由於汽車電子系統攸關人身安全,因此對其要求日益嚴苛。功能安全性標準IEC61508及日後即將採行的汽車用版本ISO26262均已為汽車業界採用,以確保車內的電子系統安全無虞。ISO文件定義四種汽車安全整合層級(ASIL),而ASIL D是最嚴格的安全等級。這些新需求影響到整個產品研發過程,如汽車電子委員會(AEC)的AEC- Q100或ISO-9000品管標準。從設計一開始,就已經著重搜集產品確實依據標準研發的證明,記錄與確認可能發生的傷害,以及對應的解決方案。此外也定義新工具,以便支援這套汽車品管的新方法。
在過去,故障模式與效應分析(FMEA)常被用來辨識汽車系統中的故障模式。而現今,ISO26262要求的是故障模式、效應與診斷分析(FMEDA)。透過這種方式,故障必須加以辨認,並加以量化,再進行診斷,以便找出故障。此外,供應商必須提供文件給客戶,亦即能夠說明如何製作ASIL D類系統元件的安全手冊。
在產品方面,飛思卡爾(Freescale)最近發表專供安全應用的雙核心微控制器(MCU)。雙核心的MPC564xL微控制器系列包含兩個通道,每一組自有一個核心、匯流排、中斷控制器、記憶體控制器,以及其他與核心相關的模組。其以關鍵性安全應用為目標,摒棄以往使用兩組微控制器的方式,而改採雙核心微控制器,以更超值的價位提供汽車安全性。研發雙核心晶片的過程完全遵循IEC61508 SIL3,並由公正機構稽核。
設計著重關鍵性安全應用
飛思卡爾在關鍵性安全應用的雙核心控制器技術領域已有10年以上的設計經驗。最新的雙核心處理器系列則以安全互通的觀念為主,來自外部第三方的其他功能安全性專家也參與觀念實踐的監控與診斷,同時介入設計過程。以此為基礎,研製出關鍵性安全應用專屬的MPC564xL雙核心微控制器,並遵循IEC61508 SIL3的功能安全性觀念,其著重之處在於:
‧ |
|
|
單點故障可能會對系統安全功能立即造成嚴重影響,因此往往須要迅速測知。這類故障的典型例子,就是核心或記憶體內的位元反轉受到外部影響。最起碼的需求是在系統安全時間內測得這類錯誤,以汽車應用而言,通常在1~30毫秒(ms)間。至於單點錯誤關鍵測量數據,MPC564xL系列引進所謂的複製環境(Sphere of Replication),讓使用者可在雙核心Lockstep模式下,自行運作微控制器的關鍵組件。
|
‧ |
|
|
潛伏性錯誤通常又稱為隱性的。這類錯誤發生時不會立即影響系統安全功能。MPC564xL控制器架構提供硬體自我測試(BIST)機制,以便偵測這類錯誤。這些測試會執行微控制器九成以上的邏輯線路,因此,即使實際的安全應用並未觸動所有硬體區塊,也能找出潛在的錯誤。
|
‧ |
|
|
常見錯誤可能肇因於MPC564xL架構的容錯組件仍然共用同一裸晶(Die)。典型的例子如系統時脈或電源供應問題,會以類似的方式影響到晶片內部的時脈,並可能一再造成同樣的錯誤。所以,在Lockstep模式下,複製環境的兩個通道會執行一樣的軟體,這類問題便無法偵測出來。針對這些問題,MPC564xL系列提供硬體時脈以偵測時脈誤差,並透過硬體偵測主電壓,如內部核心電壓、快取電源電壓等。
|
可在Lockstep模式運作
所謂的複製環境,指的是MPC564xL元件架構的邏輯部分可設定成在Lockstep模式下運作。Lockstep模式的意思是這部分的控制器所執行的是同一時間內平行的相同指令集。Lockstep運作的輸出可用這些又稱為容錯檢查單元來做比較。這些單元可判定是否發生錯誤。出現錯誤時,錯誤訊號會轉至不同的硬體區塊,即錯誤蒐集與控制單元。
過去,所謂的複製與Lockstep模式的理論,只專屬於核心。這樣可以迅速對核心錯誤做出回應,而以往都需要數個時脈循環才能做到。MPC564xL系列更進一步,在複製環境中加入其他的關鍵硬體區塊。主要部分有包含記憶體保護單元的交叉切換電路(Crossbar)、中斷控制器、直接記憶體存取(DMA)單元、軟體監控計時器(圖1)。
|
圖1 MPC564xL擴充複製範圍 |
專精錯誤蒐集與管理
錯誤收集單元(FCU)是MPC564xL功能安全性架構的中心基礎。此一硬體模組的目的在於簡化關鍵性安全應用中控制器層級的錯誤回報與管理。它提供容錯硬體通道,當發生重大錯誤時,允許處於安全狀態的元件進行受控制轉換,因此毋須藉由中央處理器(CPU)介入,就可以進行該動作。錯誤蒐集單元可處理控制器內部的錯誤訊號,並讓使用者決定如何處置不同的錯誤訊號。
錯誤蒐集單元的邏輯迴路會在單元依據預設組態啟動後,立即以自我測試進行檢查。至於外部錯誤訊號,FCU提供兩個雙向訊號。而為保障FCU不受其他控制器模組或主核心故障影響,模組會使用分離的內部16MHz RC時脈。因此輸出訊號的決定運算與時間輸出可保證正確無誤。
雙核心架構帶來更多彈性
當汽車底盤及安全領域應用功能的數量和複雜度都日漸增加,研發成本壓力隨之增加,上市時間也變得更短促的當下,微控制器的功能可協助設計師專注於實際應用,簡化安全觀念研發及認證等問題,為電子控制元件(ECU)設計師增加更多的附加值。飛思卡爾研製的MPC564xL系列組合可因應市場需求,當設計師必須針對系統安全架構做出抉擇時,突破性的雙核心觀念不但帶來更多彈性,也能讓單一系列控制器在效能及安全需求間取得平衡。
(本文作者為飛思卡爾底盤與安全行銷經理)