功能安全MCU硬件和软件安全机制

lixinfu

介绍很多汽车的ECU，提到采用符合功能安全的MCU，那么，什么叫做功能安全的MCU呢？今天，借着NXP针对其S32K功能安全的介绍，做个分享

NXP针对功能安全产品的开发其实非常早，其实很多人也许有疑问，为什么现在感觉Infineon似乎更加领先？

其实NXP的汽车MCU研发团队，很重要的组成来自其收购的FreeScale，如下的MPC5643L是FreeScale的产品，2011就是90nm的，FreeScale在被NXP收购前，为了报表好看，在车规芯片这种重投入，长回报周期的投入上做了限制；



汽车功能安全的评定，是基于ISO26262标准的失效率的打分，不同失效诊断率对应不同的级别(ASIL A/B/C/D)



那么，整个功能安全的产品开发周期是如何的？

功能安全的产品，重要的理念之一就是：安全是从设计阶段进行保障的； 因此在产品概念阶段，就会针对Quality Model以及Automotive SafetyIntegration Level进行分析；

从概念阶段进入定义阶段后，会做详细的失效分析及失效影响，失效的应对；之后就开始从系统架构层面以及设计层面，降低失效，识别失效，降低发生失效的影响；



功能安全的设计，需要从MCU的硬件，软件包，客户应用程序及系统硬件(比如外部的安全SBC芯片)



针对S32K3的硬件安全机制，包括如图：

首先是多核互锁：多个Cortex-M7 CPU在芯片内部旋转后，基于相同的输入进行计算，如果结果一致，再执行；

中断响应监控：如果关键中断在限定时间内未被响应，中断监控单元将进行提示

存储保护单元：针对存储单元(Flash/RAM)进行访问权限控制，针对关键的寄存器进行保护，比如寄存器多重备份，检查其一致性

程序运行监控器：主要就是不同类型的看门狗，防止系统跑飞

数据完整性校验：针对存储单元(Flash/RAM/TCM/Cache)等进行数据完整性的错误检测及纠正，针对数据传输链路进行端到端的数据完整性的监控；

时钟监控：检测时钟及PLL的失效，并进行告警

电源监控：包括不同工作模式下的低压监测及高压监测等；

温度监控：通过片内ADC采集片内的温度传感器，防止芯片过热导致的失效

系统自检：包括针对不同的单元的自检，包括Core，Memory，RAM，关键IP等；

故障管理：包括故障注入（配合系统自检，看能不能检查出来），故障监测及故障上报

软件安全机制上，NXP有三个软件产品助力开发S32K3，分别是：

SAF(Safety Software Framework)，安全软件框架，作用是为符合 ISO 26262 功能安全标准的用户安全应用建立安全基础，软件获取需要付费。

SPD(Safety Peripheral Drivers)，安全外设驱动，是SAF中的一部分，可在NXP官网免费下载。

SCST(Structural Core Self-Test）Library，结构内核自测库，作用是在运行时检测MCU内核永久性硬件故障。软件获取需要付费（非针对互锁核）

SAF部分的功能主要包括：

检查硬件安全机制,即潜在故障检测；内部自检管理和调度，提供高可用性；支持引导到正常或降级模式；确保设备正确设置,能够启动安全功能；处理和反应检测到的故障；支持局部和全局恢复策略。

SAF实现上述功能的软件主要包括如下模块




转自 立功科技

SAF组件在引导、运行和故障恢复期间都会涉及，其在SAF运转流程如图3所示。组件之间交换数据使系统在给定的应用程序状态下执行正确的测量和响应。

lihu35

针对功能安全的MCU介绍如下：

功能安全的MCU是一种经过严格设计和验证的微型控制器，其硬件和软件均能满足汽车安全标准，确保在各种操作条件下都能稳定、可靠地运行。这种MCU在设计时采用了多种安全机制，包括故障检测、诊断、容错及安全恢复等功能，能够避免潜在的故障风险，提高汽车的安全性能。

NXP针对功能安全的S32K系列MCU，通过先进的硬件设计和软件安全策略，为汽车提供了高可靠性的解决方案。虽然Infineon在某些方面可能更领先，但NXP通过收购FreeScale扩大了其汽车MCU研发团队，并在产品开发和安全机制上持续投入，以满足不断发展的汽车功能安全需求。

baoshijie

功能安全的MCU（MCU：微控制器）指的是具备特定安全机制的微控制器，在汽车环境中能够确保系统的稳定性和安全性。它们不仅具备基本的硬件安全机制，如故障防护和冗余设计，还包括复杂的软件安全机制，如防篡改、防黑客攻击等。这种MCU能够确保在异常情况发生时，汽车ECU（电子控制单元）仍能正常工作或采取适当的安全措施。

NXP针对其S32K系列的功能安全产品，采用多重安全防护策略。虽然在某些时期和背景下其品牌推广或市场表现可能与其它厂商有所差异，如与Infineon在某些时间段看起来有所领先的情况，但其在汽车MCU领域的研发投入和技术积累仍不容忽视。至于提到的FreeScale产品如MPC5643L等的历史变迁及早期布局工作也为其在汽车行业的安全产品演进上贡献了关键的经验与技术力量。在保障汽车功能安全上，关键在于始终基于汽车工业的安全性要求和规范，持续改进和提升技术以适应行业要求的发展。

lixinfu

针对功能安全的MCU硬件和软件安全机制介绍：功能安全的MCU特指那些在设计、开发、生产过程中严格遵守国际功能安全标准（如ISO 26262）的MCU产品。它们具备完备的硬件和软件安全措施，旨在确保在汽车应用中能够防止功能失效、避免安全风险。

NXP针对其S32K系列的功能安全产品进行了深入研究与开发。虽然NXP在汽车MCU领域的起步很早，但在某些方面，如功能安全的推进上，可能与其他竞争对手如Infineon在某些方面有所差异。NXP通过收购FreeScale增强了其汽车MCU研发团队实力。FreeScale的MPC5643L等产品，在报表上可能不如其他竞争对手表现突出，但在功能安全方面，其实力不容忽视。汽车功能安全的评定是基于严格的测试和评估流程，确保MCU产品在汽车应用中的安全性和可靠性。

marjrh

功能安全的MCU（MCU：微控制器）指的是在设计、开发和验证过程中遵循特定的功能安全标准和规定的MCU，它旨在确保汽车系统中的功能在发生故障或异常时，能够保持安全状态或执行预设的安全措施。其主要涉及硬件和软件的安全机制，包括错误检测、诊断管理、故障隔离及安全恢复等策略。硬件层面强调其可靠性设计，软件层面则强调代码的鲁棒性和可升级性。对于NXP的S32K系列的功能安全介绍，该系列MCU具备高级别的功能安全保障，可满足汽车ECU（电子控制单元）的需求。关于为何感觉Infineon在功能安全领域更为领先，可能是因为各家公司在功能安全技术研发和应用上的侧重点不同，各自具有独特的技术优势和市场策略。而汽车MCU研发团队的选择会根据具体需求和目标进行考量。关于汽车功能安全的评定，它是基于一系列标准进行的评估过程，包括ISO 26262等国际标准。

zy_wawj

功能安全的MCU（MCU：微控制器）是指在汽车电子系统中具备高可靠性和安全性的硬件和软件集成的产品。随着汽车电气化、智能化程度的提高，对MCU的安全性要求也日益严格。特别是在处理与汽车控制相关的关键任务时，MCU的功能安全至关重要。具体来说，功能安全的MCU包含了满足ISO 26262标准的硬件和软件安全机制，能够在故障发生时保证系统的稳定运行，避免潜在的安全风险。关于NXP的功能安全产品S32K的介绍，其采用了先进的软硬件安全设计，确保在复杂汽车环境中运行的稳定性和可靠性。至于与Infineon的竞争态势，这取决于各家公司在汽车MCU领域的研发投入、产品性能以及客户反馈等多方面因素。至于FreeScale的产品如MPC5643L，其在早期就已应用于汽车领域，但由于投入和回报周期的问题，其后续发展可能受到影响。总体而言，汽车功能安全的评定是基于严格的标准和大量的测试验证，确保MCU在复杂的汽车环境中表现出高可靠性和安全性。

huangguang

针对功能安全的MCU介绍如下：

功能安全的MCU是一种设计用于在汽车环境中提供高度可靠和安全的微控制器。它采用硬件和软件的安全机制来保护系统免受各种潜在的威胁，确保在各种系统故障情况下仍能保持汽车系统的正常运行和安全性能。具体来说，硬件安全机制包括多种保护设计和隔离技术，如硬件容错和冗余设计；软件安全机制则包括软件防护、加密和安全更新等。这种MCU符合汽车行业的功能安全标准，如ISO 26262等。针对您的询问，关于NXP的功能安全产品介绍与FreeScale的产品发展历程和为什么目前感觉Infineon在某些方面更为领先的话题，我将不再赘述。关于汽车功能安全的评定，它是基于一系列严格的测试和评估标准进行的，以确保汽车系统在各种条件下的安全性和可靠性。具体的评定过程涉及到功能安全的架构设计、测试和验证等方面。总体来说，随着汽车电子化的发展，汽车功能安全在汽车行业的重要性不断提高。关于这一主题的理解与应用是推动汽车产业技术进步的体现。