支持ASIL D 應(yīng)用的安全集成硬件解決方案

第一種方法使用兩個MCU進(jìn)行安全輸出的外部比較。

圖2：基于單核和安全 MCU 的 EPS

這種架構(gòu)的優(yōu)勢是物理復(fù)制安全和非安全相關(guān)功能和特性。

然而，這種配置復(fù)雜性較高，再加上軟件同步和 PCB 空間增加，使這種方法存在重大問題和障礙。由于器件數(shù)量不斷增加，因此降低了系統(tǒng)功能的可靠性和可用性。

這種配置可能會帶來一個瞬態(tài)故障，即單粒子翻轉(zhuǎn)，因此不利于這方面有良好耐受性。

飛思卡爾開發(fā)的另一種方法是使用在鎖步模式中運(yùn)行的最新一代多核 MCU。該設(shè)計(jì)包括與先進(jìn)的模擬電源管理解決方案相結(jié)合的內(nèi)部自檢功能，監(jiān)控 MCU 并控制故障安全系統(tǒng)狀態(tài)。

第二種方法增強(qiáng)了集成度，減少了板卡尺寸，降低了系統(tǒng)復(fù)雜性。使用鎖步模式并將監(jiān)控集成到電源裝置提高了可用性并提高了安全性水平。此外，軟件開發(fā)的復(fù)雜性比第一種方法有所降低。

圖3：飛思卡爾針對基于 Qorriva MPC5643L 雙核 MCU 和 MC33907 系統(tǒng)基礎(chǔ)芯片的 ASIL-D EPS 系統(tǒng)的集成安全架構(gòu)

飛思卡爾針對下一代功能安全的硬件系統(tǒng)概念包括 MPC5643L 和 MC33907，它們是最新一代的系統(tǒng)基礎(chǔ)芯片（SBC），旨在滿足 ISO 26262 標(biāo)準(zhǔn)安全要求。

MC33907 根據(jù)高效的 DC/DC電源，組合了一個能源管理單元（EMU），這個電源可切換到低功耗模式。MC33907 的主要功能是為 MPC5643L MCU 供電并對其進(jìn)行監(jiān)控。它的電源管理與各種安全機(jī)制進(jìn)行了關(guān)聯(lián)，是與 MC5643L 相結(jié)合而開發(fā)的，可避免因應(yīng)用故障而導(dǎo)致發(fā)生可怕事件。在一個系統(tǒng)中使用兩種器件可以減少實(shí)現(xiàn) ASIL D 系統(tǒng)級解決方案所需的工作。

MPC5643L 是一個采用集成安全架構(gòu)的雙核鎖步 MCU。為內(nèi)核、存儲器、交叉開關(guān)、通信模塊和外設(shè)提供內(nèi)置自測 (BIST) 機(jī)制。此外，該器件進(jìn)行了優(yōu)化，可防止時(shí)鐘或電壓電源問題誘發(fā)的共因失效。MPC564xL 系列提供時(shí)鐘偏差檢測的硬件模塊以及主電壓的硬件監(jiān)控，如內(nèi)部核心電壓和閃存電源電壓。雙核 MPC564xL 除了內(nèi)核外還復(fù)制其他關(guān)鍵硬件模塊。這包括交叉開關(guān)、存儲器保護(hù)單元、中斷控制器、DAM 和軟件看門狗定時(shí)器。復(fù)制領(lǐng)域的主要優(yōu)勢是 MCU 的功能，可檢測較頻繁發(fā)生的軟錯誤等單點(diǎn)故障，不僅檢測內(nèi)核中的，也檢測關(guān)鍵的子模塊中的錯誤。

下圖顯示了 MPC5643L 和 MC33907，它們具有交叉校驗(yàn)機(jī)制，有助于確保系統(tǒng)級安全。

圖4：飛思卡爾功能安全系統(tǒng)解決方案

飛思卡爾致力于為客戶提供硬件解決方案，滿足或超出 ISO 26262-5:2011(E) 附錄 D 所描述的要求。

飛思卡爾功能安全方法適用于 ISO 26262-5:2011(E) 附錄 D 中規(guī)定的嵌入式系統(tǒng)的通用硬件，其中每個組件（MCU 和模擬）都作為支持系統(tǒng)環(huán)境的安全元件。該解決方案包括 D.2b E/E 系統(tǒng) IC (MPC5643L MCU)以及 D.2a E/E 系統(tǒng) IC (MC33907 SBC 模擬解決方案)。 參見圖 D.2。