第43 期 - Xilinx

发生。任何对非安全引脚的访问都不会
破坏安全引脚的状态,因为安全引脚只
受安全相关代码的管理。这种构思的具
体描述见图 4。
另外,还能够根据应用或处理该应
用的软件组件的需求定制每个 GPIO 端
口的大小,从而避免将 GPIO 端口转换
为不同应用共享的物理资源,如MCU
端口的情况。用这种方法,FPGA中每
一个由不同软件组件(比如车窗升降
器、雨刷、外后视镜等)管理的应用都
能够将自己特定的端口映射到系统存储
映射中特定的寄存器。这在 MCU 平台
上无法做到,因为 MCU的端口有固定
尺寸(一般为8、16 或 32 位宽)且按
字长寻址,而非按位寻址。因此在采用
MCU 的情况下,这种控制寄存器在程
序执行的时候变成了有多个 SWC 访问
的共享资源。
这种基于冗余的安全策略是选择可编程逻辑的
又一理由,因为可编程逻辑能够在同一器件中
我们可以把用于 GPIO 控制器的策
略 扩 展 用 于 其 它 标 准 外 设 。 这 样
AUTOSAR 借助 SWC 概念在顶层提倡的
功能分区和隔离思路也可以在可编程硬件
的帮助下推广运用到较低层的资源上。这
种技术如果采用基于标准 MCU 器件的
静态硬件解决方案是无法实现的。
我们上文介绍的用于 MCU 标准外
设的隔离策略也可以用于安全功能的各
多次例化多个相同、独立的处理引擎。
个通道或数据路径。这一特性尤其适用
于按 ISO 26262 标准的 ASIL 分级组织
的精细分类安全目标(见侧边栏)。此
项功能可用于将各个通道或者数据路径
分解成较低 ASIL 级别的冗余分区,这
样每一个通道或路径都以冗余方式运
行,后续根据各自的新级别予以实现。
这种基于冗余的安全策略是选择可编程
逻辑的又一理由,因为可编程逻辑能够
在同一器件中多次例化多个相同、独立
的处理引擎。另外,满足某个 ASIL 级
别的要求用架构方法(硬件)往往比用
抽象软件能够更轻松明晰地证明,特别
是像抗干扰这样的功能。C 编程语言中
的栈溢出或是数据指针处理不当可能会
给系统带来出乎意料的安全性问题。
可编程逻辑的灵活性及其对功能安
全的适用性还带来另一项设计优势,就
是可以采用三模冗余 (TMR) 策略。这
是航空航天应用中用于缓解单粒子翻转
(SEU) 风险的常见方法。这种缓解方案
由三个相同逻辑电路构成,并行执行相
同的任务,对应的输出由一个多数表决
电路进行比较。采用硬件实现这种策略
效率很高。
另外,在这个高度关注成本和功耗
的市场上,赛灵思 Zynq-7000 EPP等
一些可编程逻辑器件能够支持多项降低
系统总体功耗的功能,其中的部分功能
是从 MCU 继承而来。像处理系统的仅
加电模式、休眠模式和外设独立时钟域
这样的功能能够大幅降低器件待机期间
的动态功耗。
某些可编程逻辑器件在结构中配备
有硬核处理器,便于设计人员第一步先
用软件开发整个系统功能,就像他们寻
常在 MCU 平台上所做的一样,随后逐
步地在设计中增加硬件,将部分设计移
植到可编程逻辑资源。这种方法能够让
设计人员为解决方案开发出不同的版
本,而且与纯软件方法相比,能够实现
在定制硬件中综合部分功能的优势。
在运行时可重配置硬件上进行
ECU 设计
汽 车 应 用 领 域 的 出 色 表 现
在探讨完毕借助可编程逻辑在静态
硬件和软件上实现 ECU 的优势后,我
们接下来探讨采用基于 SRAM 并具备
运行时部分可重配置功能的 FPGA 设
计 ECU。部分可重配置技术能够为汽
车设计人员提供更多优势。
事实上,其中的一大优势是如果
FPGA 包含有不必在启动时(如在
ECU 唤醒或加电)配置的部分可重配
置区域,可以缩短系统启动时间。不支
持动态部分可重配置的 FPGA 在加电
2012 年第 1 季度 21