摘要:安全是未來汽車發(fā)展的關(guān)鍵問題之一,隨著電子電氣架構(gòu)的安全性要求越來越高,汽車控制器上所使用的安全MCU也需要遵循功能安全標(biāo)準(zhǔn)ISO26262,但僅有MCU的硬件安全設(shè)計(jì)同樣存在風(fēng)險(xiǎn),使用相應(yīng)的功能安全軟件以確保設(shè)備硬件和軟件安全運(yùn)行,或在發(fā)生故障時(shí)使系統(tǒng)進(jìn)入安全模式對控制器來說至關(guān)重要。本文將以市面上常見的一些車規(guī)級MCU芯片為例,幫助讀者認(rèn)識車規(guī)MCU如何通過軟硬件實(shí)現(xiàn)功能安全。

功能安全

為實(shí)現(xiàn)功能安全應(yīng)用,在開發(fā)汽車控制器系統(tǒng)時(shí)需要考慮全面的功能安全要求,并確保符合ISO26262的相關(guān)要求。MCU作為ISO26262標(biāo)準(zhǔn)定義的電氣電子(E/E)系統(tǒng)的元件,在設(shè)計(jì)時(shí)除了作為SEooC(上下文無關(guān)安全元素)開發(fā)產(chǎn)品外,同時(shí)需要考慮與硬件環(huán)境相關(guān)的使用假設(shè),包括假設(shè)的外部安全機(jī)制以及與軟件環(huán)境相關(guān)的使用假設(shè)。

MCU安全架構(gòu)的描述,安全機(jī)制的描述以及安全相關(guān)軟硬件的說明(用于檢測到故障后進(jìn)行處理),這些內(nèi)容會(huì)由芯片商提供的安全手冊中描述。

芯片功能安全機(jī)制

下面介紹針對汽車安全應(yīng)用MCU提出的安全機(jī)制。

例如上圖為英飛凌TC3xx系列芯片的Safety Manual中的一條軟件安全機(jī)制。簡單的說,MCU中硬件提供了MONBIST這樣一個(gè)二級監(jiān)控器,用于輔助檢測BIST自檢和故障處理單元的上報(bào)功能,以達(dá)到更高的潛在故障覆蓋率。

該機(jī)制為HW,也就是硬件機(jī)制,與之相關(guān)的存在兩條SW軟件安全機(jī)制需要實(shí)現(xiàn)。如下圖所示,其一為需要軟件配置MONBIST的參數(shù)并開啟MONBIST檢測,另一條需要軟件通過讀取一些寄存器來檢查MONBIST的檢測結(jié)果。

功能安全軟件實(shí)現(xiàn)

為實(shí)現(xiàn)上述安全機(jī)制,需要軟件去配置并檢查MONBIST的檢測結(jié)果,軟件需要修改MONBIST寄存器中的配置寄存器,開啟檢測,并在執(zhí)行階段讀取檢測結(jié)果,將檢測結(jié)果上報(bào)應(yīng)用層處理。

通過這兩項(xiàng)由軟件完成的內(nèi)容,才把MONBIST的安全機(jī)制功能使用起來,以滿足MCU通過安全分析得出的安全目標(biāo)。完成如上數(shù)十條安全機(jī)制的軟件實(shí)現(xiàn),以及包括故障處理單元的軟件配置及存儲,需要交由外部芯片(例如電源芯片)來處理的故障要求等功能,統(tǒng)合以上功能并為應(yīng)用層及RTE提供接口的軟件,通常叫做功能安全軟件庫。

功能安全軟件庫

對于當(dāng)前行業(yè)主流的功能安全軟件庫(也叫SafetyLib)解決方案,少數(shù)集成方(即零部件企業(yè)或整車廠的產(chǎn)品研發(fā)部門)選擇由自己的底層軟件團(tuán)隊(duì)來進(jìn)行組織開發(fā),如上文介紹,功能安全庫軟件和MCU硬件特性強(qiáng)相關(guān),需要工程師非常熟悉MCU底層特性,以及擁有豐富的功能安全經(jīng)驗(yàn)。現(xiàn)在行業(yè)現(xiàn)狀中底層軟件開發(fā)人力資源稀少,資深經(jīng)驗(yàn)的工程師人員成本又非常高,通常對于零部件企業(yè)來說,核心是其產(chǎn)品及應(yīng)用程序,而并非底層通用軟件,因而選擇第三方成熟功能安全庫產(chǎn)品通常才是最好的選擇。

相比來講,第三方軟件企業(yè)提供的功能安全庫產(chǎn)品經(jīng)過多量產(chǎn)項(xiàng)目考驗(yàn),成熟穩(wěn)定,功能全面,后續(xù)問題解決可靠,相比自行研發(fā)投入人力的成本可能更低。

知從科技提供的木牛SafetyFrame產(chǎn)品是依據(jù)ISO 26262開發(fā)的一款功能安全庫軟件。基于AUTOSAR架構(gòu)設(shè)計(jì),Safety Frame軟件組件參照SEooC系統(tǒng)開發(fā),作為獨(dú)立單元設(shè)計(jì),作為一個(gè)復(fù)雜驅(qū)動(dòng)軟件組件開發(fā),對整車環(huán)境、系統(tǒng)、系統(tǒng)組合、子系統(tǒng)、硬件組件或零部件無依賴關(guān)系。

木牛SafetyFrame軟件架構(gòu)

SAFETY FRAME包括 MCU 內(nèi)部模塊自檢測試(SF.MCU)和SBC硬件安全機(jī)制的驅(qū)動(dòng)(即SF.SBC),SF.Architecture的核心模塊為Test Manager,用于MCU&SBC的Safety Library調(diào)度管理,包括Safety Wdgm、Safety SBC/ASIC驅(qū)動(dòng)模塊調(diào)度、與應(yīng)用層PFC(Program Flow Check)接口等。

其中SF.MCU中就包含了芯片安全手冊中提出的各項(xiàng)安全機(jī)制的實(shí)現(xiàn),例如上文提到的MONBIST自檢的配置和檢測,以及PFlash檢測,SRAM檢測,時(shí)鐘檢測,中斷檢測,DMA、GTM、ADC等外設(shè)的檢測功能,LBIST自檢等等,幾乎覆蓋了芯片安全手冊中要求的所有機(jī)制。通過不少量產(chǎn)項(xiàng)目的積累,支持的安全機(jī)制數(shù)只會(huì)更多,可以滿足同一系列MCU但是各種不同汽車部件控制器的要求。

配置工具

Safety Frame配套了對應(yīng)的配置工具,用于簡易的修改各模塊的配置內(nèi)容,相比手動(dòng)修改代碼,具有無需研究源代碼,簡單易懂;工具附帶校驗(yàn),準(zhǔn)確無誤;圖形化界面配置,高效便捷等優(yōu)點(diǎn)。

木牛SafetyFrame配置工具

特點(diǎn)列表

木牛SafetyFrame產(chǎn)品具有支持芯片種類多,產(chǎn)品流程嚴(yán)謹(jǐn)完善,售后響應(yīng)服務(wù)積極外,也在軟件實(shí)現(xiàn)的安全機(jī)制數(shù)量上具有較大優(yōu)勢。如下圖所示為以英飛凌Aurix 2G TC3xx系列芯片的安全機(jī)制整理的特點(diǎn)列表,其中SafetyFrame產(chǎn)品實(shí)現(xiàn)非常多的安全機(jī)制,可以完美符合在ADAS控制器,電機(jī)控制器,BMS控制器,EPS控制器等幾乎全部有功能安全要求的汽車控制器上的安全機(jī)制需求。

功能安全認(rèn)證

另外,對于考慮控制器產(chǎn)品做ISO26262功能安全認(rèn)證的零部件企業(yè)來說,首先要通過功能安全庫軟件來實(shí)現(xiàn)功能安全目標(biāo),同時(shí)功能安全庫軟件本身也要滿足ISO26262中對于軟件的安全標(biāo)準(zhǔn)。當(dāng)前第三方產(chǎn)品中僅有知從木牛SafetyFrame已通過了功能安全I(xiàn)SO26262最高等級ASIL D軟件產(chǎn)品認(rèn)證,對于計(jì)劃通過控制器產(chǎn)品認(rèn)證的企業(yè)來說,通過展示木牛SafetyFrame提供的認(rèn)證報(bào)告及證書,可以更方便可靠的進(jìn)行認(rèn)證。

木牛SafetyFrame認(rèn)證證書

已有眾多零部件企業(yè)通過使用知從木牛SafetyFrame產(chǎn)品實(shí)現(xiàn)功能安全認(rèn)證。一些國內(nèi)電驅(qū)動(dòng),電池,ADAS頭部企業(yè),已獲得SGS、萊茵等權(quán)威認(rèn)證機(jī)構(gòu)的ASIL D級別產(chǎn)品認(rèn)證證書,同時(shí)在長安、長城、現(xiàn)代、塔塔、通用等國內(nèi)外整車企業(yè)量產(chǎn)應(yīng)用。

使用木牛SafetyFrame的電機(jī)控制系統(tǒng)ASIL D產(chǎn)品認(rèn)證證書

總結(jié)

在考慮汽車控制器滿足功能安全要求時(shí)離不開MCU功能安全的實(shí)現(xiàn),除了MCU硬件設(shè)計(jì)時(shí)已考慮的架構(gòu)設(shè)計(jì)及安全模塊外,必須搭配相應(yīng)的功能安全軟件庫才能實(shí)現(xiàn)。知從木牛SafetyFrame是為汽車MCU設(shè)計(jì)的功能安全軟件庫,根據(jù)符合ISO 26262的開發(fā)流程進(jìn)行了嚴(yán)格開發(fā),可以為零部件企業(yè)或整車廠產(chǎn)品研發(fā)部門提供,更高效、更可靠、低成本的功能安全解決方案。

審核編輯：湯梓紅