EUC" title="EUC">EUC" title="EUC">EUC)和EUC控制系統(tǒng)相關(guān)的整體安全性能的一部分，而EUC控制系統(tǒng)依賴于電子系統(tǒng)的正確工作。

飛思卡爾公司MPC564xL是一系列針對安全關(guān)聯(lián)應(yīng)用優(yōu)化了的微控制器，這些應(yīng)用包括電動轉(zhuǎn)向、汽車穩(wěn)定性控制和司機輔助等。這些控制器充分整合了業(yè)界領(lǐng)先的功能性安全架構(gòu)和新的性能與靈活性水平。 電子穩(wěn)定性控制、動力轉(zhuǎn)向和自適應(yīng)巡航控制有什么共同之處？對系統(tǒng)設(shè)計師來說，設(shè)計此類系統(tǒng)，并同時滿足一流功能性安全要求是一項極具挑戰(zhàn)性的任務(wù)。應(yīng)用功能的數(shù)量和復(fù)雜性不斷增加，開發(fā)成本壓力日益提高，而產(chǎn)品上市時間卻在不斷縮短。 以具有復(fù)雜控制算法且安全要求苛刻的應(yīng)用為目標的設(shè)計工程師看似有著廣泛的系統(tǒng)架構(gòu)可供選擇，然而，當今大多數(shù)微控制器解決方案或者缺乏靈活性，不能支持各種功能性安全概念；或者要求在安全軟件方面投入很大。而額外的軟件更增加了復(fù)雜度，并增加了系統(tǒng)性故障的可能性。 因此，我們?yōu)镸PC564xL系列雙核微控制器的開發(fā)設(shè)定了以下目標： 高效—提供較高性能水平(以更少的投入，實現(xiàn)更多產(chǎn)出)，更低的時鐘頻率，并支持智能的外設(shè)協(xié)調(diào)； 靈活—構(gòu)建一種支持多重安全架構(gòu)的雙核概念，允許用戶在性能和安全水平之間取得平衡； 安全—形成一個符合ASIL_x認證的安全概念,并通過在硬件中加入關(guān)鍵安全組件和自檢功能降低軟件復(fù)雜度。 功能性安全概念 隨著更高價值車載功能的推出和汽車電氣化趨勢的不斷發(fā)展，可編程電子系統(tǒng)代替機械部件越來越多地承擔起滿足安全要求苛刻的功能。因此系統(tǒng)工程師面臨的挑戰(zhàn)是，建立能夠預(yù)防危險故障發(fā)生，或至少在故障發(fā)生時能夠提供足夠控制功能的控制單元架構(gòu)。危險故障可能由以下原因引起： * 隨機硬件故障機制 * 系統(tǒng)性硬件故障機制 * 軟件錯誤 * 共因故障 這些故障模式對于電子控制單元設(shè)計來說是一大挑戰(zhàn)，而且對于微控制器等復(fù)雜部件來說，它們也是相關(guān)聯(lián)的。因此，即將生效的ISO26262等業(yè)界標準規(guī)定了4個安全完整性等級，每一等級對應(yīng)某一安全功能出現(xiàn)故障的概率范圍。 在針對安全要求苛刻應(yīng)用的雙核控制器設(shè)計方面，飛思卡爾已經(jīng)擁有多年的豐富經(jīng)驗。為了讓較新雙核處理器系列采用整體安全概念，第三方功能性安全專家正在著手對概念的實施以及設(shè)計流程進行監(jiān)控和評估。MPC564xL系列在此基礎(chǔ)上應(yīng)運而生。重點放在以下幾方面： 1 防止單點故障的措施 單點故障可能直接與系統(tǒng)安全功能緊密相關(guān)，通常要求進行快速檢測。此類故障的典型例子是由外部因素(如輻射或電磁干擾)引起的內(nèi)核或內(nèi)存的比特翻轉(zhuǎn)。較低要求是在系統(tǒng)安全時間內(nèi)檢測出這些故障。在汽車電子應(yīng)用中，系統(tǒng)安全時間一般在1ms和30ms之間。 作為防止單點故障的關(guān)鍵措施，MPC564xL處理器引入了一種所謂的“SoR”(復(fù)制區(qū)域)，它允許用戶以雙核鎖步模式運行微處理器的關(guān)鍵組件。 2 預(yù)防潛在故障的措施 潛在故障通常是“隱藏的”。盡管已經(jīng)發(fā)生，但這些故障仍未對系統(tǒng)安全功能造成損害。一個例子就是執(zhí)行內(nèi)存故障檢測/糾正的EEC邏輯出現(xiàn)故障。只有當發(fā)生內(nèi)存比特翻轉(zhuǎn)(比如在閃存模塊中)因而無法進一步檢測/糾正的時候，故障才變得嚴重。 MPC564xL控制器架構(gòu)提供的硬件自檢(BIST)機制可以檢測這種類型的故障。這些測試利用了微控制器的邏輯單元，覆蓋率可達90%甚至更高。因此，即使在實際應(yīng)用并未觸發(fā)所有硬件模塊的時候也可以識別出潛在故障。 3 預(yù)防共因故障(CCF)的措施 共因故障可能是由MPC564xL架構(gòu)的冗余組件仍然共享一個公共裸片所導(dǎo)致。典型例子是系統(tǒng)時鐘或電源問題，它們可能以類似的方式影響到芯片內(nèi)部的時鐘并可能造成同樣的故障。因此，在鎖步模式下，“冗余區(qū)域”的兩個通道都運行同樣的軟件，此類故障不會被檢測出。 MPC564xL系列提供硬件模塊用于檢測時鐘偏離，并提供硬件監(jiān)視器監(jiān)視主要電壓，如內(nèi)部核心電壓、閃存供電電壓等。 復(fù)制區(qū)域 “復(fù)制區(qū)域”是MPC564xL器件架構(gòu)的邏輯部分。該部分可以設(shè)置為以“鎖步模式”運行。“鎖步模式”意味著控制器的這個部分同時并行運行同一組操作。鎖步操作的輸出可以通過所謂的“冗余校驗單元(RCU)”進行比較。這些單元可以判斷是否已出現(xiàn)故障。如果出現(xiàn)故障，故障信號將被轉(zhuǎn)發(fā)到一個單獨的硬件模塊，即故障采集和控制單元。 過去，復(fù)制原則和鎖步模式主要用于內(nèi)核。這樣能夠?qū)��?nèi)核故障做出極快的響應(yīng)，時間通常在幾個時鐘周期范圍內(nèi)。MPC564xL系列將更進一步，在“復(fù)制區(qū)域”中增加了其它關(guān)鍵的硬件模塊。主要組件包括： * 包括內(nèi)存保護單元在內(nèi)的交叉開關(guān)矩陣(Crossbar) * 中斷控制器 * DMA單元 * 軟件看門狗定時器 內(nèi)存ECC 為MC564xL系列實施的ECC方案能夠糾正所有的單比特錯誤、檢測所有的雙比特錯誤并檢測幾種影響兩個以上比特的故障。ECC計算不影響器件的性能。尤其對于SRAM來說，地址信息包含在ECC的計算和估測之內(nèi)。因此可以實現(xiàn)對RAM陣列內(nèi)潛在的編址錯誤的檢測。雙比特或多比特錯誤則被轉(zhuǎn)發(fā)到故障采集和控制單元。 電壓與時鐘監(jiān)視
對于安全關(guān)鍵性系統(tǒng)的設(shè)計和實施來說，電壓監(jiān)視能力是一個很重要的方面。為了簡化ECU供電設(shè)計并避免與電源上電順序相關(guān)的額外故障源，MPC564xL系列采用了3.3V單電源概念。 電源管理單元(PMU)用于管理器件上所有模塊的供電電壓，并為低壓和高壓檢測提供片上監(jiān)視器。這些監(jiān)視器的故障指示被前移到故障采集單元和復(fù)位產(chǎn)生單元。 MPC564xL電壓監(jiān)視器是可測試的。針對內(nèi)部生成的核心電壓的過壓/欠壓檢測器提供了硬件輔助下的自檢功能。測試需要在啟動過程中由軟件進行觸發(fā)。運行時的電壓監(jiān)視在后臺進行，無須進一步軟件配合。 對于符合ISO26262標準的系統(tǒng)來說，時鐘信號的監(jiān)視是必須的。MPC564xL系列使用專用的時鐘監(jiān)視單元(CMU)監(jiān)視時鐘源的完整性。 微處理器的關(guān)鍵組件(如“復(fù)制區(qū)域”)、用于電機控制的外設(shè)以及Flexray等通信模塊都使用專門的時鐘監(jiān)視器。 時鐘故障將以信號的形式通知到故障采集單元。為了在其它時鐘源出現(xiàn)錯誤的時候保證故障采集單元的獨立性，該模塊可以在一個16MHz的內(nèi)部RC時鐘上獨立運行。
內(nèi)置自檢 為了實現(xiàn)硬件解決方案而不是軟件自檢機制，MPC564xL器件架構(gòu)提供了多種內(nèi)置自檢(BIST)功能。例如，對每個啟動順序都執(zhí)行自動的器件內(nèi)置自檢。當微處理器仍在復(fù)位階段時檢測已經(jīng)完成了。因此，應(yīng)用程序啟動進程和開機啟動軟件不會受到影響。只有在初始自檢完成而且沒有檢測到任何故障時應(yīng)用軟件才會啟動。 故障采集和管理 故障采集單元(FCU)是MPC564xL功能性安全架構(gòu)的一個核心組件。這一硬件模塊旨在簡化安全要求苛刻應(yīng)用中的控制器級故障報告和管理。它提供了一個冗余硬件通道。當存在重大故障時，該通道允許在安全的狀態(tài)下實現(xiàn)器件的受控轉(zhuǎn)移。這一操作無須CPU干預(yù)。 故障采集單元可以處理控制器的內(nèi)部故障信號，并讓用戶選擇不同的故障信號處理方式。根據(jù)默認配置，在啟動過程中，一旦故障采集單元進入激活狀態(tài)，自檢流程就會檢查故障采集單元的邏輯部分。 對于外部故障信號，F(xiàn)CU提供兩個雙向信號。為了確保在其它控制器模塊或主內(nèi)核出現(xiàn)故障的時候FCU的獨立性，該模塊運行在一個獨立的內(nèi)部16MHzRC時鐘上，因此保證了對輸出信號和時間終止的準確計算。 本文小結(jié) 能夠幫助設(shè)計師把精力投入在實際應(yīng)用程序上、減輕在安全概念開發(fā)和認證等方面挑戰(zhàn)的微控制器特性對于ECU架構(gòu)師來說具有明顯的附加值。MPC564xL系列特性集可以滿足這些市場要求。突破性的雙核概念給予設(shè)計師在系統(tǒng)安全架構(gòu)選擇上的靈活性，并以單一控制器系列實現(xiàn)了性能和安全要求的較佳平衡。 圖1：MPC564xL擴展冗余區(qū)域。 圖2：具有SRAM地址監(jiān)控功能的MPC564xLECC方案。