MCU實現汽車功能安全合規性

　　上述方法可確保數據路徑上沒有數據損壞。然后主設備提供的ECC被用于RAM和閃存，因此存儲器不需要額外的ECC計算，ECC從一端(總線主設備)傳到另一端(存儲器)。

　　系統中有一個中央存儲器錯誤管理單元，負責采集和報告與在SRAM、外設系統RAM及閃存上所使用的ECC 邏輯相關的錯誤事件。 每當發生可糾正(單位)或不可糾正(多位)的錯誤時，MEMU 都會收到一個錯誤信號，然后記錄錯誤地址，設置相應的錯誤標記并報告給FCCU。在需要特殊更正數時或進一步分析軟件中這樣的錯誤時，可以使用。

　　故障收集和控制單元(FCCU)

　　FCCU是一個可編程的單元，監控MCU的完整性狀態，提供靈活的安全狀態控制，在設備發生故障時通過可控的方式使設備處于安全狀態。 收集和控制操作不需要 CPU 的干預。FCCU簡易框圖如圖 2 所示。　　

 

　　FCCU提供一個有限狀態機，根據系統中發生的錯誤以及對這些錯誤采取的行動/無為，從一個狀態遷移到另一個狀態。根據故障配置，FCCU可能會觸發復位、屏蔽/非屏蔽中斷、外部故障指示、或不反應。該SoC 還提供兩個外部指示引腳 (EOUT0/1)，可以就系統中發生的故障與外部環境進行通信，并遵循各類靜態或切換協議。

　　自我測試控制單元

　　這是針對在啟動/關機時運行的設備的自我診斷措施，以確保在應用運行過程中設備不會出現延時/休眠故障而破壞其運行。通常來說，自我檢測根據數字邏輯(稱為 LBIST)在嵌入式存儲器( 稱為 MBIST)上執行，有足夠的覆蓋率，可滿足所要求的系統安全完整性等級(SIL)。

　　1. 在 STCU 重置事件后，SSCM 檢測到設備自我檢測尚未運行。
　　2. SSCM 從非易失性閃存存儲器 (NVM) 讀取自我檢測參數。
　　3. SSCM 將自我檢測參數加載到 STCU 中，并將控制傳送到 STCU。
　　4. STCU 管理 MBIST 并更新其內部狀態。
　　5. STCU 管理 LBIST 并更新其內部狀態(可能有其他LBIST和MBIST的順序或并行執行)。
　　6. 如果檢測到故障，STCU 便將測試故障報告給 FCCU 或重置設備。
　　7. 在完成自我測試后，STCU 便示意重置模塊，引導順序推進到下一階段。　　

 

　　時鐘監控和輔助時鐘

　　為了檢測安全運行中內外部時鐘電路故障，基于輔助時鐘監控(見下文)其主時鐘。該輔助時鐘由內部 RC 振蕩器提供，只要器件重置便可使用。有了輔助時鐘，即使內部 PLL 由于某些原因而發生故障，也能保證系統有時鐘可以運行許多安全機制，確保繼續運行。該 IRC 振蕩器可進行微調，使時鐘在不同的 PVT(流程、電壓和溫度)下保持一致。

　　時鐘監控單元

　　CMU 是監控系統 PLL 輸出頻率的模塊，如果發生時鐘丟失或被監控的時鐘超出低頻或高頻邊界時，便會顯示故障、重置或中斷。CMU將輔助時鐘(見上文)作為參考來對時鐘進行監控，同時根據外部晶體振蕩器監控輔助時鐘。 CMU 簡易框圖如圖 4 所示。