功能安全性
除了以最高效的方式实现显示功能之外,还必须满足一些安全要求,才能确保能够在需要时显示正确的信息。例如,用于在仪表板上显示档位的应用必须被设计为:宁可不显示任何内容,也不能显示错误档位。支持该功能的一种方法是使用一个所谓的签名单元,它为所显示的图像创建签名。系统将这个所创建的签名与将要显示的正确图像的预定义值进行对比。系统能够迅速检测到故障,然后选择显示正确图像,或者关闭错误图像。
为了满足安全标准,应将多项措施集成到MCU中,以防范可能损害功能的软件问题。近些年来,这种做法在ECU(引擎控制单元)领域中很常见,但在仪表板应用中,经常会出现应该把哪些功能集成到MCU中的问题。在开发仪表板或HUD应用时,为了能够满足汽车应用的安全要求,嵌入式系统设计人员应寻找以下功能:
■ 内存保护单元(MPU)旨在防范其它功能执行的错误或意外覆盖操作。一个MPU应至少拥有12至16个配有不同权限(如读、写、执行权限等)的通道或区域。它是满足汽车开放系统架构(AUTOSAR)要求的一个基本功能;此外还有时序保护单元(TPU),该单元能够控制正在运行的任务,并在一定时间后终止它们。
■ 一个不太常见但却强烈建议集成到设计中的功能就是所谓的外设保护单元(PPU)。您还需要保护外设区域,而PPU能够让您做到这一点。
随着越来越多的虚拟内容进入仪表板,而且汽车的联网程度变得越来越高,开发人员需要考虑如何保护车载网络免遭黑客攻击和其它攻击。目前的安全要求已不能单靠软件高效地得到满足,各种设计需要在硬件中打下坚实的基础。硬件中的实现能够让您的系统具备更高的防篡改能力。
MCU需要防范未经授权的读取操作或对闪存内容的操纵,并防止应用运行期间受到操纵,实现安全的通信和数据存储,以搭建一个安全的车载网络。例如,一个循环冗余校验(CRC)模块与签名单元的工作原理类似,目的是防止篡改。Spansion提供一个片上硬件单元,它支持CRC,而且速度比软件解决方案要快。我们的MCU还包含一个器件安全概念,它通过关闭外部接口和调试接口的访问功能,保护闪存免遭未经授权的读取。一个内置的安全硬件扩展(SHE)模块为这个概念提供了进一步的支持。
开发人员应该牢记:安全性和可测试性成反比。这意味着,一旦关闭了硬件系统,某些测试就不再可能实现了。如果闪存100%禁止读取操作,当故障发生时,我们就不可能对比闪存内容和原始软件。因此,必须选择能够根据应用的具体要求实现不同的安全等级的硬件。
在竞争激烈的全球经济中,汽车制造商需要以更低的成本提供更多的功能:从传动到显示,从信息显示到仪表板。幸运的是,新一代单芯片解决方案已经诞生,并朝着40纳米工艺的方向发展,拥有更高的性能和更大的存储容量。它们将能实现分辨率更高、显示屏更大、面向中低端汽车仪表板的更多图形应用。通过探索上述几种选择,开发人员将能找到一个可满足具体系统的要求的理想解决方案。
本文选自电子发烧友网7月《汽车电子特刊》Change The World栏目,转载请注明出处!
用户评论(0)