大数跨境
首页
>
多核处理器下如何实现免于干扰以满足功能安全要求
>
0
0

多核处理器下如何实现免于干扰以满足功能安全要求

多核处理器下如何实现免于干扰以满足功能安全要求 电力电子系统应用智库
2025-04-19
2

导言:在汽车功能安全领域,特别是在 ISO 26262的指导下免于干扰的概念是一项关键要求;它确保与安全相关的功能(具有不同的汽车安全完整性等级或 ASIL)不会受到非安全功能或 ASIL 较低功能的不利影响。特别是随着汽车集中式电子电气架构下,域控制器及中央计算单元都在陆续采用多核微控制器开发,这一概念对于在共享硬件和软件平台上实现多种功能共存的复杂汽车系统的可靠和安全运行不可或缺。在实际开发工作中,如何确保免于干扰的落地设计,确保系统开发初期就能将免于干扰的设计考虑其中,同时实际开发工作中免于干扰工作的开展会遇到哪些挑战,本文将从以下几个方面进行介绍。


目录

1. 什么是免于干扰技术?

2. 免于干扰的技术手段有哪些?

2.1 硬件层面技术手段

2.2 软件层面技术手段

3. 免于干扰设计在开发过程中落地的挑战。

4. 实施免于干扰的最佳做法。

5. 汽车电子软件系统中免于干扰的使用案例。

6. 总结


01 什么是免于干扰技术?


免于干扰(FFI)是指与安全相关的功能在不受其他功能(尤其是ASIL 较低的功能或非安全功能)影响的情况下正常运行的能力。这种隔离可确保系统某部分的故障不会扩散并影响其他关键部分,从而维护系统的整体安全。


干扰存在的关键因素:

定时干扰:当较低 ASIL 功能消耗的处理时间多于分配的时间时,可能会延迟较高ASIL 功能的执行;

内存干扰: 当一个函数意外或恶意修改分配给另一个函数的内存区域时发生;

信息交换(数据干扰):当不同功能之间共享的数据被较低的ASIL 功能破坏或滥用时;

硬件资源干扰: 对共享硬件资源(如外设、总线或 I/O 通道)的争夺,导致关键功能的延迟或错误操作。


2. 免于干扰的技术手段有哪些?

2.1.硬件层面的机制:

内存保护单元(MPU):MPU 用于防止未经授权访问某些内存区域。通过配置访问权限,MPU 可确保较低 ASIL 功能无法访问或修改分配给较高 ASIL 功能的内存区域。例如,在同时具有安全关键型(ASIL-D)和非安全关键型(QM)应用的微控制器中,可对 MPU 进行编程,以防止非安全关键型应用写入存储安全关键型数据的内存区域。

时分复用(TDM):TDM 为不同功能分配特定时隙,确保高优先级功能不间断地获得 CPU 时间和资源。这有助于减少时序干扰。例如,在同时处理安全关键型发动机管理任务和非关键信息娱乐功能的动力总成控制单元中,TDM 可确保发动机管理功能在规定的时间限制内执行。


硬件分区:现代微控制器和片上系统(SoC)可提供硬件分区,不同的内核或处理元件专用于不同的 ASIL 级别。每个内核都有独立的内存空间和执行环境,从而在物理上将关键和非关键功能分开。例如,ADAS(高级驾驶员辅助系统)中使用的 SoC 可能有单独的内核,用于处理 ASIL-D 功能(如紧急制动)和 ASIL-B 或 QM 功能(如车道偏离警告)。


2.2.软件层面的机制:

虚拟化:软件管理程序可以创建虚拟环境(虚拟机),将安全相关功能与非安全功能隔离开来,确保不受干扰。每个虚拟环境都分配有自己的内存、CPU 周期和 I/O,以防止交叉干扰;例如,在车辆的中央网关模块中,不同的虚拟机可以分别运行车辆的信息娱乐系统(QM)和远程信息处理控制单元(ASIL-B)。



实时操作系统(RTOS)中的分区:汽车 ECU(电子控制单元)中使用的实时操作系统具有分区功能,可为任务分配固定的优先级和执行时段。不同 ASIL 的任务通过上下文切换和内存保护分开,确保它们不会相互干扰;例如,在安全关键型制动 ECU 中,防抱死制动系统(ABS)任务(ASIL-D)比非关键诊断任务(QM)具有更高的优先级和固定时隙。

数据流控制要确保不受干扰,就必须对不同 ASIL级别功能之间共享的数据进行适当的验证、消毒和控制。例如,从外部传感器(ASIL-D)接收的数据在用于紧急制动等关键功能之前,应检查其完整性和有效性。


3. 免于干扰设计在开发过程中落地的挑战


      整合的复杂性:实施 FFI 需要复杂的架构设计以及硬件和软件组件之间的协调。随着更多功能和多核处理器的集成,这种复杂性也会增加。
      性能开销:虚拟化、管理程序或分区等安全机制会因上下文切换、内存管理和资源分配而带来性能开销。
      成本和资源限制:实施 FFI 可能需要额外的硬件资源(如专用 MPU、内存)和先进的软件机制,从而可能增加成本和功耗。
      认证与合规:要证明 FFI 已达到 ISO 26262 的要求是一项挑战。这需要进行严格的测试、验证和记录,以证明没有发生意外干扰。


4. 实施免于干扰的最佳做法


     使用经过认证的 RTOS:采用通过 ISO 26262 认证的实时操作系统,因为这些系统在设计上具有任务分区、内存保护和优先级管理的内置机制。

     充分利用多核处理器:利用多核处理器,将不同的内核专用于不同 ASIL级别的功能,在物理上分离它们的执行环境。

     硬件-软件协同设计:将硬件和软件结合起来设计,确保在所有层面上满足FFI 要求。例如,将硬件内存保护功能与软件分区策略结合起来。

      严格的测试和验证:实施全面的测试协议,包括故障注入测试 (FIT),以验证安全机制是否能有效防止不同功能之间的干扰。

        持续监控:使用运行时监控工具,确保 FFI 机制在运行期间正常工作,并检测任何可能违反干扰限制的情况


5. 汽车电子软件系统中免于干扰的使用案例


自适应巡航控制系统(ACC):
挑战:自动控制系统需要执行安全关键任务,如保持安全距离和速度(ASIL-D),同时还要处理非安全功能,如用户界面控制(QM);
解决方案:通过使用具有分区功能的实时操作系统,可以以更高的优先级安排安全关键任务,并将其与非关键任务隔离,确保它们不会延迟或中断。


车载信息娱乐系统(IVI):
挑战:IVI 与车辆的网关 ECU 共享同一个处理单元,后者同时处理安全关键型(ASIL-B)和非关键型(QM)数据通信;
解决方案:采用虚拟化技术为不同功能创建隔离环境。安全关键型功能在一个受保护的虚拟机中运行,而 IVI 功能则在另一个虚拟机中运行,确保互不干扰。


电动助力转向系统(EPS):
挑战:EPS 是一项安全关键功能(ASIL-D),不得受到非关键诊断或通信任务的影响;
解决方案:EPS 控制逻辑被置于一个专用微控制器内核中,该内核具有受 MPU 保护的独立内存区域;时间触发的执行确保了 EPS 功能对 CPU 资源的访问

6. 总结


根据 ISO 26262 标准,免受干扰是实现汽车系统功能安全的基石。它确保关键安全功能与非安全功能隔离,保持汽车运行的完整性和可靠性。通过采用硬件和软件机制以及最佳实践,汽车制造商可以有效降低干扰风险,提高系统的安全性。随着汽车系统越来越复杂,集成度越来越高,实现 FFI 仍将是确保道路安全和符合安全标准的一个重要焦点


公众号专注于电力电子(电机控制,电源转换,电子电气)的各种系统应用;行业最新技术进展,系统应用落地解决方案(系统架构,拓扑结构,控制算法,软硬件开发,芯片设计,功能安全,在环验证),持续更新和分享相关技术知识与咨询,感谢朋友们持续支持与关注。



【声明】内容源于网络
0
0
电力电子系统应用智库
软件定义汽车背景下,聚焦汽车动力总成,电源转换与智能底盘技术,洞察未来产业创新与价值机会!
内容 106
粉丝 0
电力电子系统应用智库 软件定义汽车背景下,聚焦汽车动力总成,电源转换与智能底盘技术,洞察未来产业创新与价值机会!
总阅读142
粉丝0
内容106