支持ASIL D 应用的安全集成硬件解决方案

第一种方法使用两个MCU进行安全输出的外部比较。

图2：基于单核和安全 MCU 的 EPS

这种架构的优势是物理复制安全和非安全相关功能和特性。

然而，这种配置复杂性较高，再加上软件同步和 PCB 空间增加，使这种方法存在重大问题和障碍。由于器件数量不断增加，因此降低了系统功能的可靠性和可用性。

这种配置可能会带来一个瞬态故障，即单粒子翻转，因此不利于这方面有良好耐受性。

飞思卡尔开发的另一种方法是使用在锁步模式中运行的最新一代多核 MCU。该设计包括与先进的模拟电源管理解决方案相结合的内部自检功能，监控 MCU 并控制故障安全系统状态。

第二种方法增强了集成度，减少了板卡尺寸，降低了系统复杂性。使用锁步模式并将监控集成到电源装置提高了可用性并提高了安全性水平。此外，软件开发的复杂性比第一种方法有所降低。

图3：飞思卡尔针对基于 Qorriva MPC5643L 双核 MCU 和 MC33907 系统基础芯片的 ASIL-D EPS 系统的集成安全架构

飞思卡尔针对下一代功能安全的硬件系统概念包括 MPC5643L 和 MC33907，它们是最新一代的系统基础芯片（SBC），旨在满足 ISO 26262 标准安全要求。

MC33907 根据高效的 DC/DC电源，组合了一个能源管理单元（EMU），这个电源可切换到低功耗模式。MC33907 的主要功能是为 MPC5643L MCU 供电并对其进行监控。它的电源管理与各种安全机制进行了关联，是与 MC5643L 相结合而开发的，可避免因应用故障而导致发生可怕事件。在一个系统中使用两种器件可以减少实现 ASIL D 系统级解决方案所需的工作。

MPC5643L 是一个采用集成安全架构的双核锁步 MCU。为内核、存储器、交叉开关、通信模块和外设提供内置自测 (BIST) 机制。此外，该器件进行了优化，可防止时钟或电压电源问题诱发的共因失效。MPC564xL 系列提供时钟偏差检测的硬件模块以及主电压的硬件监控，如内部核心电压和闪存电源电压。双核 MPC564xL 除了内核外还复制其他关键硬件模块。这包括交叉开关、存储器保护单元、中断控制器、DAM 和软件看门狗定时器。复制领域的主要优势是 MCU 的功能，可检测较频繁发生的软错误等单点故障，不仅检测内核中的，也检测关键的子模块中的错误。

下图显示了 MPC5643L 和 MC33907，它们具有交叉校验机制，有助于确保系统级安全。

图4：飞思卡尔功能安全系统解决方案

飞思卡尔致力于为客户提供硬件解决方案，满足或超出 ISO 26262-5:2011(E) 附录 D 所描述的要求。

飞思卡尔功能安全方法适用于 ISO 26262-5:2011(E) 附录 D 中规定的嵌入式系统的通用硬件，其中每个组件（MCU 和模拟）都作为支持系统环境的安全元件。该解决方案包括 D.2b E/E 系统 IC (MPC5643L MCU)以及 D.2a E/E 系统 IC (MC33907 SBC 模拟解决方案)。 参见图 D.2。