當(dāng)前在汽車、軌道交通的安全系統(tǒng)開發(fā)中，很多使用了雙核鎖步(dual core lockstep)安全芯片，本篇來談?wù)勲p核鎖步安全芯片的技術(shù)特點(diǎn)。

ISO26262對(duì)雙核鎖步芯片的規(guī)定條款

在汽車功能安全標(biāo)準(zhǔn)ISO26262-5 2018 產(chǎn)品開發(fā)：硬件層面附錄D對(duì)處理單元的診斷覆蓋率推薦的安全技術(shù)措施中，作為可實(shí)現(xiàn)高診斷覆蓋率的幾種技術(shù)措施之一，硬件冗余技術(shù)中，雙核鎖步、非對(duì)稱冗余、編碼計(jì)算是三種典型的技術(shù)措施。

技術(shù)特性

處理器CPU作為控制器的核心，內(nèi)部包括寄存器、內(nèi)存、譯碼器、ALU、高速緩存、總線、電源、時(shí)鐘、堆棧、復(fù)位電路，所有組成部分需要以正確的時(shí)序要求運(yùn)行，但CPU也會(huì)出現(xiàn)故障，如EMC、輻射、時(shí)鐘漂移、低電壓都可能導(dǎo)致CPU出現(xiàn)錯(cuò)誤導(dǎo)致控制行為不可控。
雙核鎖步CPU是一種CPU冗余技術(shù)，在一個(gè)芯片中包含兩個(gè)相同的處理器，一個(gè)作為master，一個(gè)作為slave，它們執(zhí)行相同的代碼并嚴(yán)格同步，master可以訪問系統(tǒng)內(nèi)存并輸出指令，而slave不斷執(zhí)行在總線上的指令（即由主處理器獲取的指令）。slave產(chǎn)生的輸出，包括地址位和數(shù)據(jù)位，發(fā)送到比較邏輯模塊，由master和slave總線接口的比較器電路組成，檢查它們之間的數(shù)據(jù)、地址和控制線的一致性。檢測(cè)到任何總線的值不一致時(shí)，就會(huì)發(fā)現(xiàn)其中一個(gè)CPU 上存在故障，但不會(huì)確定是哪個(gè)CPU故障。

這種CPU架構(gòu)使得CPU自檢獨(dú)立于應(yīng)用軟件，不需要執(zhí)行專門的指令集自檢，實(shí)際運(yùn)行的軟件指令在每個(gè)時(shí)鐘都進(jìn)行比較，只需要測(cè)試軟件用到的CPU資源，但這種架構(gòu)不會(huì)對(duì)內(nèi)存和總線進(jìn)行檢測(cè)，需要增加單獨(dú)的檢測(cè)方法以避免兩個(gè)CPU的共模故障。

在Delphi Secured Microcontroller Architecture這篇關(guān)于鎖步MCU的論文中，這種架構(gòu)的優(yōu)勢(shì)有四方面：

由于減少了硬件元器件數(shù)量和連接，相比于使用兩個(gè)獨(dú)立的MCU，提高了硬件的可靠性；

電路板布局的小型化和復(fù)雜度降低，使得板級(jí)EMI性能提升和輻射發(fā)射降低；

故障診斷能力的提升，故障從源頭并且在第一次出現(xiàn)時(shí)就被檢測(cè)到，不會(huì)漏掉潛伏故障；

提高了軟件的可靠性，不需要雙CPU的通信和數(shù)據(jù)同步，減少數(shù)據(jù)比較和決策邏輯，降低了軟件驗(yàn)證的復(fù)雜度。

典型的雙核鎖步芯片

各大芯片廠商都在積極開發(fā)雙核鎖步架構(gòu)的芯片，以期望在功能安全芯片領(lǐng)域占有更多的市場(chǎng)，典型的芯片系列有：
TI Hercules系列

Hercules是TI公司以ARM Cortex核心構(gòu)建的安全關(guān)鍵CPU，包括三個(gè)系列：RM4，TMS570和TMS470M，內(nèi)部由鎖步雙核CPU組成，最高可滿足ISO26262 ASIL-D和IEC61508 SIL3功能安全標(biāo)準(zhǔn)的要求，并符合AEC-Q100車規(guī)級(jí)要求，雙核鎖步CPU架構(gòu)、硬件BIST、MPU、ECC、片上時(shí)鐘和電壓監(jiān)控可以滿足汽車、鐵路和航天航空關(guān)鍵功能安全應(yīng)用。

英飛凌AURIX系列

AURIX多核微控制器具有高實(shí)時(shí)性和嵌入式安全和安保特性?？捎糜诳刂苾?nèi)燃機(jī)、電動(dòng)汽車和混動(dòng)汽車的ECU單元、底盤域、剎車系統(tǒng)，EPS，安全氣囊和ADAS系統(tǒng)，還可應(yīng)用于鐵路、工業(yè)自動(dòng)化等領(lǐng)域。最新一代的AURIX TC3xx系列搭載了多達(dá)6個(gè)TriCore嵌入式內(nèi)核，每個(gè)內(nèi)核的時(shí)鐘頻率最高可達(dá)300MHz。配備千兆以太網(wǎng)、信號(hào)處理單元等最新通信接口。

NXP S32、MPC57xx系列

NXP的S32系列基于ARM Cortex架構(gòu)，包括：

S32K MCU用于一般的汽車和工業(yè)應(yīng)用，達(dá)到ASIL B/D 的high safety和security；

S32G 車用網(wǎng)絡(luò)處理器，用于處理與面向服務(wù)的網(wǎng)關(guān)、域控制器和安全協(xié)處理器相關(guān)的高性能應(yīng)用；

S32S 車輛安全動(dòng)力學(xué)MCU，用于管理為未來的自動(dòng)駕駛和電動(dòng)汽車安全加速、制動(dòng)和轉(zhuǎn)向；

S32R45 雷達(dá)處理器，用于遠(yuǎn)距離雷達(dá)成像的高性能、安全和可靠的處理。

MPC57xx系列基于Power Architecture?，包括MPC5777C，MPC577xK，MPC5777M，MPC5744P等，應(yīng)用于汽車動(dòng)力學(xué)、ADAS、高級(jí)自動(dòng)駕駛應(yīng)用。

發(fā)展趨勢(shì)

從車用芯片的發(fā)展趨勢(shì)來看，呈現(xiàn)以下幾個(gè)趨勢(shì)：

鎖步芯片能支持的計(jì)算能力越來越強(qiáng)，目前最高的主頻已由原來200-300MHz上升到1GHz；

由雙核鎖步向多核鎖步發(fā)展，芯片內(nèi)部可以實(shí)現(xiàn)多核，每2個(gè)核實(shí)現(xiàn)鎖步運(yùn)算；

支持千兆以太網(wǎng)，CAN、FlexRay，滿足車內(nèi)高速互聯(lián)需求；

在功能安全達(dá)到ASIL-B/D要求下，同時(shí)支持Security特性，硬件加密，可編程的硬件安全引擎支持公鑰和私鑰加密，防范 IP 失竊和惡意黑客入侵；

支持OTA空中在線升級(jí)特性。

NXP S32K MCU架構(gòu)

這類芯片在應(yīng)用中比起常規(guī)的CPU芯片，需要注意并不是使用了具有鎖步特性的芯片就達(dá)到了對(duì)應(yīng)的安全等級(jí)要求，芯片會(huì)配套一系列完整的芯片安全使用要求需要遵循，一般會(huì)寫在芯片的safety manual中，包括：

操作和使用環(huán)境的約束限制；

防范系統(tǒng)性失效；

系統(tǒng)級(jí)安全功能與芯片安全功能的匹配性，安全狀態(tài)，安全時(shí)序要求，芯片不會(huì)實(shí)現(xiàn)特定的安全功能；

芯片安全診斷措施的正確配置和實(shí)施；

CPU芯片與外部芯片的匹配性，一般會(huì)搭配電源IC、看門狗IC、驅(qū)動(dòng)IC共同實(shí)現(xiàn)安全要求；

common cause（共因）失效的防范。

這些要求都需要應(yīng)用者逐項(xiàng)檢查后將要求加入到系統(tǒng)性的安全設(shè)計(jì)中。

雙核鎖步芯片作為芯片級(jí)功能安全技術(shù)的代表，當(dāng)前的應(yīng)用已非常廣泛，功能安全已不再局限于使用既有硬件元器件實(shí)現(xiàn)，已擴(kuò)展到半導(dǎo)體領(lǐng)域，用于實(shí)現(xiàn)集成度更高、性能更優(yōu)的安全產(chǎn)品，在ISO26262-11 2018中對(duì)半導(dǎo)體技術(shù)在汽車領(lǐng)域的應(yīng)用進(jìn)行了說明，IEC61508、EN50129也有相應(yīng)條款說明了半導(dǎo)體技術(shù)在各自范圍內(nèi)的功能安全要求。

審核編輯：黃飛