安全实现汽车电子实时性能
当安全遇上性能
通过与市场领先的一流厂商密切合作,英飞凌推出了一个全新的多核TriCore处理器家族,以满足在计算性能、更高内存容量、安全性和汽车质量等方面日益增长的需求。这个命名为AURIX的全新处理器家族,是继大获成功的AUDO和AUDOMAX家族的后起之秀。全新设计的AURIX家族旨在以高能效、高性能的方式,提供最先进的处理能力。TriCore内核被重新设计为两种不同的版本:一个是超标量版本,可实现行业领先的300Mz性能;另一个是标量版本,在200MHz频率上,可实现最低电流消耗和最小尺寸空间,是适用于中端应用的最高效的解决方案。这两个版本的TriCore CPU都可实现锁步,为ASIL D安全系统提供卓越的故障检测能力和快速响应时间。AURIX家族在性能、内存容量和封装方面的灵活扩展性支持在不同器件之间共享一套共用安全实例,既允许在较小的器件上托管单个应用,也允许在较大的器件上同时托管多个应用,而无需更改软件架构或安全策略。这在一定程度上是由于在每个外设和每个内部总线受控器中集成了一个独一无二的功能,使之仅接受来自规定资源的访问。这种机制(被称为寄存器访问保护)(图2)能够永久地阻断或允许任何CPU、DMA或其他总线主控器访问(或可能破坏)任何内部共享资源(SRAM、外设、IO)的状态。这样,用户就可以将任何外设和内存组合,专用于各个CPU和DMA。许多外设也实现了双配置,以便托管的各个应用拥有自己的专用资源,确保“干扰免除”,而不受任何内存保护机制或其他与操作系统有关的封装机制的影响。对主控制器软件工程和集成分析而言,节省空间的潜力很大(~30%),因为混合型临界系统可以在一个内核上为ASILD应用托管一个AUTOSAR OS,并同时在另一个核上托管一个不启用本地内存或定时保护的非AUTOSAR OS,该,使得非安全应用不可能干扰单片机的与安全有关的行为。如果想要实现多个ASIL D应用,那么AURIX也可托管多个AUTOSAR操作系统应用,并完全支持合作模式。全新临时保护系统在CPU内核上执行任务时间预算监管和中断率监测上提供了辅助。这样一来,ASIL C和ASIL D系统也可以实现AUTOSAR IOC,因为硬件可以监测内核之间的任何相互作用,并将之限制在预先规定的限度内。硬件强制执行封装边界,允许在将监测功能集成到现有系统中时,进行直截了当的安全论证,因为可以直接推断出“干扰免除度”。这些机制共同提供了实现“半虚拟化”所需的切入点。“半虚拟化”是朝着全“虚拟化”和管理程序迈出的务实的第一步。因为如今的汽车应用事实上并不能提供,也不严格要求运行“虚拟机”的能力。
图2:寄存器访问保护系统允许向特定CPU和DMA灵活分配外设和系统资源,强制封装好后而不受操作系统内存保护机制的影响现在,英飞凌最新推出的AURIX家族控制器实现了许多创新技术和机制,(图3)是一个可灵活扩展的解决方案,既能满足最高性能计算应用的要求,同时又为硬件带来了诸多安全特性,而不再依赖于应用级软件。随着汽车电子控制功能和特性不断呈指数级增长,在一颗单片机上托管多个产自不同厂商、具备不同安全危险程度的应用的能力,将开启通往新的域控制器架构的大门,在提高系统可靠性的同时,降低复杂度。
图3:AURIX超集框图显示了两对锁步TriCore CPU和一个高性能TriCore,可在统一片上系统架构中实现最优性能和安全性
评论