雙核控制器應(yīng)對(duì)汽車應(yīng)用嚴(yán)苛安全要求
2011-08-05
作者:Marc Osajda 全球汽車戰(zhàn)略經(jīng)理 飛思卡爾半導(dǎo)體公司
</a>EUC" title="EUC">EUC" title="EUC">EUC)和EUC控制系統(tǒng)相關(guān)的整體安全性能的一部分,而EUC控制系統(tǒng)依賴于電子系統(tǒng)的正確工作。
飛思卡爾公司MPC564xL是一系列針對(duì)安全關(guān)聯(lián)應(yīng)用優(yōu)化了的微控制器,這些應(yīng)用包括電動(dòng)轉(zhuǎn)向、汽車穩(wěn)定性控制和司機(jī)輔助等。這些控制器充分整合了業(yè)界領(lǐng)先的功能性安全架構(gòu)和新的性能與靈活性水平。
電子穩(wěn)定性控制、動(dòng)力轉(zhuǎn)向和自適應(yīng)巡航控制有什么共同之處?對(duì)系統(tǒng)設(shè)計(jì)師來說,設(shè)計(jì)此類系統(tǒng),并同時(shí)滿足一流功能性安全要求是一項(xiàng)極具挑戰(zhàn)性的任務(wù)。應(yīng)用功能的數(shù)量和復(fù)雜性不斷增加,開發(fā)成本壓力日益提高,而產(chǎn)品上市時(shí)間卻在不斷縮短。
以具有復(fù)雜控制算法且安全要求苛刻的應(yīng)用為目標(biāo)的設(shè)計(jì)工程師看似有著廣泛的系統(tǒng)架構(gòu)可供選擇,然而,當(dāng)今大多數(shù)微控制器解決方案或者缺乏靈活性,不能支持各種功能性安全概念;或者要求在安全軟件方面投入很大。而額外的軟件更增加了復(fù)雜度,并增加了系統(tǒng)性故障的可能性。
因此,我們?yōu)镸PC564xL系列雙核微控制器的開發(fā)設(shè)定了以下目標(biāo):
高效—提供最高性能水平(以更少的投入,實(shí)現(xiàn)更多產(chǎn)出),更低的時(shí)鐘頻率,并支持智能的外設(shè)協(xié)調(diào);
靈活—構(gòu)建一種支持多重安全架構(gòu)的雙核概念,允許用戶在性能和安全水平之間取得平衡;
安全—形成一個(gè)符合ASIL_x認(rèn)證的安全概念,并通過在硬件中加入關(guān)鍵安全組件和自檢功能降低軟件復(fù)雜度。
功能性安全概念
隨著更高價(jià)值車載功能的推出和汽車電氣化趨勢(shì)的不斷發(fā)展,可編程電子系統(tǒng)代替機(jī)械部件越來越多地承擔(dān)起滿足安全要求苛刻的功能。因此系統(tǒng)工程師面臨的挑戰(zhàn)是,建立能夠預(yù)防危險(xiǎn)故障發(fā)生,或至少在故障發(fā)生時(shí)能夠提供足夠控制功能的控制單元架構(gòu)。危險(xiǎn)故障可能由以下原因引起:
* 隨機(jī)硬件故障機(jī)制
* 系統(tǒng)性硬件故障機(jī)制
* 軟件錯(cuò)誤
* 共因故障
這些故障模式對(duì)于電子控制單元設(shè)計(jì)來說是一大挑戰(zhàn),而且對(duì)于微控制器等復(fù)雜部件來說,它們也是相關(guān)聯(lián)的。因此,即將生效的ISO26262等業(yè)界標(biāo)準(zhǔn)規(guī)定了4個(gè)安全完整性等級(jí),每一等級(jí)對(duì)應(yīng)某一安全功能出現(xiàn)故障的概率范圍。
在針對(duì)安全要求苛刻應(yīng)用的雙核控制器設(shè)計(jì)方面,飛思卡爾已經(jīng)擁有多年的豐富經(jīng)驗(yàn)。為了讓最新雙核處理器系列采用整體安全概念,第三方功能性安全專家正在著手對(duì)概念的實(shí)施以及設(shè)計(jì)流程進(jìn)行監(jiān)控和評(píng)估。MPC564xL系列在此基礎(chǔ)上應(yīng)運(yùn)而生。重點(diǎn)放在以下幾方面:
1 防止單點(diǎn)故障的措施
單點(diǎn)故障可能直接與系統(tǒng)安全功能緊密相關(guān),通常要求進(jìn)行快速檢測(cè)。此類故障的典型例子是由外部因素(如輻射或電磁干擾)引起的內(nèi)核或內(nèi)存的比特翻轉(zhuǎn)。最低要求是在系統(tǒng)安全時(shí)間內(nèi)檢測(cè)出這些故障。在汽車電子應(yīng)用中,系統(tǒng)安全時(shí)間一般在1ms和30ms之間。
作為防止單點(diǎn)故障的關(guān)鍵措施,MPC564xL處理器引入了一種所謂的“SoR”(復(fù)制區(qū)域),它允許用戶以雙核鎖步模式運(yùn)行微處理器的關(guān)鍵組件。
2 預(yù)防潛在故障的措施
潛在故障通常是“隱藏的”。盡管已經(jīng)發(fā)生,但這些故障仍未對(duì)系統(tǒng)安全功能造成損害。一個(gè)例子就是執(zhí)行內(nèi)存故障檢測(cè)/糾正的EEC邏輯出現(xiàn)故障。只有當(dāng)發(fā)生內(nèi)存比特翻轉(zhuǎn)(比如在閃存模塊中)因而無法進(jìn)一步檢測(cè)/糾正的時(shí)候,故障才變得嚴(yán)重。
MPC564xL控制器架構(gòu)提供的硬件自檢(BIST)機(jī)制可以檢測(cè)這種類型的故障。這些測(cè)試?yán)昧宋⒖刂破鞯倪壿媶卧?,覆蓋率可達(dá)90%甚至更高。因此,即使在實(shí)際應(yīng)用并未觸發(fā)所有硬件模塊的時(shí)候也可以識(shí)別出潛在故障。
3 預(yù)防共因故障(CCF)的措施
共因故障可能是由MPC564xL架構(gòu)的冗余組件仍然共享一個(gè)公共裸片所導(dǎo)致。典型例子是系統(tǒng)時(shí)鐘或電源問題,它們可能以類似的方式影響到芯片內(nèi)部的時(shí)鐘并可能造成同樣的故障。因此,在鎖步模式下,“冗余區(qū)域”的兩個(gè)通道都運(yùn)行同樣的軟件,此類故障不會(huì)被檢測(cè)出。
MPC564xL系列提供硬件模塊用于檢測(cè)時(shí)鐘偏離,并提供硬件監(jiān)視器監(jiān)視主要電壓,如內(nèi)部核心電壓、閃存供電電壓等。
復(fù)制區(qū)域
“復(fù)制區(qū)域”是MPC564xL器件架構(gòu)的邏輯部分。該部分可以設(shè)置為以“鎖步模式”運(yùn)行。“鎖步模式”意味著控制器的這個(gè)部分同時(shí)并行運(yùn)行同一組操作。鎖步操作的輸出可以通過所謂的“冗余校驗(yàn)單元(RCU)”進(jìn)行比較。這些單元可以判斷是否已出現(xiàn)故障。如果出現(xiàn)故障,故障信號(hào)將被轉(zhuǎn)發(fā)到一個(gè)單獨(dú)的硬件模塊,即故障采集和控制單元。
過去,復(fù)制原則和鎖步模式主要用于內(nèi)核。這樣能夠?qū)?nèi)核故障做出極快的響應(yīng),時(shí)間通常在幾個(gè)時(shí)鐘周期范圍內(nèi)。MPC564xL系列將更進(jìn)一步,在“復(fù)制區(qū)域”中增加了其它關(guān)鍵的硬件模塊。主要組件包括:
* 包括內(nèi)存保護(hù)單元在內(nèi)的交叉開關(guān)矩陣(Crossbar)
* 中斷控制器
* DMA單元
* 軟件看門狗定時(shí)器
內(nèi)存ECC
為MC564xL系列實(shí)施的ECC方案能夠糾正所有的單比特錯(cuò)誤、檢測(cè)所有的雙比特錯(cuò)誤并檢測(cè)幾種影響兩個(gè)以上比特的故障。ECC計(jì)算不影響器件的性能。尤其對(duì)于SRAM來說,地址信息包含在ECC的計(jì)算和估測(cè)之內(nèi)。因此可以實(shí)現(xiàn)對(duì)RAM陣列內(nèi)潛在的編址錯(cuò)誤的檢測(cè)。雙比特或多比特錯(cuò)誤則被轉(zhuǎn)發(fā)到故障采集和控制單元。
電壓與時(shí)鐘監(jiān)視
對(duì)于安全關(guān)鍵性系統(tǒng)的設(shè)計(jì)和實(shí)施來說,電壓監(jiān)視能力是一個(gè)很重要的方面。為了簡(jiǎn)化ECU供電設(shè)計(jì)并避免與電源上電順序相關(guān)的額外故障源,MPC564xL系列采用了3.3V單電源概念。
電源管理單元(PMU)用于管理器件上所有模塊的供電電壓,并為低壓和高壓檢測(cè)提供片上監(jiān)視器。這些監(jiān)視器的故障指示被前移到故障采集單元和復(fù)位產(chǎn)生單元。
MPC564xL電壓監(jiān)視器是可測(cè)試的。針對(duì)內(nèi)部生成的核心電壓的過壓/欠壓檢測(cè)器提供了硬件輔助下的自檢功能。測(cè)試需要在啟動(dòng)過程中由軟件進(jìn)行觸發(fā)。運(yùn)行時(shí)的電壓監(jiān)視在后臺(tái)進(jìn)行,無須進(jìn)一步軟件配合。
對(duì)于符合ISO26262標(biāo)準(zhǔn)的系統(tǒng)來說,時(shí)鐘信號(hào)的監(jiān)視是必須的。MPC564xL系列使用專用的時(shí)鐘監(jiān)視單元(CMU)監(jiān)視時(shí)鐘源的完整性。
微處理器的關(guān)鍵組件(如“復(fù)制區(qū)域”)、用于電機(jī)控制的外設(shè)以及Flexray等通信模塊都使用專門的時(shí)鐘監(jiān)視器。
時(shí)鐘故障將以信號(hào)的形式通知到故障采集單元。為了在其它時(shí)鐘源出現(xiàn)錯(cuò)誤的時(shí)候保證故障采集單元的獨(dú)立性,該模塊可以在一個(gè)16MHz的內(nèi)部RC時(shí)鐘上獨(dú)立運(yùn)行。
內(nèi)置自檢
為了實(shí)現(xiàn)硬件解決方案而不是軟件自檢機(jī)制,MPC564xL器件架構(gòu)提供了多種內(nèi)置自檢(BIST)功能。例如,對(duì)每個(gè)啟動(dòng)順序都執(zhí)行自動(dòng)的器件內(nèi)置自檢。當(dāng)微處理器仍在復(fù)位階段時(shí)檢測(cè)已經(jīng)完成了。因此,應(yīng)用程序啟動(dòng)進(jìn)程和開機(jī)啟動(dòng)軟件不會(huì)受到影響。只有在初始自檢完成而且沒有檢測(cè)到任何故障時(shí)應(yīng)用軟件才會(huì)啟動(dòng)。
故障采集和管理
故障采集單元(FCU)是MPC564xL功能性安全架構(gòu)的一個(gè)核心組件。這一硬件模塊旨在簡(jiǎn)化安全要求苛刻應(yīng)用中的控制器級(jí)故障報(bào)告和管理。它提供了一個(gè)冗余硬件通道。當(dāng)存在重大故障時(shí),該通道允許在安全的狀態(tài)下實(shí)現(xiàn)器件的受控轉(zhuǎn)移。這一操作無須CPU干預(yù)。
故障采集單元可以處理控制器的內(nèi)部故障信號(hào),并讓用戶選擇不同的故障信號(hào)處理方式。根據(jù)默認(rèn)配置,在啟動(dòng)過程中,一旦故障采集單元進(jìn)入激活狀態(tài),自檢流程就會(huì)檢查故障采集單元的邏輯部分。
對(duì)于外部故障信號(hào),F(xiàn)CU提供兩個(gè)雙向信號(hào)。為了確保在其它控制器模塊或主內(nèi)核出現(xiàn)故障的時(shí)候FCU的獨(dú)立性,該模塊運(yùn)行在一個(gè)獨(dú)立的內(nèi)部16MHzRC時(shí)鐘上,因此保證了對(duì)輸出信號(hào)和時(shí)間終止的準(zhǔn)確計(jì)算。
本文小結(jié)
能夠幫助設(shè)計(jì)師把精力投入在實(shí)際應(yīng)用程序上、減輕在安全概念開發(fā)和認(rèn)證等方面挑戰(zhàn)的微控制器特性對(duì)于ECU架構(gòu)師來說具有明顯的附加值。MPC564xL系列特性集可以滿足這些市場(chǎng)要求。突破性的雙核概念給予設(shè)計(jì)師在系統(tǒng)安全架構(gòu)選擇上的靈活性,并以單一控制器系列實(shí)現(xiàn)了性能和安全要求的最佳平衡。
圖1:MPC564xL擴(kuò)展冗余區(qū)域。
圖2:具有SRAM地址監(jiān)控功能的MPC564xLECC方案。
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。