汽车功能安全之LockStepCore原理与实践

admin 2026-06-30 06:37:55 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了汽车功能安全中的LockStepCore技术原理与应用。锁步核通过主核与校验核的硬件冗余设计,实现逐周期比对运算结果以检测CPU永久性/瞬时故障,适用于ASILC/D高安全等级场景。文档具体说明了英飞凌Aurix芯片的锁步工作机制、配置寄存器操作方法及故障注入自测试方案,并引用ISO26262标准强调其在高覆盖率硬件安全机制中的价值。 综合评分: 85 文章分类: 车联网安全,技术标准,解决方案,安全建设,应用安全


cover_image

汽车功能安全之LockStep Core原理与实践

谈思实验室

2026年6月28日 18:00 上海

在小说阅读器读本章

去阅读

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

01

什么是 LockStep Core(锁步核)

先解释 Lockstep 这个词,字面意思是步调完全同步,该词汇最早源自军事场景,用来形容士兵齐步行进、所有人动作步伐保持统一,后来被引入计算机容错领域,定义为:依靠多套相同冗余硬件,在同一周期处理一模一样的指令,让多颗 CPU、内存实现高精度同步运行

我们所说的 LockStep Core,中文称作锁步核,由主核(Master Core)与校验核(Checker Core)两部分组成。两颗核接收完全一致的输入数据、执行相同运算逻辑,再通过片上硬件比较器,逐时钟周期对比主核与校验核的输出结果,英飞凌 Aurix 系列芯片就是典型应用案例,其锁步工作逻辑如下:

LockStep工作原理图

  1. 主核、校验核输入完全相同;
  2. 在校验核的输入通路插入固定时钟延时,延时周期数通常设为 2 个 cycle;
  3. 设主核输出数据为 a [i],校验核输出为 b [i],二者运算算法完全一致;
  4. 对主核输出 a [i] 做按位取反操作,再插入同等时长延时,得到信号 x [i];
  5. 最后将 x [i] 与校验核输出 b [i] 做同或运算,生成比对结果 cmp [i]。

比对判定规则:若 cmp [i]=1,代表锁步校验检出异常;若 cmp [i]=0,代表锁步校验结果正常。

相同之处

  1. 主核、校验核输入数据完全统一;
  2. 底层硬件运算逻辑、处理算法完全一致。

不同之处

  1. 延时位置区分:校验核在输入端增加延时,主核在输出端增加延时,但两边延时时钟周期数量相等;
  2. 取反操作区分:仅主核输出做信号反转,校验核无该操作,该设计用来规避共模干扰。

正常工况下,x [i] 与 b [i] 必然互为反向信号,经过按位同或后输出恒为 0,以此证明两颗 CPU 硬件运行无故障。

另外 LockStep 属于纯硬件层面的冗余防护机制,运行过程不会对上层软件造成任何影响。英飞凌 Aurix 锁步 CPU 还会同步复制以下硬件模块:

  • TriCore TC16E / TC16P 内核
  • CPU 专用特殊功能寄存器 SFR、片上控制寄存器 CSFR
  • 连接 SRI 总线的主、从接口
  • 对接 SPB 总线的主接口
  • 中断路由单元接口
  • 系统控制单元 SCU 接口
  • 程序存储区访问接口 PMI
  • 数据存储区访问接口 DMI

02

LockStep 锁步功能有什么作用

英飞凌官方安全手册明确说明:锁步依靠硬件冗余机制,检测 TriCore CPU 出现的永久性硬件故障与瞬时性偶发故障。

我们可以结合故障场景拆解理解锁步的检测能力,芯片可能出现的典型故障包含:

  1. 延时电路损坏,导致两路比对信号时序错位;
  2. CPU 算术逻辑单元 ALU 硬件失效,运算输出数值出错;
  3. 信号取反非门电路故障,无法完成输出反转;
  4. 输出传输线路发生短路、断路,造成结果异常。

只要锁步校验结果正常,就能证明上述四类硬件电路均工作完好;一旦检出永久性或瞬时故障,说明对应硬件单元出现损坏或临时失效。

故障信号会接入 SMU 安全管理单元的告警寄存器,锁步故障触发后,SMU 会发起系统复位。

锁步核心原理简单来说:使用一颗独立校验 CPU,实时监控另一颗独立主 CPU 的运行状态。

03

哪些场景需要开启 LockStep 锁步功能

根据英飞凌官方规范:功能安全等级达到 ASIL C、ASIL D 的应用场景,必须启用 LockStep;而 QM 质量管理等级、ASIL A、ASIL B 无强制开启要求。

多核 MCU 架构下,分配给 ASIL C 及以上安全等级任务的内核,均需要打开锁步功能。

04

为什么要使用 LockStep 锁步机制

ISO 26262 汽车功能安全标准第五部分硬件安全附录 D 的表 4 中明确,双核锁步是诊断覆盖率较高的处理器硬件安全机制,标准 D2.3.6 小节做了详细说明。

标准原文核心释义

1、设计目的:通过逐周期对比两颗同步运行处理单元的运算结果,尽早识别处理器内部硬件失效;

2、机制描述:单芯片集成两组对称处理内核,两颗内核以固定延时同步运行,运算结果实时比对,一旦数据不匹配则进入故障状态,通常触发系统复位。该机制对瞬时软故障、ALU 运算单元硬件失效防护效果突出;依托冗余设计,可同步覆盖存储器地址总线、配置寄存器故障检测;

3、优缺点

  1. 优势:两条运算通路无需两套独立应用软件;
  2. 劣势:双内核仅能实现单内核的运算性能;优质设计可识别并处理共因失效(例如共用时钟源故障);
  3. 局限:该方案无法覆盖系统性设计缺陷。

标准引用文献 22《Delphi Secured Microcontroller Architecture》中,完整介绍了校验 CPU 整套技术方案,也是单片机锁步架构最早的原型设计,方案组成如下:

Check CPU

  1. 主 CPU:负责 MCU 整机外设控制;
  2. 校验 CPU:与主 CPU 同步接收全部输入信号,仅向硬件比对模块输出运算结果;
  3. 硬件比对模块:对比两颗 CPU 的地址、数据、控制信号输出,检出故障后切断 ECU 对外输出;Delphi 方案中故障后 CPU 保持运行,方便故障诊断;
  4. 数据流监视器 DSM:内存映射模块,可后台自主并行测试存储器,CPU 占用总线时对数据流生成校验签名;配套辅助防护:RAM 奇偶校验、关键外设备份、独立辅助时钟振荡器与故障检测电路。

05

LockStep 锁步功能的使用方法

锁步属于硬件安全机制,操作简单,仅需配置对应寄存器完成使能即可,以英飞凌 Aurix TC39x 芯片举例:该芯片总计 6 颗内核,Core0 出厂默认锁步模式;Core1、Core2、Core3 可手动开启 / 关闭锁步;Core4、Core5 不支持锁步功能。

核心配置寄存器

1、LCLCON0、LCLCON1:锁步控制主寄存器

  1. LSEN0/LSEN1/LSEN2/LSEN3:对应 4 颗内核锁步使能位,置 1 开启锁步,置 0 关闭;
  2. LS0/LS1/LS2/LS3:只读状态位,反馈内核当前运行模式,1 代表锁步模式,0 代表普通单核模式。

2、配置限制:上述寄存器仅能由启动固件操作,通过 BMI 启动管理单元完成配置。

故障告警通路

锁步故障信号默认接入 SMU 告警通道 ALMx [0]、ALM8 [18],x 对应发生故障的内核编号。

06

LockStep 锁步功能的测试方式

1. 故障注入自测试原理

只有芯片硬件出现永久或瞬时故障才会触发锁步报错,直接硬件故障测试难度较高,因此芯片厂商内置自检电路,提供故障注入接口,TC39x 的自检逻辑如下:

故障注入工作原理图

  1. 故障生成模块负责注入故障,自由运行二进制计数器采用格雷码编码,经译码定位待测试电路节点;
  2. 自检电路每 8192 个时钟周期遍历测试全部节点,交替向比对器 A 侧、B 侧注入故障;完整一轮全节点自检周期为 16384 个时钟周期;若同一周期同时存在真实硬件故障与注入故障,两处故障会相互抵消,无法检出;
  3. 故障编码模块记录故障节点索引,输出两组数值:从最小索引向上检索到的首个故障节点、从最大索引向下检索到的首个故障节点;
  4. 锁步硬件无异常时,编码输出数值为 0 或本次自检注入故障的节点编号;系统会通过独立监视计数器校验编码数值、输入计数器数值,数值不匹配则向 SMU 上报自检故障。

2. 对应配置寄存器

LCLTEST 为锁步自检寄存器,LCLT0、LCLT1 比特分别控制 LCL0、LCL1 通路故障注入:置 0 不注入故障,置 1 开启故障注入。

故障注入寄存器

来源:

https://zhuanlan.zhihu.com/p/669171808

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自:

新势力车企:

特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企:

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商:

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上):

中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦,这可能是汽车网络安全产业最大的专属社区!

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全:TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些?

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:谈思实验室 《汽车功能安全之LockStep Core原理与实践》

评论:0   参与:  0