Hercules产品线采用基于安全岛的思想,重点保护CPU等核心单元,通过硬件诊断机制确保MCU安全性。双核锁步技术用于CPU故障检测,两个相同CPU同步运行,输出比较若不一致则诊断出故障,这种方法能快速检测错误、覆盖多种故障类型,且对系统性能影响小,易于集成到现有应用中,提高诊断覆盖率。
Hercules 整个产品线安全理念是基于“安全岛”的思想展开的,对于 MCU内部共享的重要单元采取硬件诊断机制进行重点保护,比如CPU,VIM等。利用这些已经确认的安全岛对芯片上的其它部分进行诊断,从而覆盖至整个 MCU 的安全诊断。
上图红色部分即所说的由硬件完成诊断的安全岛,蓝色区域是基于安全岛概念,由硬件、软件混合完成诊断的模块。黑色部分为非关键性区域,不会进行任何诊断。
需要硬件来实现诊断机制的单元中,最重要的就是CPU,那如何才能判断出CPU故障尤其是在运行中发生了随机失效呢?下图为CPU实现系统框图,基本原理就是两个逻辑相同的CPU模块同步运行,在输入相同时输出也是相同的,如果其中一个或两个发生了故障(如在高能辐射下某寄存器值出现了位翻转)则会造成两者输出不一致,通过输出比较模块就能诊断出CPU运行失效。此即Hercules双核锁步实现机制。
双核锁步实现的具体要点:
- CPU 配有专门的硬件自检模块,只需要很少的软件开销就可以完成 CPU 的自检。
- CPU比较模块(CCM) 会逐周期对输出指令进行比对,一旦不一致立即报告错误。
- 两个CPU 呈镜像且旋转90度的方式放置,并且保证间距大于 100 微米,从空间上避免了共模失效;
- 两个 CPU 在分别在运算之前和之后有两个周期的延时,从时间上避免了共模失效。
- 每个 CPU 都有独立的保护环,可以有效减少共因失效的可能性。
与用软件或多核方式相比,采用双核锁步架构优势在于:
- 具有更快地错误检测速度,只需要两三个周期就可以检测到系统出错;
- 具有更高的错误覆盖率,可以检测的故障覆盖硬件、瞬态、持续等各种错误类型;
- 诊断功能工作时对性能的影响非常低,甚至没有任何影响,不需要额外的软件开销,对存储空间没有影响,而且几乎不占用 Flash 和 RAM 空间;
- 对于原有的设计,用户不需要额外的软件开发工作,易于集成到现有的应用中,从而缩短产品开发的周期;
- 诊断覆盖率可控,用户不需要担心软件的校验是否已经足够保证 CPU 的安全性,而可以将时间用来更多地开发自己的应用程序。
扫一扫
7192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
