符合安全标准的汽车器件冗余设计

作者：Deepak Negi、Neha Bagri和Vikas Agarwal，飞思卡尔半导体

一般来说，可以通过对系统质量、可维护性、可靠性、可用性及安全性等指标做出评测，来衡量系统在环境中的性能。功能安全是系统相对于可能出现的操作错误、硬件故障及环境变化的整体安全性。这取决于系统或设备能否响应输入正确地运行，包括安全地管理操作错误、硬件故障和环境变化。功能安全的目标是避免不可接受的身体伤害，或对健康直接或间接造成的损害风险。

为了确保安全功能能够符合设计初衷，包括在操作员输入不正确和故障模式等情况下，人们一直不断改进各种标准。IEC61508是适用于各个行业的国际功能安全标准之一，名称是“电气/电子/可编程电子安全相关系统的功能安全(E/E/PE或E/E/PES)”。ISO 26262是从IEC 61508衍生而来的功能安全标准，名称为“道路车辆-功能安全”，适用于汽车行业。ISO 26262定义了汽车设备的功能安全，适用于所有汽车电子电气安全相关系统的整个生命周期。

SoC系统级芯片遵循多种设计技术，以符合安全标准，这些在ISO-26262标准中都有所介绍。冗余、自检机制、信号监测、电压电源监测和“看门狗”是在符合安全标准的设备中所使用的几种技术。冗余是这些设备的主要组成部分。冗余在汽车设备中的使用有多种方式，许多符合安全标准的设备将锁步、ECC、CRC及校验等用作冗余技术。本文将主要介绍SoC中使用到的冗余技术，包括硬件、软件、信息和时间冗余等。

汽车硬件冗余机制

冗余是指除了在关键功能中使用的组件外，还包含额外的组件，旨在提高系统的可靠性和可用性。冗余的添加方式有很多，如硬件(例如双核锁步)冗余、软件冗余、信息冗余(例如将ECC添加到存储器)和时间冗余。一般情况下，冗余依据MooN概念工作。

N分之M(M-out-of-N，MooN)系统包含N个相同的组件，工作原理是：如果N个组件中的至少M个组件正常工作，那么该系统没有错误。一个示例是三重模块化冗余(TMR)，这实际上是一个三分之二(2oo3)系统。如果3个组件中至少有两个组件(大部分)正常运行，那么该系统则被视为正常运行。

MooN系统在硬件和软件中使用。在硬件中，关键组件被复制，根据多数投票原则做出决策。而在软件中，一个任务被重复多次，然后比较任务执行结果，生成最后结果。在SoC中，硬件冗余可以采用多种形式：复制执行安全关键任务的内核(也称为锁步)、延迟锁步(1oo1系统)、非对称锁步、三次投票(2oo3系统)。

在符合安全标准的高级设备中，执行安全关键任务的内核被复制，应用在锁步模式下运行这两个内核，比较结果，确保冗余处理产生完全相同的结果。如未获得完全相同的结果，则视为发生了故障。

在锁步模式下，同时将同一组输入发送到这两个内核，然后这两个内核在相同的时钟周期内执行相同的计算，定期比较结果，检测是否发生了故障(无论是瞬时故障、间歇性还是永久性故障)。一旦输出不匹配，通常会标记故障并执行重启。图1显示了锁步中的内核(双核锁步)。


图1：锁步中的内核(双核锁步)工作原理

延迟锁步是锁步的一种，其中一个内核的输入延迟了N个时钟周期，另一个内核的输出也延迟了相同的时间，然后比较结果。用这种方法，可获得时间分集。由于一个内核在N个时钟周期后将执行相同的运算，冲击这两个内核并以相同的方式影响其功能的噪声脉冲的概率将大大减少。图2显示了延迟锁步的工作配置。馈送给内核2的数据被延迟了两个时钟周期。内核2的重置也延迟了两个周期。内核1的输出延迟了两个时钟周期，然后由校验器电路进行比较。如发现故障，则标记错误。


图2：延迟锁步的工作配置

在非对称冗余中，不复制相同的内核，而是使用不同的内核。不同的专用内核通过一个接口与主内核紧密耦合，实现内部和外部结果的逐步比较。该接口降低了复杂性，缩短了错误检测延迟。主核执行关键的任务，而专用的多样化内核则复制足够多的主核执行，确保能够检测故障，或确保主核的安全运行。由于硬件的多样性，可以有效覆盖共因故障和系统故障。内核的不同结构将导致不同的内核反应方法，改善共因故障的诊断覆盖。因此这两个内核发生的同类故障的情况将减少。并行通道无需单独的代码，专用内核比主核小。有时，主核的面积差异可高达50%及以上。这种方法的缺点是，可能需要详细的分析来证明诊断覆盖。

此类冗余在位级实施，安全关键任务中所使用的寄存器位被复制两次，根据多数投票逻辑生成输出。这是2oo3多数投票系统的一个示例，如果这三个触发器中的任何一个发生故障，那么其余的两个触发器将掩盖故障。假设很难同时损坏这三个触发器中的两个，那么这种技术可保持系统运行。由于在这种情况下，面积补偿是双倍的，因此需要彻底检验设计配置位，确定安全关键的配置信息，避免任何不必要的面积开销。