基于ISO26262的以太網網關硬件開發研究

曾湘文

基于ISO26262的以太網網關硬件開發研究

曾湘文

（廣州汽車集團股份有限公司汽車工程研究院，廣東 廣州 510640）

文章結合以太網網關的硬件設計，闡述在得到相應安全目標后，如何基于ISO26262進行安全等級的分解、器件的選型、硬件的設計及硬件功能安全相關參數的計算。通過文章所提出的硬件設計注意事項，設計了一款滿足功能安全要求的以太網網關。

功能安全；以太網網關；硬件設計

1 引言

隨著汽車電子的信息化、智能化及娛樂化程度越來越高，原有的CAN、LIN總線帶寬已經無法滿足后續的信息傳輸要求。目前車載以太網技術已經成為汽車行業的研究熱點，車載百兆物理層協議100 BASE T1的技術已經趨于成熟，NXP、Broadcom及Marvell等廠家已有成熟的量產芯片可供支持，后續支持1000 BASE T1芯片也開始逐漸增多，未來車載以太網在OTA、360環視及ADAS等功能上有廣闊的運用前景[1]。

正是由于汽車電子的信息化、智能化及娛樂化程度越來越高，電子產品的安全性問題也越來越嚴峻。為保證功能的安全性，國際標準化組織( ISO) 已于2011年11月發布了汽車電子電氣系統的功能安全國際標準ISO26262，為整個生命周期中與功能安全相關的工作流程、管理流程及產品設計提供了指導。

本文以某以太網網關的設計為例子介紹其主要功能，結合ISO26262標準流程，闡述從元器件選型到設計驗證的過程，最后總結了一些應用經驗和建議。

2 以太網網關的主要功能

以太網網關的系統框圖如圖1所示，物理接口有n路CAN接口、k路汽車以太網接口，j路LIN接口以及1路OBD口；內部含有大容量外部存儲器。CAN、LIN和汽車以太網接口的數量由具體的需求決定，目前主流汽車以太網協議以100BASE T1為主，OBD口一般采用100BASE Tx的協議，一般來說工業以太網接口只有1路。以太網網關的主要功能有：網絡路由、DoIP、網絡管理及FOTA等功能。

網絡路由的功能是指為CAN和CAN、CAN和ETH、CAN和LIN、LIN和ETH、ETH和ETH，各個域之間報文的相互轉發。

DoIP診斷是指通過TCP/IP和以太網使用經由UDS引入的診斷服務，由于以太網相對與CAN總線來說有更快的數據率，所以能在復雜的診斷任務和刷新應用的情況下節約時間和成本。DoIP需要使用的硬件接口為OBD口。

網絡管理功能主要包括管理整車休眠喚醒、診斷及監聽等功能。網絡管理需要使用的硬件接口為汽車以太網接口、CAN和LIN接口。

FOTA（Firmware Over-The-Air）指的是通過空中下載進行軟件升級，網關可完成程序包臨時存儲、版本管理及斷點續傳等功能，網絡數據的云端下載通過TBOX完成，下載的數據通過以太網傳輸給以太網網關，再由網關分發給各ECU。

3 安全等級和目標的確定

3.1 安全等級和目標

按照ISO26262流程基于系統功能定義進行HARA分析得出表1所示的安全目標，并進一步得出FSR、TSR及軟硬接口文檔等文檔，從而指導軟硬件設計。

表1 以太網網關安全目標

得到安全目標的流程可參照ISO2622的標準流程，本文就網關的安全目標中安全等級降級和安全狀態的確立這兩個問題進行進一步的闡述。

3.2 安全等級降級辦法

有些情況下，涉及整車安全的報文有可能等級達到B以上，比如用于某些ECU需要車速信號符合ASIL D，而目前市場上的主流車速傳感器以等級B為主，要滿足該需求，可按照ISO26262 part9 5.4.9部分內容分解為兩個獨立的車速傳感器，該兩路車速信號達到ASIL B即可滿足需求[2]。

其他具有等級D要求的信號，可以按照類似的方式進行分解以降低安全等級，以此來降低開發難度。

3.3 安全狀態的確立

網關不發報文為安全狀態，需要滿足以下條件：

（1）網關以外的ECU能夠檢測到網關不發報文的狀態。具體的操作如：網關定時發送心跳信號，其余ECU檢測即可滿足此條件。

（2）網關以外的ECU在檢測到網關不發報文時，如果整車此時尚未啟動，此時將不允許整車啟動，并報故障指示；如果整車此時已經啟動，此時故障燈亮起，但不能影響整車正常行駛。

滿足以上條件情況下，網關不發報文對于整車來說是安全的。

4 符合功能安全要求的硬件開發

4.1 器件選型

功能安全相關的器件需要滿足ISO26262-8第13章的內容，推薦按照表2進行器件選型才能夠符合安全相關器件選型的基本要求。

表2 器件選型基本要求

表2中的要求為安全相關器件的基本要求，對于MCU等復雜器件其本身就自成系統，也有相應的功能安全等級，在設計時需要綜合現有主流MCU的能力及整體成本選擇合適的MCU及硬件架構以達到安全目標，如果主流MCU的安全等級達不到安全目標的要求，可根據ISO26262-9中 5.4.9中的內容進行分解采用雙MCU的設計。

在選定MCU后，需要仔細研究其安全相關手冊，如Safety Manual等。比如在此項目中選用的MCU廠家聲稱其安全等級達到B，其Safety Manual中明確提出硬件設計需要滿足以下條件：

（1）具有外部看門狗；

（2）電源電路具有高低壓自檢測功能，當檢測到電壓不在有效范圍內時需要對MCU進行下電及復位等操作；

（3）如果輸出接口是高阻態，并且是不安全的，那么對應的管腳需要進行上下拉的設置；

（4）MCU內部邏輯出錯后，通過內部錯誤檢測功能提示外部監控芯片，外部監控芯片能夠復位MCU。

ECU的硬件設計會受到上述條件的影響，如果不能全部滿足以上條件，那需要重新配置MCU供應商的動態FMEDA表，得出相應的失效率再進行計算。

一般在選定MCU和電源芯片后，其余的芯片均在中等復雜度以下，按照表格2選擇即可。

4.2 硬件設計

在完成主要芯片的選型后進行硬件設計，滿足功能的情況下，診斷的設計按照表3的推薦進行設計。

表3 硬件診斷覆蓋率推薦要求

表3是經驗的總結，并非強制要求，如果功能安全的硬件指標的計算并不滿足，則需要針對薄弱點進行更高診斷覆蓋率的電路及軟件設計，或者選擇更高等級的器件。低中高覆蓋率的定義可以參考ISO 26262-5 附錄D的內容。

4.3 功能安全硬件指標計算及整改

硬件是否滿足功能安全的要求，除了需要按照ISO26262的流程進行開發生成相應的文檔外，以下表4中的硬件指標是必須要滿足的[3]。

表4 硬件設計失效率指標要求

其中SPFM和LFM的計算參照ISO 26262-5附錄C中的內容。

根據ISO26262-10的內容PMHF有以下公式[4]：

M為硬件隨機失效度量；

λ為該器件的殘余失效率；

λ為與該器件組成的雙點失效的器件失效率；

T為汽車生命周期，一般按照10年估計。

等級B的計算，PMHF要求是小于100FIT，可以按照以下公式簡化：

λ待評估器件外安全相關器件的失效率總和。

通過公式（2）進行近似可以不需要明確哪些器件與該器件組成雙點失效，公式（2）得到的PMHF大于公式（1）得到的數據，如果通過公式（2）得到PMHF能夠達到要求，那么該ECU肯定能達到功能安全的要求。如果是等級C以上推薦進行FTA分析，得到器件的相關項，進行精確計算。

對于低復雜度器件，失效率數據直接采用SN29500或IEC62380，中等復雜度以上器件則需要相應供應商提供數據。

低復雜度器件采用的失效率數據是SN29500，失效模式是IEC62380，分析得到數據如表5所示。

表5 初次功能安全硬件參數評估

PMHF超過100FIT，不滿足要求。

分析對應的數據，從圖2得知MCU和電源這兩部分的電路所占比重最大，應著重對這兩部分的電路及軟件進行優化，在對該部分的電路增加診斷后，通過表6數據得知，可以滿足功能安全的硬件參數要求。

表6 優化后功能安全硬件參數評估

5 結論

本文簡述了以太網網關的主要功能，闡述了符合功能安全要求的硬件設計需要的前提條件，以及在得到硬件輸入情況下如何進行器件選型、硬件的設計、硬件參數的計算及整改方法。總結功能安全的硬件設計需要注意以下幾點：（1）采用按照ISO26262 part9 5.4.9部分內容進行ASIL降級設計來減小開發難度；（2）ECU的硬件設計需要滿足MCU廠家所規定的功能安全硬件設計前提條件，如果其中的某些條件不能滿足，那么需要重置MCU的FMEDA表。（3）提高診斷覆蓋率能有助于系統硬件參數的達標。本文中的以太網網關正是基于這些注意事項，使得其硬件設計滿足功能安全的硬件參數要求。

[1] 焦育成,王碩.車載以太網網關原型淺析[C].2016中國汽車工程學 會年會論文集,2016:1995-1997.

[2] International Organization for Standardization. ISO26262-9,2011:4-9.

[3] International Organization for Standardization. ISO26262-5,2011: 16-21.

[4] International Organization for Standardization. ISO26262-10,2011: 35-36.

Design of Hardware Development of Ethernet Gateway Based on ISO26262

Zeng Xiangwen

（Guangzhou Automobile Group Co. Ltd, Automotive Engineering Research Institute, Guangdong Guangzhou 510640 )

Combined with the hardware design of Ethernet gateway, this paper expounds how to decompose the security grade, select the components, design the hardware and calculate the safety parameters of the hardware design based on ISO26262 after getting the corresponding security goal. Through the hardware design considerations presented in this paper, an Ethernet gateway is designed to meet the functional security requirements.

Function Safety; Ethernet Gateway; Hardware Design

10.16638/j.cnki.1671-7988.2021.03.008

U463.6

A

1671-7988(2021)03-27-04

U463.6

A

1671-7988(2021)03-27-04

曾湘文，就職于廣州汽車集團股份有限公司汽車工程研究院。