MCU如何实现功能安全

摘要:安全是未来汽车发展的关键问题之一,随着电子电气架构的安全性要求越来越高,汽车控制器上所使用的安全MCU也需要遵循功能安全标准ISO26262,但仅有MCU的硬件安全设计同样存在风险,使用相应的功能安全软件以确保设备硬件和软件安全运行,或在发生故障时使系统进入安全模式对控制器来说至关重要。本文将以市面上常见的一些车规级MCU芯片为例,帮助读者认识车规MCU如何通过软硬件实现功能安全。

功能安全

为实现功能安全应用,在开发汽车控制器系统时需要考虑全面的功能安全要求,并确保符合ISO26262的相关要求。MCU作为ISO26262标准定义的电气电子(E/E)系统的元件,在设计时除了作为SEooC(上下文无关安全元素)开发产品外,同时需要考虑与硬件环境相关的使用假设,包括假设的外部安全机制以及与软件环境相关的使用假设。

MCU安全架构的描述,安全机制的描述以及安全相关软硬件的说明(用于检测到故障后进行处理),这些内容会由芯片商提供的安全手册中描述。

芯片功能安全机制

下面介绍针对汽车安全应用MCU提出的安全机制。

例如上图为英飞凌TC3xx系列芯片的Safety Manual中的一条软件安全机制。简单的说,MCU中硬件提供了MONBIST这样一个二级监控器,用于辅助检测BIST自检和故障处理单元的上报功能,以达到更高的潜在故障覆盖率。

该机制为HW,也就是硬件机制,与之相关的存在两条SW软件安全机制需要实现。如下图所示,其一为需要软件配置MONBIST的参数并开启MONBIST检测,另一条需要软件通过读取一些寄存器来检查MONBIST的检测结果。

功能安全软件实现

为实现上述安全机制,需要软件去配置并检查MONBIST的检测结果,软件需要修改MONBIST寄存器中的配置寄存器,开启检测,并在执行阶段读取检测结果,将检测结果上报应用层处理。

通过这两项由软件完成的内容,才把MONBIST的安全机制功能使用起来,以满足MCU通过安全分析得出的安全目标。完成如上数十条安全机制的软件实现,以及包括故障处理单元的软件配置及存储,需要交由外部芯片(例如电源芯片)来处理的故障要求等功能,统合以上功能并为应用层及RTE提供接口的软件,通常叫做功能安全软件库。

功能安全软件库

对于当前行业主流的功能安全软件库(也叫SafetyLib)解决方案,少数集成方(即零部件企业或整车厂的产品研发部门)选择由自己的底层软件团队来进行组织开发,如上文介绍,功能安全库软件和MCU硬件特性强相关,需要工程师非常熟悉MCU底层特性,以及拥有丰富的功能安全经验。现在行业现状中底层软件开发人力资源稀少,资深经验的工程师人员成本又非常高,通常对于零部件企业来说,核心是其产品及应用程序,而并非底层通用软件,因而选择第三方成熟功能安全库产品通常才是最好的选择。

相比来讲,第三方软件企业提供的功能安全库产品经过多量产项目考验,成熟稳定,功能全面,后续问题解决可靠,相比自行研发投入人力的成本可能更低。

知从科技提供的木牛SafetyFrame产品是依据ISO 26262开发的一款功能安全库软件。基于AUTOSAR架构设计,Safety Frame软件组件参照SEooC系统开发,作为独立单元设计,作为一个复杂驱动软件组件开发,对整车环境、系统、系统组合、子系统、硬件组件或零部件无依赖关系。

木牛SafetyFrame软件架构

SAFETY FRAME包括 MCU 内部模块自检测试(SF.MCU)和SBC硬件安全机制的驱动(即SF.SBC),SF.Architecture的核心模块为Test Manager,用于MCU&SBC的Safety Library调度管理,包括Safety Wdgm、Safety SBC/ASIC驱动模块调度、与应用层PFC(Program Flow Check)接口等。

其中SF.MCU中就包含了芯片安全手册中提出的各项安全机制的实现,例如上文提到的MONBIST自检的配置和检测,以及PFlash检测,SRAM检测,时钟检测,中断检测,DMA、GTM、ADC等外设的检测功能,LBIST自检等等,几乎覆盖了芯片安全手册中要求的所有机制。通过不少量产项目的积累,支持的安全机制数只会更多,可以满足同一系列MCU但是各种不同汽车部件控制器的要求。

配置工具

Safety Frame配套了对应的配置工具,用于简易的修改各模块的配置内容,相比手动修改代码,具有无需研究源代码,简单易懂;工具附带校验,准确无误;图形化界面配置,高效便捷等优点。

木牛SafetyFrame配置工具

特点列表

木牛SafetyFrame产品具有支持芯片种类多,产品流程严谨完善,售后响应服务积极外,也在软件实现的安全机制数量上具有较大优势。如下图所示为以英飞凌Aurix 2G TC3xx系列芯片的安全机制整理的特点列表,其中SafetyFrame产品实现非常多的安全机制,可以完美符合在ADAS控制器,电机控制器,BMS控制器,EPS控制器等几乎全部有功能安全要求的汽车控制器上的安全机制需求。

功能安全认证

另外,对于考虑控制器产品做ISO26262功能安全认证的零部件企业来说,首先要通过功能安全库软件来实现功能安全目标,同时功能安全库软件本身也要满足ISO26262中对于软件的安全标准。当前第三方产品中仅有知从木牛SafetyFrame已通过了功能安全ISO26262最高等级ASIL D软件产品认证,对于计划通过控制器产品认证的企业来说,通过展示木牛SafetyFrame提供的认证报告及证书,可以更方便可靠的进行认证。

木牛SafetyFrame认证证书

已有众多零部件企业通过使用知从木牛SafetyFrame产品实现功能安全认证。一些国内电驱动,电池,ADAS头部企业,已获得SGS、莱茵等权威认证机构的ASIL D级别产品认证证书,同时在长安、长城、现代、塔塔、通用等国内外整车企业量产应用。

使用木牛SafetyFrame的电机控制系统ASIL D产品认证证书

总结

在考虑汽车控制器满足功能安全要求时离不开MCU功能安全的实现,除了MCU硬件设计时已考虑的架构设计及安全模块外,必须搭配相应的功能安全软件库才能实现。知从木牛SafetyFrame是为汽车MCU设计的功能安全软件库,根据符合ISO 26262的开发流程进行了严格开发,可以为零部件企业或整车厂产品研发部门提供,更高效、更可靠、低成本的功能安全解决方案。

审核编辑：汤梓红