曾湘文

基于ISO26262的以太网网关硬件开发研究

曾湘文

（广州汽车集团股份有限公司汽车工程研究院，广东 广州 510640）

文章结合以太网网关的硬件设计，阐述在得到相应安全目标后，如何基于ISO26262进行安全等级的分解、器件的选型、硬件的设计及硬件功能安全相关参数的计算。通过文章所提出的硬件设计注意事项，设计了一款满足功能安全要求的以太网网关。

功能安全；以太网网关；硬件设计

1 引言

随着汽车电子的信息化、智能化及娱乐化程度越来越高，原有的CAN、LIN总线带宽已经无法满足后续的信息传输要求。目前车载以太网技术已经成为汽车行业的研究热点，车载百兆物理层协议100 BASE T1的技术已经趋于成熟，NXP、Broadcom及Marvell等厂家已有成熟的量产芯片可供支持，后续支持1000 BASE T1芯片也开始逐渐增多，未来车载以太网在OTA、360环视及ADAS等功能上有广阔的运用前景[1]。

正是由于汽车电子的信息化、智能化及娱乐化程度越来越高，电子产品的安全性问题也越来越严峻。为保证功能的安全性，国际标准化组织( ISO) 已于2011年11月发布了汽车电子电气系统的功能安全国际标准ISO26262，为整个生命周期中与功能安全相关的工作流程、管理流程及产品设计提供了指导。

本文以某以太网网关的设计为例子介绍其主要功能，结合ISO26262标准流程，阐述从元器件选型到设计验证的过程，最后总结了一些应用经验和建议。

2 以太网网关的主要功能

以太网网关的系统框图如图1所示，物理接口有n路CAN接口、k路汽车以太网接口，j路LIN接口以及1路OBD口；内部含有大容量外部存储器。CAN、LIN和汽车以太网接口的数量由具体的需求决定，目前主流汽车以太网协议以100BASE T1为主，OBD口一般采用100BASE Tx的协议，一般来说工业以太网接口只有1路。以太网网关的主要功能有：网络路由、DoIP、网络管理及FOTA等功能。

网络路由的功能是指为CAN和CAN、CAN和ETH、CAN和LIN、LIN和ETH、ETH和ETH，各个域之间报文的相互转发。

DoIP诊断是指通过TCP/IP和以太网使用经由UDS引入的诊断服务，由于以太网相对与CAN总线来说有更快的数据率，所以能在复杂的诊断任务和刷新应用的情况下节约时间和成本。DoIP需要使用的硬件接口为OBD口。

网络管理功能主要包括管理整车休眠唤醒、诊断及监听等功能。网络管理需要使用的硬件接口为汽车以太网接口、CAN和LIN接口。

FOTA（Firmware Over-The-Air）指的是通过空中下载进行软件升级，网关可完成程序包临时存储、版本管理及断点续传等功能，网络数据的云端下载通过TBOX完成，下载的数据通过以太网传输给以太网网关，再由网关分发给各ECU。

3 安全等级和目标的确定

3.1 安全等级和目标

按照ISO26262流程基于系统功能定义进行HARA分析得出表1所示的安全目标，并进一步得出FSR、TSR及软硬接口文档等文档，从而指导软硬件设计。

表1 以太网网关安全目标

得到安全目标的流程可参照ISO2622的标准流程，本文就网关的安全目标中安全等级降级和安全状态的确立这两个问题进行进一步的阐述。

3.2 安全等级降级办法

有些情况下，涉及整车安全的报文有可能等级达到B以上，比如用于某些ECU需要车速信号符合ASIL D，而目前市场上的主流车速传感器以等级B为主，要满足该需求，可按照ISO26262 part9 5.4.9部分内容分解为两个独立的车速传感器，该两路车速信号达到ASIL B即可满足需求[2]。

其他具有等级D要求的信号，可以按照类似的方式进行分解以降低安全等级，以此来降低开发难度。

3.3 安全状态的确立

网关不发报文为安全状态，需要满足以下条件：

（1）网关以外的ECU能够检测到网关不发报文的状态。具体的操作如：网关定时发送心跳信号，其余ECU检测即可满足此条件。

（2）网关以外的ECU在检测到网关不发报文时，如果整车此时尚未启动，此时将不允许整车启动，并报故障指示；如果整车此时已经启动，此时故障灯亮起，但不能影响整车正常行驶。

满足以上条件情况下，网关不发报文对于整车来说是安全的。

4 符合功能安全要求的硬件开发

4.1 器件选型

功能安全相关的器件需要满足ISO26262-8第13章的内容，推荐按照表2进行器件选型才能够符合安全相关器件选型的基本要求。

表2 器件选型基本要求

表2中的要求为安全相关器件的基本要求，对于MCU等复杂器件其本身就自成系统，也有相应的功能安全等级，在设计时需要综合现有主流MCU的能力及整体成本选择合适的MCU及硬件架构以达到安全目标，如果主流MCU的安全等级达不到安全目标的要求，可根据ISO26262-9中 5.4.9中的内容进行分解采用双MCU的设计。

在选定MCU后，需要仔细研究其安全相关手册，如Safety Manual等。比如在此项目中选用的MCU厂家声称其安全等级达到B，其Safety Manual中明确提出硬件设计需要满足以下条件：

（1）具有外部看门狗；

（2）电源电路具有高低压自检测功能，当检测到电压不在有效范围内时需要对MCU进行下电及复位等操作；

（3）如果输出接口是高阻态，并且是不安全的，那么对应的管脚需要进行上下拉的设置；

（4）MCU内部逻辑出错后，通过内部错误检测功能提示外部监控芯片，外部监控芯片能够复位MCU。

ECU的硬件设计会受到上述条件的影响，如果不能全部满足以上条件，那需要重新配置MCU供应商的动态FMEDA表，得出相应的失效率再进行计算。

一般在选定MCU和电源芯片后，其余的芯片均在中等复杂度以下，按照表格2选择即可。

4.2 硬件设计

在完成主要芯片的选型后进行硬件设计，满足功能的情况下，诊断的设计按照表3的推荐进行设计。

表3 硬件诊断覆盖率推荐要求

表3是经验的总结，并非强制要求，如果功能安全的硬件指标的计算并不满足，则需要针对薄弱点进行更高诊断覆盖率的电路及软件设计，或者选择更高等级的器件。低中高覆盖率的定义可以参考ISO 26262-5 附录D的内容。

4.3 功能安全硬件指标计算及整改

硬件是否满足功能安全的要求，除了需要按照ISO26262的流程进行开发生成相应的文档外，以下表4中的硬件指标是必须要满足的[3]。

表4 硬件设计失效率指标要求

其中SPFM和LFM的计算参照ISO 26262-5附录C中的内容。

根据ISO26262-10的内容PMHF有以下公式[4]：

M为硬件随机失效度量；

λ为该器件的残余失效率；

λ为与该器件组成的双点失效的器件失效率；

T为汽车生命周期，一般按照10年估计。

等级B的计算，PMHF要求是小于100FIT，可以按照以下公式简化：

λ待评估器件外安全相关器件的失效率总和。

通过公式（2）进行近似可以不需要明确哪些器件与该器件组成双点失效，公式（2）得到的PMHF大于公式（1）得到的数据，如果通过公式（2）得到PMHF能够达到要求，那么该ECU肯定能达到功能安全的要求。如果是等级C以上推荐进行FTA分析，得到器件的相关项，进行精确计算。

对于低复杂度器件，失效率数据直接采用SN29500或IEC62380，中等复杂度以上器件则需要相应供应商提供数据。

低复杂度器件采用的失效率数据是SN29500，失效模式是IEC62380，分析得到数据如表5所示。

表5 初次功能安全硬件参数评估

PMHF超过100FIT，不满足要求。

分析对应的数据，从图2得知MCU和电源这两部分的电路所占比重最大，应着重对这两部分的电路及软件进行优化，在对该部分的电路增加诊断后，通过表6数据得知，可以满足功能安全的硬件参数要求。

表6 优化后功能安全硬件参数评估

5 结论

本文简述了以太网网关的主要功能，阐述了符合功能安全要求的硬件设计需要的前提条件，以及在得到硬件输入情况下如何进行器件选型、硬件的设计、硬件参数的计算及整改方法。总结功能安全的硬件设计需要注意以下几点：（1）采用按照ISO26262 part9 5.4.9部分内容进行ASIL降级设计来减小开发难度；（2）ECU的硬件设计需要满足MCU厂家所规定的功能安全硬件设计前提条件，如果其中的某些条件不能满足，那么需要重置MCU的FMEDA表。（3）提高诊断覆盖率能有助于系统硬件参数的达标。本文中的以太网网关正是基于这些注意事项，使得其硬件设计满足功能安全的硬件参数要求。

[1] 焦育成,王硕.车载以太网网关原型浅析[C].2016中国汽车工程学 会年会论文集,2016:1995-1997.

[2] International Organization for Standardization. ISO26262-9,2011:4-9.

[3] International Organization for Standardization. ISO26262-5,2011: 16-21.

[4] International Organization for Standardization. ISO26262-10,2011: 35-36.

Design of Hardware Development of Ethernet Gateway Based on ISO26262

Zeng Xiangwen

（Guangzhou Automobile Group Co. Ltd, Automotive Engineering Research Institute, Guangdong Guangzhou 510640 )

Combined with the hardware design of Ethernet gateway, this paper expounds how to decompose the security grade, select the components, design the hardware and calculate the safety parameters of the hardware design based on ISO26262 after getting the corresponding security goal. Through the hardware design considerations presented in this paper, an Ethernet gateway is designed to meet the functional security requirements.

Function Safety; Ethernet Gateway; Hardware Design

10.16638/j.cnki.1671-7988.2021.03.008

U463.6

A

1671-7988(2021)03-27-04

U463.6

A

1671-7988(2021)03-27-04

曾湘文，就职于广州汽车集团股份有限公司汽车工程研究院。