以下文章来源于SoftAuto ,作者XESW
目前正在生产的汽车是复杂功能的混合体,只有依赖越来越多的ECU才能实现这些功能。因此,按照之前的趋势,ECU的数量或越来越多,而且ECU之间的通信会越来越复杂,这种方式显然难以为继。
大多数OEM已经在研究下一代E/E架构。ECU融合、域控制器(DomainControl)、车载电脑(HPC)都是下一代E/E架构的热门词汇。所有这些都要求电子系统制造商,包括Tier-1和半导体供应商提供安全、可靠、优化解决方案的硬件和软件。
应用独占转向共享
首先我们必须意识到,前几代嵌入式处理器,比如今天在ECU中大量使用的处理器TC275、S32K、RH850等,最初是为执行单一软件应用而设计的,比如发动机控制、变速箱控制、刹车控制等。这些处理器支持嵌入式操作系统(AUTOSAR OS),用户可以在之上开发应用软件功能。应用软件的功能动划分为不同的任务,然后由操作系统来调度执行。操作系统通常运行在处理器的特权模式下,使其能够根据需要启动和停止任务。这种既定的模式对基于单一操作系统的硬件一直行之有效。(特权模式,即Supervisor模式,在该模式下可访问处理器内核、外设、中断、异常等所有寄存器和内存资源。相对应的是User模式,只能访问特定的内存资源,其他的想都甭想了。说白了,处理器也是个社会。)
然而,在未来的车辆架构中,几个应用程序将同时运行在同一硬件平台上,并有可能同时运行一个以上的操作系统。现在,特权模式突然变成了非常具有限制性,因为两个操作系统可能无法就执行的任务达成一致(现在有两个领导了,要分蛋糕了,谁也不服谁啊,所以不好办了)。此外,共存的应用程序还必须确保它们自己的私有资源(如内存和外设)不会相互干扰(如图1)。
图1. 插电式混合动力汽车(PHEV)的可能整合方案
虚拟机
这个问题的解决方案在计算机科学中早已为人所知。应用程序必须被隔离开来,以便它们可以各自在自己的专用虚拟机(VM)中运行。虚拟机是基于计算机的运行方式,就像它是一个不同种类的计算机一样,例如在PC上运行Linux或在Mac上运行视频游戏模拟器。虽然在桌面和其他IT场景中被广泛了解和使用,但虚拟机还没有在汽车中使用的嵌入式微处理器中广泛实现。一个利用其特权来协调任务的操作系统也被开发者称为Supervisor,而他们将非特权任务称为User软件。因此,使用超级权限级别的新软件系统也被称为Hypervisor,因为它的权限比Supervisor的权限级别更高。
Hypervisor的角色
Hypervisor的主要作用是通过限制或分配访问片上资源(如CPU、内存和外围模块)来定义每个虚拟机的可用功能。Hypervisor可以通过为每个虚拟机分配不同的资源份额来创建多个虚拟机。例如,它可以将CPU上的处理时间划分为时间片,并根据需要将其分配给不同的虚拟机。而且,一个虚拟机可以同时和另一个虚拟机共享一个CPU或独占多个CPU。同样,内存和外围模块可以共享或分配给单个虚拟机。同时,虚拟机需要和其他虚拟机彼此知之甚少或一无所知,并且不能访问Hypervisor未分配给它们的资源。由于这个原因,Hypervisor也有被称为VMM(VirtualMachine Monitor)。
Hypervisor利用保护机制和资源控制器,协调对内存和片上外围模块的访问。它还使用特定外围模块的部分功能。Hypervisor通常在相应的定时器的帮助下管理CPU时间的共享,该定时器告诉何时需要将CPU切换到另一个虚拟机上。
在实时应用处理器中,内存保护单元(MPU,Memory Protection Unit别想多了,不是现在热门的那个MPU微处理器)在CPU内提供必要的保护机制。通常情况下,操作系统使用MPU来释放或分配内存以运行用户任务。一个具有Supervisor权限的软件可以拥有自己的私有或共享区域,也可以根据特定的应用配置MPU。在ARMCortex-R52架构中,Hypervisor有一个额外的独立MPU,即EL2级别的MPU,具有更高的优先级,在这个更高的权限级别,每个虚拟机可用的总内存被分配。
效率的提升
必须尽量减少用于执行Hypervisor本身的处理器资源。这可以通过“资源控制器”来实现,该控制器实现了跨越整个芯片的保护机制,并对某些重要的外围模块进行细分,以便进一步分配。重要的是,这种分区完全在硬件中实现,并且也涵盖了CPU的功能。当系统即包括那些需要高度安全的应用,以及安全等级较低的应用时,情况尤其如此。
资源控制器将内存保护机制扩展到系统中的其他总线主控节点,如DMA或以太网,并增强了内核的可用内存和外围保护功能。通过这种方式,有可能在多个核上运行一个虚拟机。例如,可以为一个虚拟机分配相当于1.5个内核的处理能力,为另一个虚拟机分配2.5个内核,硬件完全支持这种分配(图2)。
图2. 一个具有四个内核的SoC在Hypervisor下运行两个虚拟机的例子
复杂性带来安全挑战
通过硬件的特定措施将多个应用程序整合到多核系统中,也增加了黑客攻击系统安全的可能性。攻击面的增加是由于该系统对来自多个来源的应用程序开放,并且新的Hypervisor配备了极高的访问权限。其中一个应用程序,特别是Hypervisor中的漏洞,可以让攻击者不仅破坏甚至接管目标应用程序,而且还可以接管整个系统。如果ECU包含一个可能危及车辆功能安全的应用,这一点尤其值得关注。安全问题可以通过多层次的方法得到最好的控制。对于ECU来说,可以通过硬件和软件的结合来实现。在启动时,ECU的代码必须经过安全认证,而且加载速度要快。在这种情况下,需要对复杂的加密算法提供硬件支持。为了满足这一要求,可以对程序代码和用户的数据进行加密,并利用相应的硬件加速(HSM)来及时解密。此外,至关重要的是,安全硬件及其密钥要受到保护,以免被正在运行的应用程序或硬件算法(如旁路攻击)所破坏(图3)。
图3. 安全运行是车辆系统安全概念中的一个要素(这个图很重要,Security在系统中要考虑的问题基本都包含了)
高性能MCU处理器平台
NXP的S32S处理器提供了一个安全而强大的平台,为Hypervisor用户提供广泛的硬件支持,并具有灵活的安全功能。为了帮助用户更快地将强大的解决方案推向市场,恩智浦已与软件供应商Open Synergy合作,将其专业知识用于开发S32S处理器系列的Hypervisor软件。COQOS Micro-Hypervisor使用S32S247处理器的功能来实现独立的虚拟机,这些虚拟机的运行达到ASIL-D安全等级(图4)。除此之外,ST的Stellar系列与NXP的S32S一样,采用ARM-Cortex-R52系列内核,支持硬件Hypervisor(图5)。以上两家都属于ARM-Cortex-R52阵营。而Infineon同样不甘落后,继续强化Tricore架构,支持基于Hypervisor的虚拟化应用(图6)。
图4. 带硬件Hypervisor以及安全引擎的S32S24处理器
图5. ST采用ARM-Cortex-R52的Stellar系列处理器
图6. Infineon的TC4系列处理器,支持虚拟化
本文部分图文引用自《汽车电子》
已完成
数据加载中