电子产品世界

 

　　如图4所示，如果发生振荡器时钟丢失事件或被监控时钟发生低频/高频事件，CMU 会向重置和FCCU模块提供信号。 只有当一段时间内FCCU未反应的情况下，才激活重置模块路径。因此，重置和FCCU的信号路径在MCU内组成了冗余故障指示路径，以确保FCCU的故障无法阻止所有的故障报告。FCCU 模块的配置决定事件是否会造成中断或重置。

　　电源管理控制器

　　Qorivva MCU 提供的 PMC 采用电压监控电路和 BIST。有两种电压监控器，即低压检测 (LVD) 和高压检测 (HVD) 监控器。所有与安全相关的电压都受到内部监控，防止电压超出这些范围。

　　PMC 中实施的 BIST 在启动时或通过软件检测 PMC 中关键的带隙电压/其他功能。

　　由于安全相关电压故障可能导致MCU故障指示机制(例如 FCCU和错误输出板)在反应前关闭，其电压错误指示将直接导致设备跳变到故障安全状态(执行重置)，而无需FCCU干预。　　

 

　　飞思卡尔 SafeAssure 计划

　　飞思卡尔SafeAssure功能安全计划旨在帮助系统制造商更轻松符合国际标准组织(ISO)26262和国际电工委员会(IEC)61508功能安全标准。 该计划强调飞思卡尔解决方案(硬件和软件)，优化了设计，支持功能安全实施，同时集成了丰富的支持。飞思卡尔方案包含四个支持领域，可使客户大大减少产品上市周期。这四个领域如下所示。

　　1)安全硬件：上述各节所讨论的在硬件中部署的各种主要功能安全特性是 SafeAssure 计划的一大要素。
　　2)安全支持：该部分确保提供完整的文档支持，包括产品的安全应用说明、安全手册和 FMEA/FMEDA 分析。除了提供支持以外，飞思卡尔还为系统开发人员提供了一个选项，可与区域安全专家密切合作以加快其开发工作。
　　3)安全软件：对安全产品的软件支持包括驱动程序开发、移植操作系统和自检软件，确保器件在其整个生命周期内都正常运行。
　　4)安全流程：飞思卡尔内部随后的流程确保从要求管理到设计实施的安全遵从，以及在验证/确认/生产阶段的功能覆盖。通过保持全面的可追溯性矩阵来实现，并构成“SafeAssure”计划的第四个要素。

　　这四个方面对于系统开发人员保证顺利进行产品功能安全合规认证来说至关重要。

　　总结

　　设备实施功能安全特性需要 MCU 提供冗余，可能增加功耗和芯片尺寸。但是，如果与强大的硬件系统连接(MCU能够提供故障安全、故障静音或故障指示状态)，带来的好处非常多，尤其在减少软件复杂性方面。本文讨论了飞思卡尔 Qorivva MCU 所实施的各种安全设计。 在器件中实施这些安全特性是飞思卡尔 SafeAssure 计划的四大要素之一，使客户的应用能够符合 ASIL/SILx 。

　　参考文献：

　　[1]Chalupa L.新一代汽车电机控制：趋势与解决方案
　　[2]Freescale.MPC574x 参考手册
　　[3]飞思卡尔SafeAssure计划[R/OL].www.freescale.com/safeassure

关键词： 飞思卡尔 MCU 微控制器 FCCU 201303