汽車集成安全系統(tǒng)硬件架功能安全概念設計

吳丹丹

摘要：在當前汽車發(fā)展的過程中，要充分考慮硬件架的安全性能，不斷提升汽車的設計水平，促進汽車行業(yè)的發(fā)展，本文就汽車集成安全系統(tǒng)硬件架功能安全概念設計進行闡述。

關鍵詞：汽車集成；安全系統(tǒng)；硬件架功能；概念設計

一、功能安全ISO26262標準

為解決對安全系統(tǒng)的認知以及系統(tǒng)的安全性定義等問題，IEC國際電工委員會在2000年提出了IEC61508功能安全標準。IEC61508的提出，在工業(yè)界引起強烈反響，通過對電子/可編程電子領域中的功能安全技術與管理的規(guī)范，指導了開發(fā)人員對安全系統(tǒng)的開發(fā)流程，為安全系統(tǒng)的開發(fā)提供了理論基礎。IEC61508作為功能安全的基礎標準，雖然起源于工業(yè)控制領域，但是卻被廣泛運用到了例如自動化制造業(yè)、核工業(yè)等安全關鍵的相關領域，并為核工業(yè)領域的特性衍生出IEC61513規(guī)范、為制造業(yè)衍生出了IEC61511規(guī)范。IEC61508的目的就是要為各個工業(yè)控制領域建立起一個基礎的功能安全標準。

然而，功能安全標準IEC61508在應用到汽車工業(yè)中時卻遇到了各種阻礙。首先，汽車中的各個零部件來源于不同的設備供應商，同一款車型中相同的控制ECU或者相關的信息技術產(chǎn)品也可能由不同的廠商提供，這是汽車工業(yè)中的一個分布式的開發(fā)模式。又如，IEC61508對風險的評估過程都有一個量化的條件，而在汽車電子領域，風險的發(fā)生以及對風險的控制有很大一部分取決于駕駛員的反應，并不能對某一個具體的風險進行量化。因此，基于汽車電子領域安全關鍵系統(tǒng)開發(fā)的差異性與緊迫性，國際標準化組織ISO在2011年為汽車電子領域指定了專用的功能安全標準：ISO26262。

二、內(nèi)存保護

作為一種從環(huán)境同步影響方面保護內(nèi)存區(qū)域的先進方法，有以下機制來檢查內(nèi)存區(qū)域的一致性。

（一）對于常量內(nèi)存范圍

CRC循環(huán)冗余校驗碼簽名：GB/T20438.7（等同于IEC61508-7）的A3.4中推薦采用一個字（8位CRC）和雙字（16位CRC）簽名m。簽名的有效性取決于與需保護的信息（有效負載）的塊長度相關的簽名寬度（GB/T18657.1（等同于IEC60870-5-1）要求至少是2的漢明誤差檢驗及糾正代碼間距）ni塊復制：為了防止共因失效，安全相關數(shù)據(jù)應冗余保存在不同的內(nèi)存區(qū)域。在系統(tǒng)狀態(tài)（如啟動、操作模式和關閉）的不同階段，這個階段應保存特定的數(shù)據(jù)連同CRC（例如，在每個階段的末尾，或操作過程中的周期性測試）。在包含可執(zhí)行代碼的PROM可編程序只讀存儲器中，所有未使用的內(nèi)存區(qū)域應該用一個故障安全數(shù)據(jù)值來寫人填充，例如一個觸發(fā)故障安全中斷的非法操作碼。為了消除系統(tǒng)故障的診斷和過濾，內(nèi)存范圍內(nèi)的所有故障偵測應被記錄在一個故障偵測計數(shù)器中。每次對內(nèi)存進行“寫”操作時，應讀取寫人的數(shù)據(jù)與寫操作完成后的直接對比。

（二）對于變量的內(nèi)存范圍

針對RAM隨機訪問內(nèi)存的奇偶校驗位只能達到有限的診斷覆蓋率。帶有改進的漢明碼（誤差檢驗及糾正碼）的RAM隨機訪問內(nèi)存監(jiān)控或帶有EDC錯誤偵測校正碼的數(shù)據(jù)失敗偵測。

帶有硬件或軟件比較和讀/寫測試的雙RAM隨機訪問內(nèi)存。隨著應用密度不斷增加的趨勢，如何防止應用組件間的非期望的相互影響是集成安全系統(tǒng)應用的一個重要主題?？梢杂迷O計和軟件服務來提高系統(tǒng)的可靠性。硬件方面應保證沒有任何未被授權的或錯誤的應用組件搶占應分配給其他應用的系統(tǒng)資源。系統(tǒng)資源由內(nèi)存空間、CPU中央處理器時間和權限分配系統(tǒng)對象如error-hook錯誤接日和中斷組成。內(nèi)存空間的保護帶來了新的要求，即ECU硬件架構需要有一個額外的內(nèi)存管理單元（MMU）和內(nèi)存保護單元（MPU）。

內(nèi)存保護的前提條件之一是內(nèi)存分配，以便每個并行運行的應用可以分配到一個單獨的內(nèi)存區(qū)域。通過這種方式，每個任務可以嚴格控制在RAM隨機訪問內(nèi)存并可以存取訪問。為了避免浪費內(nèi)存資源，分配單位應該劃分足夠小以適應汽車嵌人式系統(tǒng)的常規(guī)任務的需求。任務本身應分為可信任務和非可信任務兩類。兩者都有自己的私有內(nèi)存區(qū)域，而非可信任務不能寫人或使用回調(diào)函數(shù)來訪問其他任務的私有內(nèi)存區(qū)域。內(nèi)存保護單元控制著可尋址內(nèi)存段的位置和范圍的以及在可尋址內(nèi)存段內(nèi)允許的讀/寫操作。內(nèi)存保護硬件可以偵測到任何非法內(nèi)存訪問，然后調(diào)用相應的服務程序來處理錯誤。通過上述內(nèi)容，非可信任務是安全對象，它在操作系統(tǒng)之下始終受控，而特許的可信對象的數(shù)量應被限制在盡可能少的范圍內(nèi)。

三、硬件看門狗監(jiān)控

硬件看門狗是防止代碼崩潰的最后一道防線，其中硬件看門狗定時器應達到現(xiàn)有最新技術水平。被監(jiān)控對象應周期性提示硬件看門狗定時器（寫人一個“服務脈沖”）來防止硬件復位。其目的是將系統(tǒng)從掛起狀態(tài)恢復到正常運行狀態(tài)。通常硬件看門狗是主處理器的一個協(xié)處理器或外部并行的ASIC芯片。

傳統(tǒng)硬件看門狗有一個分離的時基，就像主CPU通過一個自適應的時間窗日監(jiān)視活動類似。這樣的硬件看門狗只能達到很低的診斷覆蓋率。通過所謂的問答機制，硬件看門狗可以通過檢查其是否邏輯正確地工作的方式觸發(fā)并質(zhì)詢主CPU。

四、結束語

綜上所述，在當前汽車發(fā)展的過程中，要不斷提高汽車的安全設計，保證汽車的行駛安全。

參考文獻：

[1]劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標準ISO26262[J].上海汽車，2011，10：57-61.

[2]鄭偉，李艷文.汽車集成安全系統(tǒng)硬件架構功能安全概念設計[J].汽車科技，2014，06：56-58.