走进多核单片机(二)功能安全和锁步核

cengjili

1 锁步核的概念
在汽车电子中，不得不提的一个话题就是功能安全。在功能安全中提到了为了尽快的通过逐步比较内部或者外部的结果来检测处理单元的错误，采用如双核锁步等的硬件冗余机制。


主要实现是通过一个影子核(shadow/checker)执行和主核一样的动作，然后将两个核的结果进行比较，对于TC397来说，如果两个核的执行结果不一致，将错误状态上报给安全管理单元(SafetyManagement Unit，SMU),如下图所示。


2 锁步核的具体实现

2.1 锁步监控



Node Comparator

在上图示例中，比较器比较的信号是从同一个节点出来分别流经主核和影子核的a和b。在实际设计中，为了减少共模干扰的风险，采取将主核信号a进行反转得到x，待检测信号经过延迟后得到b，然后不进行反转即y=b。此时比较器比较x(反转后需要延迟这样可以和影子核形成同步)和y，如果比较结果有问题就输出给SMU。

2.2 锁步自测
每个使能了锁步功能的核都会在后台进行持续的锁步器自测以保证当真正出现问题时，锁步监控可以正确的检测出来。


锁步自测的原理如上图所示。每8192个时钟周期通过Fault Gen模块来产生故障注入。在故障注入时，比较单元会产生一个故障。但是当进行故障注入时，真正的错误产生了，这个时候比较单元就不会产生故障。这个时候就会把错误上报给SMU。
3 寄存器配置
我们在<< 单片机启动分析(下)多核单片机的启动 >>一文中介绍了TC397在启动时会根据配置的选项进行锁步核的配置。TC397有4核CPU0~CPU3可以通过UCB中的BMHD(Boot Mode Header)的LSENAx(Lockstep monitoring control by SSW for CPUx,x=0~3)来使能锁步核。