飛思卡爾針對(duì)功能安全標(biāo)準(zhǔn)優(yōu)化產(chǎn)品為客戶提供更優(yōu)選擇

電子安全系統(tǒng)由于影響巨大，在不斷進(jìn)行升級(jí)，國(guó)際標(biāo)準(zhǔn)組織(ISO)和國(guó)際電工委員會(huì)(IEC)制定了新的要求。功能安全標(biāo)準(zhǔn)IEC61508及其未來車輛自適應(yīng)標(biāo)準(zhǔn)ISO26262，現(xiàn)已在業(yè)內(nèi)應(yīng)用，以確保車輛電子系統(tǒng)充分的安全性。該ISO文檔定義了4個(gè)車輛安全完整性等級(jí)(ASIL)，其中ASIL D代表最高安全級(jí)別。而飛思卡爾半導(dǎo)體推出的SafeAssure計(jì)劃，旨在幫助系統(tǒng)制造商更加輕松地滿足汽車和工業(yè)市場(chǎng)中的功能安全標(biāo)準(zhǔn)要求。
為設(shè)計(jì)工程師提供更好的選擇
針對(duì)安全要求嚴(yán)苛的應(yīng)用，設(shè)計(jì)工程師需要進(jìn)行架構(gòu)選擇。但現(xiàn)有的大多數(shù)微控制器解決方案或者缺乏靈活性，不能支持各種功能安全需求，或者要求在安全軟件方面投入很大。而額外的軟件增加了復(fù)雜度并更容易導(dǎo)致系統(tǒng)故障。因此，從系統(tǒng)的角度需要多方面的評(píng)估微控制器方案。飛思卡爾目前實(shí)現(xiàn)功能安全的途徑包括四個(gè)主要領(lǐng)域：安全流程、安全硬件、安全軟件和安全支持，采用飛思卡爾針對(duì)功能安全標(biāo)準(zhǔn)開發(fā)的器件，能夠幫助設(shè)計(jì)工程師快速完成產(chǎn)品設(shè)計(jì)，加快上市時(shí)間。

飛思卡爾針對(duì)要求嚴(yán)格的安全應(yīng)用，推出了新開發(fā)的汽車級(jí)雙核微控制器。雙核MPC5643L Power Architecture 32位MCU 系列。該處理器包括兩個(gè)冗余通道，每個(gè)通道由一個(gè)內(nèi)核、總線、中斷控制器、內(nèi)存控制器和其他內(nèi)核相關(guān)模塊組成。這種方法就取代了使用2個(gè)MCU的方法，雙核MCU以更具性價(jià)比的價(jià)格實(shí)現(xiàn)車輛安全。
MPC5643L具有高效、靈活、安全的優(yōu)勢(shì)。MPC5643L提供最高性能水平(以更少的投入，實(shí)現(xiàn)更多產(chǎn)出)，以實(shí)現(xiàn)智能外圍協(xié)調(diào);該器件能夠構(gòu)建一種支持多重安全架構(gòu)的雙核概念，并讓用戶在性能和安全水平之間取得平衡;同時(shí)能夠形成一個(gè)符合 SIL3/ASIL D 標(biāo)準(zhǔn)的安全概念，并通過在硬件中加入關(guān)鍵安全組件和自測(cè)功能，降低軟件復(fù)雜度。
雙核高性能的MCU
MPC5643L以提高安全性及減輕零組件用量負(fù)擔(dān)為目標(biāo)，有助設(shè)計(jì)工程師開發(fā)高安全性且高性價(jià)比的安全系統(tǒng)。其設(shè)計(jì)架構(gòu)包含兩組通道，每組各自擁有獨(dú)立運(yùn)算核心、總線、中斷控制器和內(nèi)存控制器，以及其他相關(guān)模塊，并可互相監(jiān)控運(yùn)行狀態(tài)，在某一核心故障發(fā)生時(shí)提供后備支持，防止以往因系統(tǒng)孤立無援而瞬間停止運(yùn)行的情況。

高性能e200z4d雙核處理器

• 32位 Power 架構(gòu)微控制器
• 核心頻率高達(dá)120 MHz
• 雙核5級(jí)流水線
• 可變長(zhǎng)度編碼(VLE)
• 存儲(chǔ)器管理單元(MMU)
• 提供4KB高速緩存，并具有錯(cuò)誤檢測(cè)代碼功能
• 復(fù)雜信號(hào)處理功能(SPE)

可用內(nèi)存

• 內(nèi)置1 MB閃存，具有錯(cuò)誤糾正功能(ECC)
• 針對(duì)EEPROM仿真提供內(nèi)置RWW功能
• 128 KB SRAM，具有錯(cuò)誤糾正功能(ECC)

符合SIL3 / ASILD標(biāo)準(zhǔn)的安全理念：雙核鎖步模式和故障安全保護(hù)

• 冗余區(qū)域?qū)τ陉P(guān)鍵部件(如CPU核心、eDMA、總線開關(guān))
• 故障采集和控制單元(FCCU)
• 連接FCCU域用于冗余區(qū)域輸出的冗余控制和檢查單元(RCCU)
• 由硬件觸發(fā)的存儲(chǔ)和邏輯自檢(MBIST，LBIST)
• 由軟件觸發(fā)的針對(duì)ADC和閃存的啟動(dòng)的硬件自檢
• 冗余的安全增強(qiáng)型看門狗
• 冗余的結(jié)溫傳感器
• 非屏蔽中斷(NMI)
• 16-區(qū)域的內(nèi)存保護(hù)單元(MPU)
• 時(shí)鐘監(jiān)測(cè)單元(CMU)
• 電源管理單元(PMU)
• 循環(huán)冗余校驗(yàn)(CRC)單元

并聯(lián)模式(DPM)，提高雙核輸出性能

• Nexus 3+接口
• 中斷
• 冗余的16-優(yōu)先級(jí)控制器
• 冗余的16-通道 eDMA控制器
• 一個(gè)GPIO可單獨(dú)編程的輸入、輸出或特殊功能
• 三個(gè)6通道通用eTimer單元
• 兩個(gè)FlexPWM單元
• 每個(gè)單元包含四個(gè)16-bit通道

通信接口

• 兩個(gè)LINFlex通道
• 三個(gè)帶有芯片選擇代的DSPI通道
• 兩個(gè)帶有32報(bào)文對(duì)象的FlexCAN接口(2.0B Active)
• 雙通道FlexRay模塊(V2.1)，64報(bào)文對(duì)象，速度高達(dá)為10 Mbit /秒

兩個(gè)12-bit 模數(shù)轉(zhuǎn)換器(ADCs)

• 16輸入通道
• 為同步ADC轉(zhuǎn)換、定時(shí)器和電源管理的可編程交叉觸發(fā)單元
• 正弦波發(fā)生器(D /A和低通濾波器)
• 片上CAN / UART / FlexRay的引導(dǎo)加載器
• 單3.0 V到3.6 V電壓供電
• 環(huán)境溫度范圍–40℃到125℃
• 結(jié)溫溫度范圍–40℃到150℃

面向安全要求嚴(yán)苛應(yīng)用的優(yōu)化

故障通常包括單點(diǎn)故障、潛在故障和共因故障。引起故障的原因可能包括隨機(jī)硬件故障機(jī)制、系統(tǒng)性硬件故障機(jī)制、軟件錯(cuò)誤以及共因故障。單點(diǎn)故障多由外部因素導(dǎo)致內(nèi)核或內(nèi)存發(fā)生大的變化，作為防止單點(diǎn)故障的關(guān)鍵措施，MPC5643L 處理器同該系列其他產(chǎn)品一樣，引入了“SoR”(冗余區(qū)域)，它允許用戶以雙核鎖步 (lockstep) 模式運(yùn)行微處理器的關(guān)鍵組件，該部件可以設(shè)置為以“鎖步模式”運(yùn)行?！版i步模式”表示控制器的這個(gè)部件同時(shí)并行運(yùn)行同一組操作。鎖步操作的輸出可以通過所謂的“冗余校驗(yàn)單元”進(jìn)行對(duì)比。這些單元測(cè)定是否已出現(xiàn)故障。如果出現(xiàn)故障，這個(gè)故障信號(hào)會(huì)轉(zhuǎn)發(fā)到一個(gè)單獨(dú)的硬件單元，即故障采集和控制單元(FCCU)。

MPC5643L 控制器架構(gòu)提供硬件自檢 (BIST) 機(jī)制，用于對(duì)潛在故障進(jìn)行檢測(cè)。這些測(cè)試檢測(cè)微控制器邏輯單元，覆蓋率達(dá)到90%或更高。因此，即使當(dāng)實(shí)際應(yīng)用并未觸發(fā)所有硬件模塊的時(shí)候也可以識(shí)別出潛在故障。

由于MPC5643L 架構(gòu)的冗余組件共享一個(gè)系統(tǒng)資源，可能引發(fā)共因故障。典型例子是系統(tǒng)時(shí)鐘或供電，它們可能以相同的方式影響到芯片組件的時(shí)鐘并可能造成同樣的故障。因此，在鎖步模式下，“冗余區(qū)域”的兩個(gè)通道都運(yùn)行同樣的軟件，此類共因故障不會(huì)被檢測(cè)出。

MPC5643L提供用于時(shí)鐘偏差和主要電壓偏差(如內(nèi)部核心電壓、閃存供電電壓等)的硬件監(jiān)測(cè)模塊。[!--empirenews.page--]

故障采集和處理單元 (FCCU) 是MPC5643L功能性安全架構(gòu)的一個(gè)核心組件。旨在簡(jiǎn)化控制器水平的故障報(bào)告和安全要求嚴(yán)苛應(yīng)用的管理。它提供一個(gè)冗余硬件通道，當(dāng)存在重大故障的時(shí)候，該通道能夠?qū)崿F(xiàn)在安全的狀態(tài)下對(duì)器件進(jìn)行管理，這一操作無須 CPU 干預(yù)。

 

故障采集單元可以處理控制器的內(nèi)部信號(hào)并讓用戶選擇不同的故障信號(hào)處理方式。

為了確保在其它控制器模塊或主內(nèi)核出現(xiàn)故障的時(shí)候 FCCU 的獨(dú)立性，該模塊運(yùn)行在一個(gè)獨(dú)立的 16 MHz 內(nèi)部 RC 時(shí)鐘上，因此確保了對(duì)輸出信號(hào)和時(shí)間的最終計(jì)算。