汽车集成安全系统硬件架功能安全概念设计
2017-10-19吴丹丹
吴丹丹
摘要:在当前汽车发展的过程中,要充分考虑硬件架的安全性能,不断提升汽车的设计水平,促进汽车行业的发展,本文就汽车集成安全系统硬件架功能安全概念设计进行阐述。
关键词:汽车集成;安全系统;硬件架功能;概念设计
一、功能安全ISO26262标准
为解决对安全系统的认知以及系统的安全性定义等问题,IEC国际电工委员会在2000年提出了IEC61508功能安全标准。IEC61508的提出,在工业界引起强烈反响,通过对电子/可编程电子领域中的功能安全技术与管理的规范,指导了开发人员对安全系统的开发流程,为安全系统的开发提供了理论基础。IEC61508作为功能安全的基础标准,虽然起源于工业控制领域,但是却被广泛运用到了例如自动化制造业、核工业等安全关键的相关领域,并为核工业领域的特性衍生出IEC61513规范、为制造业衍生出了IEC61511规范。IEC61508的目的就是要为各个工业控制领域建立起一个基础的功能安全标准。
然而,功能安全标准IEC61508在应用到汽车工业中时却遇到了各种阻碍。首先,汽车中的各个零部件来源于不同的设备供应商,同一款车型中相同的控制ECU或者相关的信息技术产品也可能由不同的厂商提供,这是汽车工业中的一个分布式的开发模式。又如,IEC61508对风险的评估过程都有一个量化的条件,而在汽车电子领域,风险的发生以及对风险的控制有很大一部分取决于驾驶员的反应,并不能对某一个具体的风险进行量化。因此,基于汽车电子领域安全关键系统开发的差异性与紧迫性,国际标准化组织ISO在2011年为汽车电子领域指定了专用的功能安全标准:ISO26262。
二、内存保护
作为一种从环境同步影响方面保护内存区域的先进方法,有以下机制来检查内存区域的一致性。
(一)对于常量内存范围
CRC循环冗余校验码签名:GB/T20438.7(等同于IEC61508-7)的A3.4中推薦采用一个字(8位CRC)和双字(16位CRC)签名m。签名的有效性取决于与需保护的信息(有效负载)的块长度相关的签名宽度(GB/T18657.1(等同于IEC60870-5-1)要求至少是2的汉明误差检验及纠正代码间距)ni块复制:为了防止共因失效,安全相关数据应冗余保存在不同的内存区域。在系统状态(如啟动、操作模式和关闭)的不同阶段,这个阶段应保存特定的数据连同CRC(例如,在每个阶段的末尾,或操作过程中的周期性测试)。在包含可执行代码的PROM可编程序只读存储器中,所有未使用的内存区域应该用一个故障安全数据值来写人填充,例如一个触发故障安全中断的非法操作码。为了消除系统故障的诊断和过滤,内存范围内的所有故障侦测应被记录在一个故障侦测计数器中。每次对内存进行“写”操作时,应读取写人的数据与写操作完成后的直接对比。
(二)对于变量的内存范围
针对RAM随机访问内存的奇偶校验位只能达到有限的诊断覆盖率。带有改进的汉明码(误差检验及纠正码)的RAM随机访问内存监控或带有EDC错误侦测校正码的数据失败侦测。
带有硬件或软件比较和读/写测试的双RAM随机访问内存。随着应用密度不断增加的趋势,如何防止应用组件间的非期望的相互影响是集成安全系统应用的一个重要主题。可以用设计和软件服务来提高系统的可靠性。硬件方面应保证没有任何未被授权的或错误的应用组件抢占应分配给其他应用的系统资源。系统资源由内存空间、CPU中央处理器时间和权限分配系统对象如error-hook错误接日和中断组成。内存空间的保护带来了新的要求,即ECU硬件架构需要有一个额外的内存管理单元(MMU)和内存保护单元(MPU)。
内存保护的前提条件之一是内存分配,以便每个并行运行的应用可以分配到一个单独的内存区域。通过这种方式,每个任务可以严格控制在RAM随机访问内存并可以存取访问。为了避免浪费内存资源,分配单位应该划分足够小以适应汽车嵌人式系统的常规任务的需求。任务本身应分为可信任务和非可信任务两类。两者都有自己的私有内存区域,而非可信任务不能写人或使用回调函数来访问其他任务的私有内存区域。内存保护单元控制着可寻址内存段的位置和范围的以及在可寻址内存段内允许的读/写操作。内存保护硬件可以侦测到任何非法内存访问,然后调用相应的服务程序来处理错误。通过上述内容,非可信任务是安全对象,它在操作系统之下始终受控,而特许的可信对象的数量应被限制在尽可能少的范围内。
三、硬件看门狗监控
硬件看门狗是防止代码崩溃的最后一道防线,其中硬件看门狗定时器应达到现有最新技术水平。被监控对象应周期性提示硬件看门狗定时器(写人一个“服务脉冲”)来防止硬件复位。其目的是将系统从挂起状态恢复到正常运行状态。通常硬件看门狗是主处理器的一个协处理器或外部并行的ASIC芯片。
传统硬件看门狗有一个分离的时基,就像主CPU通过一个自适应的时间窗日监视活动类似。这样的硬件看门狗只能达到很低的诊断覆盖率。通过所谓的问答机制,硬件看门狗可以通过检查其是否逻辑正确地工作的方式触发并质询主CPU。
四、结束语
综上所述,在当前汽车发展的过程中,要不断提高汽车的安全设计,保证汽车的行驶安全。
参考文献:
[1]刘佳熙,郭辉,李君.汽车电子电气系统的功能安全标准ISO26262[J].上海汽车,2011,10:57-61.
[2]郑伟,李艳文.汽车集成安全系统硬件架构功能安全概念设计[J].汽车科技,2014,06:56-58.