飛思卡爾雙核控制器系列

前言

電子穩(wěn)固性控制、動(dòng)力轉(zhuǎn)向與自適應(yīng)巡航控制有什么共同之處？關(guān)于系統(tǒng)設(shè)計(jì)師來(lái)說(shuō)，設(shè)計(jì)出此類(lèi)系統(tǒng)、同時(shí)知足一流的功能性安全要求是一項(xiàng)極具挑戰(zhàn)性的任務(wù)。應(yīng)用功能的數(shù)目和復(fù)雜性都在上漲，開(kāi)發(fā)成本壓力很高，走向市場(chǎng)的時(shí)間在縮短。

針對(duì)采納復(fù)雜的控制算法、且安全要求嚴(yán)格的應(yīng)用的設(shè)計(jì)工程師，看似有寬泛的系統(tǒng)架構(gòu)進(jìn)行選擇。但是，此刻現(xiàn)有的大部分微控制器解決方案或許缺少靈巧性，不可以支持各樣功能性安全觀點(diǎn)，或許要求在安全軟

件方面投入很大。另一方面，額外的軟件增添了復(fù)雜度并更簡(jiǎn)單致使系統(tǒng)故障。

因此，我們?yōu)镸PC564xL系列雙核控制器的開(kāi)發(fā)提出了以下的口號(hào)：

高效—供給最高性能水平（以更少的投入，實(shí)現(xiàn)更多產(chǎn)出），更低的時(shí)鐘頻次，并實(shí)現(xiàn)智能外頭協(xié)調(diào)

靈巧—建立一種支持多重安全架構(gòu)的雙核觀點(diǎn)并讓用戶(hù)在性能和安全水平之間獲得均衡

安全—形成一個(gè)切合SIL3/ASILD標(biāo)準(zhǔn)的安全觀點(diǎn)并經(jīng)過(guò)在硬件中加入要點(diǎn)安全組件和自測(cè)功能降低軟件復(fù)雜度

功能性安全觀點(diǎn)

2.1業(yè)界趨向

跟著價(jià)值更高的車(chē)載功能的推出和連續(xù)的汽車(chē)電氣化趨向，可編程電子系統(tǒng)（而非機(jī)械零件）愈來(lái)愈多地?fù)?dān)當(dāng)著安全要求嚴(yán)格的功能。這些系統(tǒng)的復(fù)雜度決定了完好確立全部潛伏的故障模式或檢測(cè)全部可能的行為是不行能的。

因此，系統(tǒng)工程師面對(duì)的挑戰(zhàn)是，要設(shè)計(jì)出能夠防備危險(xiǎn)故障發(fā)生或起碼在故障發(fā)生的時(shí)候供給足夠控制的控制單元。危險(xiǎn)故障可能由以下原由惹起：

隨機(jī)硬件故障體制

系統(tǒng)性硬件故障體制

軟件錯(cuò)誤

共因故障

這些故障模式關(guān)于電子控制單元設(shè)計(jì)來(lái)說(shuō)是一大挑戰(zhàn)，并且關(guān)于微控制器等復(fù)雜零件來(lái)說(shuō)，它們是有關(guān)系的。

所以，IEC61508和馬上奏效的ISO26262等業(yè)界標(biāo)正確立了四個(gè)安全真切性等級(jí)，每個(gè)對(duì)應(yīng)某一安全功能出現(xiàn)故障的概率范圍。

2.2飛思卡爾安全觀點(diǎn)原理

在安全要求嚴(yán)格應(yīng)用的雙核控制器設(shè)計(jì)方面，飛思卡爾已經(jīng)擁有十多年的經(jīng)驗(yàn)。為了讓最新雙核辦理器系

列采納整體安全觀點(diǎn)，第三方功能性安全專(zhuān)家正在著手對(duì)觀點(diǎn)的實(shí)行以及設(shè)計(jì)流程進(jìn)行監(jiān)控和評(píng)估。

在此基礎(chǔ)上，飛思卡爾開(kāi)發(fā)了一種面向MPC564xL系列的切合IEC61508SIL3標(biāo)準(zhǔn)的功能性安全觀點(diǎn)。

要點(diǎn)放在以下幾方面：

供給預(yù)防單點(diǎn)故障的舉措

單點(diǎn)故障可能直接與系統(tǒng)安全功能密切有關(guān)，并且往常需要進(jìn)行迅速檢測(cè)。此類(lèi)故障的典型例子是由外面要素（如輻射或電磁擾亂）致使的內(nèi)核或內(nèi)存的大轉(zhuǎn)變。最低要求是在系統(tǒng)安全時(shí)間內(nèi)對(duì)這些故障進(jìn)行檢

測(cè)。在汽車(chē)電子應(yīng)用中，系統(tǒng)安全時(shí)間往常在1ms和30ms之間。

作為防備單點(diǎn)故障的要點(diǎn)舉措，域)，它同意用戶(hù)以雙核鎖步

MPC564xL辦理器引入了一種所謂的

(lockstep)模式運(yùn)轉(zhuǎn)微辦理器的要點(diǎn)組件。

“SoR”(sphereofreplication

，復(fù)制區(qū)

供給預(yù)防潛伏故障的舉措

潛伏故障往常是“隱蔽的”。只管已經(jīng)發(fā)生，但這些故障仍未對(duì)系統(tǒng)安全功能造成傷害。一個(gè)例子就是履行內(nèi)存故障檢測(cè)/糾正的EEC邏輯出現(xiàn)故障。只有當(dāng)發(fā)生內(nèi)存出現(xiàn)大轉(zhuǎn)變（比方在閃存模塊中）并因此沒(méi)法進(jìn)前進(jìn)一步檢測(cè)/糾正的時(shí)候，故障才是嚴(yán)重的。

MPC564xL控制器架構(gòu)供給硬件自檢(BIST)體制，用于對(duì)這類(lèi)種類(lèi)的故障進(jìn)行檢測(cè)。這些測(cè)試?yán)梦⒖刂破鬟壿媶卧?，覆蓋率達(dá)到90%或更高。所以，即便當(dāng)實(shí)質(zhì)應(yīng)用并未觸發(fā)全部硬件模塊的時(shí)候也能夠識(shí)

別出潛伏故障。

供給預(yù)防共因故障

(CCF)

的舉措

共因故障可能由MPC564xL架構(gòu)的冗余組件仍舊共享一個(gè)芯片致使。典型例子是系統(tǒng)時(shí)鐘或供電問(wèn)題，

它們可能以近似的方式影響到芯片內(nèi)部的時(shí)鐘并可能造成相同的故障。所以，在鎖步模式下，“冗余地區(qū)”的兩個(gè)通道都運(yùn)轉(zhuǎn)相同的軟件，此類(lèi)故障不會(huì)被檢測(cè)出。

MPC564xL系列供給用于時(shí)鐘偏離的硬件模塊以及用于主要電壓（如內(nèi)部核心電壓、閃存供電電壓等）的硬件監(jiān)測(cè)器。

2.3復(fù)制地區(qū)

“復(fù)制地區(qū)”是MPC564xL器件架構(gòu)的邏輯零件。該零件能夠設(shè)置為以“鎖步模式”運(yùn)轉(zhuǎn)?！版i步模式”表示控制器的這個(gè)零件同時(shí)并行運(yùn)轉(zhuǎn)同一組操作。鎖步操作的輸出能夠經(jīng)過(guò)所謂的“冗余校驗(yàn)單元”進(jìn)行比較。這

些單元測(cè)定能否已出現(xiàn)故障。假如出現(xiàn)故障，一個(gè)故障信號(hào)會(huì)轉(zhuǎn)發(fā)到一個(gè)獨(dú)自的硬件時(shí)鐘，即故障收集和控制單元。

過(guò)去，復(fù)制原則和鎖步模式絕大部分用于內(nèi)核。這能夠?qū)崿F(xiàn)對(duì)內(nèi)核故障做出極快的反響，特別是在幾個(gè)時(shí)鐘周期范圍內(nèi)。

MPC564xL系列將更進(jìn)一步，在“復(fù)制地區(qū)”上增添其余要點(diǎn)硬件模塊。主要的組件包含：

包含內(nèi)存保護(hù)單元在內(nèi)的交錯(cuò)開(kāi)關(guān)矩陣(Crossbar)

中止控制器

DMA單元

軟件看門(mén)狗準(zhǔn)時(shí)器

圖4：MPC564xL擴(kuò)展冗余地區(qū)

2.4內(nèi)存ECC

為MC564xL系列實(shí)行的ECC方案能夠收集全部的單比特錯(cuò)誤，檢測(cè)全部的雙比特錯(cuò)誤并檢測(cè)幾種影響兩個(gè)以上比特的故障。ECC計(jì)算不影響器件的性能。

特別關(guān)于SRAM來(lái)說(shuō)，地點(diǎn)信息包含在ECC的計(jì)算和估測(cè)以?xún)?nèi)。這實(shí)現(xiàn)了對(duì)

RAM

陣列內(nèi)潛伏的編址

錯(cuò)誤的檢測(cè)。雙比特或多比特錯(cuò)誤被轉(zhuǎn)發(fā)到故障收集和控制單元。

圖5：SRAM地點(diǎn)監(jiān)控的MPC564xLECC方案

2.5電壓實(shí)時(shí)鐘監(jiān)控

關(guān)于安全要點(diǎn)性系統(tǒng)的設(shè)計(jì)和實(shí)行，電壓監(jiān)控能力是一個(gè)重要的方面。為了簡(jiǎn)化

電源排序有關(guān)的額外故障源，MPC564xL系列采納了3.3V單調(diào)電源電壓觀點(diǎn)。

ECU

供電設(shè)計(jì)并防止與

電源管理單元(PMU)為器件上的全部模塊管理電源電壓并為低壓和高壓檢測(cè)供給片上監(jiān)測(cè)器。這些監(jiān)測(cè)

器的的故障指示燈被前移到故障收集單元(FaultCollectionUnit)和重置發(fā)生單元(ResetGeneration

Unit)。

能夠?qū)?/p>

MPC564xL

電壓監(jiān)測(cè)器進(jìn)行測(cè)試。用于內(nèi)部生成的核心電壓的過(guò)壓

/欠壓檢測(cè)器供給硬件輔助下的

自檢測(cè)。測(cè)試需要在啟動(dòng)過(guò)程中由軟件觸發(fā)。運(yùn)轉(zhuǎn)時(shí)的電壓監(jiān)控在后臺(tái)進(jìn)行，不必進(jìn)一步軟件配合。

關(guān)于依據(jù)SIL3/ASILD經(jīng)過(guò)IEC61508或ISO26262認(rèn)證的系統(tǒng)，對(duì)時(shí)鐘信號(hào)的監(jiān)控是強(qiáng)迫性的。MPC564xL系列使用專(zhuān)用的時(shí)鐘監(jiān)控單元(CMU)監(jiān)察時(shí)鐘源完好性。微辦理器的要點(diǎn)組件，如“復(fù)制地區(qū)”、馬達(dá)控制的外設(shè)以及Flexray等通訊模塊采納專(zhuān)用時(shí)鐘監(jiān)控器。時(shí)鐘故障以信令的形式通知故障收集單元。為了在其余時(shí)鐘源出現(xiàn)錯(cuò)誤的時(shí)候保證故障收集單元的獨(dú)立性，該模塊能夠在一個(gè)16MHz的內(nèi)部RC時(shí)鐘上獨(dú)立運(yùn)轉(zhuǎn)。2.6內(nèi)置自檢測(cè)功能為了實(shí)現(xiàn)硬件解決方案自檢測(cè)而不是軟件自檢測(cè)體制，MPC564xL器件架構(gòu)供給各樣內(nèi)置自檢測(cè)(BIST)功能。比如，對(duì)每個(gè)啟動(dòng)序列都履行自動(dòng)的器件內(nèi)置自檢測(cè)。當(dāng)微辦理器仍在重置(RESET)階段的時(shí)候，檢測(cè)已經(jīng)達(dá)成了。所以，應(yīng)用啟動(dòng)進(jìn)度和開(kāi)機(jī)啟動(dòng)軟件不受影響。只有在初始的自檢測(cè)達(dá)成且沒(méi)有檢測(cè)就任何故障的時(shí)候，應(yīng)用軟件才啟動(dòng)。

2.7故障收集和管理

故障收集單元(FCU)是MPC564xL功能性安全架構(gòu)的一個(gè)核心組件。這一硬件模塊旨在簡(jiǎn)化控制器水平的故障報(bào)告和安全要求嚴(yán)格應(yīng)用的管理。它供給一個(gè)冗余硬件通道。當(dāng)存在重要故障的時(shí)候，該通道能

夠?qū)嵈丝贪踩臓顟B(tài)下對(duì)器件進(jìn)行有管理的遷徙。這一操作不必CPU干涉。

故障收集單元能夠辦理控制器的內(nèi)部信號(hào)并讓用戶(hù)選擇不一樣的故障信號(hào)辦理方式。

依據(jù)默認(rèn)配置，在啟動(dòng)的時(shí)候，一旦故障收集單元進(jìn)入激活狀態(tài)，自檢測(cè)流程對(duì)該單元的邏輯電路進(jìn)行校驗(yàn)。

關(guān)于外面故障信令，F(xiàn)CU供給兩個(gè)雙向信號(hào)。

為了保證在其余控制器模塊或主內(nèi)核出現(xiàn)故障的時(shí)候FCU的獨(dú)立性，該模塊運(yùn)轉(zhuǎn)在一個(gè)獨(dú)立的16MHz

內(nèi)部RC時(shí)鐘上。所以保證了對(duì)輸出信號(hào)和時(shí)間的最后計(jì)算。

總結(jié)

這是當(dāng)前的發(fā)展趨向。特別是汽車(chē)底座和安全領(lǐng)域的應(yīng)用功能的數(shù)目和復(fù)雜性都在上漲，開(kāi)發(fā)成本壓力在增添，走向市場(chǎng)的時(shí)間在縮短的狀況下。能夠幫助設(shè)計(jì)師把精力投入在實(shí)質(zhì)的應(yīng)用程序上，減少在安全概

念開(kāi)發(fā)和認(rèn)證方面的困難和挑戰(zhàn)的微控制器特征，關(guān)于ECU設(shè)計(jì)師來(lái)說(shuō)，是一個(gè)不言而喻的附漲價(jià)值。

飛思卡爾發(fā)展了MPC564xL系列特征，旨在知足這些市場(chǎng)要求。打破性的雙核觀點(diǎn)賜予了設(shè)計(jì)師在系統(tǒng)安全架構(gòu)選擇上的靈巧性，并以單調(diào)控制器系列實(shí)現(xiàn)了性能和安全需求的均衡。

出師表

兩漢：諸葛亮

先帝創(chuàng)業(yè)未半而中道崩殂，今日下三分，益州疲弊，此誠(chéng)緊急生死之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠(chéng)宜開(kāi)張圣聽(tīng)，以光先帝遺德，恢弘志士之氣，不宜自輕自賤，引喻失義，以塞忠諫之路也。

宮中府中，俱為一體；陟罰臧否，不宜異同。如有作奸不法及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。

侍中、侍郎郭攸之、費(fèi)祎、董允等，此皆良實(shí)，志慮忠純，是以先帝簡(jiǎn)拔以遺陛下：愚認(rèn)為宮中之事，事無(wú)大小，悉以咨之，而后實(shí)行，必能裨補(bǔ)闕漏，有所廣益。

將軍向?qū)櫍孕惺缇?，曉暢軍事，試用于往日，先帝稱(chēng)之曰愚認(rèn)為營(yíng)中之事，悉以咨之，必能使行陣友善，好壞得所。

“能”，是以眾議舉寵為督：

親賢臣，遠(yuǎn)小人，此先漢所以興旺也；親小人，遠(yuǎn)賢臣，今后漢所以?xún)A頹也。先帝在時(shí)，每與臣論此事，何嘗不惋惜怨恨于桓、靈也。侍中、尚書(shū)、長(zhǎng)史、從軍，此悉貞良死節(jié)之臣，

愿陛下親之、信之，則漢室之隆，可計(jì)日而待也。

臣本布衣，躬耕于南陽(yáng)，茍全性命于亂世，不求聞達(dá)于諸侯。先帝不以臣鄙俗，猥自枉屈，三顧臣于草廬之中，咨臣以當(dāng)世之事，由是感謝，遂許先帝以驅(qū)馳。后值顛覆，受任于敗軍之際，授命于危難之間，爾來(lái)二十有一年矣。

先帝知臣慎重，故臨崩寄臣以大事也。授命以來(lái)，夙夜憂(yōu)嘆，恐交