功能安全要求
功能安全與最大限度地減少系統(tǒng)故障引起的危險有關�。系統(tǒng)故障可能由于硬件/軟件錯誤引起�����,可能是永久性的�����,也可能是瞬時性的��。下面描述了發(fā)生錯誤時可能出現(xiàn)的反應:
● 故障-危險:發(fā)生故障時可能造成危險;
● 故障-不一致:發(fā)生故障時提供的結果可能明顯不一致;
● 故障-停止運行:發(fā)生故障時完全停止運行;
● 故障-安全:發(fā)生故障時返回或保持安全狀態(tài);
● 故障-可以運行:發(fā)生故障時繼續(xù)正常工作;
● 故障-靜音:發(fā)生故障時不打擾任何人;
● 故障-指示:向環(huán)境指示發(fā)生了故障���。
在系統(tǒng)中實施功能安全通常意味著將故障映射到能被整個系統(tǒng)或伺機處理的預期反應��,從而確保最大限度地減少系統(tǒng)故障引起的危險����。
下一節(jié)討論了飛思卡爾片上系統(tǒng)實現(xiàn)的各種功能安全����,在發(fā)生系統(tǒng)故障時��,執(zhí)行此類映射��。
飛思卡爾MCU設計提供的主要功能安全
現(xiàn)在深入討論針對汽車安全應用的飛思卡爾設備的主要安全特性�����。
核心鎖步
確保 SoC
中的內核能夠安全運行是功能安全的主要要求之一�,這是因為幾乎所有的操作都以其為中心�����。在Qorivva微控制器MPC574x中���,通過采用一個與主內核鎖步運行的檢查內核來實現(xiàn)安全運行�����。這意味著�����,檢查內核執(zhí)行與主內核相同的指令,內核的地址和數(shù)據(jù)總線在檢查單元進行對比����,以檢測運行偏差�。將檢測到的錯誤報告給錯誤收集和應對模塊(見下文)���。由于鎖步��,從軟件的角度來看���,兩個內核作為一個單獨的內核運行,減少軟件實施�。查看下面的圖
1 所示的框圖。
除了內核�����,eDMA��、中斷控制器����、緩存等其他安全相關模塊可在系統(tǒng)中進行復制。所有此類復制必須在芯片上保持物理隔離����,這樣����,常見故障(CCF)
便不會影響兩個實例的運行�����。
