雙核控制器應(yīng)對(duì)汽車應(yīng)用嚴(yán)苛安全要求
2011-08-05
作者:Marc Osajda 全球汽車戰(zhàn)略經(jīng)理 飛思卡爾半導(dǎo)體公司
</a>EUC" title="EUC">EUC" title="EUC">EUC)和EUC控制系統(tǒng)相關(guān)的整體安全性能的一部分,而EUC控制系統(tǒng)依賴于電子系統(tǒng)的正確工作,。
飛思卡爾公司MPC564xL是一系列針對(duì)安全關(guān)聯(lián)應(yīng)用優(yōu)化了的微控制器,這些應(yīng)用包括電動(dòng)轉(zhuǎn)向,、汽車穩(wěn)定性控制和司機(jī)輔助等。這些控制器充分整合了業(yè)界領(lǐng)先的功能性安全架構(gòu)和新的性能與靈活性水平,。
電子穩(wěn)定性控制,、動(dòng)力轉(zhuǎn)向和自適應(yīng)巡航控制有什么共同之處?對(duì)系統(tǒng)設(shè)計(jì)師來(lái)說(shuō),,設(shè)計(jì)此類系統(tǒng),,并同時(shí)滿足一流功能性安全要求是一項(xiàng)極具挑戰(zhàn)性的任務(wù)。應(yīng)用功能的數(shù)量和復(fù)雜性不斷增加,,開(kāi)發(fā)成本壓力日益提高,而產(chǎn)品上市時(shí)間卻在不斷縮短,。
以具有復(fù)雜控制算法且安全要求苛刻的應(yīng)用為目標(biāo)的設(shè)計(jì)工程師看似有著廣泛的系統(tǒng)架構(gòu)可供選擇,,然而,當(dāng)今大多數(shù)微控制器解決方案或者缺乏靈活性,,不能支持各種功能性安全概念,;或者要求在安全軟件方面投入很大。而額外的軟件更增加了復(fù)雜度,,并增加了系統(tǒng)性故障的可能性,。
因此,我們?yōu)镸PC564xL系列雙核微控制器的開(kāi)發(fā)設(shè)定了以下目標(biāo):
高效—提供最高性能水平(以更少的投入,,實(shí)現(xiàn)更多產(chǎn)出),,更低的時(shí)鐘頻率,并支持智能的外設(shè)協(xié)調(diào),;
靈活—構(gòu)建一種支持多重安全架構(gòu)的雙核概念,,允許用戶在性能和安全水平之間取得平衡;
安全—形成一個(gè)符合ASIL_x認(rèn)證的安全概念,并通過(guò)在硬件中加入關(guān)鍵安全組件和自檢功能降低軟件復(fù)雜度,。
功能性安全概念
隨著更高價(jià)值車載功能的推出和汽車電氣化趨勢(shì)的不斷發(fā)展,,可編程電子系統(tǒng)代替機(jī)械部件越來(lái)越多地承擔(dān)起滿足安全要求苛刻的功能。因此系統(tǒng)工程師面臨的挑戰(zhàn)是,,建立能夠預(yù)防危險(xiǎn)故障發(fā)生,,或至少在故障發(fā)生時(shí)能夠提供足夠控制功能的控制單元架構(gòu)。危險(xiǎn)故障可能由以下原因引起:
* 隨機(jī)硬件故障機(jī)制
* 系統(tǒng)性硬件故障機(jī)制
* 軟件錯(cuò)誤
* 共因故障
這些故障模式對(duì)于電子控制單元設(shè)計(jì)來(lái)說(shuō)是一大挑戰(zhàn),,而且對(duì)于微控制器等復(fù)雜部件來(lái)說(shuō),,它們也是相關(guān)聯(lián)的。因此,即將生效的ISO26262等業(yè)界標(biāo)準(zhǔn)規(guī)定了4個(gè)安全完整性等級(jí),,每一等級(jí)對(duì)應(yīng)某一安全功能出現(xiàn)故障的概率范圍,。
在針對(duì)安全要求苛刻應(yīng)用的雙核控制器設(shè)計(jì)方面,飛思卡爾已經(jīng)擁有多年的豐富經(jīng)驗(yàn),。為了讓最新雙核處理器系列采用整體安全概念,,第三方功能性安全專家正在著手對(duì)概念的實(shí)施以及設(shè)計(jì)流程進(jìn)行監(jiān)控和評(píng)估。MPC564xL系列在此基礎(chǔ)上應(yīng)運(yùn)而生,。重點(diǎn)放在以下幾方面:
1 防止單點(diǎn)故障的措施
單點(diǎn)故障可能直接與系統(tǒng)安全功能緊密相關(guān),,通常要求進(jìn)行快速檢測(cè)。此類故障的典型例子是由外部因素(如輻射或電磁干擾)引起的內(nèi)核或內(nèi)存的比特翻轉(zhuǎn),。最低要求是在系統(tǒng)安全時(shí)間內(nèi)檢測(cè)出這些故障,。在汽車電子應(yīng)用中,系統(tǒng)安全時(shí)間一般在1ms和30ms之間,。
作為防止單點(diǎn)故障的關(guān)鍵措施,,MPC564xL處理器引入了一種所謂的“SoR”(復(fù)制區(qū)域),它允許用戶以雙核鎖步模式運(yùn)行微處理器的關(guān)鍵組件,。
2 預(yù)防潛在故障的措施
潛在故障通常是“隱藏的”,。盡管已經(jīng)發(fā)生,但這些故障仍未對(duì)系統(tǒng)安全功能造成損害,。一個(gè)例子就是執(zhí)行內(nèi)存故障檢測(cè)/糾正的EEC邏輯出現(xiàn)故障,。只有當(dāng)發(fā)生內(nèi)存比特翻轉(zhuǎn)(比如在閃存模塊中)因而無(wú)法進(jìn)一步檢測(cè)/糾正的時(shí)候,故障才變得嚴(yán)重,。
MPC564xL控制器架構(gòu)提供的硬件自檢(BIST)機(jī)制可以檢測(cè)這種類型的故障,。這些測(cè)試?yán)昧宋⒖刂破鞯倪壿媶卧采w率可達(dá)90%甚至更高,。因此,,即使在實(shí)際應(yīng)用并未觸發(fā)所有硬件模塊的時(shí)候也可以識(shí)別出潛在故障。
3 預(yù)防共因故障(CCF)的措施
共因故障可能是由MPC564xL架構(gòu)的冗余組件仍然共享一個(gè)公共裸片所導(dǎo)致,。典型例子是系統(tǒng)時(shí)鐘或電源問(wèn)題,,它們可能以類似的方式影響到芯片內(nèi)部的時(shí)鐘并可能造成同樣的故障。因此,,在鎖步模式下,,“冗余區(qū)域”的兩個(gè)通道都運(yùn)行同樣的軟件,此類故障不會(huì)被檢測(cè)出,。
MPC564xL系列提供硬件模塊用于檢測(cè)時(shí)鐘偏離,,并提供硬件監(jiān)視器監(jiān)視主要電壓,如內(nèi)部核心電壓,、閃存供電電壓等,。
復(fù)制區(qū)域
“復(fù)制區(qū)域”是MPC564xL器件架構(gòu)的邏輯部分。該部分可以設(shè)置為以“鎖步模式”運(yùn)行。“鎖步模式”意味著控制器的這個(gè)部分同時(shí)并行運(yùn)行同一組操作,。鎖步操作的輸出可以通過(guò)所謂的“冗余校驗(yàn)單元(RCU)”進(jìn)行比較,。這些單元可以判斷是否已出現(xiàn)故障。如果出現(xiàn)故障,,故障信號(hào)將被轉(zhuǎn)發(fā)到一個(gè)單獨(dú)的硬件模塊,,即故障采集和控制單元。
過(guò)去,,復(fù)制原則和鎖步模式主要用于內(nèi)核,。這樣能夠?qū)?nèi)核故障做出極快的響應(yīng),時(shí)間通常在幾個(gè)時(shí)鐘周期范圍內(nèi),。MPC564xL系列將更進(jìn)一步,,在“復(fù)制區(qū)域”中增加了其它關(guān)鍵的硬件模塊。主要組件包括:
* 包括內(nèi)存保護(hù)單元在內(nèi)的交叉開(kāi)關(guān)矩陣(Crossbar)
* 中斷控制器
* DMA單元
* 軟件看門狗定時(shí)器
內(nèi)存ECC
為MC564xL系列實(shí)施的ECC方案能夠糾正所有的單比特錯(cuò)誤,、檢測(cè)所有的雙比特錯(cuò)誤并檢測(cè)幾種影響兩個(gè)以上比特的故障,。ECC計(jì)算不影響器件的性能。尤其對(duì)于SRAM來(lái)說(shuō),,地址信息包含在ECC的計(jì)算和估測(cè)之內(nèi),。因此可以實(shí)現(xiàn)對(duì)RAM陣列內(nèi)潛在的編址錯(cuò)誤的檢測(cè)。雙比特或多比特錯(cuò)誤則被轉(zhuǎn)發(fā)到故障采集和控制單元,。
電壓與時(shí)鐘監(jiān)視
對(duì)于安全關(guān)鍵性系統(tǒng)的設(shè)計(jì)和實(shí)施來(lái)說(shuō),電壓監(jiān)視能力是一個(gè)很重要的方面,。為了簡(jiǎn)化ECU供電設(shè)計(jì)并避免與電源上電順序相關(guān)的額外故障源,,MPC564xL系列采用了3.3V單電源概念。
電源管理單元(PMU)用于管理器件上所有模塊的供電電壓,,并為低壓和高壓檢測(cè)提供片上監(jiān)視器,。這些監(jiān)視器的故障指示被前移到故障采集單元和復(fù)位產(chǎn)生單元。
MPC564xL電壓監(jiān)視器是可測(cè)試的,。針對(duì)內(nèi)部生成的核心電壓的過(guò)壓/欠壓檢測(cè)器提供了硬件輔助下的自檢功能,。測(cè)試需要在啟動(dòng)過(guò)程中由軟件進(jìn)行觸發(fā)。運(yùn)行時(shí)的電壓監(jiān)視在后臺(tái)進(jìn)行,,無(wú)須進(jìn)一步軟件配合,。
對(duì)于符合ISO26262標(biāo)準(zhǔn)的系統(tǒng)來(lái)說(shuō),時(shí)鐘信號(hào)的監(jiān)視是必須的,。MPC564xL系列使用專用的時(shí)鐘監(jiān)視單元(CMU)監(jiān)視時(shí)鐘源的完整性,。
微處理器的關(guān)鍵組件(如“復(fù)制區(qū)域”)、用于電機(jī)控制的外設(shè)以及Flexray等通信模塊都使用專門的時(shí)鐘監(jiān)視器,。
時(shí)鐘故障將以信號(hào)的形式通知到故障采集單元,。為了在其它時(shí)鐘源出現(xiàn)錯(cuò)誤的時(shí)候保證故障采集單元的獨(dú)立性,該模塊可以在一個(gè)16MHz的內(nèi)部RC時(shí)鐘上獨(dú)立運(yùn)行。
內(nèi)置自檢
為了實(shí)現(xiàn)硬件解決方案而不是軟件自檢機(jī)制,,MPC564xL器件架構(gòu)提供了多種內(nèi)置自檢(BIST)功能,。例如,對(duì)每個(gè)啟動(dòng)順序都執(zhí)行自動(dòng)的器件內(nèi)置自檢,。當(dāng)微處理器仍在復(fù)位階段時(shí)檢測(cè)已經(jīng)完成了,。因此,應(yīng)用程序啟動(dòng)進(jìn)程和開(kāi)機(jī)啟動(dòng)軟件不會(huì)受到影響,。只有在初始自檢完成而且沒(méi)有檢測(cè)到任何故障時(shí)應(yīng)用軟件才會(huì)啟動(dòng),。
故障采集和管理
故障采集單元(FCU)是MPC564xL功能性安全架構(gòu)的一個(gè)核心組件。這一硬件模塊旨在簡(jiǎn)化安全要求苛刻應(yīng)用中的控制器級(jí)故障報(bào)告和管理,。它提供了一個(gè)冗余硬件通道,。當(dāng)存在重大故障時(shí),該通道允許在安全的狀態(tài)下實(shí)現(xiàn)器件的受控轉(zhuǎn)移,。這一操作無(wú)須CPU干預(yù),。
故障采集單元可以處理控制器的內(nèi)部故障信號(hào),并讓用戶選擇不同的故障信號(hào)處理方式,。根據(jù)默認(rèn)配置,,在啟動(dòng)過(guò)程中,一旦故障采集單元進(jìn)入激活狀態(tài),,自檢流程就會(huì)檢查故障采集單元的邏輯部分,。
對(duì)于外部故障信號(hào),F(xiàn)CU提供兩個(gè)雙向信號(hào),。為了確保在其它控制器模塊或主內(nèi)核出現(xiàn)故障的時(shí)候FCU的獨(dú)立性,,該模塊運(yùn)行在一個(gè)獨(dú)立的內(nèi)部16MHzRC時(shí)鐘上,因此保證了對(duì)輸出信號(hào)和時(shí)間終止的準(zhǔn)確計(jì)算,。
本文小結(jié)
能夠幫助設(shè)計(jì)師把精力投入在實(shí)際應(yīng)用程序上,、減輕在安全概念開(kāi)發(fā)和認(rèn)證等方面挑戰(zhàn)的微控制器特性對(duì)于ECU架構(gòu)師來(lái)說(shuō)具有明顯的附加值。MPC564xL系列特性集可以滿足這些市場(chǎng)要求,。突破性的雙核概念給予設(shè)計(jì)師在系統(tǒng)安全架構(gòu)選擇上的靈活性,,并以單一控制器系列實(shí)現(xiàn)了性能和安全要求的最佳平衡。
圖1:MPC564xL擴(kuò)展冗余區(qū)域,。
圖2:具有SRAM地址監(jiān)控功能的MPC564xLECC方案,。
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]。