Yolanda指出：“硬件安全的理念主要通過檢測和消除隨機硬件故障，利用內置的安全機制，包括自檢、監測和基于硬件的冗余設計來實現。”廠商可以充分利用在飛思卡爾微控制器、電源管理IC和傳感器中內置的功能安全機制實現有效的故障控制，從而實現目標市場對功能安全設計的要求。

　　功能安全設計需要針對可能出現功能失效進行預測，包括單點失效、潛在失效和共因失效。按照ISO 26262的最高等級ASIL D的要求，所設計的系統要能檢測出大于99%的單點失效率，潛在失效檢測要超過90%。例如，如果一個系統的每小時失效率低于10-8，則落到單片機的每小時失效率必須低于10-9。“在我們的單片機設計過程中更嚴格，錯誤概率更小。”Yolanda表示，“MPC5643L就是飛思卡爾針對功能安全推出的一款單片機產品，這款產品的設計體現了功能安全的設計理念。”

　　冗余設計是有效提高系統失效安全的有效措施之一，MPC5643L中充分利用了冗余設計確保嚴格的功能安全標準要求。MPC5643L采用了雙e200Core內核鎖步(lockstep)工作模式，一個內核工作的同時另一個內核進行監測。此外，MPC5643L還對主要的模塊如看門狗定時器、內存相關控制單元、總線及外設都進行了冗余。而且，為了防止單點失效，MPC5643L內置的閃存還具有自動糾錯功能。

　　通常，很多系統開始都能正常工作，但是過了幾年之后，因為外部一些因素觸發而可能產生一些失效故障，這就是潛在失效的概念，功能安全設計需考慮潛在失效。“過去潛在失效的防范都是由軟件實現，軟件每一次在單片機復位以后都會對所有的內存或者是邏輯進行一次校驗。而在MPC5643L中，將校驗功能由硬件實現，即內置自測，這是功能安全對單片機非常重要的要求，這種自測功能可以把內存或者是邏輯以及外設的一些錯誤檢測覆蓋率達到90%以上。”Yolanda指出。

　　除此之外還需要考慮共因失效。“共因失效是什么呢?比如說時鐘，它會提供給很多模塊，還有電壓也會提供給整個的單片機。此外，溫度也是重要考慮的問題，如果一旦芯片溫度過高，也可能導致芯片失效。”Yolanda解釋了共因失效的定義，“這些共因失效都需要檢測，MPC5643L對時鐘、電壓以及溫度都有檢測。”從成本考慮以及應用環境的原因，通常的應用中單片機并不具有溫度傳感器這些考慮共因失效的功能特性。

　　除此之外，MPC5643L內部還集成了一個獨立于CPU的錯誤收集和應對模塊(FCCU)，該模塊在時鐘上也跟CPU獨立開，可以完全獨立操作，把這些錯誤收集起來并做相應的應對措施。這個功能模塊也是傳統單片機所不具備的。

　　圖4：功能安全處理器MPC5643L充分利用了硬件冗余設計等多種失效保障機制。

　　本文小結

　　據Yolanda指出，目前基于功能安全的安全性預測在歐美和日本等發達市場已經發展得非常成熟，很多相關的產品即將推入市場，而在中國國內才剛剛開始起步。高級駕駛員輔助系統作為安全性預測的標志性應用，目前已經進入很多高端汽車的研發流程。以飛思卡爾公司為例，對高級駕駛員輔助系統提供了全部整套的解決方案，包括后視的停車輔助、全景輔助、前景安全性預測(車道偏離預警、自動巡航系統，等等)。事實上，目前很多全球領先的汽車半導體解決方案提供商都將目標瞄準高級駕駛員輔助系統，基于功能安全的汽車安全性預測的廣泛應用指日可待。