目前市場上能夠通過IOS26262等車規标準的雙核鎖步DCLS晶片主要有TI的Hercules系列、英飛淩AURIX系列和NXP S32系列等。
一、TI Hercules系列
Hercules是TI公司以ARM Cortex核心建構的安全關鍵CPU,包括三個系列:RM4,TMS570和TMS470M,内部由鎖步雙核CPU組成,最高可滿足ISO26262 ASIL-D和IEC61508 SIL3功能安全标準的要求,并符合AEC-Q100車規級要求,雙核鎖步CPU架構、硬體BIST、MPU、ECC、片上時鐘和電壓監控可以滿足汽車、鐵路和航天航空關鍵功能安全應用。
該晶片雙核鎖步實作的具體要點:
- CPU配有專門的硬體自檢子產品,隻需要很少的軟體開銷就可以完成CPU的自檢。
- CPU比較子產品(CCM) 會逐周期對輸出指令進行比對,一旦不一緻立即報告錯誤。
- 兩個CPU呈鏡像且旋轉90度的方式放置,并且保證間距大于100微米,從空間上避免了共模失效;
- 兩個CPU在分别在運算之前和之後有兩個周期的延時,從時間上避免了共模失效;
- 每個CPU都有獨立的保護環,可以有效減少共模失效的可能性。
- 采用該雙核鎖步架構優勢在于:
- 具有更快地錯誤檢測速度,隻需要兩三個周期就可以檢測到系統出錯;
- 具有更高的錯誤覆寫率,可以檢測的故障覆寫硬體、瞬态、持續等各種錯誤類型;
- 診斷功能工作時對性能的影響非常低,甚至沒有任何影響,不需要額外的軟體開銷,對存儲空間沒有影響,而且幾乎不占用Flash和RAM空間;
- 對于原有的設計,使用者不需要額外的軟體開發工作,易于內建到現有的應用中,進而縮短産品開發的周期;
- 診斷覆寫率可控,使用者不需要擔心軟體的校驗是否已經足夠保證CPU的安全性,而可以将更多的時間用來開發自己的應用程式。
二、英飛淩AURIX系列
AURIX多核微控制器具有高實時性和嵌入式安全和安保特性。可用于控制内燃機、電動汽車和混動汽車的ECU單元、底盤域、刹車系統,EPS,安全氣囊和ADAS系統,還可應用于鐵路、工業自動化等領域。最新一代的AURIX TC3xx系列搭載了多達6個TriCore嵌入式核心,每個核心的時鐘頻率最高可達300MHz。配備千兆以太網、信号處理單元等最新通信接口。
AURIX的雙核鎖步具體實作為:
- 時間上,Primary Core先取指,運算結束後延時兩個CPU clock時間,再傳給Compare單元,Checker Core延時兩個CPU clock時間後取指令,運算結束後傳給Compare單元;
- 算法上,Primary Core運算結束是直接譯碼,再傳給Compare單元;Checker Core運算結束是反碼譯碼,再傳給Compare單元。
- 空間上,Primary Core和Checker Core的布局間距>50um,預防收到放射線等共模失效。
三、NXP S32、MPC57xx系列
NXP的S32系列基于ARM Cortex架構,包括:
- S32K MCU用于一般的汽車和工業應用,達到ASIL B/D的high safety和security;
- S32G車用網絡處理器,用于處理與面向服務的網關、域控制器和安全協處理器相關的高性能應用;
- S32S車輛安全動力學MCU,用于管理為未來的自動駕駛和電動汽車安全加速、制動和轉向;
- S32R45雷達處理器,用于遠距離雷達成像的高性能、安全和可靠的處理。
MPC57xx系列基于Power Architecture,包括MPC5777C,MPC577xK,MPC5777M,MPC5744P等,應用于汽車動力學、ADAS、進階自動駕駛應用。
主要特性:
- 具有雙核鎖步PowerPC e200 Z4核心,可提供最高200MHz的運作頻率;
- 提供端到端錯誤糾正代碼,以提高容錯率及檢測能力;
- checker核采用“safety lake”設計,獨立電源供電;
- 主核delay後進入RCCU比較錯誤;
- BIU輸出采用ECC校驗;
- CPU和存儲器之間通過相對應的記憶體控制器連接配接形成記憶體分級結構;
四、總結
目前商用的雙核鎖步lockstep方案,基本上是周期精确的硬體對比為主,不過多修改軟體程式正常程序,同時硬體保證資料對比結果正确性,并及時硬體糾錯和程式回卷。同時,在晶片設計過程中,還需要對兩個核的位置擺放和電源供電等有特殊要求。商用方案均采用delay周期的方式解決共模失效問題,同時checker内部可以上電自檢一次,確定上電後checker硬體有效,内部需內建self test子產品,該子產品用于自測試和LBIST測試。