《S32G3系列芯片——Boot详解》持续更新中..._nxp s32g3

一、前言

  随着车辆智能化水平的不断提升，S32G3系列芯片，作为NXP旗下面向汽车和工业市场的高性能处理器，已经成为许多工程师和开发者的首选。无论是处理实时控制任务、数据处理任务还是为复杂网络提供安全通信，S32G3系列芯片都展现出了卓越的性能。但是，强大的性能仅是基础，在这个高度依赖于数据和网络连接的时代，安全性成为了系统设计中不可或缺的一环。正是在这种背景下，Boot过程的安全性显得尤为重要！

  Boot过程是系统启动的初期阶段，是发生在系统加电后，操作系统启动之前的一段关键时期。在这一阶段，芯片需要执行一系列复杂的操作，包括自检、安全策略的校验和加载操作系统至内存中。一个安全且可靠的Boot过程能够确保加载到系统中的软件没有被篡改，是经过认证的，同时保护系统免受早期阶段的攻击。因此，正确理解并实现一个安全的Boot流程对于确保整个车载系统的安全至关重要！

  在本专栏中，我们将深入探讨S32G3系列芯片的Boot过程，从基本的引导流程及相关的众多基础概念入手，详细分析其安全启动机制，以及如何通过硬件安全引擎(HSE)实现高效的验证和加密服务。推荐按照目录顺序阅读该专栏，通篇学习后再回来重新阅读该篇章，这样一些之前看不懂的地方也许会豁然开朗，也将对S32G3系列芯片的Boot背后的安全机制有更进一步的了解。

二、启动时序概述（Boot Sequence）

——S32G3系列芯片系统上电后，遵循怎样的启动顺序？如何确保设备能正确地加载并执行芯片使用者编写的固件/应用程序？

  大家应该都听说过芯片出厂一般会固化一段代码在ROM中，这份代码是只读的，它承担着载入用户编写的固件软件的重要作用，这正是本专栏将详细介绍的Boot功能。S32G3系列芯片在硬件复位完成后，唯一可用的处理器核心位于HSE_H子系统，称为HSE_H core（HSE主要跟安全功能相关，又俗称安全核，这里的后缀_H可以看作是对产品或者性能的区分，类比iPhone 15、15Pro、15Pro Max）。这里提到的两个基本概念解释如下：

• HSE_H core: 在硬件重置后，HSE_H core开始从包含BootROM固件的HSE_H ROM模块执行固件。
• BootROM固件: 负责管理启动序列，直到它将控制权传递给其他代码。传递的具体方式取决于启动的类型——在非安全启动中，固件将控制权传递给在HSE_H子系统之外的处理器核心上（也称应用核）运行的客户软件；在安全启动中，固件将控制权传递给在HSE_H核心上运行的HSE_H固件，HSE_H固件对客户软件做完校验后才会把控制权转交给这个通过校验的客户软件。即启动过程中，BootROM固件根据启动类型（安全或非安全）来决定如何将控制权转移给系统中的下一个软件阶段。

三、启动特性（Boot Features）

  BootROM固件支持如下启动特性:

• 从外部闪存启动
• 支持安全与非安全启动模式
• 选择客户应用程序的启动核心
• 串行下载功能
• 执行设备配置数据（DCD）
• 配置和启动客户提供的自检数据
• 推进芯片生命周期状态（LifeCycle）
• 调试挑战/响应认证
• 从待机/低功耗模式启动
• 从备份程序镜像启动

  这里只是简单罗列，先不必深究每种特性的具体含义，读完本专栏将对他们有进一步的理解。

四、启动模式（Boot Mode）

  在复位时，BootROM代码配置HSE_H core的启动模式，包括内存类型、速度等，基于BootROM的启动特性S32G3支持的两种启动模式如下:

• 串行启动模式: 通过UART或CAN等接口，通常用于开发和工厂线的编程。可以通过熔断DIS_SER_BOOT保险丝来禁用此模式。
• 从外部闪存启动: 通过QuadSPI Flash、SD卡或MMC等，通常用于产品级设备。

  启动模式的配置信息是通过RCON（Reset Control: 复位控制寄存器）引脚或基于FUSE_SEL保险丝状态来决定的，通过以下三项输入判定启动模式：

• 启动模式引脚（BOOTMOD1和BOOTMOD2）
• FUSE_SEL保险丝（抑制RCON的使用，强制基于保险丝的启动）
• LC（Lifecycle）状态（阻止某些仅对特定生命周期状态有效的启动模式）

具体如下表所示：

Tip