MCU實現(xiàn)汽車功能安全合規(guī)性

　　上述方法可確保數(shù)據(jù)路徑上沒有數(shù)據(jù)損壞。然后主設(shè)備提供的ECC被用于RAM和閃存，因此存儲器不需要額外的ECC計算，ECC從一端(總線主設(shè)備)傳到另一端(存儲器)。

　　系統(tǒng)中有一個中央存儲器錯誤管理單元，負(fù)責(zé)采集和報告與在SRAM、外設(shè)系統(tǒng)RAM及閃存上所使用的ECC 邏輯相關(guān)的錯誤事件。 每當(dāng)發(fā)生可糾正(單位)或不可糾正(多位)的錯誤時，MEMU 都會收到一個錯誤信號，然后記錄錯誤地址，設(shè)置相應(yīng)的錯誤標(biāo)記并報告給FCCU。在需要特殊更正數(shù)時或進一步分析軟件中這樣的錯誤時，可以使用。

　　故障收集和控制單元(FCCU)

　　FCCU是一個可編程的單元，監(jiān)控MCU的完整性狀態(tài)，提供靈活的安全狀態(tài)控制，在設(shè)備發(fā)生故障時通過可控的方式使設(shè)備處于安全狀態(tài)。 收集和控制操作不需要 CPU 的干預(yù)。FCCU簡易框圖如圖 2 所示?！　?/p>

 

　　FCCU提供一個有限狀態(tài)機，根據(jù)系統(tǒng)中發(fā)生的錯誤以及對這些錯誤采取的行動/無為，從一個狀態(tài)遷移到另一個狀態(tài)。根據(jù)故障配置，F(xiàn)CCU可能會觸發(fā)復(fù)位、屏蔽/非屏蔽中斷、外部故障指示、或不反應(yīng)。該SoC 還提供兩個外部指示引腳 (EOUT0/1)，可以就系統(tǒng)中發(fā)生的故障與外部環(huán)境進行通信，并遵循各類靜態(tài)或切換協(xié)議。

　　自我測試控制單元

　　這是針對在啟動/關(guān)機時運行的設(shè)備的自我診斷措施，以確保在應(yīng)用運行過程中設(shè)備不會出現(xiàn)延時/休眠故障而破壞其運行。通常來說，自我檢測根據(jù)數(shù)字邏輯(稱為 LBIST)在嵌入式存儲器( 稱為 MBIST)上執(zhí)行，有足夠的覆蓋率，可滿足所要求的系統(tǒng)安全完整性等級(SIL)。

　　1. 在 STCU 重置事件后，SSCM 檢測到設(shè)備自我檢測尚未運行。
　　2. SSCM 從非易失性閃存存儲器 (NVM) 讀取自我檢測參數(shù)。
　　3. SSCM 將自我檢測參數(shù)加載到 STCU 中，并將控制傳送到 STCU。
　　4. STCU 管理 MBIST 并更新其內(nèi)部狀態(tài)。
　　5. STCU 管理 LBIST 并更新其內(nèi)部狀態(tài)(可能有其他LBIST和MBIST的順序或并行執(zhí)行)。
　　6. 如果檢測到故障，STCU 便將測試故障報告給 FCCU 或重置設(shè)備。
　　7. 在完成自我測試后，STCU 便示意重置模塊，引導(dǎo)順序推進到下一階段。　　

 

　　時鐘監(jiān)控和輔助時鐘

　　為了檢測安全運行中內(nèi)外部時鐘電路故障，基于輔助時鐘監(jiān)控(見下文)其主時鐘。該輔助時鐘由內(nèi)部 RC 振蕩器提供，只要器件重置便可使用。有了輔助時鐘，即使內(nèi)部 PLL 由于某些原因而發(fā)生故障，也能保證系統(tǒng)有時鐘可以運行許多安全機制，確保繼續(xù)運行。該 IRC 振蕩器可進行微調(diào)，使時鐘在不同的 PVT(流程、電壓和溫度)下保持一致。

　　時鐘監(jiān)控單元

　　CMU 是監(jiān)控系統(tǒng) PLL 輸出頻率的模塊，如果發(fā)生時鐘丟失或被監(jiān)控的時鐘超出低頻或高頻邊界時，便會顯示故障、重置或中斷。CMU將輔助時鐘(見上文)作為參考來對時鐘進行監(jiān)控，同時根據(jù)外部晶體振蕩器監(jiān)控輔助時鐘。 CMU 簡易框圖如圖 4 所示。