介绍很多汽车的ECU，提到采用符合功能安全的MCU，那么，什么叫做功能安全的MCU呢？今天，借着NXP针对其S32K功能安全的介绍，做个分享

NXP针对功能安全产品的开发其实非常早，其实很多人也许有疑问，为什么现在感觉Infineon似乎更加领先？

其实NXP的汽车MCU研发团队，很重要的组成来自其收购的FreeScale，如下的MPC5643L是FreeScale的产品，2011就是90nm的，FreeScale在被NXP收购前，为了报表好看，在车规芯片这种重投入，长回报周期的投入上做了限制；

汽车功能安全的评定，是基于ISO26262标准的失效率的打分，不同失效诊断率对应不同的级别(ASIL A/B/C/D)

那么，整个功能安全的产品开发周期是如何的？

功能安全的产品，重要的理念之一就是：安全是从设计阶段进行保障的； 因此在产品概念阶段，就会针对Quality Model以及Automotive Security Integration Level进行分析；

从概念阶段进入定义阶段后，会做详细的失效分析及失效影响，失效的应对；之后就开始从系统架构层面以及设计层面，降低失效，识别失效，降低发生失效的影响；

功能安全的设计，需要从MCU的硬件，软件包，客户应用程序及系统硬件(比如外部的安全SBC芯片)

针对S32K3的硬件安全机制，包括如图：

• 首先是多核互锁：多个Cortex-M7 CPU在芯片内部旋转后，基于相同的输入进行计算，如果结果一致，再执行；

• 中断响应监控：如果关键中断在限定时间内未被响应，中断监控单元将进行提示

• 存储保护单元：针对存储单元(Flash/RAM)进行访问权限控制，针对关键的寄存器进行保护，比如寄存器多重备份，检查其一致性

• 程序运行监控器：主要就是不同类型的看门狗，防止系统跑飞

• 数据完整性校验：针对存储单元(Flash/RAM/TCM/Cache)等进行数据完整性的错误检测及纠正，针对数据传输链路进行端到端的数据完整性的监控；

• 时钟监控：检测时钟及PLL的失效，并进行告警

• 电源监控：包括不同工作模式下的低压监测及高压监测等；

• 温度监控：通过片内ADC采集片内的温度传感器，防止芯片过热导致的失效

• 系统自检：包括针对不同的单元的自检，包括Core，Memory，RAM，关键IP等；

• 故障管理：包括故障注入（配合系统自检，看能不能检查出来），故障监测及故障上报

  
  

• SAF(Safety Software Framework)，安全软件框架，作用是为符合 ISO 26262 功能安全标准的用户安全应用建立安全基础，软件获取需要付费。

• SPD(Safety Peripheral Drivers)，安全外设驱动，是SAF中的一部分，可在NXP官网免费下载。

• SCST(Structural Core Self-Test）Library，结构内核自测库，作用是在运行时检测MCU内核永久性硬件故障。软件获取需要付费（非针对互锁核）

• 检查硬件安全机制,即潜在故障检测；
• 内部自检管理和调度，提供高可用性；
• 支持引导到正常或降级模式；
• 确保设备正确设置,能够启动安全功能；
• 处理和反应检测到的故障；
• 支持局部和全局恢复策略。

SAF实现上述功能的软件主要包括如下模块

转自 立功科技

SAF组件在引导、运行和故障恢复期间都会涉及，其在SAF运转流程如图3所示。组件之间交换数据使系统在给定的应用程序状态下执行正确的测量和响应。