详细展示S32K3在功能安全的方方面面

本文导读

源于汽车ECU的安全需求，S32K3携网络安全和功能安全的优势，亮相即成为行业新宠。本文将详细展示S32K3在功能安全的方方面面。

功能安全与车规级芯片相关度很高。

通常，汽车产品的研发除了在功能上要满足市场需求外，功能安全永远是研发的半边天。汽车产品如何达到项目需求的完整性级别是研发人员不得不思考的问题。在此，恩智浦S32K3系列MCU在功能安全上具有强大的安全机制，助力研发人员在产品开发上达到ASIL B或者ASIL D。

S32K3系列MCU是按照ISO 26262标准开发的，可以应用在需要满足ASIL B或者ASIL D安全完整性等级要求的系统中。根据应用的安全相关需求，S32K3具备监控、管理和控制系统的性能，其片内的安全机制分为：

硬件安全机制

软件安全机制

下面对这两个安全机制进行介绍。

硬件安全机制

在片内硬件安全机制层面，S32K3安全架构主要由以下十个部分组成： 冗余硬件、防止存储干扰、程序流监控、数据完整性、时钟监控、电源监控、温度监控、自检、错误报告和潜在故障检测。 硬件安全机制具体表现如下：

软件安全机制

在片内软件安全机制上，NXP有三个软件产品助力开发S32K3，分别是：

1. SAF(Safety Software Framework)，安全软件框架，作用是为符合 ISO 26262 功能安全标准的用户安全应用建立安全基础。软件获取需要付费。

2. SPD(Safety Peripheral Drivers)，安全外设驱动，是SAF中的一部分，可在NXP官网免费下载。

3. SCST(Structural Core Self-Test）Library，结构内核自测库，作用是在运行时检测MCU内核永久性硬件故障。软件获取需要付费。

这三者的关系如图1所示。

图 1 SAF、SPD和SCST Library软件产品关系 下面分别对这三个软件产品进行介绍。一、SAF(安全软件框架)安全软件框架(SAF)是一个包含软件组件的软件产品，为符合 ISO 26262 功能安全标准的用户安全应用建立安全基础。SAF被设计可应用在 AUTOSAR 和非 AUTOSAR 应用程序中，并且允许集成到 ASIL D 汽车安全完整性级别。1、功能

检查硬件安全机制,即潜在故障检测；

BIST 管理和调度，提供高可用性；

支持引导到正常或降级模式；

确保设备正确设置,能够启动安全功能；

处理和反应检测到的故障；

支持局部和全局恢复策略。

2、软件模块组成SAF提供了硬件安全层和服务安全层的软件模块，总共六个软件模块，软件模块及其功能如下：

软件模块在硬件安全层和服务安全层分布如图 2所示。

图 2 NXP S32安全软件框架内容 需要注意的是，SAF外设驱动是对RTD现有的外设驱动进行补充。3、SAF运转流程SAF组件在引导、运行和故障恢复期间都会涉及，其在SAF运转流程如图3所示。组件之间交换数据使系统在给定的应用程序状态下执行正确的测量和响应。

图3S32安全软件框架运转示意图 二、SPD(安全外设驱动)SPD是SAF的一部分，主要包含SAF中的BIST Manager和eMCEM两个组件，它是对S32K RTD的补充，为片上外设模块提供软件支持。这个软件产品是免费的，可以在NXP官网进行下载。三、SCST Library(结构内核自测库)SCST库是用于实时检测内核中永久性硬件故障的软件产品。它包含测试代码(原子测试)，用预定义的测试向量激励MCU核心子模块，并观察和评估内核逻辑响应。它通常达到90%的DC(诊断覆盖率)。评估的详细信息可以在诊断覆盖率估计文档中找到。

图4NXPSCST库内容示例 需要注意的是，SCST Library主要用在不使用硬件技术支持永久故障检测MCU，所以SCST库适合双核使用的，但锁步核并不适用。

结语

S32K3系列MCU是按照ISO 26262标准开发的，具有硬件安全机制和软件安全机制，可以助力研发产品达到ADIL B/D。

审核编辑 ：李倩