摘要:安全是未來汽車發展的關鍵問題之一,隨著電子電氣架構的安全性要求越來越高,汽車控制器上所使用的安全MCU也需要遵循功能安全標準ISO26262,但僅有MCU的硬件安全設計同樣存在風險,使用相應的功能安全軟件以確保設備硬件和軟件安全運行,或在發生故障時使系統進入安全模式對控制器來說至關重要。本文將以市面上常見的一些車規級MCU芯片為例,幫助讀者認識車規MCU如何通過軟硬件實現功能安全。

功能安全

為實現功能安全應用,在開發汽車控制器系統時需要考慮全面的功能安全要求,并確保符合ISO26262的相關要求。MCU作為ISO26262標準定義的電氣電子(E/E)系統的元件,在設計時除了作為SEooC(上下文無關安全元素)開發產品外,同時需要考慮與硬件環境相關的使用假設,包括假設的外部安全機制以及與軟件環境相關的使用假設。

MCU安全架構的描述,安全機制的描述以及安全相關軟硬件的說明(用于檢測到故障后進行處理),這些內容會由芯片商提供的安全手冊中描述。

芯片功能安全機制

下面介紹針對汽車安全應用MCU提出的安全機制。

例如上圖為英飛凌TC3xx系列芯片的Safety Manual中的一條軟件安全機制。簡單的說,MCU中硬件提供了MONBIST這樣一個二級監控器,用于輔助檢測BIST自檢和故障處理單元的上報功能,以達到更高的潛在故障覆蓋率。

該機制為HW,也就是硬件機制,與之相關的存在兩條SW軟件安全機制需要實現。如下圖所示,其一為需要軟件配置MONBIST的參數并開啟MONBIST檢測,另一條需要軟件通過讀取一些寄存器來檢查MONBIST的檢測結果。

功能安全軟件實現

為實現上述安全機制,需要軟件去配置并檢查MONBIST的檢測結果,軟件需要修改MONBIST寄存器中的配置寄存器,開啟檢測,并在執行階段讀取檢測結果,將檢測結果上報應用層處理。

通過這兩項由軟件完成的內容,才把MONBIST的安全機制功能使用起來,以滿足MCU通過安全分析得出的安全目標。完成如上數十條安全機制的軟件實現,以及包括故障處理單元的軟件配置及存儲,需要交由外部芯片(例如電源芯片)來處理的故障要求等功能,統合以上功能并為應用層及RTE提供接口的軟件,通常叫做功能安全軟件庫。

功能安全軟件庫

對于當前行業主流的功能安全軟件庫(也叫SafetyLib)解決方案,少數集成方(即零部件企業或整車廠的產品研發部門)選擇由自己的底層軟件團隊來進行組織開發,如上文介紹,功能安全庫軟件和MCU硬件特性強相關,需要工程師非常熟悉MCU底層特性,以及擁有豐富的功能安全經驗。現在行業現狀中底層軟件開發人力資源稀少,資深經驗的工程師人員成本又非常高,通常對于零部件企業來說,核心是其產品及應用程序,而并非底層通用軟件,因而選擇第三方成熟功能安全庫產品通常才是最好的選擇。

相比來講,第三方軟件企業提供的功能安全庫產品經過多量產項目考驗,成熟穩定,功能全面,后續問題解決可靠,相比自行研發投入人力的成本可能更低。

知從科技提供的木牛SafetyFrame產品是依據ISO 26262開發的一款功能安全庫軟件。基于AUTOSAR架構設計,Safety Frame軟件組件參照SEooC系統開發,作為獨立單元設計,作為一個復雜驅動軟件組件開發,對整車環境、系統、系統組合、子系統、硬件組件或零部件無依賴關系。

木牛SafetyFrame軟件架構

SAFETY FRAME包括 MCU 內部模塊自檢測試(SF.MCU)和SBC硬件安全機制的驅動(即SF.SBC),SF.Architecture的核心模塊為Test Manager,用于MCU&SBC的Safety Library調度管理,包括Safety Wdgm、Safety SBC/ASIC驅動模塊調度、與應用層PFC(Program Flow Check)接口等。

其中SF.MCU中就包含了芯片安全手冊中提出的各項安全機制的實現,例如上文提到的MONBIST自檢的配置和檢測,以及PFlash檢測,SRAM檢測,時鐘檢測,中斷檢測,DMA、GTM、ADC等外設的檢測功能,LBIST自檢等等,幾乎覆蓋了芯片安全手冊中要求的所有機制。通過不少量產項目的積累,支持的安全機制數只會更多,可以滿足同一系列MCU但是各種不同汽車部件控制器的要求。

配置工具

Safety Frame配套了對應的配置工具,用于簡易的修改各模塊的配置內容,相比手動修改代碼,具有無需研究源代碼,簡單易懂;工具附帶校驗,準確無誤;圖形化界面配置,高效便捷等優點。

木牛SafetyFrame配置工具

特點列表

木牛SafetyFrame產品具有支持芯片種類多,產品流程嚴謹完善,售后響應服務積極外,也在軟件實現的安全機制數量上具有較大優勢。如下圖所示為以英飛凌Aurix 2G TC3xx系列芯片的安全機制整理的特點列表,其中SafetyFrame產品實現非常多的安全機制,可以完美符合在ADAS控制器,電機控制器,BMS控制器,EPS控制器等幾乎全部有功能安全要求的汽車控制器上的安全機制需求。

功能安全認證

另外,對于考慮控制器產品做ISO26262功能安全認證的零部件企業來說,首先要通過功能安全庫軟件來實現功能安全目標,同時功能安全庫軟件本身也要滿足ISO26262中對于軟件的安全標準。當前第三方產品中僅有知從木牛SafetyFrame已通過了功能安全ISO26262最高等級ASIL D軟件產品認證,對于計劃通過控制器產品認證的企業來說,通過展示木牛SafetyFrame提供的認證報告及證書,可以更方便可靠的進行認證。

木牛SafetyFrame認證證書

已有眾多零部件企業通過使用知從木牛SafetyFrame產品實現功能安全認證。一些國內電驅動,電池,ADAS頭部企業,已獲得SGS、萊茵等權威認證機構的ASIL D級別產品認證證書,同時在長安、長城、現代、塔塔、通用等國內外整車企業量產應用。

使用木牛SafetyFrame的電機控制系統ASIL D產品認證證書

總結

在考慮汽車控制器滿足功能安全要求時離不開MCU功能安全的實現,除了MCU硬件設計時已考慮的架構設計及安全模塊外,必須搭配相應的功能安全軟件庫才能實現。知從木牛SafetyFrame是為汽車MCU設計的功能安全軟件庫,根據符合ISO 26262的開發流程進行了嚴格開發,可以為零部件企業或整車廠產品研發部門提供,更高效、更可靠、低成本的功能安全解決方案。

審核編輯：湯梓紅