汽车行业正在经历一场巨大的技术变革。为了采用可持续能源解决方案，电动化正在迅速普及。自动驾驶预计将拯救无数人的生命，并减少道路交通事故。车厂希望通过未来的软件定义汽车 (SDV)[1] 为客户提供更好的功能和全新的体验。

上述这些汽车趋势都有一个共同点：它们都需要安全稳定的系统才能成功。包括 Arm 在内的整个汽车供应链都在极力构建适合新一代汽车的安全系统。

Arm Cortex-M 系列被广泛用作汽车微控制器 (MCU) 的主要核心，以及许多汽车 SoC 的配套核心。合作伙伴可借助这些核心自带的诸多安全功能，有效地实现安全目标。近期，Arm Cortex-M55[2] 成为了众多经过安全评估的处理器中的新成员。这让 Arm 的合作伙伴更加确信，Arm 市场领先的产品符合最高的安全标准。

标准推动行业发展

汽车和工业行业依靠功能安全标准将安全相关组件部署到终端产品中。Arm 的安全就绪[3]战略旨在提供基于 ISO 26262 和 IEC 61508 标准的全面产品。这些标准不仅为安全关键系统的开发提供了关键框架、要求和指南，而且提供了基于风险评估分析的不同 ASIL/ SIL 等级，并给出了合规所需实现的具体目标指标。

为帮助汽车行业打造出色的解决方案，Arm 在安全相关产品方面提供高达 ASIL D 等级的系统能力，并提供基于特定配置的 ASIL B/D 等级的诊断能力。

通过复制来进行诊断

ASIL D 代表最高等级的潜在风险，并需要最严格的方法来管理故障。例如，制动系统、电池管理系统、电动汽车 (EV) 车载充电系统和安全气囊系统就被归类为 ASIL D 等级，因为这些系统一旦出现故障可能会造成严重后果。

为达到这种等级的汽车安全完整性，可采用的一种方法是冗余，这种方法通常被认为是实现 ASIL D 的最有效途径。当一个系统执行一项任务后，能与另一个完成了相同任务的相同系统进行比较，若两者结果相同，则表示该系统的表现跟预期一样；若结果不同，则表示其中一个系统出错了。后续可以设法解决该错误，例如重新启动系统或重新执行任务。

对于需要达到 ASIL D 等级的应用，拥有具备此功能的 CPU 核心意味着您可以轻松地从最底层开始确保安全无虞。Arm Cortex-M55 提供了一个可配置的选项来实现双核锁步 (DCLS)，双核锁步设计了计算内核的一个副本。该功能可以有效地创建必要的故障检测，在计算内核层面达到 ASIL D 硬件指标。如此一来，合作伙伴就可以专注于系统层面的安全性。

Cortex-M55 已通过 Exida 对 DCLS 配置中的 ASIL D 系统和诊断故障进行了评估。Arm 的合作伙伴可以将其集成到自己的系统级评估中，从而更有信心在设计中达到 ASIL D 等级。如此一来，可以更快完成汽车设计，缩短产品上市时间，并使车厂能够实现汽车安全上路。

在较低风险的 ASIL 等级中提高面积效率

ASIL B 系统的风险等级较低，但仍需要采取适当的机制来确保各种故障得到妥善处理。例如，车身控制、照明和发动机控制功能等应用如果出现故障，会增加发生危险的可能性。

DCLS 是芯片集成商实现 ASIL B 等级的一种方法，但如果复制计算内核，则会增加功耗和面积。由于这些都是重要的设计参数，尽管为实现 ASIL D 而增加的成本被普遍接受，但如果 DCLS 方法打破了 ASIL B 等级的面积限制怎么办？因此，结合使用几种安全机制可能是更具成本效益的方法。

为了帮助合作伙伴达到 ASIL B 指标，并使用户能够实现自身的安全目标，Cortex-M55 具有多种不需要完全复制计算内核的功能。其中包括：

瞬时故障保护 (TFP)：ISO26262 要求考虑瞬时故障，根据应用情况，可能需要作为设计的一部分加以解决。定期测试并不能找出所有故障，因为它们来去不定，所以需要另一种方法。TFP 提供了一种检测瞬时故障，并在检测到故障时发出错误消息的机制。

紧耦合存储器 (TCM) 和缓存纠错码 (ECC)：ECC 提供了一种有效检测存储器故障的方式。通过使用压缩的错误代码来检查数据的有效性，它可以纠正单比特错误。

内存内置自检 (MBIST) 控制器：存储器在系统或组件设计中可能占据较大比例。借助 MBIST 控制器，可以在车辆中的应用运行期间有效地测试存储器和 ECC 逻辑，而不影响功能运行。

软件测试库 (STL) (仍在开发中)：STL[4]提供了一种测试处理器功能逻辑的方式，可以检测运行期间的故障。更重要的是，这类测试可以在规定的时间内快速运行，尽可能降低对应用性能的影响。

除了 STL 之外，Cortex-M55 还具有其他对双核和单核配置均有利的安全功能：

接口保护

设计系统时，内核并非唯一的组件。总线接口保护为系统设计者提供了一种超出处理器边界的保护方式。

内存保护单元 (MPU)

当 MCU 上运行的某个任务从不适合该任务的区域请求数据时，就会发生错误。MPU 可以对内存进行空间分区来执行特定任务，并进行编程，使某些区域被不适当地访问时产生故障。

根据具体的应用情况，适合采用上述一个或多个功能，并且可以与系统级安全功能相结合，以满足 ASIL B 指标要求。Cortex-M 系列的优点在于灵活性，合作伙伴可灵活地在设计中选择要启用或关闭的功能。上述所有安全功能都可自由选择，合作伙伴可以自行决定如何实现自身的安全目标以满足车厂的需求。

Arm 架构是汽车安全的基石

从高性能到高能效 CPU 核心，安全性始终是汽车应用的基础。Cortex-M 系列体现了 Arm 致力于实现高能效的功能安全。Cortex-M55 获得了行业认可的官方认证，这给予了合作伙伴和整个行业更多的信心，让他们能够继续推进基于 Arm 架构的设计、产品和应用。而这也是 Arm 今后持续发力汽车市场的又一个重要里程碑。