飛思卡爾雙核控制器系列

前言

電子穩(wěn)固性控制、動力轉(zhuǎn)向與自適應(yīng)巡航控制有什么共同之處？關(guān)于系統(tǒng)設(shè)計師來說，設(shè)計出此類系統(tǒng)、同時知足一流的功能性安全要求是一項極具挑戰(zhàn)性的任務(wù)。應(yīng)用功能的數(shù)目和復(fù)雜性都在上漲，開發(fā)成本壓力很高，走向市場的時間在縮短。

針對采納復(fù)雜的控制算法、且安全要求嚴格的應(yīng)用的設(shè)計工程師，看似有寬泛的系統(tǒng)架構(gòu)進行選擇。但是，此刻現(xiàn)有的大部分微控制器解決方案或許缺少靈巧性，不可以支持各樣功能性安全觀點，或許要求在安全軟

件方面投入很大。另一方面，額外的軟件增添了復(fù)雜度并更簡單致使系統(tǒng)故障。

因此，我們?yōu)镸PC564xL系列雙核控制器的開發(fā)提出了以下的口號：

高效—供給最高性能水平（以更少的投入，實現(xiàn)更多產(chǎn)出），更低的時鐘頻次，并實現(xiàn)智能外頭協(xié)調(diào)

靈巧—建立一種支持多重安全架構(gòu)的雙核觀點并讓用戶在性能和安全水平之間獲得均衡

安全—形成一個切合SIL3/ASILD標準的安全觀點并經(jīng)過在硬件中加入要點安全組件和自測功能降低軟件復(fù)雜度

功能性安全觀點

2.1業(yè)界趨向

跟著價值更高的車載功能的推出和連續(xù)的汽車電氣化趨向，可編程電子系統(tǒng)（而非機械零件）愈來愈多地擔當著安全要求嚴格的功能。這些系統(tǒng)的復(fù)雜度決定了完好確立全部潛伏的故障模式或檢測全部可能的行為是不行能的。

因此，系統(tǒng)工程師面對的挑戰(zhàn)是，要設(shè)計出能夠防備危險故障發(fā)生或起碼在故障發(fā)生的時候供給足夠控制的控制單元。危險故障可能由以下原由惹起：

隨機硬件故障體制

系統(tǒng)性硬件故障體制

軟件錯誤

共因故障

這些故障模式關(guān)于電子控制單元設(shè)計來說是一大挑戰(zhàn)，并且關(guān)于微控制器等復(fù)雜零件來說，它們是有關(guān)系的。

所以，IEC61508和馬上奏效的ISO26262等業(yè)界標正確立了四個安全真切性等級，每個對應(yīng)某一安全功能出現(xiàn)故障的概率范圍。

2.2飛思卡爾安全觀點原理

在安全要求嚴格應(yīng)用的雙核控制器設(shè)計方面，飛思卡爾已經(jīng)擁有十多年的經(jīng)驗。為了讓最新雙核辦理器系

列采納整體安全觀點，第三方功能性安全專家正在著手對觀點的實行以及設(shè)計流程進行監(jiān)控和評估。

在此基礎(chǔ)上，飛思卡爾開發(fā)了一種面向MPC564xL系列的切合IEC61508SIL3標準的功能性安全觀點。

要點放在以下幾方面：

供給預(yù)防單點故障的舉措

單點故障可能直接與系統(tǒng)安全功能密切有關(guān)，并且往常需要進行迅速檢測。此類故障的典型例子是由外面要素（如輻射或電磁擾亂）致使的內(nèi)核或內(nèi)存的大轉(zhuǎn)變。最低要求是在系統(tǒng)安全時間內(nèi)對這些故障進行檢

測。在汽車電子應(yīng)用中，系統(tǒng)安全時間往常在1ms和30ms之間。

作為防備單點故障的要點舉措，域)，它同意用戶以雙核鎖步

MPC564xL辦理器引入了一種所謂的

(lockstep)模式運轉(zhuǎn)微辦理器的要點組件。

“SoR”(sphereofreplication

，復(fù)制區(qū)

供給預(yù)防潛伏故障的舉措

潛伏故障往常是“隱蔽的”。只管已經(jīng)發(fā)生，但這些故障仍未對系統(tǒng)安全功能造成傷害。一個例子就是履行內(nèi)存故障檢測/糾正的EEC邏輯出現(xiàn)故障。只有當發(fā)生內(nèi)存出現(xiàn)大轉(zhuǎn)變（比方在閃存模塊中）并因此沒法進前進一步檢測/糾正的時候，故障才是嚴重的。

MPC564xL控制器架構(gòu)供給硬件自檢(BIST)體制，用于對這類種類的故障進行檢測。這些測試利用微控制器邏輯單元，覆蓋率達到90%或更高。所以，即便當實質(zhì)應(yīng)用并未觸發(fā)全部硬件模塊的時候也能夠識

別出潛伏故障。

供給預(yù)防共因故障

(CCF)

的舉措

共因故障可能由MPC564xL架構(gòu)的冗余組件仍舊共享一個芯片致使。典型例子是系統(tǒng)時鐘或供電問題，

它們可能以近似的方式影響到芯片內(nèi)部的時鐘并可能造成相同的故障。所以，在鎖步模式下，“冗余地區(qū)”的兩個通道都運轉(zhuǎn)相同的軟件，此類故障不會被檢測出。

MPC564xL系列供給用于時鐘偏離的硬件模塊以及用于主要電壓（如內(nèi)部核心電壓、閃存供電電壓等）的硬件監(jiān)測器。

2.3復(fù)制地區(qū)

“復(fù)制地區(qū)”是MPC564xL器件架構(gòu)的邏輯零件。該零件能夠設(shè)置為以“鎖步模式”運轉(zhuǎn)?！版i步模式”表示控制器的這個零件同時并行運轉(zhuǎn)同一組操作。鎖步操作的輸出能夠經(jīng)過所謂的“冗余校驗單元”進行比較。這

些單元測定能否已出現(xiàn)故障。假如出現(xiàn)故障，一個故障信號會轉(zhuǎn)發(fā)到一個獨自的硬件時鐘，即故障收集和控制單元。

過去，復(fù)制原則和鎖步模式絕大部分用于內(nèi)核。這能夠?qū)崿F(xiàn)對內(nèi)核故障做出極快的反響，特別是在幾個時鐘周期范圍內(nèi)。

MPC564xL系列將更進一步，在“復(fù)制地區(qū)”上增添其余要點硬件模塊。主要的組件包含：

包含內(nèi)存保護單元在內(nèi)的交錯開關(guān)矩陣(Crossbar)

中止控制器

DMA單元

軟件看門狗準時器

圖4：MPC564xL擴展冗余地區(qū)

2.4內(nèi)存ECC

為MC564xL系列實行的ECC方案能夠收集全部的單比特錯誤，檢測全部的雙比特錯誤并檢測幾種影響兩個以上比特的故障。ECC計算不影響器件的性能。

特別關(guān)于SRAM來說，地點信息包含在ECC的計算和估測以內(nèi)。這實現(xiàn)了對

RAM

陣列內(nèi)潛伏的編址

錯誤的檢測。雙比特或多比特錯誤被轉(zhuǎn)發(fā)到故障收集和控制單元。

圖5：SRAM地點監(jiān)控的MPC564xLECC方案

2.5電壓實時鐘監(jiān)控

關(guān)于安全要點性系統(tǒng)的設(shè)計和實行，電壓監(jiān)控能力是一個重要的方面。為了簡化

電源排序有關(guān)的額外故障源，MPC564xL系列采納了3.3V單調(diào)電源電壓觀點。

ECU

供電設(shè)計并防止與

電源管理單元(PMU)為器件上的全部模塊管理電源電壓并為低壓和高壓檢測供給片上監(jiān)測器。這些監(jiān)測

器的的故障指示燈被前移到故障收集單元(FaultCollectionUnit)和重置發(fā)生單元(ResetGeneration

Unit)。

能夠?qū)?/p>

MPC564xL

電壓監(jiān)測器進行測試。用于內(nèi)部生成的核心電壓的過壓

/欠壓檢測器供給硬件輔助下的

自檢測。測試需要在啟動過程中由軟件觸發(fā)。運轉(zhuǎn)時的電壓監(jiān)控在后臺進行，不必進一步軟件配合。

關(guān)于依據(jù)SIL3/ASILD經(jīng)過IEC61508或ISO26262認證的系統(tǒng)，對時鐘信號的監(jiān)控是強迫性的。MPC564xL系列使用專用的時鐘監(jiān)控單元(CMU)監(jiān)察時鐘源完好性。微辦理器的要點組件，如“復(fù)制地區(qū)”、馬達控制的外設(shè)以及Flexray等通訊模塊采納專用時鐘監(jiān)控器。時鐘故障以信令的形式通知故障收集單元。為了在其余時鐘源出現(xiàn)錯誤的時候保證故障收集單元的獨立性，該模塊能夠在一個16MHz的內(nèi)部RC時鐘上獨立運轉(zhuǎn)。2.6內(nèi)置自檢測功能為了實現(xiàn)硬件解決方案自檢測而不是軟件自檢測體制，MPC564xL器件架構(gòu)供給各樣內(nèi)置自檢測(BIST)功能。比如，對每個啟動序列都履行自動的器件內(nèi)置自檢測。當微辦理器仍在重置(RESET)階段的時候，檢測已經(jīng)達成了。所以，應(yīng)用啟動進度和開機啟動軟件不受影響。只有在初始的自檢測達成且沒有檢測就任何故障的時候，應(yīng)用軟件才啟動。

2.7故障收集和管理

故障收集單元(FCU)是MPC564xL功能性安全架構(gòu)的一個核心組件。這一硬件模塊旨在簡化控制器水平的故障報告和安全要求嚴格應(yīng)用的管理。它供給一個冗余硬件通道。當存在重要故障的時候，該通道能

夠?qū)嵈丝贪踩臓顟B(tài)下對器件進行有管理的遷徙。這一操作不必CPU干涉。

故障收集單元能夠辦理控制器的內(nèi)部信號并讓用戶選擇不一樣的故障信號辦理方式。

依據(jù)默認配置，在啟動的時候，一旦故障收集單元進入激活狀態(tài)，自檢測流程對該單元的邏輯電路進行校驗。

關(guān)于外面故障信令，F(xiàn)CU供給兩個雙向信號。

為了保證在其余控制器模塊或主內(nèi)核出現(xiàn)故障的時候FCU的獨立性，該模塊運轉(zhuǎn)在一個獨立的16MHz

內(nèi)部RC時鐘上。所以保證了對輸出信號和時間的最后計算。

總結(jié)

這是當前的發(fā)展趨向。特別是汽車底座和安全領(lǐng)域的應(yīng)用功能的數(shù)目和復(fù)雜性都在上漲，開發(fā)成本壓力在增添，走向市場的時間在縮短的狀況下。能夠幫助設(shè)計師把精力投入在實質(zhì)的應(yīng)用程序上，減少在安全概

念開發(fā)和認證方面的困難和挑戰(zhàn)的微控制器特征，關(guān)于ECU設(shè)計師來說，是一個不言而喻的附漲價值。

飛思卡爾發(fā)展了MPC564xL系列特征，旨在知足這些市場要求。打破性的雙核觀點賜予了設(shè)計師在系統(tǒng)安全架構(gòu)選擇上的靈巧性，并以單調(diào)控制器系列實現(xiàn)了性能和安全需求的均衡。

出師表

兩漢：諸葛亮

先帝創(chuàng)業(yè)未半而中道崩殂，今日下三分，益州疲弊，此誠緊急生死之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報之于陛下也。誠宜開張圣聽，以光先帝遺德，恢弘志士之氣，不宜自輕自賤，引喻失義，以塞忠諫之路也。

宮中府中，俱為一體；陟罰臧否，不宜異同。如有作奸不法及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。

侍中、侍郎郭攸之、費祎、董允等，此皆良實，志慮忠純，是以先帝簡拔以遺陛下：愚認為宮中之事，事無大小，悉以咨之，而后實行，必能裨補闕漏，有所廣益。

將軍向?qū)?，性行淑均，曉暢軍事，試用于往日，先帝稱之曰愚認為營中之事，悉以咨之，必能使行陣友善，好壞得所。

“能”，是以眾議舉寵為督：

親賢臣，遠小人，此先漢所以興旺也；親小人，遠賢臣，今后漢所以傾頹也。先帝在時，每與臣論此事，何嘗不惋惜怨恨于桓、靈也。侍中、尚書、長史、從軍，此悉貞良死節(jié)之臣，

愿陛下親之、信之，則漢室之隆，可計日而待也。

臣本布衣，躬耕于南陽，茍全性命于亂世，不求聞達于諸侯。先帝不以臣鄙俗，猥自枉屈，三顧臣于草廬之中，咨臣以當世之事，由是感謝，遂許先帝以驅(qū)馳。后值顛覆，受任于敗軍之際，授命于危難之間，爾來二十有一年矣。

先帝知臣慎重，故臨崩寄臣以大事也。授命以來，夙夜憂嘆，恐交