本文導讀

源于汽車ECU的安全需求，S32K3攜網絡安全和功能安全的優勢，亮相即成為行業新寵。本文將詳細展示S32K3在功能安全的方方面面。

功能安全與車規級芯片相關度很高。

通常，汽車產品的研發除了在功能上要滿足市場需求外，功能安全永遠是研發的半邊天。汽車產品如何達到項目需求的完整性級別是研發人員不得不思考的問題。在此，恩智浦S32K3系列MCU在功能安全上具有強大的安全機制，助力研發人員在產品開發上達到ASIL B或者ASIL D。

S32K3系列MCU是按照ISO 26262標準開發的，可以應用在需要滿足ASIL B或者ASIL D安全完整性等級要求的系統中。根據應用的安全相關需求，S32K3具備監控、管理和控制系統的性能，其片內的安全機制分為：

硬件安全機制

軟件安全機制

下面對這兩個安全機制進行介紹。

硬件安全機制

在片內硬件安全機制層面，S32K3安全架構主要由以下十個部分組成： 冗余硬件、防止存儲干擾、程序流監控、數據完整性、時鐘監控、電源監控、溫度監控、自檢、錯誤報告和潛在故障檢測。 硬件安全機制具體表現如下：

軟件安全機制

在片內軟件安全機制上，NXP有三個軟件產品助力開發S32K3，分別是：

1. SAF(Safety Software Framework)，安全軟件框架，作用是為符合 ISO 26262 功能安全標準的用戶安全應用建立安全基礎。軟件獲取需要付費。

2. SPD(Safety Peripheral Drivers)，安全外設驅動，是SAF中的一部分，可在NXP官網免費下載。

3. SCST(Structural Core Self-Test）Library，結構內核自測庫，作用是在運行時檢測MCU內核永久性硬件故障。軟件獲取需要付費。

這三者的關系如圖1所示。

圖 1 SAF、SPD和SCST Library軟件產品關系 下面分別對這三個軟件產品進行介紹。一、SAF(安全軟件框架)安全軟件框架(SAF)是一個包含軟件組件的軟件產品，為符合 ISO 26262 功能安全標準的用戶安全應用建立安全基礎。SAF被設計可應用在 AUTOSAR 和非 AUTOSAR 應用程序中，并且允許集成到 ASIL D 汽車安全完整性級別。1、功能

檢查硬件安全機制,即潛在故障檢測；

BIST 管理和調度，提供高可用性；

支持引導到正常或降級模式；

確保設備正確設置,能夠啟動安全功能；

處理和反應檢測到的故障；

支持局部和全局恢復策略。

2、軟件模塊組成SAF提供了硬件安全層和服務安全層的軟件模塊，總共六個軟件模塊，軟件模塊及其功能如下：

軟件模塊在硬件安全層和服務安全層分布如圖 2所示。

圖 2 NXP S32安全軟件框架內容 需要注意的是，SAF外設驅動是對RTD現有的外設驅動進行補充。3、SAF運轉流程SAF組件在引導、運行和故障恢復期間都會涉及，其在SAF運轉流程如圖3所示。組件之間交換數據使系統在給定的應用程序狀態下執行正確的測量和響應。

圖3S32安全軟件框架運轉示意圖 二、SPD(安全外設驅動)SPD是SAF的一部分，主要包含SAF中的BIST Manager和eMCEM兩個組件，它是對S32K RTD的補充，為片上外設模塊提供軟件支持。這個軟件產品是免費的，可以在NXP官網進行下載。三、SCST Library(結構內核自測庫)SCST庫是用于實時檢測內核中永久性硬件故障的軟件產品。它包含測試代碼(原子測試)，用預定義的測試向量激勵MCU核心子模塊，并觀察和評估內核邏輯響應。它通常達到90%的DC(診斷覆蓋率)。評估的詳細信息可以在診斷覆蓋率估計文檔中找到。

圖4NXPSCST庫內容示例 需要注意的是，SCST Library主要用在不使用硬件技術支持永久故障檢測MCU，所以SCST庫適合雙核使用的，但鎖步核并不適用。

結語

S32K3系列MCU是按照ISO 26262標準開發的，具有硬件安全機制和軟件安全機制，可以助力研發產品達到ADIL B/D。

審核編輯 ：李倩