功能安全性

　　除了以最高效的方式實(shí)現(xiàn)顯示功能之外，還必須滿足一些安全要求，才能確保能夠在需要時(shí)顯示正確的信息。例如，用于在儀表板上顯示檔位的應(yīng)用必須被設(shè)計(jì)為：寧可不顯示任何內(nèi)容，也不能顯示錯(cuò)誤檔位。支持該功能的一種方法是使用一個(gè)所謂的簽名單元，它為所顯示的圖像創(chuàng)建簽名。系統(tǒng)將這個(gè)所創(chuàng)建的簽名與將要顯示的正確圖像的預(yù)定義值進(jìn)行對(duì)比。系統(tǒng)能夠迅速檢測到故障，然后選擇顯示正確圖像，或者關(guān)閉錯(cuò)誤圖像。

　　為了滿足安全標(biāo)準(zhǔn)，應(yīng)將多項(xiàng)措施集成到MCU中，以防范可能損害功能的軟件問題。近些年來，這種做法在ECU（引擎控制單元）領(lǐng)域中很常見，但在儀表板應(yīng)用中，經(jīng)常會(huì)出現(xiàn)應(yīng)該把哪些功能集成到MCU中的問題。在開發(fā)儀表板或HUD應(yīng)用時(shí)，為了能夠滿足汽車應(yīng)用的安全要求，嵌入式系統(tǒng)設(shè)計(jì)人員應(yīng)尋找以下功能：

　　■ 內(nèi)存保護(hù)單元（MPU）旨在防范其它功能執(zhí)行的錯(cuò)誤或意外覆蓋操作。一個(gè)MPU應(yīng)至少擁有12至16個(gè)配有不同權(quán)限（如讀、寫、執(zhí)行權(quán)限等）的通道或區(qū)域。它是滿足汽車開放系統(tǒng)架構(gòu)（AUTOSAR）要求的一個(gè)基本功能；此外還有時(shí)序保護(hù)單元（TPU），該單元能夠控制正在運(yùn)行的任務(wù)，并在一定時(shí)間后終止它們。

　　■ 一個(gè)不太常見但卻強(qiáng)烈建議集成到設(shè)計(jì)中的功能就是所謂的外設(shè)保護(hù)單元（PPU）。您還需要保護(hù)外設(shè)區(qū)域，而PPU能夠讓您做到這一點(diǎn)。

　　隨著越來越多的虛擬內(nèi)容進(jìn)入儀表板，而且汽車的聯(lián)網(wǎng)程度變得越來越高，開發(fā)人員需要考慮如何保護(hù)車載網(wǎng)絡(luò)免遭黑客攻擊和其它攻擊。目前的安全要求已不能單靠軟件高效地得到滿足，各種設(shè)計(jì)需要在硬件中打下堅(jiān)實(shí)的基礎(chǔ)。硬件中的實(shí)現(xiàn)能夠讓您的系統(tǒng)具備更高的防篡改能力。

　　MCU需要防范未經(jīng)授權(quán)的讀取操作或?qū)﹂W存內(nèi)容的操縱，并防止應(yīng)用運(yùn)行期間受到操縱，實(shí)現(xiàn)安全的通信和數(shù)據(jù)存儲(chǔ)，以搭建一個(gè)安全的車載網(wǎng)絡(luò)。例如，一個(gè)循環(huán)冗余校驗(yàn)（CRC）模塊與簽名單元的工作原理類似，目的是防止篡改。Spansion提供一個(gè)片上硬件單元，它支持CRC，而且速度比軟件解決方案要快。我們的MCU還包含一個(gè)器件安全概念，它通過關(guān)閉外部接口和調(diào)試接口的訪問功能，保護(hù)閃存免遭未經(jīng)授權(quán)的讀取。一個(gè)內(nèi)置的安全硬件擴(kuò)展（SHE）模塊為這個(gè)概念提供了進(jìn)一步的支持。

　　開發(fā)人員應(yīng)該牢記：安全性和可測試性成反比。這意味著，一旦關(guān)閉了硬件系統(tǒng)，某些測試就不再可能實(shí)現(xiàn)了。如果閃存100%禁止讀取操作，當(dāng)故障發(fā)生時(shí)，我們就不可能對(duì)比閃存內(nèi)容和原始軟件。因此，必須選擇能夠根據(jù)應(yīng)用的具體要求實(shí)現(xiàn)不同的安全等級(jí)的硬件。

　　在競爭激烈的全球經(jīng)濟(jì)中，汽車制造商需要以更低的成本提供更多的功能：從傳動(dòng)到顯示，從信息顯示到儀表板。幸運(yùn)的是，新一代單芯片解決方案已經(jīng)誕生，并朝著40納米工藝的方向發(fā)展，擁有更高的性能和更大的存儲(chǔ)容量。它們將能實(shí)現(xiàn)分辨率更高、顯示屏更大、面向中低端汽車儀表板的更多圖形應(yīng)用。通過探索上述幾種選擇，開發(fā)人員將能找到一個(gè)可滿足具體系統(tǒng)的要求的理想解決方案。


　　本文選自電子發(fā)燒友網(wǎng)7月《汽車電子特刊》Change The World欄目，轉(zhuǎn)載請(qǐng)注明出處！