MCU实现汽车功能安全合规性

　　上述方法可确保数据路径上没有数据损坏。然后主设备提供的ECC被用于RAM和闪存，因此存储器不需要额外的ECC计算，ECC从一端(总线主设备)传到另一端(存储器)。

　　系统中有一个中央存储器错误管理单元，负责采集和报告与在SRAM、外设系统RAM及闪存上所使用的ECC 逻辑相关的错误事件。 每当发生可纠正(单位)或不可纠正(多位)的错误时，MEMU 都会收到一个错误信号，然后记录错误地址，设置相应的错误标记并报告给FCCU。在需要特殊更正数时或进一步分析软件中这样的错误时，可以使用。

　　故障收集和控制单元(FCCU)

　　FCCU是一个可编程的单元，监控MCU的完整性状态，提供灵活的安全状态控制，在设备发生故障时通过可控的方式使设备处于安全状态。 收集和控制操作不需要 CPU 的干预。FCCU简易框图如图 2 所示。　　

 

　　FCCU提供一个有限状态机，根据系统中发生的错误以及对这些错误采取的行动/无为，从一个状态迁移到另一个状态。根据故障配置，FCCU可能会触发复位、屏蔽/非屏蔽中断、外部故障指示、或不反应。该SoC 还提供两个外部指示引脚 (EOUT0/1)，可以就系统中发生的故障与外部环境进行通信，并遵循各类静态或切换协议。

　　自我测试控制单元

　　这是针对在启动/关机时运行的设备的自我诊断措施，以确保在应用运行过程中设备不会出现延时/休眠故障而破坏其运行。通常来说，自我检测根据数字逻辑(称为 LBIST)在嵌入式存储器( 称为 MBIST)上执行，有足够的覆盖率，可满足所要求的系统安全完整性等级(SIL)。

　　1. 在 STCU 重置事件后，SSCM 检测到设备自我检测尚未运行。
　　2. SSCM 从非易失性闪存存储器 (NVM) 读取自我检测参数。
　　3. SSCM 将自我检测参数加载到 STCU 中，并将控制传送到 STCU。
　　4. STCU 管理 MBIST 并更新其内部状态。
　　5. STCU 管理 LBIST 并更新其内部状态(可能有其他LBIST和MBIST的顺序或并行执行)。
　　6. 如果检测到故障，STCU 便将测试故障报告给 FCCU 或重置设备。
　　7. 在完成自我测试后，STCU 便示意重置模块，引导顺序推进到下一阶段。　　

 

　　时钟监控和辅助时钟

　　为了检测安全运行中内外部时钟电路故障，基于辅助时钟监控(见下文)其主时钟。该辅助时钟由内部 RC 振荡器提供，只要器件重置便可使用。有了辅助时钟，即使内部 PLL 由于某些原因而发生故障，也能保证系统有时钟可以运行许多安全机制，确保继续运行。该 IRC 振荡器可进行微调，使时钟在不同的 PVT(流程、电压和温度)下保持一致。

　　时钟监控单元

　　CMU 是监控系统 PLL 输出频率的模块，如果发生时钟丢失或被监控的时钟超出低频或高频边界时，便会显示故障、重置或中断。CMU将辅助时钟(见上文)作为参考来对时钟进行监控，同时根据外部晶体振荡器监控辅助时钟。 CMU 简易框图如图 4 所示。