EUC" title="EUC">EUC" title="EUC">EUC)和EUC控制系統(tǒng)相關的整體安全性能的一部分，而EUC控制系統(tǒng)依賴于電子系統(tǒng)的正確工作。

飛思卡爾公司MPC564xL是一系列針對安全關聯(lián)應用優(yōu)化了的微控制器，這些應用包括電動轉向、汽車穩(wěn)定性控制和司機輔助等。這些控制器充分整合了業(yè)界領先的功能性安全架構和新的性能與靈活性水平。 電子穩(wěn)定性控制、動力轉向和自適應巡航控制有什么共同之處？對系統(tǒng)設計師來說，設計此類系統(tǒng)，并同時滿足一流功能性安全要求是一項極具挑戰(zhàn)性的任務。應用功能的數(shù)量和復雜性不斷增加，開發(fā)成本壓力日益提高，而產(chǎn)品上市時間卻在不斷縮短。 以具有復雜控制算法且安全要求苛刻的應用為目標的設計工程師看似有著廣泛的系統(tǒng)架構可供選擇，然而，當今大多數(shù)微控制器解決方案或者缺乏靈活性，不能支持各種功能性安全概念；或者要求在安全軟件方面投入很大。而額外的軟件更增加了復雜度，并增加了系統(tǒng)性故障的可能性。 因此，我們?yōu)镸PC564xL系列雙核微控制器的開發(fā)設定了以下目標： 高效—提供較高性能水平(以更少的投入，實現(xiàn)更多產(chǎn)出)，更低的時鐘頻率，并支持智能的外設協(xié)調； 靈活—構建一種支持多重安全架構的雙核概念，允許用戶在性能和安全水平之間取得平衡； 安全—形成一個符合ASIL_x認證的安全概念,并通過在硬件中加入關鍵安全組件和自檢功能降低軟件復雜度。 功能性安全概念 隨著更高價值車載功能的推出和汽車電氣化趨勢的不斷發(fā)展，可編程電子系統(tǒng)代替機械部件越來越多地承擔起滿足安全要求苛刻的功能。因此系統(tǒng)工程師面臨的挑戰(zhàn)是，建立能夠預防危險故障發(fā)生，或至少在故障發(fā)生時能夠提供足夠控制功能的控制單元架構。危險故障可能由以下原因引起： * 隨機硬件故障機制 * 系統(tǒng)性硬件故障機制 * 軟件錯誤 * 共因故障 這些故障模式對于電子控制單元設計來說是一大挑戰(zhàn)，而且對于微控制器等復雜部件來說，它們也是相關聯(lián)的。因此，即將生效的ISO26262等業(yè)界標準規(guī)定了4個安全完整性等級，每一等級對應某一安全功能出現(xiàn)故障的概率范圍。 在針對安全要求苛刻應用的雙核控制器設計方面，飛思卡爾已經(jīng)擁有多年的豐富經(jīng)驗。為了讓較新雙核處理器系列采用整體安全概念，第三方功能性安全專家正在著手對概念的實施以及設計流程進行監(jiān)控和評估。MPC564xL系列在此基礎上應運而生。重點放在以下幾方面： 1 防止單點故障的措施 單點故障可能直接與系統(tǒng)安全功能緊密相關，通常要求進行快速檢測。此類故障的典型例子是由外部因素(如輻射或電磁干擾)引起的內核或內存的比特翻轉。較低要求是在系統(tǒng)安全時間內檢測出這些故障。在汽車電子應用中，系統(tǒng)安全時間一般在1ms和30ms之間。 作為防止單點故障的關鍵措施，MPC564xL處理器引入了一種所謂的“SoR”(復制區(qū)域)，它允許用戶以雙核鎖步模式運行微處理器的關鍵組件。 2 預防潛在故障的措施 潛在故障通常是“隱藏的”。盡管已經(jīng)發(fā)生，但這些故障仍未對系統(tǒng)安全功能造成損害。一個例子就是執(zhí)行內存故障檢測/糾正的EEC邏輯出現(xiàn)故障。只有當發(fā)生內存比特翻轉(比如在閃存模塊中)因而無法進一步檢測/糾正的時候，故障才變得嚴重。 MPC564xL控制器架構提供的硬件自檢(BIST)機制可以檢測這種類型的故障。這些測試利用了微控制器的邏輯單元，覆蓋率可達90%甚至更高。因此，即使在實際應用并未觸發(fā)所有硬件模塊的時候也可以識別出潛在故障。 3 預防共因故障(CCF)的措施 共因故障可能是由MPC564xL架構的冗余組件仍然共享一個公共裸片所導致。典型例子是系統(tǒng)時鐘或電源問題，它們可能以類似的方式影響到芯片內部的時鐘并可能造成同樣的故障。因此，在鎖步模式下，“冗余區(qū)域”的兩個通道都運行同樣的軟件，此類故障不會被檢測出。 MPC564xL系列提供硬件模塊用于檢測時鐘偏離，并提供硬件監(jiān)視器監(jiān)視主要電壓，如內部核心電壓、閃存供電電壓等。 復制區(qū)域 “復制區(qū)域”是MPC564xL器件架構的邏輯部分。該部分可以設置為以“鎖步模式”運行。“鎖步模式”意味著控制器的這個部分同時并行運行同一組操作。鎖步操作的輸出可以通過所謂的“冗余校驗單元(RCU)”進行比較。這些單元可以判斷是否已出現(xiàn)故障。如果出現(xiàn)故障，故障信號將被轉發(fā)到一個單獨的硬件模塊，即故障采集和控制單元。 過去，復制原則和鎖步模式主要用于內核。這樣能夠對內核故障做出極快的響應，時間通常在幾個時鐘周期范圍內。MPC564xL系列將更進一步，在“復制區(qū)域”中增加了其它關鍵的硬件模塊。主要組件包括： * 包括內存保護單元在內的交叉開關矩陣(Crossbar) * 中斷控制器 * DMA單元 * 軟件看門狗定時器 內存ECC 為MC564xL系列實施的ECC方案能夠糾正所有的單比特錯誤、檢測所有的雙比特錯誤并檢測幾種影響兩個以上比特的故障。ECC計算不影響器件的性能。尤其對于SRAM來說，地址信息包含在ECC的計算和估測之內。因此可以實現(xiàn)對RAM陣列內潛在的編址錯誤的檢測。雙比特或多比特錯誤則被轉發(fā)到故障采集和控制單元。 電壓與時鐘監(jiān)視
對于安全關鍵性系統(tǒng)的設計和實施來說，電壓監(jiān)視能力是一個很重要的方面。為了簡化ECU供電設計并避免與電源上電順序相關的額外故障源，MPC564xL系列采用了3.3V單電源概念。 電源管理單元(PMU)用于管理器件上所有模塊的供電電壓，并為低壓和高壓檢測提供片上監(jiān)視器。這些監(jiān)視器的故障指示被前移到故障采集單元和復位產(chǎn)生單元。 MPC564xL電壓監(jiān)視器是可測試的。針對內部生成的核心電壓的過壓/欠壓檢測器提供了硬件輔助下的自檢功能。測試需要在啟動過程中由軟件進行觸發(fā)。運行時的電壓監(jiān)視在后臺進行，無須進一步軟件配合。 對于符合ISO26262標準的系統(tǒng)來說，時鐘信號的監(jiān)視是必須的。MPC564xL系列使用專用的時鐘監(jiān)視單元(CMU)監(jiān)視時鐘源的完整性。 微處理器的關鍵組件(如“復制區(qū)域”)、用于電機控制的外設以及Flexray等通信模塊都使用專門的時鐘監(jiān)視器。 時鐘故障將以信號的形式通知到故障采集單元。為了在其它時鐘源出現(xiàn)錯誤的時候保證故障采集單元的獨立性，該模塊可以在一個16MHz的內部RC時鐘上獨立運行。
內置自檢 為了實現(xiàn)硬件解決方案而不是軟件自檢機制，MPC564xL器件架構提供了多種內置自檢(BIST)功能。例如，對每個啟動順序都執(zhí)行自動的器件內置自檢。當微處理器仍在復位階段時檢測已經(jīng)完成了。因此，應用程序啟動進程和開機啟動軟件不會受到影響。只有在初始自檢完成而且沒有檢測到任何故障時應用軟件才會啟動。 故障采集和管理 故障采集單元(FCU)是MPC564xL功能性安全架構的一個核心組件。這一硬件模塊旨在簡化安全要求苛刻應用中的控制器級故障報告和管理。它提供了一個冗余硬件通道。當存在重大故障時，該通道允許在安全的狀態(tài)下實現(xiàn)器件的受控轉移。這一操作無須CPU干預。 故障采集單元可以處理控制器的內部故障信號，并讓用戶選擇不同的故障信號處理方式。根據(jù)默認配置，在啟動過程中，一旦故障采集單元進入激活狀態(tài)，自檢流程就會檢查故障采集單元的邏輯部分。 對于外部故障信號，F(xiàn)CU提供兩個雙向信號。為了確保在其它控制器模塊或主內核出現(xiàn)故障的時候FCU的獨立性，該模塊運行在一個獨立的內部16MHzRC時鐘上，因此保證了對輸出信號和時間終止的準確計算。 本文小結 能夠幫助設計師把精力投入在實際應用程序上、減輕在安全概念開發(fā)和認證等方面挑戰(zhàn)的微控制器特性對于ECU架構師來說具有明顯的附加值。MPC564xL系列特性集可以滿足這些市場要求。突破性的雙核概念給予設計師在系統(tǒng)安全架構選擇上的靈活性，并以單一控制器系列實現(xiàn)了性能和安全要求的較佳平衡。 圖1：MPC564xL擴展冗余區(qū)域。 圖2：具有SRAM地址監(jiān)控功能的MPC564xLECC方案。