簡介

　　隨著自動駕駛和電氣化的日漸盛行，互聯(lián)車輛應用程序的不斷增多，對車輛安全的要求日趨嚴格。同時，電氣電子（E/E）車輛架構也日漸復雜。在這些趨勢的共同影響下，解決方案架構師和工程師都在探尋新的方法，以求應對設計的復雜性，滿足設計對功能安全的要求，實現(xiàn)國際化合規(guī)，并交付豐富而又靈活的解決方案。

　　我們將探討以下內容： 對2011版和2018版ISO 26262“道路車輛-功能安全”標準的比較 AUTOSAR電子控制單元（ECU）的設計考慮因素 可能的故障場景以及應對策略，以消除在不同汽車安全完整性級別（ASIL）中軟件組件及功能之間的干擾 多核框架如何通過處理器間的通信對單獨的域進行維護，從而在多核片上系統(tǒng)（SoC）上實現(xiàn)混合安全關鍵系統(tǒng)。

　　汽車行業(yè)的大趨勢

　　汽車行業(yè)正由四個關鍵的大趨勢推動：

　　1.無人駕駛：當今的無人駕駛汽車需要在復雜的功能之間實現(xiàn)良好的互操作性，這一點只有E/E設計才能做到。因此，E/E設計市場正以7%的年均復合增長率增長，預計將于2030年增長到4690億美元。

　　2.互聯(lián)：互聯(lián)車輛需要關注安全和數(shù)據(jù)隱私，因為每輛無人駕駛汽車每天會產(chǎn)生4萬億字節(jié)數(shù)據(jù)。

　　3.電氣化：對于電動汽車而言，其性能取決于電池的重量和續(xù)航里程。解決性能難題后，電動汽車將更為普及，到2030年將占據(jù)新車銷售量的55%。

　　4.共享移動出行：環(huán)保倡議將繼續(xù)強化共享移動出行的重要性，但正常運營時間和用戶來源將是成功的關鍵。據(jù)麥肯錫預測，該細分市場到2030年將產(chǎn)生1.5萬億美元的服務營收。   這些數(shù)字蘊藏著巨大的機遇，但也潛伏著生存危機。市場參與者必須成為顛覆者，或者具備對不斷變化的市場情況和趨勢做出快速反應的能力。

　　重要的安全與安防

　　當今的車輛由無數(shù)復雜系統(tǒng)組成，任何系統(tǒng)故障或失效都可能引發(fā)嚴重的后果。不僅汽車制造商可能面臨代價沉重的法律訴訟和名譽損失，用戶的生命也會深受威脅。因此，從E/E系統(tǒng)設計開始，汽車制造商將功能安全放在每個開發(fā)階段的首位。   AUTOSAR因此而生。AUTOSAR是由汽車及軟件行業(yè)的300多家領先企業(yè)組成的全球合作組織，為智能移動出行建立了標準化軟件框架和開放式系統(tǒng)架構。該組織聯(lián)合了31家國際汽車原始設備制造商（OEM），最暢銷的20家OEM均在其中。與其他一級參與者及供應商一起，這些AUTOSAR合作伙伴攜手描繪了智能移動出行的未來，并共同定義了汽車開放式系統(tǒng)架構標準，以便對未來汽車應用程序的需求提供支持。

　　AUTOSAR能夠確保在應用程序層實施標準化結構，使軟件組件可以使用虛擬功能總線通過特定端口進行通信。該框架支持使用各種安全措施和機制來開發(fā)與安全相關的系統(tǒng)。   ISO 26262指定了用于捕捉系統(tǒng)需求、編碼和開發(fā)、測試策略和執(zhí)行以及系統(tǒng)文檔的協(xié)議。它提供了各種方法以驗證團隊是否遵守了可重復且可靠的設計和測試流程。   該標準并非一成不變，相反，它在近幾年引入了許多修改。從軟件開發(fā)角度來看，近期修改主要體現(xiàn)在安全內容、新興技術以及重心轉變三個方面：   安全內容：增加了對安全管理和規(guī)劃等更多安全內容的要求。刪除了重復的“精制”工作產(chǎn)品內容。

　　新興技術：更改了引入多核、基于模型的開發(fā)和敏捷方法后的相關內容。

　　重心轉變：將更多重心放在軟件架構、軟件安全分析、故障分析、故障注入和耦合因數(shù)等方面。

　　輸入確保功能安全的方法標題

　　AUTOSAR標準一直在發(fā)展以適應現(xiàn)代行業(yè)需求。讓我們來看看它為滿足安全需求而提供的方法。

　　●內存分區(qū)：AUTOSAR隔離了軟件組件，使它們不會更改或干擾與其他組件關聯(lián)的內存（見圖1）。運行時環(huán)境（RTE）下的基礎軟件（BSW）層中的組件在模型中按照ASIL需求進行隔離。根據(jù)指派的ASIL，每個軟件組件都分組在相應分區(qū)中?？梢允褂枚嗪讼到y(tǒng)盡量將功能分配到一個ECU，AUTOSAR支持此用例。分區(qū)式內存系統(tǒng)可以部署在多核MCU上。內核間的上下文切換可與內存分區(qū)間的上下文切換保持一致，使實施的用例可以在每個內核中單獨提供BSW功能并同時以多個內核保證功能正常（見圖2）。

　　圖1：內存級別的空間隔離

　　圖2：內核級別的空間隔離

　　●無干擾：不同ASIL之間互不干擾是安全系統(tǒng)的基礎（見圖3）。如之前所述，這依賴于安全內存在空間方面提供的隔離。隔離的另一種主要方法是時間隔離，該方法由安全通信實現(xiàn)，可以提供安全執(zhí)行和數(shù)據(jù)完整性。不過，無人駕駛系統(tǒng)還依賴于同步模式管理。要確保系統(tǒng)在相同的條件下正常運行，必須通過以適當方式保護和傳播的系統(tǒng)狀態(tài)來實現(xiàn)安全同步。在AUTOSAR系統(tǒng)中，這由運行時環(huán)境、基礎軟件模式管理器和ECU狀態(tài)管理器加以保障。

　　圖3：無干擾

　　●安全通信：安全通信需要保證發(fā)送方和接收方之間數(shù)據(jù)交互的完整性（見圖4）。因此，需要數(shù)據(jù)保護機制來保護通信鏈接以防出現(xiàn)故障。此類故障的示例包括：隨機硬件故障（例如，控制器局域網(wǎng)絡（CAN）收發(fā)器的寄存器損壞）、電磁（EMC）干擾以及系統(tǒng)性故障。AUTOSAR中的端到端通信保護庫可以檢測和處理運行時通信鏈接中出現(xiàn)的錯誤，能夠滿足ASIL D級安全通信的要求。

　　圖4：端到端通信保護 

●時間隔離：對于安全執(zhí)行，我們確定時序以使系統(tǒng)的操作和反應在分配的時隙中執(zhí)行（見圖5）。正確的時隙可以按照一組時序約束加以說明。由于固定優(yōu)先級搶占調度的原因，AUTOSAR中不強制要求時間分區(qū)。不過，操作系統(tǒng)（OS）提供了用于時序故障的機制。時序保護預算包括執(zhí)行時間、資源鎖定時間以及間隔時間保護預算，這些都是靜態(tài)配置的。該機制可以盡量降低任務之間的干擾，并滿足ISO 26262所要求的無錯傳播（見圖5）。最壞情況執(zhí)行時間（WCET）是任務在目標任務序列中的最長執(zhí)行時間。對于具有較高ASIL要求的關鍵任務，開發(fā)人員需要投入更多精力來提高WCET。

　　圖5：時間隔離

　　●可調度性：嵌入式系統(tǒng)通常具有實時限制。軟實時系統(tǒng)偶爾會錯過截止時間。不過，如果安全關鍵型硬實時系統(tǒng)錯過截止時間，那么它們可能會出現(xiàn)故障，造成人員傷亡或環(huán)境危險。由“速率單調”或“最早截止時間”等算法調度的OS任務有助于實現(xiàn)可調度性分析，以使任務符合處理器中的截止時間。除軟件執(zhí)行路徑外，生成的時序分析還受處理器架構以及內核數(shù)或分區(qū)數(shù)的影響。AUTOSAR支持OS預配，它依賴于用于實現(xiàn)可靠任務執(zhí)行的調度表。   所有這些方法都需要廣泛的工具支持。例如，在多核架構中分配總線通信是一項頗具挑戰(zhàn)性的配置，其中涉及上千信號和數(shù)百協(xié)議數(shù)據(jù)單元（PDU）。采用AUTOSAR工作流程可以確保系統(tǒng)的行為符合預期（見圖6）。除自動化工作流程外，還必須確保設置正確以及工程任務已成功實施，包括正確指派到ASIL分區(qū)，其中可以從不同角度以不同方法來分析相依性。

　　圖6：用于在不同分區(qū)中分配BSW和軟件組件（SWC）的工具支持

　　確保系統(tǒng)一致性

　　最后要考慮的是系統(tǒng)一致性。基于模型的系統(tǒng)建模方法是用于開發(fā)初步系統(tǒng)的多階段開發(fā)流程，該流程綜合考慮了ISO 26262規(guī)范的所有方面（如系統(tǒng)、硬件和軟件開發(fā)）以實現(xiàn)在系統(tǒng)風險分析中提出的功能安全目標。第一個階段是識別執(zhí)行多領域系統(tǒng)建模的關鍵需求。   完成多領域模型后，可以提取E/E領域的內容。這樣，開發(fā)人員可以確定E/E系統(tǒng)的功能定義并定義系統(tǒng)架構以正確分配功能，并定義通過在ECU上運行的軟件而實現(xiàn)的完整嵌入式軟件流。該軟件流還應包括電氣系統(tǒng)設計線束工程以及出版物創(chuàng)建。此外，還需要在所有階段中以全面的自動化和深度的集成對數(shù)據(jù)進行持續(xù)驗證和確認。這樣開發(fā)人員可以從企業(yè)產(chǎn)品生命周期管理（PLM）和應用程序生命周期管理（ALM）以及整體項目管理等方面規(guī)范開發(fā)行為（見圖7）。

　　圖7：面向功能安全合規(guī)的系統(tǒng)驅動型設計

　　混合安全關鍵系統(tǒng)

　　在深入探討混合安全關鍵系統(tǒng)的概念之前，我們先來看看如何開發(fā)混合安全關鍵系統(tǒng)解決方案。   經(jīng)過多年發(fā)展，多核已從雙核進化為四核。此后，連續(xù)內存分配器（CMA）提供商聽取了用戶的呼聲并向ECU開發(fā)人員提供了更多的資源和算力。在繼續(xù)提供更多內核的同時，他們還提供了更多功能，例如實時內核、數(shù)字信號處理器（DSP）和軟內核。這將異構硬件的開發(fā)整合在單獨的片上系統(tǒng)（SOC）中（見圖8）。   要充分利用異構硬件，需要從軟件角度考慮它。   異構軟件解決方案和架構使用異構硬件。例如，可能存在運行于不同類型內核上的通用型操作系統(tǒng)、實時操作系統(tǒng)（RTOS）以及裸機應用程序。一些關鍵的考慮因素包括如何啟動系統(tǒng)，如何在共享工作負載中傳遞通信等。

　　圖8：嵌入式片上系統(tǒng)中的異構多處理

“到2030年，接近30%的車輛內容將是軟件?！?-麥肯錫咨詢公司   這些芯片都極為復雜。以S32G車載網(wǎng)絡處理器為例。該處理器由一組Cortex A53應用處理器和大量的Cortex M7設備組成。在某些情況下，它們在外圍設備中裝備了雙A72處理器、一些R5處理器和各種類型的內存，并在芯片中裝備了通信塊（見圖9）。

　　圖9：S32G車載網(wǎng)絡處理器

因為這種復雜性，所需的軟件數(shù)在不斷增長。隨著算力的提高，您可以將各種功能整合到單個SOC上以降低成本。這帶來了新的挑戰(zhàn)，其中最為重要的一項是實現(xiàn)混合安全關鍵系統(tǒng)。

　　復雜性帶來的新挑戰(zhàn)

　　過去，您可能要準備一個專用于提供功能安全的系統(tǒng)，與不需要提供安全功能的其他系統(tǒng)共同運行在Linux上。得益于多核處理系統(tǒng)，系統(tǒng)整合現(xiàn)在已得到普及并可以在單個SOC上實現(xiàn)，您可以實現(xiàn)混合安全關鍵系統(tǒng)。其中將包含一些具有實時需求的任務關鍵型子系統(tǒng)、一些安全子系統(tǒng)以及一些經(jīng)過安全認證的子系統(tǒng)。要確保在將這些系統(tǒng)集成到單個SOC后軟件的可靠性和安全性水平保持不變，必須隔離安全和非安全領域，并在這些域之間建立可靠的安全保障通信。   圖10中的示例說明了2022款凱迪拉克凱雷德中的混合安全關鍵系統(tǒng)。一方面，控制臺包含可增強駕駛員體驗的無線廣播、熱控制和其他子系統(tǒng)。如果無線廣播等某個不關鍵的子系統(tǒng)發(fā)生故障，它會影響駕駛體驗，但不會造成實際風險。另一方面，控制臺還包含倒車攝像頭。如果倒車攝像頭失靈，可能會對駕駛員以及路上的其他駕駛員和行人造成危險。這是混合安全關鍵系統(tǒng)的一個現(xiàn)實示例，它利用智能座艙域控制器在一個或兩個硬件上運行了具有不同功能安全要求的多個操作系統(tǒng)。

　　圖10.2022款凱迪拉克凱雷德的內部   圖11說明了具有混合安全關鍵系統(tǒng)的各種組件。除了關鍵的經(jīng)認證的功能RTOS外（AUTOSAR非常適合它），您可能會在Linux、裸機、Nucleus或其他OS上運行不那么關鍵或非關鍵的軟件。您需要確保在不同域和進程之間的通信以正常啟動軟件。其他的關鍵因素還包括隔離、硬件驗證和監(jiān)控、錯誤處理和資源管理。

　　圖11：混合關鍵系統(tǒng)的組成要素   

在設計混合關鍵系統(tǒng)時，必須考慮幾個典型功能安全概念，包括：

　　●影響功能安全目標的系統(tǒng)故障：典型的系統(tǒng)性故障可能由于制造和開發(fā)流程中的錯誤造成，并可能影響硬件和軟件。驗證預期功能失敗、制造漏檢或在非額定工況運行都可能造成這些故障。

　　●隨機故障：受硅老化或環(huán)境條件等固有因素影響，隨機故障既可能是永久故障，例如影響隨機存儲器（RAM）內存的故障，也可能是臨時故障，例如因單事件干擾（SEU）而引起的內存損壞。

　　●硬件提供的安全功能：人們?yōu)楣δ馨踩珜ｉT設計了軟件，利用這些軟件提供的所有安全功能非常重要：此類軟件在設計時應具備安全功能，例如安全啟動、分離、安全及非安全系統(tǒng)隔離，以及經(jīng)過安全認證的軟件組件。   讓我們來深入探討其中的幾個概念。

　　隔離 安全和非安全域之間的隔離（無論是時間隔離還是空間隔離）都非常重要。時間隔離可以通過提供專用的獨立內核實現(xiàn)，而空間隔離可以通過硬件保護單元實現(xiàn)。幸運的是，賽靈思以及其他芯片供應商正在芯片本身之中提供這些功能。通過利用其中的部分硬件功能，我們可以從軟件角度保證對這些不同環(huán)境的隔離。

　　通信 硬件在實現(xiàn)隔離方面已經(jīng)有了長足的進步，但某些領域必須通過軟件才能實現(xiàn)（見圖12）：

　　●緩存驗證：地址、大小、權限等緩存參數(shù)必須先驗證才能供安全域使用，包括檢查緩存邊界和丟棄超出有效范圍的任意緩存。緩存驗證必須與合適的錯誤響應配對使用，供用戶了解系統(tǒng)交互以檢測惡意活動。

　　●中斷泛洪驗證：非安全環(huán)境有可能通過中斷對通信信道造成泛洪攻擊。如果不加以特別處理，此意外負載可能會與系統(tǒng)的時間隔離要求發(fā)生沖突。通常需要實施相應機制來抑制來自非安全端的過量中斷，或是在安全端提供輪詢模式支持。   這些功能非常重要，能夠確保為混合安全關鍵系統(tǒng)提供必要的隔離。

　　圖12：在混合安全關鍵系統(tǒng)中保持安全通信   圖13是一個混合安全關鍵系統(tǒng)SOC的示例，其中在實時/安全內核上運行了符合AUTOSAR的關鍵系統(tǒng)，并在各種應用內核上運行了左側的非關鍵系統(tǒng)。

　　圖13.由多核框架實現(xiàn)的混合安全關鍵系統(tǒng)SOC

　　結語

　　異構多核SoC設計在提高算力的同時帶來了挑戰(zhàn)和機遇，例如，如何滿足對混合安全關鍵系統(tǒng)組件和功能的需求。要符合ISO 26262和安全領域的新近更改，開發(fā)人員必須采用更多的安全內容，采納新的技術，并努力減少故障。內存和內核級別的空間隔離非常重要，能夠確保避免干擾，實現(xiàn)時間隔離、可調度性和端到端的通信保護。這需要廣泛的工具支持、基于模型的轉型以及系統(tǒng)驅動型設計方法。

更多信息可以來這里獲取==>>電子技術應用-AET<<