主流芯片的功能安全与信息安全如何实现？

汽车网联化逐渐成为未来汽车重要发展方向的同时，车联网所带来的信息安全问题也日益凸显，功能安全与信息安全的重要性在当下的技术发展变革时期被提到了台前。知从科技自2017年底开始投入资源开发信息安全相关软件，迄今已有丰富的经验积累与相关技术储备。

凭借投身汽车软件安全领域数年的丰富经验以及与知名芯片厂商的合作经验，知从科技对于主流芯片的功能安全与信息安全问题也有其深刻见解。

深耕行业数年 响应汽车安全新挑战

汽车电控系统的电气化、智能化发展日趋复杂，安全性要求越来越高，汽车功能安全也越来越受到重视。

为实现工程安全目标，就需要通过HARA分析对道路车辆应用场景进行分析，降级分解安全目标，区别出可接受的风险和不可接受的风险，保持危害发生的可能性低于风险的受限值。

在此背景下，知从木牛推出SafetyFrame功能安全产品，为汽车电子控制器产品开发提供完整的基础软件平台解决方案。

图片来源：知从科技

2017年，知从开始投身于功能安全开发，并于2017年推出适配于MPC芯片的第一款产品SafetyLibrary。2019年知从木牛推出SafetyFrame产品，并逐年扩大产品线，迄今已适配于恩智浦、英飞凌等厂商的多款芯片型号，并于今年1月启动了该产品ASIL-D等级的功能安全认证。

知从木牛功能安全产品：SafetyFrame

知从SafetyFrame是通过知从木牛平台上位机配置工具进行界面化配置的芯片功能安全库软件包，它依据ISO 26262-10做独立安全单元（SEooC）研发完成关键器件 Module 基于 AOU 诊断覆盖度需求的内置安全机制设计，针对汽车控制器中的MCU、SBC 进行功能安全库及软件架构的定制开发。

汽车的功能安全体现着木桶原理——安全的程度取决于“最低点”。只有整个系统都达到一定安全等级，最终才能实现较高的功能安全等级。

知从木牛SafetyFrame包含SF.SBC、SF.MCU、SF.Architecture三大组件，分别为System Basis Chip驱动包、MCU Safety Library软件包以及按组件各模块部署Level分层调度及管理。将不同功能部署在不同层级，充分考虑了程序流监控和关断路径设计的应用需求。

木牛SafetyFrame软件三层架构 图片来源：知从科技官网

该产品特点在于可作为AUTOSAR Complex Driver组件集成到软件工程中，兼容半导体供应商MCAL驱动包，并支持ASIL-D功能安全等级。得益于与芯片底层的强相关性，SafetyFrame可适配于不同芯片，且对不同芯片的功能安全等级也具有一定是兼容性，能满足不同的功能安全等级需求。按照ASPICE软件开发流程，实现从客户需求、MCU Safety Manual、安全库代码、测试报告的可追溯性。

Safety Frame安全软件架构自主设计中，结合了EGAS Monitoring Controller监控机制。SwLib自检库Safety Mechanism实现软件程序流监控并包含E2E功能，调用接口灵活，分担客户重新开发工作量。芯片自检库TestLib支持各模块定制化开发，可按需裁剪，代码精简且缩减软件容量。

知从木牛配置工具支持AUTOSAR 4.2.2和AUTOSAR 4.4标准。SafetyFrame不仅可适配集成于各家的AUTOSAR方案，针对某些客户ECU产品的非AUTOSAR软件架构也具有良好的软件集成兼容性。

图片来源：知从科技

当前，木牛SafetyFrame已适配于多款芯片。综合上述产品功能与特性，该产品可应用于针对功能安全ASIL等级有需求的汽车控制器。如BMS、ADAS、智能网关控制器、车身域控制器等。

基于“V模型” 配置工具助力高效开发

在汽车行业，ISO 26262将功能安全开发融入到广为熟知的“V模型”开发流程中。“V模型”可以简单概括为确定需求、实现需求、验证需求三步，知从科技的软件开发同样遵循这一流程。

在需求分析环节，首先根据客户输入及芯片安全机制作为需求输入，包括需求编号、对应的安全机制等。再对每条需求进行逐条分析，其中包括实现方法、验证准则、潜在风险、运行阶段等分析内容。

下一阶段，需确认需求分析文档及相关评审记录，即确认系统需求与软件需求之间的双向追溯性和一致性。具体而言，可在需求追踪表中通过编号来进行上下文的追溯。

下一流程是架构设计。SafetyFrame软件架构主要包含三部分：ESM Driver、SMU Error Handler、SBC Driver。其中，ESM Driver模块用于实现MCU内部的ESM安全机制，ESM Driver包括Test Manager模块、TestLib模块和DriverLib模块；SMU Error Handler模块用于实现故障处理措施；SBC Driver模块用于实现外部芯片、电源芯片的驱动，以及部分功能安全的机制。

总体而言，架构设计文档包括架构概述、需求追溯、软件动态设计、软件静态设计、性能设计等内容。动态设计包括程序流、数据流等，静态设计则用于描述模块与模块的接口设计或整个模块与RTE层的接口设计。性能设计用于描述资源利用，如空间和时间的利用率等数据。

完成架构设计后，下一环节是详细设计。包括以下内容：

第一，功能概述，描述具体模块应用的安全机制。

第二，结构图例，用于描述某一模块的流程与结构之间的关系，并通过图例来表示。

第三，单元设计，在嵌入式软件工程中最小单元一般为函数，所以此处的单元设计是指具体到每个函数的结构变量及其相应的追溯编号。

图片来源：知从科技

“V模型”的右侧是软件测试阶段。软件测试环节分为单元测试、集成测试、软件认可测试。在集成测试中，木牛SafetyFrame的配置工具便发挥着重要作用。

知从木牛配置工具基于最新的 ARTOP 架构开发，提供全套 BSW 配置和 RTE 生成等功能。该方案兼容业界主流的标准，其工具界面与市面上主流的配置工具界面较为接近，为ECU控制器软件开发提供友好的人机界面。且该方案生成的配置代码可集成到工程，实现自定义配置功能。该工具可配置SafetyFrame中的各个模块，满足不同的配置需求。

知从木牛信息安全产品：Cybersecurity Lib

随着智能网联汽车在全球范围内蓬勃发展，汽车网联化也逐渐成为未来汽车的重要发展方向。联网所带来的信息安全问题在网联化汽车上同样存在，车厂和设计开发人员将不得不在整车电子电气架构上实施高要求的信息安全措施。知从科技自2018年底开始投入资源开发信息安全相关软件，至今已有丰富的经验积累与相关知识储备。

木牛Cybersecurity Lib软件静态架构 图片来源：知从科技官网

知从科技针对英飞凌TC3xx系列所开发的木牛Cybersecurity Lib包括硬件加密模块(HSM)的内核固件(zHSM CORE)和客户应用接口函数 (SHE CD)。内核固件除了满足密钥注入、对称加解密、消息认证码生成与校验、随机数生成和安全启动等常规的 SHE 功能，还可扩展多种算法，如HASH和ECC256等。木牛Cybersecurity Lib具有高扩展性，可以根据不同的项目要求进行升级配置和再开发，满足多元化的信息安全需求。

通过将木牛 Cybersecurity Lib 集成到基于 TC3xx 的汽车电控单元中，可以满足 SHE标准里所规定的汽车电控单元所具有的信息安全功能。

瞄准安全性痛点 知从助力汽车安全加速发展

知从科技专注于汽车软件开发，提供基础软件、工具软件、功能安全、信息安全、FOTA五类软件产品与相关的工程服务，旨在提高汽车电子控制器开发的质量和速度，降低客户成本，增强产品的可维护性。

图片来源：知从科技官网

如今，安全性问题的重要性日益凸显。一方面，车规芯片对功能安全和信息安全的支持越来越完善；另一方面，随着ISO 26262和ISO 21434的不断推广，汽车行业对功能安全和信息安全的实际应用也越来越迫切。知从木牛SafetyFrame和知从木牛Cybersecurity提供完整的基础软件层级的解决方案，能有效解决功能安全和信息安全方面的痛点，助力行业发展。

知从科技希望为汽车行业提供高质量、高效率，低成本的解决方案。为顺应当前汽车电子电气架构集中化的趋势，知从也正考虑使木牛SafetyFrame向“一对多”的产品配置形式转变，从而带来易维护、高适配、低成本的产品配置方案。