适用于高级驾驶辅助系统的雷达和功能安全技术

数。这有助于保持低功耗、高线性度。

　　图5：RCP封装雷达芯片组

　　功能安全微控制器

　　微控制器用来控制射频雷达发射器和处理从接收器传来的数据。如果考虑到应用的关键安全性质，就需要采用功能安全微控制器。系统工程师所面临的挑战是所构建的系统需要能够防止危险故障的发生或至少在出现故障时能够有效地进行控制。危险故障可能来自随机硬件故障、系统硬件故障及系统软件故障。

　　功能安全标准IEC 61508和汽车适用的 ISO 26262标准适用于确保一般工业和汽车应用中的电子系统是完全安全的。IEC 61508标准定义了四个完全安全完整性等级（SIL），其中SIL 4表示最严格的安全等级。ISO标准定义了四个汽车安全完整性等级（ASIL），其中ASIL D表示最严格的安全等级。每个等级对应一个出现安全功能故障的可能性目标范围。

　　SIL和ASIL等级之间没有直接的对应关系，但是ISO 26262将安全流程和要求推向更深的层次。在整个设计过程的一开始，就必须收集凭证，证明该产品是依据标准进行开发的。发现的任何潜在偏差都必须记录，以确保能够采取足够的挽救措施。

　　它们采用不同的方法来实现安全微控制器。传统的方法是采用两个独立的微控制器复制完全不同的控制器上的软件。相同的软件可以在每个微控制器上运行，然后比较运行结果。如果结果相同，则一切正常；如果不相同，那么系统就知道有错误，要么解决它和/或使系统进入安全状态。另一个选择是，一个微控制器只能运行安全软件并监控正在运行应用软件的另一个微控制器。

　　采用独立的微控制器，所设计的系统必须从一开始就设计和实施安全系统。

　　与之相反，现在可提供预认证的微控制器。这些解决方案主要检测和减少单点故障、潜在故障和非独立故障。这通过在微控制器、电源管理IC和传感器中内置的安全功能实现，包括自检、监控和基于硬件的冗余。 对于微控制器来说，提供的片上冗余适用于下列关键部件，如：

　　- 具有延迟锁步功能的多个CPU计算内核

　　- I/O处理器内核

　　- 直接存储器存取控制器

　　- 中断控制器

　　- 双交叉开关总线系统

　　- 存储器保护单元

　　- 故障采集单元

　　- 闪存存储器和RAM控制器

　　- 外围总线桥

　　- 系统和看门狗定时器

　　- 以及端到端纠错码

　　数据复制领域的主要优势是MCU的功能，可检测较频繁发生的软错误等单点故障，不仅检测内核中的，也检测关键的子模块中的错误。

　　为内核、存储器、交叉开关、通信模块和外设提供内置自检（BIST）机制。此外，该器件进行了优化，可防止时钟或电压电源问题诱发的共因失效。MCU提供检测时钟偏差的硬件模块以及主电压的硬件监控，如内部核心电压和闪存电源电压。

　　双核锁步MCU在软件级和系统级中不会减少实施安全措施的需求，如非常独立地监控软件路径计算的输出值。然而，在更高集成度的其他方面，这些MCU不会提供关注点分离来进行验证。在基于多个单核MCU的解决方案中，检测和控制随机硬件故障的能力很大程度上取决于软件。

　　双核锁步MCU可以在独立于软件的硬件级上验证和确认计算基础架构的关键功能安全的有关属性，因为计算基础架构以集成形式提供，它也代表一个集成的安全机制。这是软硬件协同设计过程内一个显著好处。此外，关注点分离有利于快速定位问题。如果触发了监控双核锁步的安全机制，那么原因可能归结为硬件级的随机硬件故障，同时如果触发了软件监控，则原因可能归结为系统级故障或软件中的系统性故障。

　　图6：双核锁步MCU结构图

　　双核锁步MCU方法提供了一个潜在的可用性优势。 在现代MCU中，内核面积越来越小，远低于整个MCU的5%，而MCU作为一个整体，通常分配到随机硬件故障的概率指标（PMHF）约为1%。因此，内核占比起初约为该区域的0.05%。但是，必须要确保内核的正确运行，才能在软件中实施前向恢复技术，才能解决影响PMHF的其余99.95%的因素，保证系统的可用性。此外，双核锁步MCU提供适当的基础设施来实施多个充分独立的通道。

　　功能安全配套器件

　　为了支持面向功能安全应用的完整系统解决方案，飞思卡尔开发了一类配套的电源系统基础芯片（SBC），它结合了面向MCU的安全监控作用和电源生成两种功能。

　　这些SBC器件为MCU和其他系统负载提供电源，并通过低功耗省电模式优化能耗。 此外，它们通常还集成物理层接口和串行外围接口，采用MCU进行控制和诊断。 MCU和模拟系统基础芯片组合在一起可视为一个SEooC（独立安全单元），有利于评估系统安全性。 这种架构能够减少系统级组件的数量，满足功能安全需求，并增强可靠性。