使用ARM Cortex-R5解決功能安全應(yīng)用

隨著電子產(chǎn)品在汽車、工業(yè)自動(dòng)化和醫(yī)療設(shè)備領(lǐng)域變得越來越普遍，容錯(cuò)電子子系統(tǒng)正在成為標(biāo)準(zhǔn)要求。使用具有高容錯(cuò)能力的 Cortex-R 系列處理器設(shè)計(jì)這些系統(tǒng)可實(shí)現(xiàn)以下優(yōu)勢(shì)：

提高可靠性

增強(qiáng)的故障檢測(cè)和覆蓋

降低運(yùn)營(yíng)成本

功能安全支持正日益成為這些系統(tǒng)的重要組成部分。隨著各種功能安全標(biāo)準(zhǔn)的復(fù)雜性不斷發(fā)展，ARM 開發(fā)了 Cortex-R5 安全文檔包以加快上市時(shí)間、簡(jiǎn)化認(rèn)證工作并獲得更高級(jí)別的認(rèn)證。

支持 ARM Cortex-R 系列功能安全的關(guān)鍵技術(shù)

ARM Cortex-R 系列處理器已開發(fā)用于需要高可靠性和檢測(cè)處理器或系統(tǒng)中可能出現(xiàn)的任何錯(cuò)誤的應(yīng)用程序。任何系統(tǒng)中可能發(fā)生的故障類型包括導(dǎo)致錯(cuò)誤值的硬件故障（例如內(nèi)存老化或溫度引起的應(yīng)力造成的故障）和隨機(jī)故障（例如隨機(jī)輻射撞擊到“翻轉(zhuǎn)”位或門的硅甚至造成永久性硬件損壞）。如果系統(tǒng)具有安全隱患，任何故障都可能產(chǎn)生嚴(yán)重后果，則必須針對(duì)特定系統(tǒng)以適當(dāng)?shù)姆绞綑z測(cè)和處理任何錯(cuò)誤。

為了解決這個(gè)問題，存在兩個(gè)關(guān)鍵策略：

內(nèi)存中的錯(cuò)誤檢測(cè)：附加糾錯(cuò)碼 （ECC） 附加到所有內(nèi)存值，并在使用數(shù)據(jù)之前進(jìn)行檢查。這實(shí)現(xiàn)了單比特錯(cuò)誤的自動(dòng)檢測(cè)和糾正以及多比特錯(cuò)誤的檢測(cè)（但不糾正）。這需要使用具有額外位的更寬內(nèi)存來存儲(chǔ) ECC，并用于系統(tǒng)中的所有內(nèi)存，包括高速緩存和緊密耦合內(nèi)存 （TCM）。處理器在讀取數(shù)據(jù)時(shí)自動(dòng)檢查 ECC 代碼，自動(dòng)糾正單位錯(cuò)誤，如果無法糾正，則向系統(tǒng)發(fā)出錯(cuò)誤信號(hào)。在寫入內(nèi)存時(shí)，處理器會(huì)自動(dòng)創(chuàng)建 ECC 代碼。Cortex-R5 還可以檢測(cè)將處理器連接到系統(tǒng)的所有總線上的錯(cuò)誤。

處理器中的錯(cuò)誤檢測(cè)：輻射可能會(huì)擊中系統(tǒng)中的任何門，如果這導(dǎo)致錯(cuò)誤（不是在內(nèi)存中，而是在實(shí)際邏輯中），那么也必須檢測(cè)到這一點(diǎn)。雙核鎖定步驟 （DCLS） 實(shí)現(xiàn)了兩個(gè)具有相同輸入的相同處理器，但其中一個(gè)會(huì)稍微延遲以確保檢測(cè)到同時(shí)影響整個(gè)系統(tǒng)的事件，并檢查兩個(gè)處理器的輸出是否相同。如果比較的輸出不匹配，則系統(tǒng)中一定存在錯(cuò)誤，系統(tǒng)會(huì)發(fā)出錯(cuò)誤信號(hào)，以便系統(tǒng)采取適當(dāng)?shù)拇胧?/p>

這些關(guān)鍵領(lǐng)域與 Cortex-R 系列中的許多其他功能相結(jié)合，可以開發(fā)出滿足許多功能安全標(biāo)準(zhǔn)要求的 SoC 和更廣泛的系統(tǒng)。

Cortex-R 系列已被 70 多個(gè)合作伙伴采用，其中許多合作伙伴依賴于錯(cuò)誤檢測(cè)功能。這些處理器已在超過 15 億臺(tái)設(shè)備中出貨，其可靠性已在汽車、工業(yè)、存儲(chǔ)和醫(yī)療等許多數(shù)據(jù)完整性至關(guān)重要的市場(chǎng)中得到驗(yàn)證。

然而，僅僅擁有具有這些特性的處理器并不足以滿足具有功能安全要求的應(yīng)用的需求。

ARM 如何支持Cortex-R5的功能安全？

ISO 26262 和 IEC 61508 等功能安全標(biāo)準(zhǔn)需要證據(jù)來證明特定的系統(tǒng)或系統(tǒng)組件屬性。Cortex-R5 系列處理器的安全文檔包旨在簡(jiǎn)化認(rèn)證，并幫助 SoC 集成商開發(fā)和展示所需的功能安全級(jí)別。

在功能安全標(biāo)準(zhǔn)（特別是 ISO 26262）的上下文中，半導(dǎo)體 IP 可以被視為脫離上下文 （SEooC） 的安全元素。對(duì)于此類元素，實(shí)際用例在設(shè)計(jì)時(shí)不一定是已知的。當(dāng)然，Cortex-R5 就是這種情況，它可用于大量實(shí)時(shí)應(yīng)用程序。安全文檔包的設(shè)計(jì)考慮到了這一點(diǎn)，以允許 SoC 集成商為具有安全要求的特定應(yīng)用開發(fā)產(chǎn)品。

Cortex-R5 安全文檔包包含有關(guān) Cortex-R5 產(chǎn)品本身的信息，重點(diǎn)介紹其故障檢測(cè)和控制機(jī)制，例如 DCLS 和帶有 ECC 或奇偶校驗(yàn)的內(nèi)存保護(hù)選項(xiàng)。為了便于將 Cortex-R5 集成到與安全相關(guān)的設(shè)計(jì)中，還包括一份 FMEA 報(bào)告以及示例故障率分布。

這些信息分為三個(gè)文檔：Cortex-R5 安全手冊(cè)、Cortex-R5 FMEA 報(bào)告以及描述在集成 Cortex-R5 處理器的項(xiàng)目中功能安全的角色和責(zé)任分配的文檔。安全手冊(cè)詳細(xì)介紹了在處理器設(shè)計(jì)和驗(yàn)證活動(dòng)中用于避免和控制系統(tǒng)故障的措施。它還包括檢測(cè)到故障時(shí)處理器行為的詳細(xì)信息。FMEA 報(bào)告包括對(duì)設(shè)計(jì)的詳細(xì)分析，可作為系統(tǒng)級(jí)安全概念定義和后續(xù)分析的起點(diǎn)。

這些信息有助于 SoC 集成商為其產(chǎn)品創(chuàng)建所需的安全文檔，從而縮短產(chǎn)品上市時(shí)間。該信息還可用于支持集成 Cortex-R5 處理器的 SoC 產(chǎn)品的功能安全評(píng)估活動(dòng)。

ARM 僅將這些信息提供給 SoC 集成商。因此，如果您是針對(duì)安全相關(guān)設(shè)計(jì)的系統(tǒng)或軟件開發(fā)人員，則需要參考 SoC 供應(yīng)商提供的任何安全文檔。造成這種情況的關(guān)鍵原因是 Cortex-R5 具有高度可配置性，不同的配置選項(xiàng)可能會(huì)對(duì)處理器故障行為產(chǎn)生影響。由于 Cortex-R5 的 ARM 安全手冊(cè)描述了所有這些配置選項(xiàng)，我們希望確保系統(tǒng)和軟件開發(fā)人員可用的任何安全文檔正確反映您選擇的 SoC 實(shí)現(xiàn)的實(shí)際功能集。

值得記住的是，作為 Cortex-R5 安全文檔包的補(bǔ)充，ARM 編譯器工具鏈還獲得了公認(rèn)的安全行業(yè)專家 TüV SüD 的認(rèn)證。TüV 證書和隨附報(bào)告確認(rèn) ARM Compiler 5.04 滿足安全相關(guān)應(yīng)用程序開發(fā)工具的要求。這使您能夠使用ARM 編譯器 5.04 進(jìn)行安全相關(guān)的開發(fā)，達(dá)到 SIL 3 （IEC 61508） 或 ASIL D （ISO 26262），無需進(jìn)一步的認(rèn)證活動(dòng)，只要遵循認(rèn)證套件中記錄的建議和條件。

審核編輯：郭婷