吳丹丹

摘要：在當(dāng)前汽車發(fā)展的過(guò)程中，要充分考慮硬件架的安全性能，不斷提升汽車的設(shè)計(jì)水平，促進(jìn)汽車行業(yè)的發(fā)展，本文就汽車集成安全系統(tǒng)硬件架功能安全概念設(shè)計(jì)進(jìn)行闡述。

關(guān)鍵詞：汽車集成；安全系統(tǒng)；硬件架功能；概念設(shè)計(jì)

一、功能安全I(xiàn)SO26262標(biāo)準(zhǔn)

為解決對(duì)安全系統(tǒng)的認(rèn)知以及系統(tǒng)的安全性定義等問(wèn)題，IEC國(guó)際電工委員會(huì)在2000年提出了IEC61508功能安全標(biāo)準(zhǔn)。IEC61508的提出，在工業(yè)界引起強(qiáng)烈反響，通過(guò)對(duì)電子/可編程電子領(lǐng)域中的功能安全技術(shù)與管理的規(guī)范，指導(dǎo)了開(kāi)發(fā)人員對(duì)安全系統(tǒng)的開(kāi)發(fā)流程，為安全系統(tǒng)的開(kāi)發(fā)提供了理論基礎(chǔ)。IEC61508作為功能安全的基礎(chǔ)標(biāo)準(zhǔn)，雖然起源于工業(yè)控制領(lǐng)域，但是卻被廣泛運(yùn)用到了例如自動(dòng)化制造業(yè)、核工業(yè)等安全關(guān)鍵的相關(guān)領(lǐng)域，并為核工業(yè)領(lǐng)域的特性衍生出IEC61513規(guī)范、為制造業(yè)衍生出了IEC61511規(guī)范。IEC61508的目的就是要為各個(gè)工業(yè)控制領(lǐng)域建立起一個(gè)基礎(chǔ)的功能安全標(biāo)準(zhǔn)。

然而，功能安全標(biāo)準(zhǔn)IEC61508在應(yīng)用到汽車工業(yè)中時(shí)卻遇到了各種阻礙。首先，汽車中的各個(gè)零部件來(lái)源于不同的設(shè)備供應(yīng)商，同一款車型中相同的控制ECU或者相關(guān)的信息技術(shù)產(chǎn)品也可能由不同的廠商提供，這是汽車工業(yè)中的一個(gè)分布式的開(kāi)發(fā)模式。又如，IEC61508對(duì)風(fēng)險(xiǎn)的評(píng)估過(guò)程都有一個(gè)量化的條件，而在汽車電子領(lǐng)域，風(fēng)險(xiǎn)的發(fā)生以及對(duì)風(fēng)險(xiǎn)的控制有很大一部分取決于駕駛員的反應(yīng)，并不能對(duì)某一個(gè)具體的風(fēng)險(xiǎn)進(jìn)行量化。因此，基于汽車電子領(lǐng)域安全關(guān)鍵系統(tǒng)開(kāi)發(fā)的差異性與緊迫性，國(guó)際標(biāo)準(zhǔn)化組織ISO在2011年為汽車電子領(lǐng)域指定了專用的功能安全標(biāo)準(zhǔn)：ISO26262。

二、內(nèi)存保護(hù)

作為一種從環(huán)境同步影響方面保護(hù)內(nèi)存區(qū)域的先進(jìn)方法，有以下機(jī)制來(lái)檢查內(nèi)存區(qū)域的一致性。

（一）對(duì)于常量?jī)?nèi)存范圍

CRC循環(huán)冗余校驗(yàn)碼簽名：GB/T20438.7（等同于IEC61508-7）的A3.4中推薦采用一個(gè)字（8位CRC）和雙字（16位CRC）簽名m。簽名的有效性取決于與需保護(hù)的信息（有效負(fù)載）的塊長(zhǎng)度相關(guān)的簽名寬度（GB/T18657.1（等同于IEC60870-5-1）要求至少是2的漢明誤差檢驗(yàn)及糾正代碼間距）ni塊復(fù)制：為了防止共因失效，安全相關(guān)數(shù)據(jù)應(yīng)冗余保存在不同的內(nèi)存區(qū)域。在系統(tǒng)狀態(tài)（如啟動(dòng)、操作模式和關(guān)閉）的不同階段，這個(gè)階段應(yīng)保存特定的數(shù)據(jù)連同CRC（例如，在每個(gè)階段的末尾，或操作過(guò)程中的周期性測(cè)試）。在包含可執(zhí)行代碼的PROM可編程序只讀存儲(chǔ)器中，所有未使用的內(nèi)存區(qū)域應(yīng)該用一個(gè)故障安全數(shù)據(jù)值來(lái)寫人填充，例如一個(gè)觸發(fā)故障安全中斷的非法操作碼。為了消除系統(tǒng)故障的診斷和過(guò)濾，內(nèi)存范圍內(nèi)的所有故障偵測(cè)應(yīng)被記錄在一個(gè)故障偵測(cè)計(jì)數(shù)器中。每次對(duì)內(nèi)存進(jìn)行“寫”操作時(shí)，應(yīng)讀取寫人的數(shù)據(jù)與寫操作完成后的直接對(duì)比。

（二）對(duì)于變量的內(nèi)存范圍

針對(duì)RAM隨機(jī)訪問(wèn)內(nèi)存的奇偶校驗(yàn)位只能達(dá)到有限的診斷覆蓋率。帶有改進(jìn)的漢明碼（誤差檢驗(yàn)及糾正碼）的RAM隨機(jī)訪問(wèn)內(nèi)存監(jiān)控或帶有EDC錯(cuò)誤偵測(cè)校正碼的數(shù)據(jù)失敗偵測(cè)。

帶有硬件或軟件比較和讀/寫測(cè)試的雙RAM隨機(jī)訪問(wèn)內(nèi)存。隨著應(yīng)用密度不斷增加的趨勢(shì)，如何防止應(yīng)用組件間的非期望的相互影響是集成安全系統(tǒng)應(yīng)用的一個(gè)重要主題。可以用設(shè)計(jì)和軟件服務(wù)來(lái)提高系統(tǒng)的可靠性。硬件方面應(yīng)保證沒(méi)有任何未被授權(quán)的或錯(cuò)誤的應(yīng)用組件搶占應(yīng)分配給其他應(yīng)用的系統(tǒng)資源。系統(tǒng)資源由內(nèi)存空間、CPU中央處理器時(shí)間和權(quán)限分配系統(tǒng)對(duì)象如error-hook錯(cuò)誤接日和中斷組成。內(nèi)存空間的保護(hù)帶來(lái)了新的要求，即ECU硬件架構(gòu)需要有一個(gè)額外的內(nèi)存管理單元（MMU）和內(nèi)存保護(hù)單元（MPU）。

內(nèi)存保護(hù)的前提條件之一是內(nèi)存分配，以便每個(gè)并行運(yùn)行的應(yīng)用可以分配到一個(gè)單獨(dú)的內(nèi)存區(qū)域。通過(guò)這種方式，每個(gè)任務(wù)可以嚴(yán)格控制在RAM隨機(jī)訪問(wèn)內(nèi)存并可以存取訪問(wèn)。為了避免浪費(fèi)內(nèi)存資源，分配單位應(yīng)該劃分足夠小以適應(yīng)汽車嵌人式系統(tǒng)的常規(guī)任務(wù)的需求。任務(wù)本身應(yīng)分為可信任務(wù)和非可信任務(wù)兩類。兩者都有自己的私有內(nèi)存區(qū)域，而非可信任務(wù)不能寫人或使用回調(diào)函數(shù)來(lái)訪問(wèn)其他任務(wù)的私有內(nèi)存區(qū)域。內(nèi)存保護(hù)單元控制著可尋址內(nèi)存段的位置和范圍的以及在可尋址內(nèi)存段內(nèi)允許的讀/寫操作。內(nèi)存保護(hù)硬件可以偵測(cè)到任何非法內(nèi)存訪問(wèn)，然后調(diào)用相應(yīng)的服務(wù)程序來(lái)處理錯(cuò)誤。通過(guò)上述內(nèi)容，非可信任務(wù)是安全對(duì)象，它在操作系統(tǒng)之下始終受控，而特許的可信對(duì)象的數(shù)量應(yīng)被限制在盡可能少的范圍內(nèi)。

三、硬件看門狗監(jiān)控

硬件看門狗是防止代碼崩潰的最后一道防線，其中硬件看門狗定時(shí)器應(yīng)達(dá)到現(xiàn)有最新技術(shù)水平。被監(jiān)控對(duì)象應(yīng)周期性提示硬件看門狗定時(shí)器（寫人一個(gè)“服務(wù)脈沖”）來(lái)防止硬件復(fù)位。其目的是將系統(tǒng)從掛起狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)。通常硬件看門狗是主處理器的一個(gè)協(xié)處理器或外部并行的ASIC芯片。

傳統(tǒng)硬件看門狗有一個(gè)分離的時(shí)基，就像主CPU通過(guò)一個(gè)自適應(yīng)的時(shí)間窗日監(jiān)視活動(dòng)類似。這樣的硬件看門狗只能達(dá)到很低的診斷覆蓋率。通過(guò)所謂的問(wèn)答機(jī)制，硬件看門狗可以通過(guò)檢查其是否邏輯正確地工作的方式觸發(fā)并質(zhì)詢主CPU。

四、結(jié)束語(yǔ)

綜上所述，在當(dāng)前汽車發(fā)展的過(guò)程中，要不斷提高汽車的安全設(shè)計(jì)，保證汽車的行駛安全。

參考文獻(xiàn)：

[1]劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO26262[J].上海汽車，2011，10：57-61.

[2]鄭偉，李艷文.汽車集成安全系統(tǒng)硬件架構(gòu)功能安全概念設(shè)計(jì)[J].汽車科技，2014，06：56-58.