MCU实现汽车功能安全合规性

　　摘要：汽车正在不断加强安全措施，关键汽车操作所使用的安全MCU 都需要遵循 ISO26262 (ASIL-D) 或 IEC61508 (SIL3) 标准。本文讨论了MPC574x 等飞思卡尔公司 32 位 Qorivva 微控制器(MCU)提供的主要设计功能。这些功能可帮助最终客户满足汽车 (ISO26262)/工业 (IEC61508) 标准提出的安全要求。稍后我们将讨论飞思卡尔SafeAssure功能安全项目，飞思卡尔将为寻求实现产品功能安全合规的客户提供综合支持。

　　功能安全要求

　　功能安全与最大限度地减少系统故障引起的危险有关。系统故障可能由于硬件/软件错误引起，可能是永久性的，也可能是瞬时性的。下面描述了发生错误时可能出现的反应：

　　● 故障-危险：发生故障时可能造成危险;
　　● 故障-不一致：发生故障时提供的结果可能明显不一致;
　　● 故障-停止运行：发生故障时完全停止运行;
　　● 故障-安全：发生故障时返回或保持安全状态;
　　● 故障-可以运行：发生故障时继续正常工作;
　　● 故障-静音：发生故障时不打扰任何人;
　　● 故障-指示：向环境指示发生了故障。

　　在系统中实施功能安全通常意味着将故障映射到能被整个系统或伺机处理的预期反应，从而确保最大限度地减少系统故障引起的危险。

　　下一节讨论了飞思卡尔片上系统实现的各种功能安全，在发生系统故障时，执行此类映射。

　　飞思卡尔MCU设计提供的主要功能安全

　　现在深入讨论针对汽车安全应用的飞思卡尔设备的主要安全特性。

　　核心锁步

　　确保 SoC 中的内核能够安全运行是功能安全的主要要求之一，这是因为几乎所有的操作都以其为中心。在Qorivva微控制器MPC574x中，通过采用一个与主内核锁步运行的检查内核来实现安全运行。这意味着，检查内核执行与主内核相同的指令，内核的地址和数据总线在检查单元进行对比，以检测运行偏差。将检测到的错误报告给错误收集和应对模块(见下文)。由于锁步，从软件的角度来看，两个内核作为一个单独的内核运行，减少软件实施。查看下面的图 1 所示的框图。　　

 

　　除了内核，eDMA、中断控制器、缓存等其他安全相关模块可在系统中进行复制。所有此类复制必须在芯片上保持物理隔离，这样，常见故障(CCF) 便不会影响两个实例的运行。

　　存储器中提供的端到端 ECC (E2EECC) 保护

　　在海明间距为 4 的情况下实现 ECC(纠错码)和 SECDED(单纠错和双纠错)，可保护所有的存储器存储操作。ECC 在数据、地址信号上实现，并通过写操作与数据一起存储在存储器中。发起读操作时，ECC 在检索到的数据和请求的地址上重新进行计算，并通过已存储的 ECC 进行验证。

　　在Qorivva MPC574x器件中，没有仅用于存储器的ECC，但它提供了E2EECC，可检测总线主设备和总线客户端之间的所有数据路径上的数据损坏，提供至少99%的覆盖率。该机制如下所示。

　　1)来自主设备的数据通过 ECC-SECDED 代码进行编码。该数据编码包括寻址信息覆盖。

　　2)路径的各个模块包括本地机制，如确保控制数据的正确发送和正确地址解码。