MCU是汽车电子控制系统中的核心组件,存储体又是其中最重要的组成部分之一。在车规级MCU设计中,存储体及控制器功能安全设计是非常重要的一环,直接关系到汽车电子控制系统的可靠性和安全性。本文围绕存储体、功能安全性技术以及改善安全性的关联技术等,讨论了车规级MCU的开发以及功能安全的设计实现。

微控制芯片MCU是汽车电子控制系统中的核心组件,其中的存储体是最重要的组成部分之一,主要用于存储程序代码、数据、配置参数等信息。根据存储体类型的不同,车规MCU存储可以分为多种类型,包括ROM、EEPROM、Flash以及SRAM等。由于存储体用于存储MCU运行的数据代码,其故障可能会导致汽车电子控制系统出现严重的事故。因此,不同类型存储体的功能安全非常重要。在车规MCU中进行合理的存储体和控制器的功能安全设计,可以有效地提高汽车电子控制系统的可靠性和安全性。

图1:内嵌存储体的MCU系统结构示意图。

车规MCU中存储功能的功能安全,主要包括防止存储体及控制器本身的故障和防止外部攻击对存储体进行破坏和信息窃取两个方面。为防止存储体及控制器本身的故障,车规MCU需要采用多种技术手段来保证其功能安全,例如,使用业界成熟的ECC技术或使用CRC校验码,可以检测修复错误数据和检测数据完整性,使用备份存储可备用数据等。而为防止外部攻击对存储体进行破坏或数据窃取,车规MCU需要采用加密技术来保护存储体中的数据,例如使用不同种复杂的算法对数据进行加密,控制代码访问及运行权限,条件限制性数据交互等,可以有效地防止外部攻击和信息泄露。

本文在讨论车规MCU的设计开发时,将侧重于功能安全的设计实现。只有在存储体的功能安全得到保障的情况下,才能让汽车电子控制系统更加可靠和安全。因此,存储体及控制器功能安全设计是车规MCU中非常重要的一环,直接关系到汽车电子控制系统的可靠性和安全性。

存储体类型组成

图2:不同的存储体类型。

以汽车域控制多核MCU芯片为例,基于不同的存储体类型,存储体可以分为ROM、EEPROM、Flash以及SRAM等。ROM作为只读存储体,用于一次编程BOOT启动程序后不能再被修改,负责存储MCU芯片上电启动程序代码、初始诊断测试代码和基本控制算法代码等。EEPROM是可擦除可编程只读存储体,它可以通过电信号进行擦写和编程,在汽车域控制多核MCU中,EEPROM通常用于存储车辆识别码、用户设置、故障码、参数等信息。Flash与EEPROM类似,但其擦除和编程速度更快,汽车域控制多核MCU中,通常被用于存储应用程序、操作系统和驱动程序等信息。基于技术发展迭代和市场化验证,目前EEPROM功能逐渐被小容量的Flash替代。SRAM是一种静态随机存取存储体,具有快速的读写速度和低功耗的特点,在汽车域控制多核MCU中,SRAM存储体通常被用于存储缓存、栈和堆等数据。

在MCU中的系统架构,ROM存储体通常分为两类:一是内部ROM,即直接集成在MCU芯片中;二是外部ROM,即通过串行或并行接口与MCU芯片相连的外部ROM。SRAM、EEPROM和Flash存储体通常都是内部集成,可以通过串行或并行接口进行读写操作。在复杂处理系统中,由于存储体容量需求巨大,集成至芯片内部已无成本优势,因此通常以独立的芯片形式存在,需要通过外部地址总线和数据总线与MCU芯片相连。

图3:通过外部地址总线和数据总线与外部MCU芯片相连接。

上述每种存储体类型,均需要符合自身读写控制时序的存储体控制器,支持存储体数据的正常存取操作。根据存储体的功能可知,无论时存储体本身还是控制器,任意一个发生故障,均会导致MCU芯片控制和处理功能失效,进而会导致系统故障。因此,有效实施存储体及控制器的功能安全设计方案,可以使汽车电子控制系统更加可靠和高效。

功能安全技术

主要功能安全技术包括:

包含地址信息的ECC

常规MCU芯片中存储体ECC方案,主要对其存储空间中的数据进行处理,查二纠一的算法基本可保证99%以上的故障诊断覆盖率。为尽可能保证安全性,对于复杂MCU、尤其是汽车电子控制中使用的核心控制MCU,甚至设计为查三纠二的ECC算法。常规MCU,其内部存储体容量有限,地址译码电路所进行的译码处理位宽较少。相较常规芯片不同,车规级核心控制MCU的全芯片中,使用了大量的Flash和SRAM等存储体,其存储体控制器地址译码电路涵盖地址区间较大,故控制器译码电路失效率随之增加。因此对于高安全需求的MCU,其存储体ECC方案有所不同。在生成校验位时, 将“写地址”与“数据”一起拼位生成 ECC 校验码, “数据+校验码”一起存于存储体中,写地址本身不存储。数据读出校验时,“读地址+数据+校验码”一起校验。 此设计方案在不明显增加设计成本的情况下,可检测地址译码逻辑单比特失效。

图4:高安全性MCU中的ECC校验。

控制器对存储体的控制效果,体现在正确地址和正确数据的存取。当控制器中地址译码电路故障时,可导致使用错误的地址读取该地址中的数据,而该笔数据本身的ECC校验码正确,无法通过常规ECC检查,最终MCU获得错误数据,造成系统故障。包含地址信息的ECC方案,基于存储体和控制器最终的存取效果,针对数据和地址两个关键点,对整体进行安全控制。

ECC码的独立存储

另一种有效的安全方案,是将本身的数据和ECC码使用独立的存储体进行存储。MCU芯片中SRAM作为数据缓存,在系统集成过程中会例化多个存储空间的SRAM模块,而不是统一放在一个巨大地址空间的SRAM接口中,这样有效保证多主机进行数据访问处理的高效性。因此ECC码的独立存储方案,尤其适用于SRAM的功能安全设计实现。

图5:利用数据和ECC码的独立存储来改善功能安全。

以SRAM而设计实现为例,每一笔数据生成对应ECC后,按相同的地址,分别存储数据的SRAM和存储ECC码的SRAM。MCU芯片发出读地址读取某一笔数据时,同时将该地址对应的存储ECC码的SRAM中对应该数据的ECC码读出,并通过ECC校验模块进行校验。当地址译码模块译码故障时,实际上用同一地址读取的数据和ECC码会发生不匹配的情况,最终导致ECC校验时发现ECC码错误。因此此时的地址译码模块的故障将以ECC数据校验错误的形式反馈,并不区分是存储体的故障还是地址译码电路的故障。在实际系统层级功能安全应用时,将存储体及控制器看作整体,安全响应最终是以数据错误的形式表现,有助于提升高层级处理的效率。另外的,ECC码被分成两个物理SRAM存储区域,这种方案提供了物理上SRAM存储区域和控制模块,也有助于降低物理多位故障导致逻辑多位故障的概率、共因失效概率和地址译码模块瞬态干扰导致的安全机制失效的概率。

ECC校验功能的诊断

存储体ECC技术方案作为防止存储体及控制模块发生单点故障的安全机制,需要采取相应技术措施来探测、识别或诊断其本身的问题,尽量减小潜在故障的概率。虽然ROM、SRAM、EEPROM和Flash存储体数据在MCU芯片正常工作过程中均可受到ECC校验的保护,但不同类型的存储体其实际工况不同,因此对于ECC编码和校验模块的诊断措施也有区别。

图6:ECC编码校验功能方框图。

在BOOT启动阶段和功能模式运行阶段,SRAM和EEPROM都可进行数据访问,且MCU芯片应用过程中,数据可实时修改。对于SRAM和EEPROM的功能特性,其ECC校验模块可通过实时故障注入的方式进行诊断。故障注入开启后,MCU可通过程序读取SRAM和EEPROM的数据和ECC校验码,并将数据段通过注入修改,连同ECC码送入ECC校验模块,可诊断ECC校验模块是否可正确检测到ECC单比特错误、多比特错误和单比特纠错功能。

故障注入方案需要ROM或Flash中软件程序正确执行,因此难以用于诊断用于存储软件程序代码的ROM或Flash的ECC校验模块。对于ROM或Flash的ECC校验功能的诊断,可以通过在ROM或Flash存储体中建立ECC测试区域,并事先将用于ECC校验功能诊断的测试数据编程到ROM或Flash中。该区域根据实际的ROM或Flash的数据位宽,遍历单笔特错误,全0数据、全1数据,双比特错误、多比特错误的情况。当进行ECC诊断时,程序主动读取该测试区域的数据,ECC校验正确的情况下将触发ECC错误正常响应。

图7:ROM或Flash存储体中的ECC测试区。

其它关联协作技术

MCU芯片中实现存储单元功能安全可结合其它技术方案相互协作,提高系统的可靠性和安全性。在线MBIST通过测试引擎生成特定的测试模式来激励存储体,然后读取和比较存储器的输出数据,以验证存储器的功能和可靠性。测试模式可以包括不同的数据模式、存储器访问模式和写入/读取序列等,可快速检测存储器中的故障,并提供准确的测试结果。另外,MCU芯片可采用MPU来保护存储体,用于限制非法访问。MPU可以设置存储器的访问权限和地址范围,确保只有经过授权的程序才能读取和写入存储器中的数据。通过MPU,芯片能够有效防止恶意攻击和非法访问导致的信息泄露或篡改。此外,MCU芯片对存储体中数据还可使用数据E2E校验来验证数据的完整性,通过在数据传输的起点和终点分别添加校验码,检测数据在传输过程中是否被篡改。

实现存储体单元的功能安全,从合适的技术层级和功能层级进行分析,考虑安全机制的技术结合和措施的共同作用,评估安全方案在实现功能安全等级目标的适应性,用相对低的成本以达到合适的诊断覆盖率和安全效果,提高芯片的可靠性和安全性,确保系统能够有效防范单点故障和潜在故障的风险。

本文为《电子工程专辑》2023年9月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅

责编:Jimmy.zhang
  • 功能安全技术总结的很全面!
阅读全文,请先
您可能感兴趣
CC2560A采用芯来科技NS300 RISC-V内核,主频可达120MHz,传输速度提升至25Mbps,算力达到150+ DMIPS。不仅具备安全性,还能通过灵活扩展满足特定应用场景的需求。
FTTR技术能为家庭用户提供了超千兆、全屋覆盖无死角的极致网络体验,显著提升了家庭宽带体验。
在专用芯片市场上,目前VR芯片国产率几乎为零,而AR主控芯片则缺乏高度集成的产品。六角形半导体针对AR/VR市场的三大痛点——功耗、尺寸和实时性,推出了专为AR眼镜设计的HX77系列高性能主控SoC……
IM110GW是中科海芯推出的一款面向车身应用的MCU芯片,符合功能安全ISO 26262 ASIL B级标准。该芯片采用100/144LQFP封装,内置32位RISC-V内核,具有高效的处理能力和丰富的外设支持。
XL6500R系列产品是一款基于芯来RISC-V内核,主频48MHz,满足AEC-Q100可靠性标准和ISO 26262 ASIL B功能安全等级的汽车级通用微控制器MCU,搭配丰富外设及灵活的时钟控制机制,提供具有可扩展性的解决方案。
先楫HPM6E00系列是中国首款拥有德国倍福公司(Beckhoff)正式授权 EterhCAT从站控制器(ESC: EtherCAT Slave Controller)的高性能MCU产品,也是国内首款支持高性能运动控制和多协议工业以太网的产品。
• 得益于西欧、关键亚洲市场和拉丁美洲市场的增长,以及中国品牌的持续领先,全球折叠屏手机出货量在2024年第二季度同比增长了48%。 • 荣耀凭借其在西欧特别强劲的表现,成为最大的贡献者,成为该地区排名第一的品牌。 • 摩托罗拉的Razr 40系列在北美和拉丁美洲表现良好,为其手机厂商的出货量贡献了三位数的同比增长。 • 我们预计,头部中国手机品牌厂商的不断增加将至少在短期内抑制三星Z6系列在第三季度的发布。
AI技术的发展极大地推动了对先进封装技术的需求,在高密度,高速度,高带宽这“三高”方面提出了严苛的要求。
奕斯伟计算2024首届开发者伙伴大会以“绿色、开放、融合”为主题,从技术创新、产品应用、生态建设等方面,向开发者、行业伙伴等相关方发出开放合作倡议,加速RISC-V在各行各业的深度融合和应用落地,共同推动RISC-V新一代数字基础设施生态创新和产业发展。
2024年 Canalys 中国云计算渠道领导力矩阵冠军厂商分别是:阿里云、华为云和亚马逊云科技(AWS)
文|德福很多去成都旅游的朋友都有个疑惑——为什么在成都官方的城市标志上看不到熊猫,而是一个圆环?其实这个“圆环”大有来头,它被唤作太阳神鸟,2001年出土于大名鼎鼎的金沙遗址,距今已有三千余年历史。0
‍‍近期,IC 设计大厂联发科宣布了2024年上半年度的员工分红计划,与8月份薪资一起发放。据外界估算,按照上半年税前盈余约648.66亿新台币(约 144.42 亿元人民币)进行估算,此次分红总额接
会议预告向世界展示中国最具创新力、领导力和品牌化的产品与技术!9月27号,“第6届国际移动机器人集成应用大会暨复合机器人峰会”将在上海举行,敬请关注!逐个击破现有痛难点。文|新战略半导体行业高标准、灵
近日A股上市公司陆续完成2024年上半年业绩披露,其中24家SiC概念股上半年合计营收同比增长14.58%至1148.65亿元,研发费用同步增长7.22%至69.16亿元。尤为值得注意的是,天岳先进、
[关注“行家说动力总成”,快速掌握产业最新动态]9月6日,据“内江新区”消息,晶益通(四川)半导体科技有限公司旗下IGBT模块材料和封测模组产业园项目已完成建设总进度的40%,预计在明年5月建成。据了
8月28-30日,PCIM Asia 2024展在深圳举行。“行家说”进行了为期2天的探馆,合计报道了200+碳化硅相关参展企业(.点这里.)。其中,“行家说”还重点采访了骄成超声等十余家企业,深入了
在苹果和华为的新品发布会前夕,Counterpoint公布了2024年第一季度的操作系统详细数据,数据显示, 鸿蒙操作系统在2024年第一季度继续保持强劲增长态势,全球市场份额成功突破4%。在中国市场
9月6日,“智进AI•网易数智创新企业大会”在秦皇岛正式举行,300+企业高管及代表、数字化技术专家齐聚一堂,探讨当AI从技术探索迈入实际应用,如何成为推动组织无限进化的新引擎。爱分析创始人兼CEO金
近日,3个电驱动项目迎来最新进展,包括项目量产下线、投产、完成试验等,详情请看:[关注“行家说动力总成”,快速掌握产业最新动态]青山工业:大功率电驱项目下线9月5日,据“把动力传递到每一处”消息,重庆