面向安全要求严苛的应用的飞思双核控制器系列

面向安全要求严苛的应用的飞思卡尔双核控制器系列作者: 飞思卡尔半导体公司（德国慕尼黑）汽车底盘及安全营销经理 Marc Osajda 2009 年 12 月1 引言电子稳定性控制、动力转向与自适应巡航控制有什么共同之处？对于系统设计师来说，设计出此类系统、同时满足一流的功能性安全要求是一项极具挑战性的任务。应用功能的数量和复杂性都在上升，开发成本压力很高，走向市场的时间在缩短。针对采用复杂的控制算法、且安全要求严苛的应用的设计工程师，看似有广泛的系统架构进行选择。然而，当今现有的大多数微控制器解决方案或者缺乏灵活性，不能支持各种功能性安全概念，或者要求在安全软件方面投入很大。另一方面，额外的软件增加了复杂度并更容易导致系统故障。因而，我们为 MPC564xL系列双核控制器的开发提出了以下的口号：高效提供最高性能水平（以更少的投入，实现更多产出），更低的时钟频率，并实现智能外围协调灵活构建一种支持多重安全架构的双核概念并让用户在性能和安全水平之间取得平衡安全形成一个符合 SIL3/ASIL D 标准的安全概念并通过在硬件中加入关键安全组件和自测功能降低软件复杂度2 功能性安全概念2.1 业界趋势随着价值更高的车载功能的推出和持续的汽车电气化趋势，可编程电子系统（而非机械部件）越来越多地承担着安全要求严苛的功能。这些系统的复杂度决定了完全确定所有潜在的故障模式或检测所有可能的行为是不可能的。因而，系统工程师面临的挑战是，要设计出能够防止危险故障发生或至少在故障发生的时候提供足够控制的控制单元。危险故障可能由以下原因引起： 随机硬件故障机制 系统性硬件故障机制 软件错误 共因故障这些故障模式对于电子控制单元设计来说是一大挑战，而且对于微控制器等复杂部件来说，它们是相关联的。因此，IEC61508 和 即将生效的 ISO26262等业界标准确定了四个安全真实性等级，每个对应某一安全功能出现故障的概率范围。2.2 飞思卡尔安全概念原理在安全要求严苛应用的双核控制器设计方面，飞思卡尔已经拥有十多年的经验。 为了让最新双核处理器系列采用整体安全概念，第三方功能性安全专家正在着手对概念的实施以及设计流程进行监控和评估。在此基础上，飞思卡尔开发了一种面向 MPC564xL 系列的符合 IEC61508 SIL3 标准的功能性安全概念。 重点放在以下几方面：提供预防单点故障的措施单点故障可能直接与系统安全功能紧密相关，而且通常需要进行快速检测。此类故障的典型例子是由外部因素（如辐射或电磁干扰）导致的内核或内存的大转变。最低要求是在系统安全时间内对这些故障进行检测。在汽车电子应用中，系统安全时间通常在 1ms 和 30ms 之间。作为防止单点故障的关键措施，MPC564xL 处理器引入了一种所谓的“SoR”(sphere of replication，复制区域)，它允许用户以双核锁步 (lockstep) 模式运行微处理器的关键组件。提供预防潜在故障的措施潜在故障通常是“隐藏的”。尽管已经发生，但这些故障仍未对系统安全功能造成损害。一个例子就是执行内存故障检测/纠正的 EEC 逻辑出现故障。只有当发生内存出现大转变（比如在闪存模块中）并因而无法进行进一步检测/纠正的时候，故障才是严重的。MPC564xL 控制器架构提供硬件自检 (BIST) 机制，用于对这种类型的故障进行检测。 这些测试利用微控制器逻辑单元，覆盖率达到90%或更高。因此，即使当实际应用并未触发所有硬件模块的时候也可以识别出潜在故障。提供预防共因故障 (CCF) 的措施共因故障可能由 MPC564xL 架构的冗余组件仍然共享一个芯片导致。典型例子是系统时钟或供电问题，它们可能以类似的方式影响到芯片内部的时钟并可能造成同样的故障。因此，在锁步模式下，“冗余区域”的两个通道都运行同样的软件，此类故障不会被检测出。MPC564xL 系列提供用于时钟偏离的硬件模块以及用于主要电压（如内部核心电压、闪存供电电压等）的硬件监测器。2.3 复制区域“复制区域”是 MPC564xL 器件架构的逻辑部件。该部件可以设置为以“锁步模式”运行。“锁步模式”表示控制器的这个部件同时并行运行同一组操作。锁步操作的输出可以通过所谓的“冗余校验单元”进行对照。这些单元测定是否已出现故障。如果出现故障，一个故障信号会转发到一个单独的硬件时钟，即故障采集和控制单元。过去，复制原则和锁步模式绝大多数用于内核。这能够实现对内核故障做出极快的反应，特别是在几个时钟周期范围内。MPC564xL 系列将更进一步，在“复制区域”上添加其它关键硬件模块。主要的组件包括： 包括内存保护单元在内的交叉开关矩阵 (Crossbar) 中断控制器 DMA 单元 软件看门狗定时器图4： MPC564xL 扩展冗余区域2.4 内存 ECC为MC564xL系列实施的ECC 方案能够采集所有的单比特错误，检测所有的双比特错误并检测几种影响两个以上比特的故障。 ECC 计算不影响器件的性能。尤其对于 SRAM 来说，地址信息包含在 ECC 的计算和估测之内。这实现了对 RAM 阵列内潜在的编址错误的检测。 双比特或多比特错误被转发到故障采集和控制单元。图 5：SRAM 地址监控的 MPC564xL ECC 方案2.5 电压及时钟监控对于安全关键性系统的设计和实施，电压监控能力是一个重要的方面。为了简化 ECU 供电设计并避免与电源排序相关的额外故障源，MPC564xL 系列采用了 3.3V 单一电源电压概念。电源管理单元 (PMU) 为器件上的所有模块管理电源电压并为低压和高压检测提供片上监测器。这些监测器的的故障指示灯被前移到故障采集单元 (Fault Collection Unit) 和重置发生单元 (Reset Generation Unit)。可以对 MPC564xL 电压监测器进行测试。用于内部生成的核心电压的过压/欠压检测器提供硬件协助下的自检测。测试需要在启动过程中由软件触发。运行时的电压监控在后台进行，无须进一步软件配合。对于按照 SIL3/ASIL D 通过 IEC61508 或 ISO26262 认证的系统，对时钟信号的监控是强制性的。MPC564xL 系列使用专用的时钟监控单元 (CMU) 监督时钟源完整性。微处理器的关键组件，如“复制区域”、马达控制的外设以及 Flexray 等通信模块采用专用时钟监控器。时钟故障以信令的形式通知故障采集单元。为了在其它时钟源出现错误的时候保证故障采集单元的独立性，该模块可以在一个 16 MHz 的内部 RC 时钟上独立运行。2.6 内置自检测功能为了实现硬件解决方案自检测而不是软件自检测机制，MPC 564xL 器件架构提供各种内置自检测 (BIST) 功能。例如，对每个启动序列都执行自动的器件内置自检测。当微处理器仍在重置(RESET)阶段的时候，检测已经完成了。因此，应用启动进程和开机启动软件不受影响。只有在初始的自检测完成且没有检测到任何故障的时候，应用软件才启动。2.7 故障采集和管理故障采集单元 (FCU) 是 MPC564xL 功能性安全架构的一个核心组件。这一硬件模块旨在简化控制器水平的故障报告和安全要求严苛应用的管理。它提供一个冗余硬件通道。当存在重大故障的时候，该通道能够实现在安全的状态下对器件进行有管理的迁移。这一操作无须 CPU 干预。故障采集单元可以处理控制器的内部信号并让用户选择不同的故障信号处理方式。根据默认配置，在启动的时候，一旦故障采集单元进入激活状态，自检测流程对该单元的逻辑电路进行校验。对于外部故障信令，FCU 提供两个双向信号。为了确保在其它控制器模块或主内核出现故障的时候 FCU 的独立性，该模块运行在一个独立的 16 MHz 内部 RC 时钟上。 因此确保了对输出信号和时间的最终计算。3 总结这是目前的发展趋势。尤其是汽车底座和安全领域的应用功能的数量和复杂性都在上升，开发成本压力在增加，走向市