目前正在生產(chǎn)的汽車是復(fù)雜功能的混合體,只有依賴越來(lái)越多的ECU才能實(shí)現(xiàn)這些功能。因此,按照之前的趨勢(shì),ECU的數(shù)量或越來(lái)越多,而且ECU之間的通信會(huì)越來(lái)越復(fù)雜,這種方式顯然難以為繼。
大多數(shù)OEM已經(jīng)在研究下一代E/E架構(gòu)。ECU融合、域控制器(DomainControl)、車載電腦(HPC)都是下一代E/E架構(gòu)的熱門(mén)詞匯。所有這些都要求電子系統(tǒng)制造商,包括Tier-1和半導(dǎo)體供應(yīng)商提供安全、可靠、優(yōu)化解決方案的硬件和軟件。
應(yīng)用獨(dú)占轉(zhuǎn)向共享
首先我們必須意識(shí)到,前幾代嵌入式處理器,比如今天在ECU中大量使用的處理器TC275、S32K、RH850等,最初是為執(zhí)行單一軟件應(yīng)用而設(shè)計(jì)的,比如發(fā)動(dòng)機(jī)控制、變速箱控制、剎車控制等。這些處理器支持嵌入式操作系統(tǒng)(AUTOSAR OS),用戶可以在之上開(kāi)發(fā)應(yīng)用軟件功能。應(yīng)用軟件的功能動(dòng)劃分為不同的任務(wù),然后由操作系統(tǒng)來(lái)調(diào)度執(zhí)行。操作系統(tǒng)通常運(yùn)行在處理器的特權(quán)模式下,使其能夠根據(jù)需要啟動(dòng)和停止任務(wù)。這種既定的模式對(duì)基于單一操作系統(tǒng)的硬件一直行之有效。(特權(quán)模式,即Supervisor模式,在該模式下可訪問(wèn)處理器內(nèi)核、外設(shè)、中斷、異常等所有寄存器和內(nèi)存資源。相對(duì)應(yīng)的是User模式,只能訪問(wèn)特定的內(nèi)存資源,其他的想都甭想了。說(shuō)白了,處理器也是個(gè)社會(huì)。)
然而,在未來(lái)的車輛架構(gòu)中,幾個(gè)應(yīng)用程序?qū)⑼瑫r(shí)運(yùn)行在同一硬件平臺(tái)上,并有可能同時(shí)運(yùn)行一個(gè)以上的操作系統(tǒng)。現(xiàn)在,特權(quán)模式突然變成了非常具有限制性,因?yàn)閮蓚€(gè)操作系統(tǒng)可能無(wú)法就執(zhí)行的任務(wù)達(dá)成一致(現(xiàn)在有兩個(gè)領(lǐng)導(dǎo)了,要分蛋糕了,誰(shuí)也不服誰(shuí)啊,所以不好辦了)。此外,共存的應(yīng)用程序還必須確保它們自己的私有資源(如內(nèi)存和外設(shè))不會(huì)相互干擾(如圖1)。
虛擬機(jī)
這個(gè)問(wèn)題的解決方案在計(jì)算機(jī)科學(xué)中早已為人所知。應(yīng)用程序必須被隔離開(kāi)來(lái),以便它們可以各自在自己的專用虛擬機(jī)(VM)中運(yùn)行。虛擬機(jī)是基于計(jì)算機(jī)的運(yùn)行方式,就像它是一個(gè)不同種類的計(jì)算機(jī)一樣,例如在PC上運(yùn)行Linux或在Mac上運(yùn)行視頻游戲模擬器。雖然在桌面和其他IT場(chǎng)景中被廣泛了解和使用,但虛擬機(jī)還沒(méi)有在汽車中使用的嵌入式微處理器中廣泛實(shí)現(xiàn)。一個(gè)利用其特權(quán)來(lái)協(xié)調(diào)任務(wù)的操作系統(tǒng)也被開(kāi)發(fā)者稱為Supervisor,而他們將非特權(quán)任務(wù)稱為User軟件。因此,使用超級(jí)權(quán)限級(jí)別的新軟件系統(tǒng)也被稱為Hypervisor,因?yàn)樗臋?quán)限比Supervisor的權(quán)限級(jí)別更高。
Hypervisor的角色
Hypervisor的主要作用是通過(guò)限制或分配訪問(wèn)片上資源(如CPU、內(nèi)存和外圍模塊)來(lái)定義每個(gè)虛擬機(jī)的可用功能。Hypervisor可以通過(guò)為每個(gè)虛擬機(jī)分配不同的資源份額來(lái)創(chuàng)建多個(gè)虛擬機(jī)。例如,它可以將CPU上的處理時(shí)間劃分為時(shí)間片,并根據(jù)需要將其分配給不同的虛擬機(jī)。而且,一個(gè)虛擬機(jī)可以同時(shí)和另一個(gè)虛擬機(jī)共享一個(gè)CPU或獨(dú)占多個(gè)CPU。同樣,內(nèi)存和外圍模塊可以共享或分配給單個(gè)虛擬機(jī)。同時(shí),虛擬機(jī)需要和其他虛擬機(jī)彼此知之甚少或一無(wú)所知,并且不能訪問(wèn)Hypervisor未分配給它們的資源。由于這個(gè)原因,Hypervisor也有被稱為VMM(VirtualMachine Monitor)。
Hypervisor利用保護(hù)機(jī)制和資源控制器,協(xié)調(diào)對(duì)內(nèi)存和片上外圍模塊的訪問(wèn)。它還使用特定外圍模塊的部分功能。Hypervisor通常在相應(yīng)的定時(shí)器的幫助下管理CPU時(shí)間的共享,該定時(shí)器告訴何時(shí)需要將CPU切換到另一個(gè)虛擬機(jī)上。
在實(shí)時(shí)應(yīng)用處理器中,內(nèi)存保護(hù)單元(MPU,Memory Protection Unit別想多了,不是現(xiàn)在熱門(mén)的那個(gè)MPU微處理器)在CPU內(nèi)提供必要的保護(hù)機(jī)制。通常情況下,操作系統(tǒng)使用MPU來(lái)釋放或分配內(nèi)存以運(yùn)行用戶任務(wù)。一個(gè)具有Supervisor權(quán)限的軟件可以擁有自己的私有或共享區(qū)域,也可以根據(jù)特定的應(yīng)用配置MPU。在ARMCortex-R52架構(gòu)中,Hypervisor有一個(gè)額外的獨(dú)立MPU,即EL2級(jí)別的MPU,具有更高的優(yōu)先級(jí),在這個(gè)更高的權(quán)限級(jí)別,每個(gè)虛擬機(jī)可用的總內(nèi)存被分配。
效率的提升
必須盡量減少用于執(zhí)行Hypervisor本身的處理器資源。這可以通過(guò)“資源控制器”來(lái)實(shí)現(xiàn),該控制器實(shí)現(xiàn)了跨越整個(gè)芯片的保護(hù)機(jī)制,并對(duì)某些重要的外圍模塊進(jìn)行細(xì)分,以便進(jìn)一步分配。重要的是,這種分區(qū)完全在硬件中實(shí)現(xiàn),并且也涵蓋了CPU的功能。當(dāng)系統(tǒng)即包括那些需要高度安全的應(yīng)用,以及安全等級(jí)較低的應(yīng)用時(shí),情況尤其如此。
資源控制器將內(nèi)存保護(hù)機(jī)制擴(kuò)展到系統(tǒng)中的其他總線主控節(jié)點(diǎn),如DMA或以太網(wǎng),并增強(qiáng)了內(nèi)核的可用內(nèi)存和外圍保護(hù)功能。通過(guò)這種方式,有可能在多個(gè)核上運(yùn)行一個(gè)虛擬機(jī)。例如,可以為一個(gè)虛擬機(jī)分配相當(dāng)于1.5個(gè)內(nèi)核的處理能力,為另一個(gè)虛擬機(jī)分配2.5個(gè)內(nèi)核,硬件完全支持這種分配(圖2)。
復(fù)雜性帶來(lái)安全挑戰(zhàn)
通過(guò)硬件的特定措施將多個(gè)應(yīng)用程序整合到多核系統(tǒng)中,也增加了黑客攻擊系統(tǒng)安全的可能性。攻擊面的增加是由于該系統(tǒng)對(duì)來(lái)自多個(gè)來(lái)源的應(yīng)用程序開(kāi)放,并且新的Hypervisor配備了極高的訪問(wèn)權(quán)限。其中一個(gè)應(yīng)用程序,特別是Hypervisor中的漏洞,可以讓攻擊者不僅破壞甚至接管目標(biāo)應(yīng)用程序,而且還可以接管整個(gè)系統(tǒng)。如果ECU包含一個(gè)可能危及車輛功能安全的應(yīng)用,這一點(diǎn)尤其值得關(guān)注。安全問(wèn)題可以通過(guò)多層次的方法得到最好的控制。對(duì)于ECU來(lái)說(shuō),可以通過(guò)硬件和軟件的結(jié)合來(lái)實(shí)現(xiàn)。在啟動(dòng)時(shí),ECU的代碼必須經(jīng)過(guò)安全認(rèn)證,而且加載速度要快。在這種情況下,需要對(duì)復(fù)雜的加密算法提供硬件支持。為了滿足這一要求,可以對(duì)程序代碼和用戶的數(shù)據(jù)進(jìn)行加密,并利用相應(yīng)的硬件加速(HSM)來(lái)及時(shí)解密。此外,至關(guān)重要的是,安全硬件及其密鑰要受到保護(hù),以免被正在運(yùn)行的應(yīng)用程序或硬件算法(如旁路攻擊)所破壞)。
高性能MCU處理器平臺(tái)
NXP的S32S處理器提供了一個(gè)安全而強(qiáng)大的平臺(tái),為Hypervisor用戶提供廣泛的硬件支持,并具有靈活的安全功能。為了幫助用戶更快地將強(qiáng)大的解決方案推向市場(chǎng),恩智浦已與軟件供應(yīng)商O(píng)pen Synergy合作,將其專業(yè)知識(shí)用于開(kāi)發(fā)S32S處理器系列的Hypervisor軟件。COQOS Micro-Hypervisor使用S32S247處理器的功能來(lái)實(shí)現(xiàn)獨(dú)立的虛擬機(jī),這些虛擬機(jī)的運(yùn)行達(dá)到ASIL-D安全等級(jí)(圖4)。除此之外,ST的Stellar系列與NXP的S32S一樣,采用ARM-Cortex-R52系列內(nèi)核,支持硬件Hypervisor(圖5)。以上兩家都屬于ARM-Cortex-R52陣營(yíng)。而Infineon同樣不甘落后,繼續(xù)強(qiáng)化Tricore架構(gòu),支持基于Hypervisor的虛擬化應(yīng)用(圖6)。
轉(zhuǎn)載汽車電子相關(guān)文章
轉(zhuǎn)自汽車電子與軟件
