TMS570 MCU提升汽車制動系統安全性

　　根據 IEC 61508 標準，危險故障的成因包括以下因素：

　　—— 軟件或硬件系統規范不正確

　　—— 安全要求規范缺失

　　—— 硬件隨機故障

　　—— 系統原因故障

　　—— 人為錯誤

　　—— 環境影響(EMI、溫度以及機械等)

　　從完整系統的角度來說，危險評估和安全完整性要求包括以下因素：

　　在電壓下降、假信號等情況下確保穩定的電源供給和時鐘信號完整性;

　　用于處理與通信的冗余性或真實性檢查，其中包括往返于傳感器和執行器的信號;

　　提供故障檢驗功能;

　　提供故障管理策略，其中包括在故障容錯架構、緊急操作模式及可控系統關斷等情況下定義安全狀態和故障防護;

　　增強型軟件開發進程包括使用正式規范、編程語言子集以及代碼驗證工具等。

　　硅芯片的強大支持

　　開發人員可充分利用市場上的微處理器，為 ECU 制動控制功能達到 SIL3 認證標準提供所需技術。TI 與羅伯特•博世有限公司 (Robert Bosch GmbH) 聯合開發的TMS570 就是一款這樣的微處理器。

　　在硅芯片設計中，芯片布局本身就是一項很大的挑戰，應包括專用知識產權 (IP) 以減少并檢測隨機硬件和系統原因故障。此外，我們還可用運行于鎖步 (lock-step)模式的雙核處理器架構來比較處理結果，從而避免為開發獨立的檢驗器微處理器軟件耗費大量的時間。為了保護存儲器子系統免受外部事件引發的故障影響，我們應在主存儲器和本地存儲器以及總線流量上實施錯誤校正代碼 (ECC) 和奇偶位保護機制。為簡化開發工作，開發人員還應使用 MCU 上業已實施FlexRay™ 網絡協議的器件。這種由領先汽車制造商和供應商開發的確定性通信標準能為高級汽車系統提供全面確定性的冗余通信。

　　例如，TI 的 TMS570 MCU 是一款基于兩個相同的新一代 ARM® R4 CortexTM 內核之上的對稱型雙核MCU。每個 Cortex-R4 內核的性能均可達到 300 MIPS，而且 TMS570 還集成了 2MB 的片上閃存、FlexRayTM 網絡、BIST、CAN 及多種外設。雙核與正在申請專利的架構緊密耦合，可實現最高可靠性。

　　Cortex-R4 的優勢

　　Cortex-R4 的 64 位 AMBA 3 AXI 存儲器接口能夠提供幾項可加強可靠性的重要性能優勢，其中包括發出多個待定地址，并支持亂序數據返回。

　　或許最顯著的優勢在于，即便存儲器或外設速度較慢，也不會阻塞總線，進而影響存取速度。這種功能使得內核不必等待速度較慢的存取完成，從而可以執行更多存取。此外，64 位寬總線還提高了可用帶寬，從而僅需四次存取就能完成高速緩存行填充，而不像ARM946E-S一樣需要八次。

　　與 946E-S 相比，Cortex-R4 還大幅改進了中斷延遲，而且最壞情況中斷延遲和平均中斷延遲均得到了改善。例如，946E-S 必須等著指令或中斷進程完成，而不能中途放棄。在最壞情況下，意味著即便使用零等待狀態存儲器，中斷延遲有可能長達 118 個周期。盡管上述情況不太可能頻繁發生，但實時系統必須做這種最壞的打算。

　　另一方面，如果在執行過程中收到中斷請求，Cortex-R4 處理器將放棄正常存儲器的多負載指令。經過精心設計，TMS570 MCU可將最長中斷延遲控制在 20 個周期左右，很少甚至可完全不受 AMBA AXI 存儲器和外設的存取時間的影響。

　　此外，Cortex-R4 處理器還可提供非屏蔽中斷選項，從而避免軟件禁用快速中斷請求 (FIQ)，這對于安全關鍵型應用尤其重要。

　　結論

　　對汽車制造商及 OEM 廠商而言，隨著車輛變得日益復雜，集成的功能越來越多，安全標準化也日趨重要。集成 Cortex R4 內核的創新型設計，如 TMS570 器件，可實現 IEC 61508 標準所要求的故障檢測與響應時間。

　　將基于微處理器的系統的可靠性納入 SIL3 認證范疇，標志著汽車 OEM 廠商與汽車制造商在全面實施車輛線控驅動功能的進程中向前邁進了一大步。

　　TMS570 MCU 是經 SIL3 認證并符合制動要求的 32 位微處理器系列，將在2008 型式年份的車輛中實施。TMS570 MCU的技術發展策略涵蓋電子穩定性控制、底盤控制及轉向系統等。