MCU實(shí)現汽車(chē)功能安全合規性

　　摘要：汽車(chē)正在不斷加強安全措施，關(guān)鍵汽車(chē)操作所使用的安全MCU 都需要遵循 ISO26262 (ASIL-D) 或 IEC61508 (SIL3) 標準。本文討論了MPC574x 等飛思卡爾公司 32 位 Qorivva 微控制器(MCU)提供的主要設計功能。這些功能可幫助最終客戶(hù)滿(mǎn)足汽車(chē) (ISO26262)/工業(yè) (IEC61508) 標準提出的安全要求。稍后我們將討論飛思卡爾SafeAssure功能安全項目，飛思卡爾將為尋求實(shí)現產(chǎn)品功能安全合規的客戶(hù)提供綜合支持。

　　功能安全要求

　　功能安全與最大限度地減少系統故障引起的危險有關(guān)。系統故障可能由于硬件/軟件錯誤引起，可能是永久性的，也可能是瞬時(shí)性的。下面描述了發(fā)生錯誤時(shí)可能出現的反應：

　　● 故障-危險：發(fā)生故障時(shí)可能造成危險;
　　● 故障-不一致：發(fā)生故障時(shí)提供的結果可能明顯不一致;
　　● 故障-停止運行：發(fā)生故障時(shí)完全停止運行;
　　● 故障-安全：發(fā)生故障時(shí)返回或保持安全狀態(tài);
　　● 故障-可以運行：發(fā)生故障時(shí)繼續正常工作;
　　● 故障-靜音：發(fā)生故障時(shí)不打擾任何人;
　　● 故障-指示：向環(huán)境指示發(fā)生了故障。

　　在系統中實(shí)施功能安全通常意味著(zhù)將故障映射到能被整個(gè)系統或伺機處理的預期反應，從而確保最大限度地減少系統故障引起的危險。

　　下一節討論了飛思卡爾片上系統實(shí)現的各種功能安全，在發(fā)生系統故障時(shí)，執行此類(lèi)映射。

　　飛思卡爾MCU設計提供的主要功能安全

　　現在深入討論針對汽車(chē)安全應用的飛思卡爾設備的主要安全特性。

　　核心鎖步

　　確保 SoC 中的內核能夠安全運行是功能安全的主要要求之一，這是因為幾乎所有的操作都以其為中心。在Qorivva微控制器MPC574x中，通過(guò)采用一個(gè)與主內核鎖步運行的檢查內核來(lái)實(shí)現安全運行。這意味著(zhù)，檢查內核執行與主內核相同的指令，內核的地址和數據總線(xiàn)在檢查單元進(jìn)行對比，以檢測運行偏差。將檢測到的錯誤報告給錯誤收集和應對模塊(見(jiàn)下文)。由于鎖步，從軟件的角度來(lái)看，兩個(gè)內核作為一個(gè)單獨的內核運行，減少軟件實(shí)施。查看下面的圖 1 所示的框圖?！　?/p>

 

　　除了內核，eDMA、中斷控制器、緩存等其他安全相關(guān)模塊可在系統中進(jìn)行復制。所有此類(lèi)復制必須在芯片上保持物理隔離，這樣，常見(jiàn)故障(CCF) 便不會(huì )影響兩個(gè)實(shí)例的運行。

　　存儲器中提供的端到端 ECC (E2EECC) 保護

　　在海明間距為 4 的情況下實(shí)現 ECC(糾錯碼)和 SECDED(單糾錯和雙糾錯)，可保護所有的存儲器存儲操作。ECC 在數據、地址信號上實(shí)現，并通過(guò)寫(xiě)操作與數據一起存儲在存儲器中。發(fā)起讀操作時(shí)，ECC 在檢索到的數據和請求的地址上重新進(jìn)行計算，并通過(guò)已存儲的 ECC 進(jìn)行驗證。

　　在Qorivva MPC574x器件中，沒(méi)有僅用于存儲器的ECC，但它提供了E2EECC，可檢測總線(xiàn)主設備和總線(xiàn)客戶(hù)端之間的所有數據路徑上的數據損壞，提供至少99%的覆蓋率。該機制如下所示。

　　1)來(lái)自主設備的數據通過(guò) ECC-SECDED 代碼進(jìn)行編碼。該數據編碼包括尋址信息覆蓋。

　　2)路徑的各個(gè)模塊包括本地機制，如確?？刂茢祿恼_發(fā)送和正確地址解碼。