MCU實現(xiàn)汽車功能安全合規(guī)性

　　摘要：汽車正在不斷加強安全措施，關鍵汽車操作所使用的安全MCU 都需要遵循 ISO26262 (ASIL-D) 或 IEC61508 (SIL3) 標準。本文討論了MPC574x 等飛思卡爾公司 32 位 Qorivva 微控制器(MCU)提供的主要設計功能。這些功能可幫助最終客戶滿足汽車 (ISO26262)/工業(yè) (IEC61508) 標準提出的安全要求。稍后我們將討論飛思卡爾SafeAssure功能安全項目，飛思卡爾將為尋求實現(xiàn)產品功能安全合規(guī)的客戶提供綜合支持。

　　功能安全要求

　　功能安全與最大限度地減少系統(tǒng)故障引起的危險有關。系統(tǒng)故障可能由于硬件/軟件錯誤引起，可能是永久性的，也可能是瞬時性的。下面描述了發(fā)生錯誤時可能出現(xiàn)的反應：

　　● 故障-危險：發(fā)生故障時可能造成危險;
　　● 故障-不一致：發(fā)生故障時提供的結果可能明顯不一致;
　　● 故障-停止運行：發(fā)生故障時完全停止運行;
　　● 故障-安全：發(fā)生故障時返回或保持安全狀態(tài);
　　● 故障-可以運行：發(fā)生故障時繼續(xù)正常工作;
　　● 故障-靜音：發(fā)生故障時不打擾任何人;
　　● 故障-指示：向環(huán)境指示發(fā)生了故障。

　　在系統(tǒng)中實施功能安全通常意味著將故障映射到能被整個系統(tǒng)或伺機處理的預期反應，從而確保最大限度地減少系統(tǒng)故障引起的危險。

　　下一節(jié)討論了飛思卡爾片上系統(tǒng)實現(xiàn)的各種功能安全，在發(fā)生系統(tǒng)故障時，執(zhí)行此類映射。

　　飛思卡爾MCU設計提供的主要功能安全

　　現(xiàn)在深入討論針對汽車安全應用的飛思卡爾設備的主要安全特性。

　　核心鎖步

　　確保 SoC 中的內核能夠安全運行是功能安全的主要要求之一，這是因為幾乎所有的操作都以其為中心。在Qorivva微控制器MPC574x中，通過采用一個與主內核鎖步運行的檢查內核來實現(xiàn)安全運行。這意味著，檢查內核執(zhí)行與主內核相同的指令，內核的地址和數據總線在檢查單元進行對比，以檢測運行偏差。將檢測到的錯誤報告給錯誤收集和應對模塊(見下文)。由于鎖步，從軟件的角度來看，兩個內核作為一個單獨的內核運行，減少軟件實施。查看下面的圖 1 所示的框圖?！　?/p>

 

　　除了內核，eDMA、中斷控制器、緩存等其他安全相關模塊可在系統(tǒng)中進行復制。所有此類復制必須在芯片上保持物理隔離，這樣，常見故障(CCF) 便不會影響兩個實例的運行。

　　存儲器中提供的端到端 ECC (E2EECC) 保護

　　在海明間距為 4 的情況下實現(xiàn) ECC(糾錯碼)和 SECDED(單糾錯和雙糾錯)，可保護所有的存儲器存儲操作。ECC 在數據、地址信號上實現(xiàn)，并通過寫操作與數據一起存儲在存儲器中。發(fā)起讀操作時，ECC 在檢索到的數據和請求的地址上重新進行計算，并通過已存儲的 ECC 進行驗證。

　　在Qorivva MPC574x器件中，沒有僅用于存儲器的ECC，但它提供了E2EECC，可檢測總線主設備和總線客戶端之間的所有數據路徑上的數據損壞，提供至少99%的覆蓋率。該機制如下所示。

　　1)來自主設備的數據通過 ECC-SECDED 代碼進行編碼。該數據編碼包括尋址信息覆蓋。

　　2)路徑的各個模塊包括本地機制，如確?？刂茢祿恼_發(fā)送和正確地址解碼。