电子安全系统由于影响巨大且技术不断升级,国际标准组织(ISO)和国际电工委员会(IEC)对此制定了新的要求。目前功能安全标准IEC61508及其未来车辆自适应标准ISO26262已在业内应用,以确保车辆电子系统充分的安全性。飞思 卡尔半导体推出的SafeAssure计划,旨在帮助系统制造商更加轻松地满足汽车和工业市场中的功能安全标准要求。
双核高性能MCU性能卓越
对安全应用的严格要求使设计工程师需要进行架构选择。但现有的大多数微控制器解决方案或者缺乏灵活性,不能支持各种功能安全需求,或者要求在安全软件方面投入很大。而额外的软件增加了复杂度并更容易导致系统故障。因此,从系统的角度需要多方面的评估微控制器方案。飞思卡尔目前实现功能安全的途径包括四个主要领域:安全流程、安全硬件、安全软件和安全支持,采用飞思卡尔针对功能安全标准开发的器件,能够帮助设计工程师快速完成产品设计,加快上市时间。
飞思卡尔针对要求严格的安全应用,推出了新开发的汽车级双核微控制器:双核MPC5643LPowerArchitecture32位MCU系列。该处理器包括2个冗余通道,每个通道由内核、总线、中断控制器、内存控制器和其他内核相关模块组成。这种方法取代了使用2个MCU的方法,双核MCU能够以更具性价比的特点实现车辆安全。
MPC5643L具有高效、灵活、安全的优势。该器件能够构建一种支持多重安全架构的双核概念,并让用户在性能和安全水平之间取得平衡;同时能够形成一个符合SIL3/ASILD标准的安全概念,并通过在硬件中加入关键安全组件和自测功能,降低软件复杂度。
智能化故障检测功能突出
故障通常包括单点故障、潜在故障和共因故障。其中单点故障多由外部因素导致内核或内存发生大的变化。作为防止单点故障的关键措施,MPC5643L处理器同该系列其他产品一样,引入了“SoR”(冗余区域),它允许用户以双核锁步(lockstep)模式运行微处理器的关键组件。“锁步模式”表示控制器的这个部件同时并行运行同一组操作。锁步操作的输出可以通过所谓的“冗余校验单元”进行对比,以此测定是否已出现故障。如果出现故障,这个故障信号会转发到一个单独的硬件单元,即故障采集和控制单元(FCCU)。
MPC5643L控制器架构还提供硬件自检(BIST)机制,用于对潜在故障进行检测。这些测试检测微控制器逻辑单元覆盖率能够达到90%或更高。因此,即使当实际应用并未触发所有硬件模块的时候也可以识别出潜在故障。由于MPC5643L架构的冗余组件共享一个系统资源,可能引发共因故障。典型例子是系统时钟或供电,它们可能以相同的方式影响到芯片组件的时钟并可能造成同样的故障。因此,在锁步模式下,“冗余区域”的2个通道都运行同样的软件,此类共因故障不会被检测出。
MPC5643L还可提供用于时钟偏差和主要电压偏差(如内部核心电压、闪存供电电压等)的硬件监测模块。故障采集和处理单元(FCCU)是MPC5643L功能性安全架构的一个核心组件。与此同时,它提供一个冗余硬件通道,当存在重大故障的时候,该通道能够实现在安全的状态下对器件进行管理,这一操作无须CPU干预。为了确保在其它控制器模块或主内核出现故障时FCCU的独立性,该模块运行在一个独立的16MHz内部RC时钟上,因此确保了对输出信号和时间的最终计算。