开发背景:

汽车电控系统的电气化、智能化发展日趋复杂，对于电子电气架构的安全性要求也越来越高。通过对道路车辆应用场景的HARA分析，为了使安全目标被降级分解、保持危害发生可能性低于风险的受限值，汽车功能安全越来越受到重视。近年来，在功能安全标准上参考ISO 26262；在软件架安全架构上参考E-GAS分层。在电子电气系统中，应用SEooC(safety element out of context)进行设计开发。

ECU产品的功能安全工程师，根据半导体供应商提供的Safety Manual中列出的大量应用安全机制结合自身产品需求来查漏补缺，进一步筛选出需要根据开发的FMEDA配置来确定具体需要使用哪些模块的诊断软件开发。一般来说，ASIL级别越高，需要实现的安全措施就越多，而这需要付出相当大的工作量和落地门槛：

Ø  昂贵成本（较多未用模块冗余）、芯片内置安全机制开发对半导体厂商依赖度极高；

Ø  软件团队的开发精力集中在ECU级而非MCU级，多芯片搭配较难落地安全机制。

应对客户上述困扰，知从木牛Safety Frame产品不仅适配MCU芯片，也为特定ASIL-x等级SBC的供电系统、时序监控系统，甚至集成外设SOC专用芯片驱动，按照ISO 26262-5(2011) Clause 8中介绍的2个度量：Single-point fault metric(单点故障度量)和Latent-fault metric(潜伏故障度量)做安全分析，针对不同的ASIL等级要求和故障失效分析方法均要求其达到单点故障度量和潜伏故障度量提供基础软件平台功能安全库的保障。

知从科技推出SAFETY FRAME为各车载控制器客户提供诚挚的ASIL等级分解咨询、FMEDA分析过程支持、芯片级自检安全机制开发、SafetyFrame配置与软件集成等全流程功能安全服务。

产品特点:

知从科技推出SAFETY FRAME产品的功能和特性如下：

Ø  知从木牛配置工具支持AUTOSAR 4.2.2和AUTOSAR 4.4标准；

Ø  Safety Frame安全等级ASIL-B，额外安全机制可支持最高ASIL-D安全等级应用需求；

Ø  按照ASPICE软件开发流程，实现从客户需求、MCU Safety Manual、安全库代码、测试报告的可追溯性；

Ø  Safety Frame安全软件架构自主设计中，结合了EGAS Monitoring Controller监控机制；

Ø  SwLib自检库Safety Mechanism实现软件程序流监控并包含E2E功能，调用接口灵活，分担客户重新开发工作量；

Ø  该产品做为AUTOSAR Complex Driver组件集成，兼容半导体供应商MCAL驱动包；

Ø  管理内部看门狗系统，可选配集成知从SBC产品库，实现完整Safety WdgM功能；

Ø  Test Manager集成MCU故障收集Driver（eg.SMU/FCCU）可支持客户产品Safety Goal对FTTI时间需求的安全关断监控设计；

Ø  芯片自检库TestLib支持各模块按需可裁剪的定制化开发，适应开发周期较短项目，代码精简且缩减软件容量；

Ø  针对某些客户ECU产品的非AUTOSAR软件架构，知从SafetyFrame具有良好的软件集成兼容性。

配置工具:

i.          知从木牛工具实现对Safety Frame产品的MCU芯片配置：

ii.          知从木牛工具实现对Safety Frame产品的SBC芯片配置：

软件测试:

过程文档:

功能安全评估报告：

申请评估中。

功能安全证书：

申请认证中。

  知从木牛（ ZC.MuNiu ）为汽车电子控制器产品开发，提供完整的基础软件平台解决方案。知从 Safety Frame 是通过知从木牛平台上位机配置工具进行界面化配置的芯片功能安全库软件包，它依据ISO 26262-10做独立安全单元（SEooC）研发完成关键器件 Module 基于 AOU 诊断覆盖度需求的内置安全机制设计，针对汽车控制器中的MCU、SBC 进行功能安全库及软件架构的定制开发。

知从木牛 Safety Frame 产品包含三大组件：

 本产品现已适配开发的半导体芯片厂商的系列型号：

知从木牛 Safety Frame 产品可应用于针对功能安全 ASIL 等级有需求的汽车控制器。

例如：

Ø智能驾驶控制器(ADAS)

Ø智能网关控制器(Gateway)

Ø智能刹车系统(iBooster)

Ø车身稳定控制(ESC/Onebox)

Ø电动助力转向(EPS)

Ø电子驻车系统(EPB)

Ø电池管理系统(BMS)

Ø车身控制器(BCM)

Ø发动机管理系统(EMS)

ØDC/DC 控制器

 本安全手册是为有经验的硬件、基础软件工程师和功能安全工程师编写的，以说明 Safety Frame 功能安全软件库分别将 MCU&SBC 相关安全机制集成到客户应用产品的(子)系统中的产品概况。我们的软件集成工程师可支持和确保该平台产品功能安全库程序的集成服务，并符合适当的应用程序标准，协助客户实现上述汽车控制器达到 ISO26262 ASIL-D 的等级要求。

1. Safety Frame 产品的 NXP S32K 系列芯片软件配置：

   

2. Safety Frame 产品的 NXP PowerPC 系列芯片软件配置：

   

3. Safety Frame 产品的英飞凌 AURIX 2G TC3xx 软件配置：

   

4. Safety Frame 产品的英飞凌 AURIX 1G TC275 软件配置：

   

5. Safety Frame产品的意法 SPC58NH 软件配置：

   

6. Safety Frame产品的意法 SPC58NN 软件配置：

       SAFETY FRAME 包括 MCU 内部模块自检测试（即 SF.MCU）和 SBC 硬件安全机制的驱动(即 SF.SBC)，SF.Architecture 的核心模块为 Test Manager，用于 MCU&SBC 的 Safety Library 调度管理，包括 Safety Wdgm、Safety SBC/ASIC 驱动模块调度、与应用层 PFC(Program Flow Check)接口等，其包含 3 个库接口模块：

ØTestLib--实现 MCU 芯片模块的检测。

ØDriverLib--实现 MCU 芯片模块的驱动。

ØSwLib--用户常用的数字签名库、端到端保护库等接口。

       SAFETY FRAME 在软件模块化分层原则上，将 Function Controller 和 Monitoring Controller 分别由 SF.MCU 和 SF.SBC 实现，并部署在 EGAS Level2 和 Level3 层级，充分考虑了程序流监控和关断路径设计的应用需求。

木牛软件著作权登记证书

知从木牛SAFETYFRAME产品证书

点击下载产品手册