MCU實現汽車功能安全合規性

　　摘要：汽車正在不斷加強安全措施，關鍵汽車操作所使用的安全MCU 都需要遵循 ISO26262 (ASIL-D) 或 IEC61508 (SIL3) 標準。本文討論了MPC574x 等飛思卡爾公司 32 位 Qorivva 微控制器(MCU)提供的主要設計功能。這些功能可幫助最終客戶滿足汽車 (ISO26262)/工業 (IEC61508) 標準提出的安全要求。稍后我們將討論飛思卡爾SafeAssure功能安全項目，飛思卡爾將為尋求實現產品功能安全合規的客戶提供綜合支持。

　　功能安全要求

　　功能安全與最大限度地減少系統故障引起的危險有關。系統故障可能由于硬件/軟件錯誤引起，可能是永久性的，也可能是瞬時性的。下面描述了發生錯誤時可能出現的反應：

　　● 故障-危險：發生故障時可能造成危險;
　　● 故障-不一致：發生故障時提供的結果可能明顯不一致;
　　● 故障-停止運行：發生故障時完全停止運行;
　　● 故障-安全：發生故障時返回或保持安全狀態;
　　● 故障-可以運行：發生故障時繼續正常工作;
　　● 故障-靜音：發生故障時不打擾任何人;
　　● 故障-指示：向環境指示發生了故障。

　　在系統中實施功能安全通常意味著將故障映射到能被整個系統或伺機處理的預期反應，從而確保最大限度地減少系統故障引起的危險。

　　下一節討論了飛思卡爾片上系統實現的各種功能安全，在發生系統故障時，執行此類映射。

　　飛思卡爾MCU設計提供的主要功能安全

　　現在深入討論針對汽車安全應用的飛思卡爾設備的主要安全特性。

　　核心鎖步

　　確保 SoC 中的內核能夠安全運行是功能安全的主要要求之一，這是因為幾乎所有的操作都以其為中心。在Qorivva微控制器MPC574x中，通過采用一個與主內核鎖步運行的檢查內核來實現安全運行。這意味著，檢查內核執行與主內核相同的指令，內核的地址和數據總線在檢查單元進行對比，以檢測運行偏差。將檢測到的錯誤報告給錯誤收集和應對模塊(見下文)。由于鎖步，從軟件的角度來看，兩個內核作為一個單獨的內核運行，減少軟件實施。查看下面的圖 1 所示的框圖。　　

 

　　除了內核，eDMA、中斷控制器、緩存等其他安全相關模塊可在系統中進行復制。所有此類復制必須在芯片上保持物理隔離，這樣，常見故障(CCF) 便不會影響兩個實例的運行。

　　存儲器中提供的端到端 ECC (E2EECC) 保護

　　在海明間距為 4 的情況下實現 ECC(糾錯碼)和 SECDED(單糾錯和雙糾錯)，可保護所有的存儲器存儲操作。ECC 在數據、地址信號上實現，并通過寫操作與數據一起存儲在存儲器中。發起讀操作時，ECC 在檢索到的數據和請求的地址上重新進行計算，并通過已存儲的 ECC 進行驗證。

　　在Qorivva MPC574x器件中，沒有僅用于存儲器的ECC，但它提供了E2EECC，可檢測總線主設備和總線客戶端之間的所有數據路徑上的數據損壞，提供至少99%的覆蓋率。該機制如下所示。

　　1)來自主設備的數據通過 ECC-SECDED 代碼進行編碼。該數據編碼包括尋址信息覆蓋。

　　2)路徑的各個模塊包括本地機制，如確保控制數據的正確發送和正確地址解碼。