汽車安全性能亟待升級 嵌入式系統把關護航

　　i.MX51/53的安全組件包括：

　　?Cortex?-A8平臺的TrustZone?架構，帶有TrustZone?中斷控制器和看門狗

　　?系統啟動的高保證啟動（HAB）特性

　　?安全控制器（SCC），有16KB的片上安全RAM

　　?對稱/不對稱散列和隨機加速器（SAHARA）

　　?運行時完整性校驗（RTIC）

　　?安全實時時鐘（SRTC）

　　?IC識別模塊（IIM），帶有片上電熔絲

　　?中央安全單元（CSU）

　　?系統JTAG控制器（SJC）

　　?多主機多內存接口（M4IF）的水印機制

　　?智能內存直接訪問（SDMA）控制器的鎖定模式

　　4.2 虛擬化

　　現代化信息娛樂系統需要滿足反方向要求。一方面，它們需要支持消費電子領域的復雜的多媒體算法、輸入設備（例如觸摸控制型輸入設備）和用戶設備（如不同的存儲介質、文件系統）。另一方面，它們必須能夠實時處理來自汽車網絡的消息，并防止在消費電子產品中好用的應用（如應用商店）在汽車中運用時不會出現故障。

　　i.MX中的硬件虛擬化特性能夠解決該問題。設計人員可以建立一個在Linux或Android?等強大的操作系統虛擬實例中運行的信息娛樂系統。另一個實例可以執行AUTOSAR?，它能夠滿足汽車領域的硬實時要求。

　　為了保護這兩個實例并為其中一個實例（如CAN控制器）分配特定的外設模塊，TrustZone架構能夠有所幫助。

　　TrustZone在非安全模式和安全模式中復制內核。根據內核模式，外設模塊能夠提供不同的視圖、行為或功能集。

　　5 安防和安全

　　在一些情況下，安防要求和安全要求相互矛盾。安防通常需要限制訪問微控制器的功能和數據，而在現場返修情況下的功能安全（即發生故障的ECU被從現場退回給制造商）則要求完全訪問微控制器或ECU的處理器，以便分析現場返修的根本原因。即將發布的功能安全標準ISO26262要求分析現場返修，以便檢測ECU的系統故障，然后啟動召回。

　　在安全生命周期中，安防和安全要求都能夠滿足。在該生命周期中，ECU通過車間、生產、現場和返修幾個狀態。通過對微控制器/處理器進行授權（如提供一個保密密鑰）改變狀態。每個狀態可用的功能和數據都是有限的，例如微控制器/處理器的調試端口在生產狀態被啟用，在現場狀態則被禁用。

　　如第3.1節所述，如果調試器被附著到微控制器，那么Qorriva MPC564xC/B系列的CSE模塊會禁用加密密鑰。禁用哪個加密密鑰取決于每個密鑰的DU（調試器用途）標識。如果設置了一個密鑰的DU標識，那么在附著了調試器后該密鑰會被禁用，因此，只要附著了該調試器，則無法使用該密鑰加密或解密數據或驗證閃存（參見第3.2.1節“安全啟動和信任鏈”）。更改DU標識需要用一個保密密鑰對微控制器進行授權。在安全生命周期中，當微控制器進入現場狀態后OEM便會設置DU標識。如果發生了現場返修，OEM可以重新設置DU標識，啟用微控制器調試，以便分析現場返修的根本原因。

　　對于調試，i.MX處理器提供以下安全級別：

　　?最高級別的安全性：完全禁用調試端口。

　　?較高級別的安全性：在調試器和i.MX處理器之間成功地進行了基于密碼的挑戰-響應認證后，調試端口被啟用。

　　?無安全性：完全啟用調試端口。

　　使用i.MX處理器中的一次性可編程熔絲配置安全級別：熔絲燃燒是一個不可逆的過程，也就是說，一旦熔絲燃燒了便不可能使熔絲返回到其原始狀態。安全級別熔絲的燃燒只能提高安全級別，也就是說，只能從“無安全性”、“較高級別的安全性”轉換為“最高級別的安全性”，而無法按相反的順序進行。

　　在安全生命周期中，當i.MX處理器進入現場狀態后OEM便會燃燒安全級別熔絲，達到“較高級別的安全性”。如果發生現場返修，在成功地進行了挑戰-響應認證后，OEM可以啟用調試端口。

　　6 總結與展望

　　安防與安全是汽車電子系統的兩個推動力。本文介紹了現代汽車微控制器和處理器的各種安全特性，這些特性保障汽車及車內人員的安全。

　　飛思卡爾Qorivva MPC564xC/B系列是第一批融合了加密模塊的面向汽車市場的微控制器。然而，通過車對車通信主動安全或通過應用商店實現汽車個性化等趨勢將進一步增加汽車領域的安全需求。