汽車安全離不開安防，例如，只有通過安防措施保護制動ECU（電子控制單元）固件的完整性和真實性，才能保證汽車的制動安全，防止惡意修改固件等威脅。

　　安全需要安防的另一個示例是板載網絡，板載網絡將關鍵數據從傳感器傳輸到制動ECU。只有通過安防措施防止板載網絡抵御修改數據、注入消息和拒絕服務等威脅，才能保證制動ECU及時收到正確的傳感器值。

　　人們希望在汽車中推出Android?或MeeGo?等開放的軟件平臺，從而出現了一個全新的安全和安防挑戰：為了允許通過按鈕與用戶進行交互并為導航應用從汽車提取當前車速、剩余油量、行駛里程、位置等信息，軟件平臺及其應用程序需要參與板載汽車通信。然而，需要保護汽車不出應用故障。虛擬化以及運行軟件平臺（包括沙箱內的應用程序）是在ECU內實現保護的安防措施之一。

　　在上述情況下，安防措施完善了安全性。然而，在一些情況下，安防需求與安全需求相互矛盾。例如，要保護固件的保密性，在組裝了ECU后便以不可逆地方式禁用微控制器的調試端口。如果由于ECU發生故障而導致返修，那么被禁用的調試端口會導致無法在微控制器內進行根本原因分析。特別是無法分析是否有軟件、配置或硬件缺陷。新興的功能安全標準ISO26262要求調查現場返修，以便檢測系統故障，然后啟動召回。只有借助智能安防生命周期和安全調試等方法，才能滿足安全需求并在現場返修時分析根本原因。

　　本文介紹了先進的微控制器的主要安全特性，以及如何應用這些特性確保汽車安全：具體而言，本文涵蓋了安全啟動、組件保護和虛擬化。此外，本文也概述了對保證安全和處理現場返修的解決方案。

　　2 簡介

　　在過去的幾年里，汽車微控制器（MCU）的安全特性變得越來越重要。這種趨勢受到傳統的安全使用案例的推動，例如防盜裝置或組件保護，可防止汽車被盜。然而，車對車通信等新的使用案例及更高的安全性要求也增加了安全需求。對于這些用例，汽車行業開始制定安全硬件擴展（SHE）功能規范等規范，或EVITA項目提出的安全架構。

　　半導體公司開始在新一代微控制器中實施這些規范。這項工作的第一批成果之一便是Qorriva MPC564xB/C系列，該系列實現了一個易于使用的安全模塊，以滿足SHE規范要求。

　　i.MX系列等汽車處理器植根于消費電子市場，現在已經打入汽車市場，以實現最先進的駕駛員信息娛樂系統。這些處理器提供硬件安全，支持復雜的數字版權管理系統。

　　3 Qorivva MPC564xC/B系列

　　QorivvaMPC564xC/B系列32位微控制器面向安全的、新一代高端汽車車身控制模塊（BCM）和網關應用。它提供高度集成，可以滿足OEM和一級客戶對增強功能集和增加內存空間的日益增長的需求。

　　從安全性角度來看，MPC564xC/B包含一個加密服務引擎（CSE）。CSE是一組加密硬件特性，允許在ECU之間安全、可信任地傳輸信息。

　　MPC564xC/B系列還具有雙Power Architecture?內核選項，提供近300DMIP的處理功能和低功耗待機/等待模式，幫助降低功耗，還具有廣泛的通信外設集，面向與BCM/網關模塊對接的廣泛的子系統。此外，這些可擴展器件都由使能生態系統支持，該生態系統包括軟件驅動程序、操作系統和配置代碼，以幫助您快速部署您的設計。圖1展示了Qorivva MPC564xC/B框圖。

　　圖1：Qorriva MPC564xC/B框圖

　　3.1 加密服務引擎（CSE）的安全特性

　　加密服務引擎（CSE）是集成在Qorriva MPC5464中的加密硬件模塊。CSE模塊實現安全硬件擴展（SHE）功能規范中描述的安全功能。圖2展示了CSE模塊的框圖。

　　圖2：CSE框圖

　　CSE的設計包括一個帶有一組內存映射寄存器的主機接口，這些寄存器被CPU用于發起加密命令。此外，還有一個系統總線接口允許CSE直接訪問系統內存。在這里，CSE模塊的行為與任意其他主機相似。通過主機接口，應用程序可以配置和控制CSE，例如使CSE進入低功耗模式，中斷完成的命令處理或暫停命令處理。狀態和錯誤寄存器將提供深入的系統信息。如需完整的CSE命令列表，請參考MPC564xC/B參考手冊［3］。兩個專用系統閃存塊被CSE用于加密密鑰存儲。其他主機無法從系統訪問這些模塊，因此這些模塊被稱為安全閃存。