电子安全系统由于影响巨大,在不断进行升级,国际标准组织(ISO和国际电工委员会(IEC)制定了新的要求。功能安全标准IEC61508及其未来车辆自适应标准ISO26262,现已在业内应用,以确保车辆电子系统充分的安全性。该ISO文档定义了4个车辆安全完整性等级(ASIL),其中ASIL D代表最高安全级别。而飞思卡尔半导体推出的SafeAssure计划,旨在帮助系统制造商更加轻松地满足汽车和工业市场中的功能安全标准要求。
为设计工程师提供更好的选择
针对安全要求严苛的应用,设计工程师需要进行架构选择。但现有的大多数微控制器解决方案或者缺乏灵活性,不能支持各种功能安全需求,或者要求在安全软件方面投入很大。而额外的软件增加了复杂度并更容易导致系统故障。因此,从系统的角度需要多方面的评估微控制器方案。飞思卡尔目前实现功能安全的途径包括四个主要领域:安全流程、安全硬件、安全软件和安全支持,采用飞思卡尔针对功能安全标准开发的器件,能够帮助设计工程师快速完成产品设计,加快上市时间。
飞思卡尔针对要求严格的安全应用,推出了新开发的汽车级双核微控制器。双核MPC5643L Power Architecture 32位MCU 系列。该处理器包括两个冗余通道,每个通道由一个内核、总线、中断控制器、内存控制器和其他内核相关模块组成。这种方法就取代了使用2个MCU的方法,双核MCU以更具性价比的价格实现车辆安全。
MPC5643L具有高效、灵活、安全的优势。MPC5643L提供最高性能水平(以更少的投入,实现更多产出),以实现智能外围协调;该器件能够构建一种支持多重安全架构的双核概念,并让用户在性能和安全水平之间取得平衡;同时能够形成一个符合 SIL3/ASIL D 标准的安全概念,并通过在硬件中加入关键安全组件和自测功能,降低软件复杂度。
双核高性能的MCU
MPC5643L以提高安全性及减轻零组件用量负担为目标,有助设计工程师开发高安全性且高性价比的安全系统。其设计架构包含两组通道,每组各自拥有独立运算核心、总线、中断控制器和内存控制器,以及其他相关模块,并可互相监控运行状态,在某一核心故障发生时提供后备支持,防止以往因系统孤立无援而瞬间停止运行的情况。
•高性能e200z4d双核处理器
–32位 Power 架构微控制器
–核心频率高达120 MHz
–双核5级流水线
–可变长度编码(VLE)
–存储器管理单元(MMU)
–提供4KB高速缓存,并具有错误检测代码功能
–复杂信号处理功能(SPE)
•可用内存
–内置1 MB闪存,具有错误纠正功能(ECC)
–针对EEPROM仿真提供内置RWW功能
–128 KB SRAM,具有错误纠正功能(ECC)
• 符合SIL3 / ASILD标准的安全理念:双核锁步模式和故障安全保护
–冗余区域对于关键部件(如CPU核心、eDMA、总线开关)
–故障采集和控制单元(FCCU)
–连接FCCU域用于冗余区域输出的冗余控制和检查单元(RCCU)
–由硬件触发的存储和逻辑自检(MBIST,LBIST)
–由软件触发的针对ADC和闪存的启动的硬件自检
–冗余的安全增强型看门狗
–冗余的结温传感器
–非屏蔽中断(NMI)
–16-区域的内存保护单元(MPU)
–时钟监测单元(CMU)
–电源管理单元(PMU)
–循环冗余校验(CRC)单元
•并联模式(DPM),提高双核输出性能
• Nexus 3+接口
•中断
–冗余的16-优先级控制器
–冗余的16-通道 eDMA控制器
•一个GPIO可单独编程的输入、输出或特殊功能
•三个6通道通用eTimer单元
•两个FlexPWM单元
–每个单元包含四个16-bit通道
•通信接口
–两个LINFlex通道
–三个带有芯片选择代的DSPI通道
–两个带有32报文对象的FlexCAN接口(2.0B Active)
–双通道FlexRay模块(V2.1),64报文对象,速度高达为10 Mbit /秒
•两个12-bit 模数转换器(ADCs)
–16输入通道
–为同步ADC转换、定时器和电源管理的可编程交叉触发单元
•正弦波发生器(D /A和低通滤波器)
•片上CAN / UART / FlexRay的引导加载器
•单3.0 V到3.6 V电压供电
•环境温度范围–40°C到125°C
•结温温度范围–40°C到150°C
面向安全要求严苛应用的优化
故障通常包括单点故障、潜在故障和共因故障。引起故障的原因可能包括随机硬件故障机制、系统性硬件故障机制、软件错误以及共因故障。单点故障多由外部因素导致内核或内存发生大的变化,作为防止单点故障的关键措施,MPC5643L 处理器同该系列其他产品一样,引入了“SoR”(冗余区域),它允许用户以双核锁步 (lockstep) 模式运行微处理器的关键组件,该部件可以设置为以“锁步模式”运行。“锁步模式”表示控制器的这个部件同时并行运行同一组操作。锁步操作的输出可以通过所谓的“冗余校验单元”进行对比。这些单元测定是否已出现故障。如果出现故障,这个故障信号会转发到一个单独的硬件单元,即故障采集和控制单元(FCCU)。
MPC5643L 控制器架构提供硬件自检 (BIST) 机制,用于对潜在故障进行检测。这些测试检测微控制器逻辑单元,覆盖率达到90%或更高。因此,即使当实际应用并未触发所有硬件模块的时候也可以识别出潜在故障。
由于MPC5643L 架构的冗余组件共享一个系统资源,可能引发共因故障。典型例子是系统时钟或供电,它们可能以相同的方式影响到芯片组件的时钟并可能造成同样的故障。因此,在锁步模式下,“冗余区域”的两个通道都运行同样的软件,此类共因故障不会被检测出。
MPC5643L提供用于时钟偏差和主要电压偏差(如内部核心电压、闪存供电电压等)的硬件监测模块。
故障采集和处理单元 (FCCU) 是MPC5643L功能性安全架构的一个核心组件。旨在简化控制器水平的故障报告和安全要求严苛应用的管理。它提供一个冗余硬件通道。当存在重大故障的时候,该通道能够实现在安全的状态下对器件进行管理。这一操作无须 CPU 干预。
故障采集单元可以处理控制器的内部信号并让用户选择不同的故障信号处理方式。
为了确保在其它控制器模块或主内核出现故障的时候 FCCU 的独立性,该模块运行在一个独立的 16 MHz 内部 RC 时钟上。因此确保了对输出信号和时间的最终计算。
更多信息,请访问:
http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=MPC564xL&nodeId=01624606C1427E