使用ARM Cortex-R5解决功能安全应用

随着电子产品在汽车、工业自动化和医疗设备领域变得越来越普遍，容错电子子系统正在成为标准要求。使用具有高容错能力的 Cortex-R 系列处理器设计这些系统可实现以下优势：

提高可靠性

增强的故障检测和覆盖

降低运营成本

功能安全支持正日益成为这些系统的重要组成部分。随着各种功能安全标准的复杂性不断发展，ARM 开发了 Cortex-R5 安全文档包以加快上市时间、简化认证工作并获得更高级别的认证。

支持 ARM Cortex-R 系列功能安全的关键技术

ARM Cortex-R 系列处理器已开发用于需要高可靠性和检测处理器或系统中可能出现的任何错误的应用程序。任何系统中可能发生的故障类型包括导致错误值的硬件故障（例如内存老化或温度引起的应力造成的故障）和随机故障（例如随机辐射撞击到“翻转”位或门的硅甚至造成永久性硬件损坏）。如果系统具有安全隐患，任何故障都可能产生严重后果，则必须针对特定系统以适当的方式检测和处理任何错误。

为了解决这个问题，存在两个关键策略：

内存中的错误检测：附加纠错码 （ECC） 附加到所有内存值，并在使用数据之前进行检查。这实现了单比特错误的自动检测和纠正以及多比特错误的检测（但不纠正）。这需要使用具有额外位的更宽内存来存储 ECC，并用于系统中的所有内存，包括高速缓存和紧密耦合内存 （TCM）。处理器在读取数据时自动检查 ECC 代码，自动纠正单位错误，如果无法纠正，则向系统发出错误信号。在写入内存时，处理器会自动创建 ECC 代码。Cortex-R5 还可以检测将处理器连接到系统的所有总线上的错误。

处理器中的错误检测：辐射可能会击中系统中的任何门，如果这导致错误（不是在内存中，而是在实际逻辑中），那么也必须检测到这一点。双核锁定步骤 （DCLS） 实现了两个具有相同输入的相同处理器，但其中一个会稍微延迟以确保检测到同时影响整个系统的事件，并检查两个处理器的输出是否相同。如果比较的输出不匹配，则系统中一定存在错误，系统会发出错误信号，以便系统采取适当的措施。

这些关键领域与 Cortex-R 系列中的许多其他功能相结合，可以开发出满足许多功能安全标准要求的 SoC 和更广泛的系统。

Cortex-R 系列已被 70 多个合作伙伴采用，其中许多合作伙伴依赖于错误检测功能。这些处理器已在超过 15 亿台设备中出货，其可靠性已在汽车、工业、存储和医疗等许多数据完整性至关重要的市场中得到验证。

然而，仅仅拥有具有这些特性的处理器并不足以满足具有功能安全要求的应用的需求。

ARM 如何支持Cortex-R5的功能安全？

ISO 26262 和 IEC 61508 等功能安全标准需要证据来证明特定的系统或系统组件属性。Cortex-R5 系列处理器的安全文档包旨在简化认证，并帮助 SoC 集成商开发和展示所需的功能安全级别。

在功能安全标准（特别是 ISO 26262）的上下文中，半导体 IP 可以被视为脱离上下文 （SEooC） 的安全元素。对于此类元素，实际用例在设计时不一定是已知的。当然，Cortex-R5 就是这种情况，它可用于大量实时应用程序。安全文档包的设计考虑到了这一点，以允许 SoC 集成商为具有安全要求的特定应用开发产品。

Cortex-R5 安全文档包包含有关 Cortex-R5 产品本身的信息，重点介绍其故障检测和控制机制，例如 DCLS 和带有 ECC 或奇偶校验的内存保护选项。为了便于将 Cortex-R5 集成到与安全相关的设计中，还包括一份 FMEA 报告以及示例故障率分布。

这些信息分为三个文档：Cortex-R5 安全手册、Cortex-R5 FMEA 报告以及描述在集成 Cortex-R5 处理器的项目中功能安全的角色和责任分配的文档。安全手册详细介绍了在处理器设计和验证活动中用于避免和控制系统故障的措施。它还包括检测到故障时处理器行为的详细信息。FMEA 报告包括对设计的详细分析，可作为系统级安全概念定义和后续分析的起点。

这些信息有助于 SoC 集成商为其产品创建所需的安全文档，从而缩短产品上市时间。该信息还可用于支持集成 Cortex-R5 处理器的 SoC 产品的功能安全评估活动。

ARM 仅将这些信息提供给 SoC 集成商。因此，如果您是针对安全相关设计的系统或软件开发人员，则需要参考 SoC 供应商提供的任何安全文档。造成这种情况的关键原因是 Cortex-R5 具有高度可配置性，不同的配置选项可能会对处理器故障行为产生影响。由于 Cortex-R5 的 ARM 安全手册描述了所有这些配置选项，我们希望确保系统和软件开发人员可用的任何安全文档正确反映您选择的 SoC 实现的实际功能集。

值得记住的是，作为 Cortex-R5 安全文档包的补充，ARM 编译器工具链还获得了公认的安全行业专家 T?V S?D 的认证。T?V 证书和随附报告确认 ARM Compiler 5.04 满足安全相关应用程序开发工具的要求。这使您能够使用ARM 编译器 5.04 进行安全相关的开发，达到 SIL 3 （IEC 61508） 或 ASIL D （ISO 26262），无需进一步的认证活动，只要遵循认证套件中记录的建议和条件。

审核编辑：郭婷