汽车IP的功能安全

汽车工程师都熟悉ISO 26262标准，因为它定义了在电子系统中开发功能安全的流程，其中由于所有电子元件都正确可靠地运行，因此可以保护人身安全。汽车电子现在已经发展到涵盖数十种应用。ISO 26262来自1998年首次发布的父标准IEC 61508。功能安全定义为“由于电气/电子系统的故障行为引起的危险而不存在不合理的风险。

汽车电子

系统故障将是硬件中的设计错误，导致系统中出现意外情况，而随机硬件故障将是芯片中的硅缺陷，导致卡住位甚至阿尔法粒子导致存储位翻转。SoC 设计人员的目标是使其设计能够抵御故障，确保安全性。

汽车安全完整性等级 （ASIL） 定义了针对系统和随机故障的最高保护级别，称为 ASIL-D，它要求针对单点故障的覆盖率为 >99%，对潜在故障的覆盖率为 >90%。对于控制制动和安全气囊的汽车电子设备，您需要符合 ASIL-D 级标准。

为了达到安全目标，需要阻止、避免、设计或减轻任何故障。在基于处理器的 SOC 中发现的四种常用硬件安全机制包括：

●ECC内存保护

●看门狗定时器

●软件自检

●双核锁步

这些安全机制特定于处理器，列表并不详尽。

内存 ECC

纠错码 （ECC） 可用于存储器接口，例如：指令本地 SRAM 或高速缓存、数据本地 SRAM 或高速缓存以及高速缓存标签存储。在系统级别，您可以监控 ECC 错误信息。对 32 位字计算 7 位 ECC 综合症，自动纠正单比特存储器数据错误，而对于多位错误，则发出异常信号。

窗口看门狗定时器 （WWDT）

为了确保软件的正常执行，WWDT 充当系统监控器，在正常操作窗口中，软件重新启动 WWDT，但是如果 WWDT 倒计时太早或太晚，则会导致对 SoC 的重置请求。ISO 26262标准将程序序列监控（PSM）定义为确保正确执行代码的一种方式，因此WWDT是使用的安全机制。

WWDT

逻辑 BIST，软件自检

使用逻辑内置自检（BIST），硬件测试一部分逻辑，检测静态故障，同时在芯片中增加约5%的开销，并在几毫秒内运行，通常产生90%的故障覆盖率。逻辑 BIST 可以在启动时运行，然后报告检测到的任何故障。

使用软件自检没有硬件开销，因为它只是在不同时间测试逻辑的软件，例如定期运行时检查。ISO 26262 将软件自检列为随机故障的安全机制，具有中等诊断覆盖率。

硬件冗余

通过硬件冗余（基于时间的冗余或硬件冗余），可以实现更高的容错能力。内存的 ECC 就是一个例子，可以添加三冗余投票触发器、关键状态寄存器 （CSR） 的奇偶校验保护，或者处理器使用双核锁步 （DCLS）。

DCLS

甚至还有一个双内存锁步，增加了核心逻辑和内存的冗余。

双内存锁步

网络安全

道路车辆有一个网络安全标准，称为ISO 21434，增加了汽车的安全生命周期。SoC 中使用的四种常用威胁防护机制包括：

●硬件信任根 – 安全启动、启动身份验证

●加密 – 保护数据

●硬件隔离 – 划分内存中的受信任区域和不受信任区域

●异常检测 – 警报可疑活动

可以使用 WWDT 实现异常检测，在意外程序执行时发出警报。使用双内存锁步方法时，任何发散执行都会导致安全故障。

总结

如今的传统汽车至少有40种芯片，而汽车中的芯片总数可以达到500种，因此安全设计需要遵循ISO 26262标准的纪律。满足安全目标意味着汽车中使用的处理器IP经过ASIL认证，达到适当的水平。