只有从流程到产品保证系统安全，wBMS只有体现了技术的所有优势。

南皇电子专注于整合中国优质电子AD代理国内领先的现货资源，提供合理的行业价格、战略备货、快速交付控制AD芯片供应商，轻松满足您的需求AD芯片采购需求.（http://www.icbuyshop.com/）

与电动汽车(EV)在汽车厂的早期对话中，无线电池管理系统（wBMS）在技术和商务方面的挑战似乎令人生畏，但回报却非常丰厚，不容忽视。无线连接相对于有线/电缆架构的许多固有优势已经在无数商业应用中得到证明，BMS这是另一个明确要放弃电缆的候选领域。

图1使用无线电池管理系统(wBMS)的电动汽车

轻型、模块化、紧凑型电动汽车电池组的前景——最终摆脱繁琐的通信线束——已被广泛接受。通过消除90%的电池组布线和15%的电池组体积，可以显著简化车辆的设计和尺寸，并列出材料清单(BOM)成本、开发复杂性和相关人工安装/维护也大大降低。

更重要的是，单一无线电池的设计在整个车厂都很容易EV车队扩展，不需要重新设计广泛、昂贵的电池组线束，每个品牌和型号。wBMS，车库可以自由修改其框架设计，而不用担心电池组中的大量重新布置BMS布线。

从长远来看，未来几年车辆重量和电池组尺寸的持续下降AD中文官网延长电动汽车的续航里程至关重要。wBMS该技术将在帮助汽车制造商提高耐久性方面发挥重要作用，从而帮助消费者克服对电动汽车里程的长期焦虑。

这不仅有望刺激电动汽车整体市场利用率的提高，而且使汽车制造商有机会入电动汽车市场的领先地位。展望未来，这仍将是电动汽车制造商的主要差异化因素。

新安全标准

要兑现wBMS承诺需要克服许多挑战。开车时，wBMS无线通信需要对干扰有足够的稳定性，系统在任何情况下都必须安全。然而，仅仅依靠稳定和安全的设计可能不足以对抗顽固的攻击者——这是系统安全的地方。

汽车行驶地点（如城市或农村地区），是否有人在车内使用另一个相同频段的无线设备会导致干扰源的变化。电池组中的反射也会降低性能，这取决于用于包装电池的电池组材料。wBMS在自然条件下，信号可能会被破坏，更不用说恶意攻击者了。

如果wBMS由于某种原因，通信被中断，汽车可以回到安全模式wBMS当通信完全丢失时，汽车可以安全停车。这可以通过适当的安全设计来实现，考虑系统中所有可能的故障模式，并实现端到端安全机制，以应对组件的随机故障。

但是，安全设计并未考虑恶意行为者利用该系统达到某种目的的可能性，包括远程控制车辆。在2016年黑帽会议上，研究人员通过车辆网关展示了一辆运动车的可能性。因此，只有无线稳定性和故障安全设计是不够的，还需要抵抗攻击的安全性。黑帽演示是一个有价值的教训，表明汽车中未来的无线系统需要以某种方式设计，不能作为另一个远程入口点使用。相比之下，传统的有线电池组不提供远程访问，黑客需要通过物理手段访问车辆中的高压环境，以获得访问电池数据的权利。

其他安全挑战也可能发生在电动汽车电池的整个生命周期中。AD公司的wBMS设计方法注重了解电动汽车电池的不同阶段——从出厂到部署和维护，最终结束下一个寿命或寿命。定义了这些使用场景wBMS各种功能必须支持。例如，在电动汽车部署过程中，防止未经授权的远程访问是一种考虑，但在制造过程中需要更灵活的访问。另一个例子是在维修期间，修理权法律要求提供一种方式以便车主解决电池或相关wBMS的故障。这意味着必须支持wBMS该软件以合法的方式更新，当汽车离开维修站时，更新机制不应损害汽车的安全。

图2 电动汽车电池及其相关生命周期wBMS生命周期

此外，当电动汽车电池不再符合电动汽车的性能标准时，这些电池有时会重新部署到能源部门。这需要将电动汽车电池的所有权安全转移到下一生命阶段。电池没有内置有内置智能设备的设备，它wBMS其责任是实施适当的安全策略，最好地服务于电动汽车电池的寿命周期。第一生命的所有秘密都必须在过渡到第二生命生命的所有秘密。

AD公司预见了这些问题，并按照自己的核心设计原则从流程到产品的安全完整性，并进行详细审查)，公司预见了这些问题并解决了。与此同时，ISO/SAE 经过近三年的发展，21434标准道路车辆：网络安全工程于2021年8月正式发布。它定义了类似的穷举端到端过程框架，网络安全保障分为四级。车厂和供应商在1-4的尺度上得分，4表示最高水平的符合性(见图3)。

图3 ISO/SAE 21434框架与CAL 4期望

AD的wBMS方法响应了ISO/SAE 21434要求对汽车行业安全产品开发所需的最高水平进行检查和严谨性。AD聘请了著名的可信认证实验室TüV-NORD评估内部开发策略和流程。经审查，AD战略和流程完全符合新标准ISO 21434，。

图5 wBMS考虑威胁面

通过这个练习，我们可以清楚地看到wBMS系统的关键安全目标，。这些目标将需要实施一些机制。

图6 wBMS的安全目标

很多时候，当我们选择一些机制来实现特定的安全目标时，我们愿意付出多少代价？如果增加更多的对策，几乎肯定会改善产品的整体安全状况，但成本会很高，可能会给最终使用产品的消费者带来不必要的麻烦。一个常见策略是减轻可能性最大且最容易部署的威胁。更复杂的攻击往往针对更高价值的资产，可能需要更强的安全对策，但这种情况极不可能发生，所以如果实施，回报不划算。

例如，在wBMS当车辆在路上行驶时，是的IC物理篡改设备以获得电池数据测量的访问权是非常不可能的，因为需要一个训练有素、对电动汽车电池有深刻了解的机械修理工来驾驶汽车零部件。如果有更容易的方法，现实生活中的攻击者可能会尝试。对网络系统的常见攻击类型是拒绝服务(DOS)攻击-使用户无法使用产品。可以创建便携式无线干扰器行干扰wBMS功能(难)，但也可以放气(容易)轮胎。

使用一组适当的缓解措施来处理风险的步骤称为风险分析。通过衡量引入适当对策前后相关威胁的影响和可能性，可以确定残余风险是否合理降低。最终的结果是，这些安全特征是必要的，其成本是客户可以接受的。

wBMS的TARA指向wBMS安全的两个重要方面：设备级安全和无线网络安全。

任何安全系统的第一条规则是维护密钥安全！这意味着设备和全球制造业务都是如此。AD公司的wBMS考虑到硬件，设备安全IC和IC底层软件，确保系统能够从不可改变的存储器安全引导到可信的运行代码平台。所有软件代码在执行前都必须进行身份验证，任何现场软件更新都需要提前安装的凭证。系统部署到车辆中后，禁止回滚到以前的软件版本(可能容易攻击)。此外，系统部署后，应锁定调试端口，以消除未经授权的后门访问系统的可能性。

网络安全旨在保护wBMS单元监控节点与电池组外壳内的网络管理器之间的无线通信。安全性从加入网络开始，所有参与节点的成员资格都要进行检查。即使它们碰巧是附近的节点，也可以防止随机节点网络。在应用层中，与网络管理器通信的节点相互认证将进一步保护无线通信通道，使中间攻击者无法作为与管理器通信的合法节点，反之亦然。此外，使用基于目标的数据，以确保只有目标接收者能够访问数据AES对数据进行加密，防止信息泄露给任何潜在窃听者。

保护密钥

与所有安全系统一样，安全的核心是一组加密算法和密钥。AD公司的wBMS遵循NIST批准的指导方针意味着所选算法和密钥尺寸应与静态数据保护的最低安全强度一致（例如AES-128、SHA-256、EC-256)使用经过充分测试的无线通信标准(如IEEE 802.15.4)算法中的算法。

用于确保设备安全的密钥通常是在AD安装在制造过程中，永远不会离开IC器件。这些保证系统安全的密钥由IC物理保护装置，无论是使用还是未使用，未经授权的访问都会被阻止。然后，分层密钥框架将所有应用层密钥作为加密二进制的大对象(blob)保存在非易失性存储器中，包括网络安全中使用的密钥。

为便于网络中节点的相互认证，AD的wBMS在制造过程中，每个公钥证书都包含了唯一的公钥对和签名的公钥证书wBMS节点。通过签名证书，节点可以验证另一个合法的通信AD与另一个节点或有效的网络成员一起使用节点和唯一的公钥密钥BMS控制器建立安全通信通道。这种方法的优点之一是wBMS由于节点在部署后自动处理网络安全，因此更容易安装，不需要安全的安装环境。

相比之下，过去使用预共享密钥来建立安全通道的方案通常需要一个安全的安装环境和安装程序来手动写入通信端点的密钥值。为了简化和降低处理密钥分布问题的成本，默认公共网络密钥通常是许多人在网络中分配所有节点的捷径。这通常会导致崩溃崩溃的灾难，必须作为警告。

随着生产规模的扩大，汽车厂需要能够拥有不同数量的无线节点wBMS用于不同的电动汽车平台，并安装在不同的安全制造或维修场所，AD分布式密钥方法倾向于降低整体密钥管理的复杂性。

结论

只有在电动汽车电池的整个生命周期内确保从设备到网络的安全，才能实现wBMS所有技术优势。考虑到这一点，安全要求采用系统级设计理念，涵盖工艺和产品。

AD公司预料到了ISO/SAE 草案期间解决的核心网络安全问题是21434标准wBMS在设计和开发过程中采取了相关措施。AD第一批在政策和流程上实现ISO/SAE 21434合规技术供应商，AD wBMS该技术正在接受最高网络安全等级认证。