基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准（四）

　用户可以将在 MCU 和 BSW 层中综合的外设和硬件协处理器设置成高智能化水平，以释放 CPU 时间，从而简化车载 ECU 的软件。

　　随着 ECU 平台日趋复杂化，系统所需的 I/O 线路数也在不断增加。在这方面 FPGA 较微控制器有明显的优势，因为 FPGA一般能够提供多得多的用户引脚数。这一点一般与基于 MCU 的 ECU 有关，因为这种 ECU 需要采用执行并-串数据转换的外部芯片（比如数字移位寄存器或模拟多路复用器）来扩展 ECU 的输入和输出。采用 FPGA 可以绕开这些外部组件，进而缩减材料清单成本以及电子开发板的 PCB尺寸。

　　先进的 FPGA 器件已经集成有模数转换器。这个特性对汽车设计意义重大，因为许多 ECU使用模拟信号（比如电池电压）来实现所需的部分功能。在可编程逻辑器件中集成模数转换器为 FPGA 开辟了新的应用领域。

　　与 MCU 类似，FPGA 也提供远程更新功能。但在这里需要提醒的是，下载到 FPGA 中的位流不仅涉及到软件代码，而且与硬件电路也息息相关。这意味着就算产品已经进入量产阶段，仍然可以通过系统更新或升级来修改硬件设计。汽车产业非常欣赏这种灵活性，因为它能够在产品发布后修改缺陷（软/硬件均可）。

　　在任何嵌入有符合 ISO 26262安全相关要求的功能的 ECU 中，涉及该实现方案的软硬件必须根据其分类满足一定程度的保护要求。从软件的角度讲，它必须体现出抗干扰能力，即运行在 ECU 中的非安全相关代码一定不能危及同一 ECU 中安全相关类的代码的运行。这种隔离是保证安全相关功能与非安全相关功能在同一处理器上正确并行运行所必须的。一般来说，在可编程逻辑中管理这些指标比在 MCU 中具有更大的灵活性。

　　对于面向功能安全的存储器保护策略，有必要确保只能授权的安全软件组件有权对特定安全相关信号进行写入存取。在 MCU 器件环境中，存储器分区提供了一种故障约束机制，能够将软件应用彼此分离，避免其间发生数据错误。可编程逻辑很有可能实现一种更有效的自我保护机制。可编程逻辑可以通过专用的单个双端口存储器来管理与安全信号相关的 RTE 缓存，这样数据从写端口写入，从读端口读取。采用这种方法，可以采用专用的硬件控制器给写入或读取这些来自软件侧的信号设置不同的约束条件。这种方法也可以采用寄存器来实现。

　　能够在 ECU 系统中导入定制硬件解决方案是 FPGA 的一大优势，特别是对安全相关的功能而言。具体而言，对 I/O 引脚和 GPIO 控制器，在安全功能中涉及的引脚布局可以组合成定制的 I/O 端口，仅供 ECU 中的安全组件访问，与器件的其余引脚分离。这是将系统的安全相关引脚与非安全相关引脚分开的理想办法，从设计上避免了干扰的发生。任何对非安全引脚的访问都不会破坏安全引脚的状态，因为安全引脚只受安全相关代码的管理。这种构思的具体描述见图 4。

　　
图4 软/硬件联合设计的安全架构，可将安全相关端口和非安全相关端口隔离开来，以保证无干扰

　　另外，还能够根据应用或处理该应用的软件组件的需求定制每个 GPIO 端口的大小，从而避免将 GPIO 端口转换为不同应用共享的物理资源，如MCU端口的情况。用这种方法，FPGA中每一个由不同软件组件（比如车窗升降器、雨刷、外后视镜等）管理的应用都能够将自己特定的端口映射到系统存储映射中特定的寄存器。这在 MCU 平台上无法做到，因为 MCU的端口有固定尺寸（一般为8、16 或 32 位宽）且按字长寻址，而非按位寻址。因此在采用 MCU 的情况下，这种控制寄存器在程序执行的时候变成了有多个 SWC 访问的共享资源。

　　我们可以把用于 GPIO 控制器的策略扩展用于其它标准外设。这样 AUTOSAR 借助 SWC 概念在顶层提倡的功能分区和隔离思路也可以在可编程硬件的帮助下推广运用到较低层的资源上。这种技术如果采用基于标准 MCU 器件的静态硬件解决方案是无法实现的。

　　我们上文介绍的用于 MCU 标准外设的隔离策略也可以用于安全功能的各个通道或数据路径。这一特性尤其适用于按 ISO 26262 标准的 ASIL 分级组织的精细分类安全目标（见侧边栏）。此项功能可用于将各个通道或者数据路径分解成较低 ASIL 级别的冗余分区，这样每一个通道或路径都以冗余方式运行，后续根据各自的新级别予以实现。这种基于冗余的安全策略是选择可编程逻辑的又一理由，因为可编程逻辑能够在同一器件中多次例化多个相同、独立的处理引擎。另外，满足某个 ASIL 级别的要求用架构方法（硬件）往往比用抽象软件能够更轻松明晰地证明，特别是像抗干扰这样的功能。C 编程语言中的栈溢出或是数据指针处理不当可能会给系统带来出乎意料的安全性问题。

　　这种基于冗余的安全策略是选择可编程逻辑的又一理由，因为可编程逻辑能够在同一器件中多次例化多个相同、独立的处理引擎。

　　可编程逻辑的灵活性及其对功能安全的适用性还带来另一项设计优势，就是可以采用三模冗

　　余 （TMR） 策略。这是航空航天应用中用于缓解单粒子翻转 （SEU） 风险的常见方法。这种缓解方案由三个相同逻辑电路构成，并行执行相同的任务，对应的输出由一个多数表决电路进行比较。采用硬件实现这种策略效率很高。

　　另外，在这个高度关注成本和功耗的市场上，赛灵思 Zynq-7000 EPP等一些可编程逻辑器件能够支持多项降低系统总体功耗的功能，其中的部分功能是从 MCU 继承而来。像处理系统的仅加电模式、休眠模式和外设独立时钟域这样的功能能够大幅降低器件待机期间的动态功耗。

　　某些可编程逻辑器件在结构中配备有硬核处理器，便于设计人员第一步先用软件开发整个系统功能，就像他们寻常在 MCU 平台上所做的一样，随后逐步地在设计中增加硬件，将部分设计移植到可编程逻辑资源。这种方法能够让设计人员为解决方案开发出不同的版本，而且与纯软件方法相比，能够实现在定制硬件中综合部分功能的优势。

　　在运行时可重配置硬件上进行 ECU 设计

　　在探讨完毕借助可编程逻辑在静态硬件和软件上实现 ECU 的优势后，我们接下来探讨采用基于 SRAM 并具备运行时部分可重配置功能的 FPGA 设计 ECU。部分可重配置技术能够为汽车设计人员提供更多优势。

　　事实上，其中的一大优势是如果 FPGA 包含有不必在启动时（如在 ECU 唤醒或加电）配置的部分可重配置区域，可以缩短系统启动时间。不支持动态部分可重配置的 FPGA在加电时需要配置所有的 FPGA 资源，但运行时可重配置 FPGA 只需下载部分位流进行部分重配置。

　　由于当今先进的 FPGA 器件具有巨大的容量，故在加电时下载完整的位流会引起可观的配置时间开销。运行时部分可重配置技术能够显著地缩短这种配置时延。在那种情况下，有可能在加电时只配置一个最起码的子系统（即引导载入程序和立即需要的部分系统应用），让系统其余部分保持待机状态，直到有必要初始化为止。如果系统在加电或唤醒时需要快速响应，可将这种启动工作划分为两个阶段，以加快初始化过程。为此，可将系统架构分解为一个静态域和一个或者多个部分可重配置域 （PRR）。静态域涵盖负责执行启动过程的系统（一般来说是主机 CPU），以及可重配置引擎和通往位流库的数据链路。由特定部分位流描述的其他域可按应用需求，随后下载。

　　另外，如果禁用 PRR 域，则可以让器件的功耗与禁用区域部分成比例降低。在使用汽车电池供电的 ECU 中，节能模式尤为重要。为此，在车辆未使用时（即处于休眠模式时），车载 ECU 可使用低功耗模式，以让 ECU 功耗保持最低。同样，可以在不需要的时候使用空白位流禁用 FPGA 的部分区域，减少逻辑活动，从而降低动态功耗。

　　在采用运行时可重配置逻辑的系统中，汽车设计人员还可使用一种从航空航天应用中借鉴来的重配置技术。重配置（configuration scrubbing） 可以将系统从因单粒子翻转 （SEU）和电磁干扰造成的 SRAM 故障中恢复过来。定期重新配置硬件外设可保证系统在出现故障时自我修复。另外，这样也可以将故障的最大时长限制在重配置时间间隔内。这种技术也通常运用在软件中，作为一种常见的抗干扰保护措施，例如 MCU 外设的定期重配置。

　　另一项运行时部分重配置技术的灵活性带来的有前景的功能是在 FPGA 资源的某个特定二维位置出现永久性或不可修复的电路故障，比如影响到特定逻辑单元或 RAM 模块时，可通过功能重定位实现故障修复。一旦发现有硬件或软件故障出现，可以在运行中将所需的功能自动重定位到同一 ECU 中的可编程逻辑器件的其他部分。虽然这个构思是可行的，但这项功能还没有得到当今的自动化工具的完全支持。

　　适用于汽车产业的运行时可重配置计算技术最强大的特性无疑是共享的硬件资源上功能的实时时分复用。可以对由 ECU 中的相同计算资源处理的功能性应用进行时间共享，如果应用间相互独立（例如，当车辆向前直行驶时使用行车道偏离预警功能，倒车时，则切换到后视摄像头视图或停车辅助应用）。这种设计思路可以帮助降低此类嵌入式系统的成本和复杂性，释放空间，减轻车身重量。

　　这种设计思路还可用于实现特定算法在不断变化的环境条件或者外部条件中的自适应性。例如，给定的引擎控制算法可通过部分可重配置自主调整部分硬件模块，以在任何运行温度下或电池电压下实现理想的运行。同样的理念对通信系统也适用，比如可以设计某种加密控制器，能够在运行中运用特定的参数函数制定专门的安全等级。另如，可以设计某种 ECC 加密器/解密器 IP，用于在高噪声通信信道中检测和修改数据传输错误，能够根据感应到的信噪比动态适应其硬件架构。