功能安全性

　　除了以最高效的方式實現顯示功能之外，還必須滿足一些安全要求，才能確保能夠在需要時顯示正確的信息。例如，用于在儀表板上顯示檔位的應用必須被設計為：寧可不顯示任何內容，也不能顯示錯誤檔位。支持該功能的一種方法是使用一個所謂的簽名單元，它為所顯示的圖像創建簽名。系統將這個所創建的簽名與將要顯示的正確圖像的預定義值進行對比。系統能夠迅速檢測到故障，然后選擇顯示正確圖像，或者關閉錯誤圖像。

　　為了滿足安全標準，應將多項措施集成到MCU中，以防范可能損害功能的軟件問題。近些年來，這種做法在ECU（引擎控制單元）領域中很常見，但在儀表板應用中，經常會出現應該把哪些功能集成到MCU中的問題。在開發儀表板或HUD應用時，為了能夠滿足汽車應用的安全要求，嵌入式系統設計人員應尋找以下功能：

　　■ 內存保護單元（MPU）旨在防范其它功能執行的錯誤或意外覆蓋操作。一個MPU應至少擁有12至16個配有不同權限（如讀、寫、執行權限等）的通道或區域。它是滿足汽車開放系統架構（AUTOSAR）要求的一個基本功能；此外還有時序保護單元（TPU），該單元能夠控制正在運行的任務，并在一定時間后終止它們。

　　■ 一個不太常見但卻強烈建議集成到設計中的功能就是所謂的外設保護單元（PPU）。您還需要保護外設區域，而PPU能夠讓您做到這一點。

　　隨著越來越多的虛擬內容進入儀表板，而且汽車的聯網程度變得越來越高，開發人員需要考慮如何保護車載網絡免遭黑客攻擊和其它攻擊。目前的安全要求已不能單靠軟件高效地得到滿足，各種設計需要在硬件中打下堅實的基礎。硬件中的實現能夠讓您的系統具備更高的防篡改能力。

　　MCU需要防范未經授權的讀取操作或對閃存內容的操縱，并防止應用運行期間受到操縱，實現安全的通信和數據存儲，以搭建一個安全的車載網絡。例如，一個循環冗余校驗（CRC）模塊與簽名單元的工作原理類似，目的是防止篡改。Spansion提供一個片上硬件單元，它支持CRC，而且速度比軟件解決方案要快。我們的MCU還包含一個器件安全概念，它通過關閉外部接口和調試接口的訪問功能，保護閃存免遭未經授權的讀取。一個內置的安全硬件擴展（SHE）模塊為這個概念提供了進一步的支持。

　　開發人員應該牢記：安全性和可測試性成反比。這意味著，一旦關閉了硬件系統，某些測試就不再可能實現了。如果閃存100%禁止讀取操作，當故障發生時，我們就不可能對比閃存內容和原始軟件。因此，必須選擇能夠根據應用的具體要求實現不同的安全等級的硬件。

　　在競爭激烈的全球經濟中，汽車制造商需要以更低的成本提供更多的功能：從傳動到顯示，從信息顯示到儀表板。幸運的是，新一代單芯片解決方案已經誕生，并朝著40納米工藝的方向發展，擁有更高的性能和更大的存儲容量。它們將能實現分辨率更高、顯示屏更大、面向中低端汽車儀表板的更多圖形應用。通過探索上述幾種選擇，開發人員將能找到一個可滿足具體系統的要求的理想解決方案。


　　本文選自電子發燒友網7月《汽車電子特刊》Change The World欄目，轉載請注明出處！