发动机控制系统软件安全架构设计.pdfVIP

发动机控制系统软件安全架构设计 牛建彬 （上海北汇信息科技有限公司北京办事处，北京市海淀区中关村东路 18 号财智国际大厦C1811 室，100083，niujianbin@ ） 摘要：在发动机管理系统软件开发中，软件所要实现的功能和软件复杂度均以指数趋势增长，发动机管理系统 已成为以百万行计算的软件密集型系统(Software Intensive System)，软件质量控制、软件架构设计、软件的 开发过程和管理也是开发者不得不面临的挑战，时下，因软件质量问题而召回车辆的事件频频发生，为降低由 安全问题而导致的维护成本或召回风险，提高发动机软件功能安全等级成为解决问题的关键途径。本文针对发 动机管理系统，对其软件的安全架构进行了设计。 关键词：软件架构 监控 软件安全等级 软件安全属于功能安全的重要组成部分，多家组织机构对根据自身行业对软件安全制定了 标准和指导文档，其中比较成熟的标准有NASA.STD 一 8719.13A、MIL-STD-882C、IEC61508-7 和 ISO26262。在软件安全的具体实施中，一般遵循以下流程：软件安全设计计划、软件安全的 功能定义和描述、软件安全风险和需求分析、软件安全架构设计，软件安全设计、测试、评估。 针对发动机管理系统，采用双处理器的冗余的安全设计方案，以软件安全监控概念为核心，从 处理器监控（Level 3）、系统功能监控（Level 2）、功能安全实现（Level 1）3 个层次来保证 发动机管理系统的软件安全。其框架图如下： 图1 发动机软件安全架构 双处理器的架构在结构上包括了基于软件的时间冗余架构和基于硬件的非对称的安全架构， 相对于单处理器结构，降低了软件复杂度、提高了软件的可靠性。以ISO26262 中安全级别做参 考，在同等的软件性能和复杂度下，如果在单核的系统中可能只能满足ASIL B 级别对于软件的 要求，那么在双处理器结构中系统则可能达到ASIL D 级别对于软件的要求。在图1所示架构中， 主处理器负责采集汽油机系统的所有信号，控制所有执行器，完成功能实现、功能监控和处理 器监控三部分功能；监控处理器则采集系统监控必要的输入信号，根据监控逻辑判断主处理器 的状态，如果主处理器出现故障，必要时，监控处理器可以控制外围执行器的执行。主处理器 选择PowerPC 架构的MPC56XX 系列微控制器，监控处理器选择MC9S12 系列微控制器。两控制器 通过SPI 实现通信。 安全架构的设计是融合在整个控制器软件架构之内的，控制器软件架构如图2 所示，功能 软件可以分为车辆功能软件和汽油发动机控制功能软件。车辆功能软件实现整个车辆的控制， 包括车辆的运动控制、整车扭矩控制、发动机位置判断、通信等适用于汽油机和柴油机系统的 控制。汽油发动机控制功能包括汽油机的喷油控制、点火控制、启动控制、进气控制等功能模 块。安全架构的核心就是对系统运行的监控，监控的实现依赖系统的诊断功能。 在基础软件中，各底层模块功能根据各自特点也需要相应的安全诊断，如实时操作系统安 全设计、看门狗安全诊断、控制器I/O 诊断以及COMM Software 中的诊断协议、标定协议等安 [5] 全机制设计。为了满足更高安全等级的要求，在底层软件中加入安全监控层日趋流行 。本文 重点讨论重要信号和功能的安全架构设计，并针对系统功能监控（Level 2 ）、处理器监控（Level 3 ）展开论述，功能安全实现（Level 1 ）不是本文涉及的内容。 图2 控制器软件架构 1、监控架构平台搭建 1.1 SPI 通信设计 主处理器和监控处理器通过全双工方式进行通信，监控处理器作为主节点(Master），主处 理器作为从节点（Slave），通信状态有Power on 、Init、Normal、Disable 4 种状态，其状态 转换关系如下图3。 Power on Error Init