基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准（四）

　　可编程逻辑的灵活性及其对功能安全的适用性还带来另一项设计优势，就是可以采用三模冗

　　余 （TMR） 策略。这是航空航天应用中用于缓解单粒子翻转 （SEU） 风险的常见方法。这种缓解方案由三个相同逻辑电路构成，并行执行相同的任务，对应的输出由一个多数表决电路进行比较。采用硬件实现这种策略效率很高。

　　另外，在这个高度关注成本和功耗的市场上，赛灵思 Zynq-7000 EPP等一些可编程逻辑器件能够支持多项降低系统总体功耗的功能，其中的部分功能是从 MCU 继承而来。像处理系统的仅加电模式、休眠模式和外设独立时钟域这样的功能能够大幅降低器件待机期间的动态功耗。

　　某些可编程逻辑器件在结构中配备有硬核处理器，便于设计人员第一步先用软件开发整个系统功能，就像他们寻常在 MCU 平台上所做的一样，随后逐步地在设计中增加硬件，将部分设计移植到可编程逻辑资源。这种方法能够让设计人员为解决方案开发出不同的版本，而且与纯软件方法相比，能够实现在定制硬件中综合部分功能的优势。

　　在运行时可重配置硬件上进行 ECU 设计

　　在探讨完毕借助可编程逻辑在静态硬件和软件上实现 ECU 的优势后，我们接下来探讨采用基于 SRAM 并具备运行时部分可重配置功能的 FPGA 设计 ECU。部分可重配置技术能够为汽车设计人员提供更多优势。

　　事实上，其中的一大优势是如果 FPGA 包含有不必在启动时（如在 ECU 唤醒或加电）配置的部分可重配置区域，可以缩短系统启动时间。不支持动态部分可重配置的 FPGA在加电时需要配置所有的 FPGA 资源，但运行时可重配置 FPGA 只需下载部分位流进行部分重配置。

　　由于当今先进的 FPGA 器件具有巨大的容量，故在加电时下载完整的位流会引起可观的配置时间开销。运行时部分可重配置技术能够显著地缩短这种配置时延。在那种情况下，有可能在加电时只配置一个最起码的子系统（即引导载入程序和立即需要的部分系统应用），让系统其余部分保持待机状态，直到有必要初始化为止。如果系统在加电或唤醒时需要快速响应，可将这种启动工作划分为两个阶段，以加快初始化过程。为此，可将系统架构分解为一个静态域和一个或者多个部分可重配置域 （PRR）。静态域涵盖负责执行启动过程的系统（一般来说是主机 CPU），以及可重配置引擎和通往位流库的数据链路。由特定部分位流描述的其他域可按应用需求，随后下载。

　　另外，如果禁用 PRR 域，则可以让器件的功耗与禁用区域部分成比例降低。在使用汽车电池供电的 ECU 中，节能模式尤为重要。为此，在车辆未使用时（即处于休眠模式时），车载 ECU 可使用低功耗模式，以让 ECU 功耗保持最低。同样，可以在不需要的时候使用空白位流禁用 FPGA 的部分区域，减少逻辑活动，从而降低动态功耗。

　　在采用运行时可重配置逻辑的系统中，汽车设计人员还可使用一种从航空航天应用中借鉴来的重配置技术。重配置（configuration scrubbing） 可以将系统从因单粒子翻转 （SEU）和电磁干扰造成的 SRAM 故障中恢复过来。定期重新配置硬件外设可保证系统在出现故障时自我修复。另外，这样也可以将故障的最大时长限制在重配置时间间隔内。这种技术也通常运用在软件中，作为一种常见的抗干扰保护措施，例如 MCU 外设的定期重配置。

　　另一项运行时部分重配置技术的灵活性带来的有前景的功能是在 FPGA 资源的某个特定二维位置出现永久性或不可修复的电路故障，比如影响到特定逻辑单元或 RAM 模块时，可通过功能重定位实现故障修复。一旦发现有硬件或软件故障出现，可以在运行中将所需的功能自动重定位到同一 ECU 中的可编程逻辑器件的其他部分。虽然这个构思是可行的，但这项功能还没有得到当今的自动化工具的完全支持。

　　适用于汽车产业的运行时可重配置计算技术最强大的特性无疑是共享的硬件资源上功能的实时时分复用。可以对由 ECU 中的相同计算资源处理的功能性应用进行时间共享，如果应用间相互独立（例如，当车辆向前直行驶时使用行车道偏离预警功能，倒车时，则切换到后视摄像头视图或停车辅助应用）。这种设计思路可以帮助降低此类嵌入式系统的成本和复杂性，释放空间，减轻车身重量。