MCU實現(xiàn)汽車功能安全合規(guī)性

　　摘要：汽車正在不斷加強安全措施，關(guān)鍵汽車操作所使用的安全MCU 都需要遵循 ISO26262 (ASIL-D) 或 IEC61508 (SIL3) 標準。本文討論了MPC574x 等飛思卡爾公司 32 位 Qorivva 微控制器(MCU)提供的主要設計功能。這些功能可幫助最終客戶滿足汽車 (ISO26262)/工業(yè) (IEC61508) 標準提出的安全要求。稍后我們將討論飛思卡爾SafeAssure功能安全項目，飛思卡爾將為尋求實現(xiàn)產(chǎn)品功能安全合規(guī)的客戶提供綜合支持。

　　功能安全要求

　　功能安全與最大限度地減少系統(tǒng)故障引起的危險有關(guān)。系統(tǒng)故障可能由于硬件/軟件錯誤引起，可能是永久性的，也可能是瞬時性的。下面描述了發(fā)生錯誤時可能出現(xiàn)的反應：

　　● 故障-危險：發(fā)生故障時可能造成危險;
　　● 故障-不一致：發(fā)生故障時提供的結(jié)果可能明顯不一致;
　　● 故障-停止運行：發(fā)生故障時完全停止運行;
　　● 故障-安全：發(fā)生故障時返回或保持安全狀態(tài);
　　● 故障-可以運行：發(fā)生故障時繼續(xù)正常工作;
　　● 故障-靜音：發(fā)生故障時不打擾任何人;
　　● 故障-指示：向環(huán)境指示發(fā)生了故障。

　　在系統(tǒng)中實施功能安全通常意味著將故障映射到能被整個系統(tǒng)或伺機處理的預期反應，從而確保最大限度地減少系統(tǒng)故障引起的危險。

　　下一節(jié)討論了飛思卡爾片上系統(tǒng)實現(xiàn)的各種功能安全，在發(fā)生系統(tǒng)故障時，執(zhí)行此類映射。

　　飛思卡爾MCU設計提供的主要功能安全

　　現(xiàn)在深入討論針對汽車安全應用的飛思卡爾設備的主要安全特性。

　　核心鎖步

　　確保 SoC 中的內(nèi)核能夠安全運行是功能安全的主要要求之一，這是因為幾乎所有的操作都以其為中心。在Qorivva微控制器MPC574x中，通過采用一個與主內(nèi)核鎖步運行的檢查內(nèi)核來實現(xiàn)安全運行。這意味著，檢查內(nèi)核執(zhí)行與主內(nèi)核相同的指令，內(nèi)核的地址和數(shù)據(jù)總線在檢查單元進行對比，以檢測運行偏差。將檢測到的錯誤報告給錯誤收集和應對模塊(見下文)。由于鎖步，從軟件的角度來看，兩個內(nèi)核作為一個單獨的內(nèi)核運行，減少軟件實施。查看下面的圖 1 所示的框圖。　　

 

　　除了內(nèi)核，eDMA、中斷控制器、緩存等其他安全相關(guān)模塊可在系統(tǒng)中進行復制。所有此類復制必須在芯片上保持物理隔離，這樣，常見故障(CCF) 便不會影響兩個實例的運行。

　　存儲器中提供的端到端 ECC (E2EECC) 保護

　　在海明間距為 4 的情況下實現(xiàn) ECC(糾錯碼)和 SECDED(單糾錯和雙糾錯)，可保護所有的存儲器存儲操作。ECC 在數(shù)據(jù)、地址信號上實現(xiàn)，并通過寫操作與數(shù)據(jù)一起存儲在存儲器中。發(fā)起讀操作時，ECC 在檢索到的數(shù)據(jù)和請求的地址上重新進行計算，并通過已存儲的 ECC 進行驗證。

　　在Qorivva MPC574x器件中，沒有僅用于存儲器的ECC，但它提供了E2EECC，可檢測總線主設備和總線客戶端之間的所有數(shù)據(jù)路徑上的數(shù)據(jù)損壞，提供至少99%的覆蓋率。該機制如下所示。

　　1)來自主設備的數(shù)據(jù)通過 ECC-SECDED 代碼進行編碼。該數(shù)據(jù)編碼包括尋址信息覆蓋。

　　2)路徑的各個模塊包括本地機制，如確保控制數(shù)據(jù)的正確發(fā)送和正確地址解碼。