符合安全標準的汽車器件冗余設計
加入技術交流群
為了確保安全功能能夠符合設計初衷,包括在操作員輸入不正確和故障模式等情況下,人們一直不斷改進各種標準。IEC61508是適用于各個行業的國際功能安全標準之一,名稱是“電氣/電子/可編程電子安全相關系統的功能安全(E/E/PE或E/E/PES)”。ISO 26262是從IEC 61508衍生而來的功能安全標準,名稱為“道路車輛-功能安全”,適用于汽車行業。ISO 26262定義了汽車設備的功能安全,適用于所有汽車電子電氣安全相關系統的整個生命周期。
SoC系統級芯片遵循多種設計技術,以符合安全標準,這些在ISO-26262標準中都有所介紹。冗余、自檢機制、信號監測、電壓電源監測和“看門狗”是在符合安全標準的設備中所使用的幾種技術。冗余是這些設備的主要組成部分。冗余在汽車設備中的使用有多種方式,許多符合安全標準的設備將鎖步、ECC、CRC及校驗等用作冗余技術。本文將主要介紹SoC中使用到的冗余技術,包括硬件、軟件、信息和時間冗余等。
汽車硬件冗余機制
冗余是指除了在關鍵功能中使用的組件外,還包含額外的組件,旨在提高系統的可靠性和可用性。冗余的添加方式有很多,如硬件(例如雙核鎖步)冗余、軟件冗余、信息冗余(例如將ECC添加到存儲器)和時間冗余。一般情況下,冗余依據MooN概念工作。
N分之M(M-out-of-N,MooN)系統包含N個相同的組件,工作原理是:如果N個組件中的至少M個組件正常工作,那么該系統沒有錯誤。一個示例是三重模塊化冗余(TMR),這實際上是一個三分之二(2oo3)系統。如果3個組件中至少有兩個組件(大部分)正常運行,那么該系統則被視為正常運行。
MooN系統在硬件和軟件中使用。在硬件中,關鍵組件被復制,根據多數投票原則做出決策。而在軟件中,一個任務被重復多次,然后比較任務執行結果,生成最后結果。在SoC中,硬件冗余可以采用多種形式:復制執行安全關鍵任務的內核(也稱為鎖步)、延遲鎖步(1oo1系統)、非對稱鎖步、三次投票(2oo3系統)。
在符合安全標準的高級設備中,執行安全關鍵任務的內核被復制,應用在鎖步模式下運行這兩個內核,比較結果,確保冗余處理產生完全相同的結果。如未獲得完全相同的結果,則視為發生了故障。
在鎖步模式下,同時將同一組輸入發送到這兩個內核,然后這兩個內核在相同的時鐘周期內執行相同的計算,定期比較結果,檢測是否發生了故障(無論是瞬時故障、間歇性還是永久性故障)。一旦輸出不匹配,通常會標記故障并執行重啟。圖1顯示了鎖步中的內核(雙核鎖步)。
圖1:鎖步中的內核(雙核鎖步)工作原理
延遲鎖步是鎖步的一種,其中一個內核的輸入延遲了N個時鐘周期,另一個內核的輸出也延遲了相同的時間,然后比較結果。用這種方法,可獲得時間分集。由于一個內核在N個時鐘周期后將執行相同的運算,沖擊這兩個內核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少。圖2顯示了延遲鎖步的工作配置。饋送給內核2的數據被延遲了兩個時鐘周期。內核2的重置也延遲了兩個周期。內核1的輸出延遲了兩個時鐘周期,然后由校驗器電路進行比較。如發現故障,則標記錯誤。
圖2:延遲鎖步的工作配置
在非對稱冗余中,不復制相同的內核,而是使用不同的內核。不同的專用內核通過一個接口與主內核緊密耦合,實現內部和外部結果的逐步比較。該接口降低了復雜性,縮短了錯誤檢測延遲。主核執行關鍵的任務,而專用的多樣化內核則復制足夠多的主核執行,確保能夠檢測故障,或確保主核的安全運行。由于硬件的多樣性,可以有效覆蓋共因故障和系統故障。內核的不同結構將導致不同的內核反應方法,改善共因故障的診斷覆蓋。因此這兩個內核發生的同類故障的情況將減少。并行通道無需單獨的代碼,專用內核比主核小。有時,主核的面積差異可高達50%及以上。這種方法的缺點是,可能需要詳細的分析來證明診斷覆蓋。
評論