功能安全微控制器

微控制器用來(lái)控制射頻雷達(dá)發(fā)射器和處理從接收器傳來(lái)的數(shù)據(jù)。如果考慮到應(yīng)用的關(guān)鍵安全性質(zhì)，就需要采用功能安全微控制器。系統(tǒng)工程師所面臨的挑戰(zhàn)是所構(gòu)建的系統(tǒng)需要能夠防止危險(xiǎn)故障的發(fā)生或至少在出現(xiàn)故障時(shí)能夠有效地進(jìn)行控制。危險(xiǎn)故障可能來(lái)自隨機(jī)硬件故障、系統(tǒng)硬件故障及系統(tǒng)軟件故障。

功能安全標(biāo)準(zhǔn)IEC 61508和汽車(chē)適用的 ISO 26262標(biāo)準(zhǔn)適用于確保一般工業(yè)和汽車(chē)應(yīng)用中的電子系統(tǒng)是完全安全的。IEC 61508標(biāo)準(zhǔn)定義了四個(gè)完全安全完整性等級(jí)（SIL），其中SIL 4表示最嚴(yán)格的安全等級(jí)。ISO標(biāo)準(zhǔn)定義了四個(gè)汽車(chē)安全完整性等級(jí)（ASIL），其中ASIL D表示最嚴(yán)格的安全等級(jí)。每個(gè)等級(jí)對(duì)應(yīng)一個(gè)出現(xiàn)安全功能故障的可能性目標(biāo)范圍。

SIL和ASIL等級(jí)之間沒(méi)有直接的對(duì)應(yīng)關(guān)系，但是ISO 26262將安全流程和要求推向更深的層次。在整個(gè)設(shè)計(jì)過(guò)程的一開(kāi)始，就必須收集憑證，證明該產(chǎn)品是依據(jù)標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)的。發(fā)現(xiàn)的任何潛在偏差都必須記錄，以確保能夠采取足夠的挽救措施。

它們采用不同的方法來(lái)實(shí)現(xiàn)安全微控制器。傳統(tǒng)的方法是采用兩個(gè)獨(dú)立的微控制器復(fù)制完全不同的控制器上的軟件。相同的軟件可以在每個(gè)微控制器上運(yùn)行，然后比較運(yùn)行結(jié)果。如果結(jié)果相同，則一切正常；如果不相同，那么系統(tǒng)就知道有錯(cuò)誤，要么解決它和/或使系統(tǒng)進(jìn)入安全狀態(tài)。另一個(gè)選擇是，一個(gè)微控制器只能運(yùn)行安全軟件并監(jiān)控正在運(yùn)行應(yīng)用軟件的另一個(gè)微控制器。

采用獨(dú)立的微控制器，所設(shè)計(jì)的系統(tǒng)必須從一開(kāi)始就設(shè)計(jì)和實(shí)施安全系統(tǒng)。

與之相反，現(xiàn)在可提供預(yù)認(rèn)證的微控制器。這些解決方案主要檢測(cè)和減少單點(diǎn)故障、潛在故障和非獨(dú)立故障。這通過(guò)在微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實(shí)現(xiàn)，包括自檢、監(jiān)控和基于硬件的冗余。 對(duì)于微控制器來(lái)說(shuō)，提供的片上冗余適用于下列關(guān)鍵部件，如：

- 具有延遲鎖步功能的多個(gè)CPU計(jì)算內(nèi)核

- I/O處理器內(nèi)核

- 直接存儲(chǔ)器存取控制器

- 中斷控制器

- 雙交叉開(kāi)關(guān)總線系統(tǒng)

- 存儲(chǔ)器保護(hù)單元

- 故障采集單元

- 閃存存儲(chǔ)器和RAM控制器

- 外圍總線橋

- 系統(tǒng)和看門(mén)狗定時(shí)器

- 以及端到端糾錯(cuò)碼

數(shù)據(jù)復(fù)制領(lǐng)域的主要優(yōu)勢(shì)是MCU的功能，可檢測(cè)較頻繁發(fā)生的軟錯(cuò)誤等單點(diǎn)故障，不僅檢測(cè)內(nèi)核中的，也檢測(cè)關(guān)鍵的子模塊中的錯(cuò)誤。

為內(nèi)核、存儲(chǔ)器、交叉開(kāi)關(guān)、通信模塊和外設(shè)提供內(nèi)置自檢（BIST）機(jī)制。此外，該器件進(jìn)行了優(yōu)化，可防止時(shí)鐘或電壓電源問(wèn)題誘發(fā)的共因失效。MCU提供檢測(cè)時(shí)鐘偏差的硬件模塊以及主電壓的硬件監(jiān)控，如內(nèi)部核心電壓和閃存電源電壓。

雙核鎖步MCU在軟件級(jí)和系統(tǒng)級(jí)中不會(huì)減少實(shí)施安全措施的需求，如非常獨(dú)立地監(jiān)控軟件路徑計(jì)算的輸出值。然而，在更高集成度的其他方面，這些MCU不會(huì)提供關(guān)注點(diǎn)分離來(lái)進(jìn)行驗(yàn)證。在基于多個(gè)單核MCU的解決方案中，檢測(cè)和控制隨機(jī)硬件故障的能力很大程度上取決于軟件。

雙核鎖步MCU可以在獨(dú)立于軟件的硬件級(jí)上驗(yàn)證和確認(rèn)計(jì)算基礎(chǔ)架構(gòu)的關(guān)鍵功能安全的有關(guān)屬性，因?yàn)橛?jì)算基礎(chǔ)架構(gòu)以集成形式提供，它也代表一個(gè)集成的安全機(jī)制。這是軟硬件協(xié)同設(shè)計(jì)過(guò)程內(nèi)一個(gè)顯著好處。此外，關(guān)注點(diǎn)分離有利于快速定位問(wèn)題。如果觸發(fā)了監(jiān)控雙核鎖步的安全機(jī)制，那么原因可能歸結(jié)為硬件級(jí)的隨機(jī)硬件故障，同時(shí)如果觸發(fā)了軟件監(jiān)控，則原因可能歸結(jié)為系統(tǒng)級(jí)故障或軟件中的系統(tǒng)性故障。