汽車集成安全系統硬件架功能安全概念設計

吳丹丹

摘要：在當前汽車發展的過程中，要充分考慮硬件架的安全性能，不斷提升汽車的設計水平，促進汽車行業的發展，本文就汽車集成安全系統硬件架功能安全概念設計進行闡述。

關鍵詞：汽車集成；安全系統；硬件架功能；概念設計

一、功能安全ISO26262標準

為解決對安全系統的認知以及系統的安全性定義等問題，IEC國際電工委員會在2000年提出了IEC61508功能安全標準。IEC61508的提出，在工業界引起強烈反響，通過對電子/可編程電子領域中的功能安全技術與管理的規范，指導了開發人員對安全系統的開發流程，為安全系統的開發提供了理論基礎。IEC61508作為功能安全的基礎標準，雖然起源于工業控制領域，但是卻被廣泛運用到了例如自動化制造業、核工業等安全關鍵的相關領域，并為核工業領域的特性衍生出IEC61513規范、為制造業衍生出了IEC61511規范。IEC61508的目的就是要為各個工業控制領域建立起一個基礎的功能安全標準。

然而，功能安全標準IEC61508在應用到汽車工業中時卻遇到了各種阻礙。首先，汽車中的各個零部件來源于不同的設備供應商，同一款車型中相同的控制ECU或者相關的信息技術產品也可能由不同的廠商提供，這是汽車工業中的一個分布式的開發模式。又如，IEC61508對風險的評估過程都有一個量化的條件，而在汽車電子領域，風險的發生以及對風險的控制有很大一部分取決于駕駛員的反應，并不能對某一個具體的風險進行量化。因此，基于汽車電子領域安全關鍵系統開發的差異性與緊迫性，國際標準化組織ISO在2011年為汽車電子領域指定了專用的功能安全標準：ISO26262。

二、內存保護

作為一種從環境同步影響方面保護內存區域的先進方法，有以下機制來檢查內存區域的一致性。

（一）對于常量內存范圍

CRC循環冗余校驗碼簽名：GB/T20438.7（等同于IEC61508-7）的A3.4中推薦采用一個字（8位CRC）和雙字（16位CRC）簽名m。簽名的有效性取決于與需保護的信息（有效負載）的塊長度相關的簽名寬度（GB/T18657.1（等同于IEC60870-5-1）要求至少是2的漢明誤差檢驗及糾正代碼間距）ni塊復制：為了防止共因失效，安全相關數據應冗余保存在不同的內存區域。在系統狀態（如啟動、操作模式和關閉）的不同階段，這個階段應保存特定的數據連同CRC（例如，在每個階段的末尾，或操作過程中的周期性測試）。在包含可執行代碼的PROM可編程序只讀存儲器中，所有未使用的內存區域應該用一個故障安全數據值來寫人填充，例如一個觸發故障安全中斷的非法操作碼。為了消除系統故障的診斷和過濾，內存范圍內的所有故障偵測應被記錄在一個故障偵測計數器中。每次對內存進行“寫”操作時，應讀取寫人的數據與寫操作完成后的直接對比。

（二）對于變量的內存范圍

針對RAM隨機訪問內存的奇偶校驗位只能達到有限的診斷覆蓋率。帶有改進的漢明碼（誤差檢驗及糾正碼）的RAM隨機訪問內存監控或帶有EDC錯誤偵測校正碼的數據失敗偵測。

帶有硬件或軟件比較和讀/寫測試的雙RAM隨機訪問內存。隨著應用密度不斷增加的趨勢，如何防止應用組件間的非期望的相互影響是集成安全系統應用的一個重要主題。可以用設計和軟件服務來提高系統的可靠性。硬件方面應保證沒有任何未被授權的或錯誤的應用組件搶占應分配給其他應用的系統資源。系統資源由內存空間、CPU中央處理器時間和權限分配系統對象如error-hook錯誤接日和中斷組成。內存空間的保護帶來了新的要求，即ECU硬件架構需要有一個額外的內存管理單元（MMU）和內存保護單元（MPU）。

內存保護的前提條件之一是內存分配，以便每個并行運行的應用可以分配到一個單獨的內存區域。通過這種方式，每個任務可以嚴格控制在RAM隨機訪問內存并可以存取訪問。為了避免浪費內存資源，分配單位應該劃分足夠小以適應汽車嵌人式系統的常規任務的需求。任務本身應分為可信任務和非可信任務兩類。兩者都有自己的私有內存區域，而非可信任務不能寫人或使用回調函數來訪問其他任務的私有內存區域。內存保護單元控制著可尋址內存段的位置和范圍的以及在可尋址內存段內允許的讀/寫操作。內存保護硬件可以偵測到任何非法內存訪問，然后調用相應的服務程序來處理錯誤。通過上述內容，非可信任務是安全對象，它在操作系統之下始終受控，而特許的可信對象的數量應被限制在盡可能少的范圍內。

三、硬件看門狗監控

硬件看門狗是防止代碼崩潰的最后一道防線，其中硬件看門狗定時器應達到現有最新技術水平。被監控對象應周期性提示硬件看門狗定時器（寫人一個“服務脈沖”）來防止硬件復位。其目的是將系統從掛起狀態恢復到正常運行狀態。通常硬件看門狗是主處理器的一個協處理器或外部并行的ASIC芯片。

傳統硬件看門狗有一個分離的時基，就像主CPU通過一個自適應的時間窗日監視活動類似。這樣的硬件看門狗只能達到很低的診斷覆蓋率。通過所謂的問答機制，硬件看門狗可以通過檢查其是否邏輯正確地工作的方式觸發并質詢主CPU。

四、結束語

綜上所述，在當前汽車發展的過程中，要不斷提高汽車的安全設計，保證汽車的行駛安全。

參考文獻：

[1]劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準ISO26262[J].上海汽車，2011，10：57-61.

[2]鄭偉，李艷文.汽車集成安全系統硬件架構功能安全概念設計[J].汽車科技，2014，06：56-58.