM）小室。

3.4.4 针对物理测试优化

低成本和小巧体积的设计旨在支持开展破坏性测试和极端条件测试。该测试平台最主要的预期用途包括侧信道分析和故障注入（失效干扰）测试。在大多数情况下，开展这些攻击测试需要访问关键信号，且测试结果的准确性很大程度上取决于电路板上信号的质量。

为确保信号质量良好，电路板为每个微控制器配备了独立的低噪声电源，同时将 CAN/CAN-FD 总线线路设计为具有 120Ω 差分阻抗的微带线，并在总线两端采用分离式终端匹配。为便于对电源线进行电流监测和故障注入，电路板还在 3.3V 线路上配备了分流电阻。此外，为方便进行测试测量，电路板在时钟、电源、CAN 接收端（CAN RX）、CAN 高电平端（CANH）、CAN 低电平端（CANL）等关键信号处均设置了测试探针。该电路板还可直接与广泛使用的物理安全评估框架 “ChipWhisperer”连接。

3.4.5 采用车规级组件

为使研究人员能够在极端条件下使用该测试平台，我们选用了符合 AEC-Q100 和 AEC-Q200 0 级标准（温度上限为 150°C）的组件。因此，该测试平台应具备与真实汽车电子控制单元（ECU）相同的物理特性。

在所有组件中，仅有两个组件不符合车规要求，即 USB 连接器和微控制器。虽然存在车规级 USB 连接器，但这类连接器并不常见，多数人无法一眼识别出其为 USB 接口，且获取难度较大。因此，我们暂时选用了消费电子领域常用的 USB 连接器。

至于微控制器，车规级微控制器及其软件工具链不仅成本高昂，还涉及严格的保密协议（NDA）限制。基于此，我们选择了具有相似功能和特性的微控制器。最初选用的是 STM32L443CC 微控制器，这是一款低功耗 ARM 微控制器，工作温度范围为 - 40°C 至 125°C，与许多用于汽车非发动机舱部位的车规级微控制器的温度范围一致。该微控制器还配备了 CAN 控制器、高级加密标准（AES）引擎以及椭圆曲线密码（ECC）功能。尽管它不属于车规级产品，但其性能和特性已与车规级微控制器十分接近。

对于对加密引擎有使用限制的国家和地区，该电路板也可装配 STM32L433CC 微控制器，这款微控制器不具备 AES 引擎。此外，电路板还可兼容更新的 STM32L5 系列微控制器，该系列微控制器配备了 CAN-FD 控制器，并具备更多安全功能，如 TrustZone 执行环境和真随机数生成器（TRNG）。具体而言，电路板可适配 STM32L552（无 AES 引擎版本）和 STM32L562（带 AES 引擎版本）两种型号的微控制器。

3.4.6 开源特性

选择 STM32 系列微控制器的另一个重要原因是，该系列在创客社区中广受欢迎，拥有众多评估板（如 STM32 Nucleo 开发板），且易于与 FreeRTOS、mbed TLS 等热门开源项目集成。

为确保 RAMN 平台便于定制和重新编程，其软件基于意法半导体（STMicroelectronics）支持的默认实时操作系统（RTOS）——FreeRTOS 构建。由于该项目采用开源模式，研究人员可根据自身需求，自由移除现有实时操作系统（RTOS），或替换为其他操作系统，并进行定制化修改。

3.4.7 独立运行能力

现有测试平台通常需要外部设备（如外部 CAN/CAN-FD 适配器）来观测信号。而在 RAMN 平台中，其中一个电子控制单元（ECU）可被编程为 CAN/CAN-FD 适配器。这一设计的优势在于，研究人员在测试环境中无需额外携带 CAN/CAN-FD 适配器和编程器。同时，减少外部组件的使用，可降低信号失真的可能性，也能降低在极端测试条件下 CAN/CAN-FD 适配器损坏的风险。

与 PASTA 平台不同，RAMN 平台未内置传感器和执行器，而是配备了类似 Arduino 和树莓派（Raspberry Pi）开发板的 “扩展接口”。研究人员可自行设计扩展板，并通过串行外设接口（SPI）、集成电路总线（I2C）、通用异步收发传输器（UART）、模数转换器（ADC）、数模转换器（DAC）等多种可用接口将其与 RAMN 平台连接。

我们设计的扩展板采用可堆叠式设计，且相互兼容，即多个扩展板可同时使用。这些扩展板的功能涵盖外部存储器（如电可擦可编程只读存储器（EEPROM）、静态随机存取存储器（SRAM）、铁电随机存取存储器（FRAM））、显示屏（多款来自 Adafruit 公司的显示屏）、可信平台模块（TPM）、与 ChipWhisperer 的连接接口、调试接口（联合测试行动小组（JTAG）接口和探针接口）以及传感器和执行器（如仪表盘发光二极管（LED）、刹车 / 油门 / 转向电位器）。

带有多个扩展板的 RAMN 平台配置示例如图 4 所示。

图 4、配备 TPM、外部存储器、显示屏以及传感器 / 执行器扩展板的 RAMN 平台配置示例图

我们采用常规工艺和公差制造了 RAMN 平台的电路板，并使用 STM32CubeIDE 开发环境和 FreeRTOS对平台软件进行了编程。图 5 展示了带有传感器和执行器的简易 RAMN 平台配置，图 6 则展示了带有多个扩展板（TPM、存储器和调试器）的 RAMN 平台配置。测试结果表明，该平台的所有功能均能正常运行：四个电子控制单元（ECU）可通过 USB 进行重新编程；CAN/CAN-FD 总线工作正常；通过 slcan 或 socketCAN 协议，可在 USB 端口上观测到 CAN/CAN-FD 帧信号。

图 5、带有传感器 / 执行器的 RAMN 平台配置实物图

图 6、带有多个扩展板（TPM、外部存储器、调试器）的 RAMN 平台配置实物图

4.1 与自动驾驶模拟器 CARLA 的集成

在默认环境下，我们对 RAMN 平台进行了编程，使其能够与常用的驾驶模拟器 CARLA [43] 配合使用，具体连接方式如图 7 所示。我们对 CARLA 模拟器进行了修改，使 RAMN 平台与模拟器形成闭环连接，即所有控制指令（如刹车、转向指令）都必须先经过动力传动系统、车身和底盘电子控制单元（ECU）的处理，然后才能反馈给 CARLA 的真实世界模拟系统。

例如，自动驾驶算法可通过 CAN 总线发送刹车请求，动力传动系统电子控制单元（ECU）接收该请求并进行处理后，会发送刹车指令。网关电子控制单元（ECU）将该刹车指令反馈给 CARLA 的真实世界模拟系统，进而触发虚拟世界中的刹车动作。与此同时，车身电子控制单元（ECU）也会接收到该刹车指令，并激活刹车灯发光二极管（LED）。

通过这种闭环集成方式，虚拟车辆可由 RAMN 平台上的传感器进行控制，而仅存在于虚拟世界中的参数（如车速）也能在 CAN/CAN-FD 总线上显示，并触发执行器（如发光二极管（LED））的动作。我们通过测试验证，采用 PASTA 平台定义的 CAN 标识符（ID）和格式，研究人员可借助传感器板上的电位器轻松控制虚拟车辆。

此外，引入闭环控制后产生的延迟极小，不会对 CARLA 模拟器默认的自动驾驶算法的正常运行造成影响。即使在总线负载率高达约 42% 的情况下，也未观察到 CAN 总线消息丢失或明显的延迟现象。

图 7、与 CARLA 模拟器形成闭环连接的 RAMN 平台配置实物图，该平台与 CAN 总线可视化工具 candump（Linux 系统）相连

4.2 物理攻击测试评估

为验证该平台可用于物理攻击评估，我们使用 ChipWhisperer Pro对其进行了基础分析测试，具体测试场景如图 8 所示。

图 8、通过专用扩展板与 ChipWhisperer Pro 连接的 RAMN 平台实物图

由于 ChipWhisperer 已具备完善的侧信道分析环境，我们专门设计了一块印刷电路板（PCB），以便将 RAMN 平台的电子控制单元（ECU）轻松集成到 NewAE Technology 公司提供的 UFO 框架中。该印刷电路板（PCB）如图 9 所示。图 10 展示了将 RAMN 平台的电子控制单元（ECU）与 ChipWhisperer UFO 框架配合使用的示例。测试结果表明，ChipWhisperer 的所有功能（如触发、时钟、通用异步收发传输器（UART）通信等）均能正常运行，且可获取高质量的波形数据。

图 9、适配 ChipWhisperer UFO 框架的 RAMN 电子控制单元（ECU）实物图

图 10、RAMN UFO 电子控制单元（ECU）与 ChipWhisperer Pro 及其磁场（H-Field）探针配合使用的实物图

在本章中，我们将探讨该测试平台存在的局限性。由于我们希望保持平台体积小巧、开源、低成本且可独立运行的特性，在设计过程中不得不做出一些妥协，这些妥协导致平台的使用场景受到一定限制。

5.1 无 12V 电池供电线路

电子控制单元（ECU）通常由 12V 电池供电，且需要在较宽的供电电压范围（如 6V 至 16V）内保持正常工作。然而，若要通过 USB 端口提供 16V 电压，会对四个电源模块提出更高要求，最终导致电路板体积增大、噪声增加且成本上升。因此，我们决定直接采用 5V USB 端口供电。

这一设计局限性使得研究人员无法开展 12V 电池供电线路上的信息泄露相关研究。但值得庆幸的是，这一局限并不会对 CAN/CAN-FD 总线的正常工作造成影响，因为该总线在设计上本身就支持 5V 供电。

5.2 仅支持一条 CAN/CAN-FD 总线

PASTA 平台设有通过网关电子控制单元（ECU）间接连接的多条物理隔离 CAN 总线，而我们设计的 RAMN 平台仅配备一条通用 CAN/CAN-FD 总线。这意味着研究人员难以利用该平台开展与网关电子控制单元（ECU）相关的研究，例如 CAN/CAN-FD 防火墙研究。不过，研究人员可通过将多个 RAMN 平台连接起来的方式，解决这一问题。

5.3 并非完全符合车规级标准

为保持测试平台的开源特性，我们选择了市面上可公开获取的微控制器，而非真正的车规级微控制器。为尽量降低这一选择带来的影响，我们努力挑选具有宽温度范围和丰富安全功能的微控制器，使其在性能和特性上 “尽可能接近” 车规级微控制器。

理想情况下，该测试平台应配备符合 AEC-Q100 标准的微控制器，并集成汽车安全元件，如 EVITA 硬件安全模块、安全硬件扩展（SHE）或汽车级可信平台模块（TPM）。然而，截至 2020 年，由于保密协议（NDA）的限制，这一目标暂时无法实现，我们期望未来这些限制能够被取消。

我们研发并评估了 RAMN 平台 —— 一款信用卡大小的汽车安全测试平台。该平台与 PASTA 平台类似，但设计目标有所不同。我们将 RAMN 平台的成本控制在较低水平，以方便开展破坏性测试和不可逆修改测试；同时，平台主要采用车规级组件，确保其特性与真实电子控制单元（ECU）相近，且能够在极端条件下运行。

RAMN 平台可与 CARLA 模拟器配合使用，以模拟自动驾驶车辆的动态汽车网络。其小巧的体积使得研究人员能够在洁净室等特殊环境中使用该平台，也可将其放入微探针台等测试设备中。此外，该平台成本低廉，研究人员无需与他人共用，可在家中开展研究；同时，他们也无需担心预算问题，可利用该平台开展具有潜在破坏性的攻击测试，还能制作多个平台来评估制造公差带来的影响。

我们对 RAMN 平台进行了物理测试优化，使其适用于侧信道分析、失效干扰攻击等测试场景。因此，该测试平台为研究人员提供了更大的自由度，便于他们评估涉及物理参数的攻击手段和防御措施。未来，我们计划探索该测试平台在教学和漏洞赏金计划中的应用可能性。

为保持电路板体积小巧、开源且成本低廉的特性，我们在设计过程中做出了一些妥协，这些妥协导致平台的使用场景受到一定限制。大多数局限性可在未来的研究工作中得到解决，例如，可通过设计体积稍大、成本略高的测试平台来突破部分限制。然而，截至 2020 年，车规级微控制器和车规级软件难以获取的问题仍十分突出，且短期内难以解决。我们希望通过发布这款测试平台，为推动汽车安全行业向更加开放的方向发展贡献一份力量。