一般來說，可以通過對系統質量、可維護性、可靠性、可用性及安全性等指標做出評測，來衡量系統在環境中的性能。功能安全是系統相對于可能出現的操作錯誤、硬件故障及環境變化的整體安全性。這取決于系統或設備能否響應輸入正確地運行，包括安全地管理操作錯誤、硬件故障和環境變化。功能安全的目標是避免不可接受的身體傷害，或對健康直接或間接造成的損害風險。

為了確保安全功能能夠符合設計初衷，包括在操作員輸入不正確和故障模式等情況下，人們一直不斷改進各種標準。IEC61508是適用于各個行業的國際功能安全標準之一，名稱是“電氣/電子/可編程電子安全相關系統的功能安全（E/E/PE或E/E/PES）”。ISO 26262是從IEC 61508衍生而來的功能安全標準，名稱為“道路車輛-功能安全”，適用于汽車行業。ISO 26262定義了汽車設備的功能安全，適用于所有汽車電子電氣安全相關系統的整個生命周期。

SoC系統級芯片遵循多種設計技術，以符合安全標準，這些在ISO-26262標準中都有所介紹。冗余、自檢機制、信號監測、電壓電源監測和“看門狗”是在符合安全標準的設備中所使用的幾種技術。冗余是這些設備的主要組成部分。冗余在汽車設備中的使用有多種方式，許多符合安全標準的設備將鎖步、ECC、CRC及校驗等用作冗余技術。本文將主要介紹SoC中使用到的冗余技術，包括硬件、軟件、信息和時間冗余等。

汽車硬件冗余機制

冗余是指除了在關鍵功能中使用的組件外，還包含額外的組件，旨在提高系統的可靠性和可用性。冗余的添加方式有很多，如硬件（例如雙核鎖步）冗余、軟件冗余、信息冗余（例如將ECC添加到存儲器）和時間冗余。一般情況下，冗余依據MooN概念工作。

N分之M（M-out-of-N,MooN）系統包含N個相同的組件，工作原理是：如果N個組件中的至少M個組件正常工作，那么該系統沒有錯誤。一個示例是三重模塊化冗余（TMR），這實際上是一個三分之二（2oo3）系統。如果3個組件中至少有兩個組件（大部分）正常運行，那么該系統則被視為正常運行。

MooN系統在硬件和軟件中使用。在硬件中，關鍵組件被復制，根據多數投票原則做出決策。而在軟件中，一個任務被重復多次，然后比較任務執行結果，生成最后結果。在SoC中，硬件冗余可以采用多種形式：復制執行安全關鍵任務的內核（也稱為鎖步）、延遲鎖步（1oo1系統）、非對稱鎖步、三次投票（2oo3系統）。

在符合安全標準的高級設備中，執行安全關鍵任務的內核被復制，應用在鎖步模式下運行這兩個內核，比較結果，確保冗余處理產生完全相同的結果。如未獲得完全相同的結果，則視為發生了故障。

在鎖步模式下，同時將同一組輸入發送到這兩個內核，然后這兩個內核在相同的時鐘周期內執行相同的計算，定期比較結果，檢測是否發生了故障（無論是瞬時故障、間歇性還是永久性故障）。一旦輸出不匹配，通常會標記故障并執行重啟。圖1顯示了鎖步中的內核（雙核鎖步）。

圖1:鎖步中的內核（雙核鎖步）工作原理

延遲鎖步是鎖步的一種，其中一個內核的輸入延遲了N個時鐘周期，另一個內核的輸出也延遲了相同的時間，然后比較結果。用這種方法，可獲得時間分集。由于一個內核在N個時鐘周期后將執行相同的運算，沖擊這兩個內核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少。圖2顯示了延遲鎖步的工作配置。饋送給內核2的數據被延遲了兩個時鐘周期。內核2的重置也延遲了兩個周期。內核1的輸出延遲了兩個時鐘周期，然后由校驗器電路進行比較。如發現故障，則標記錯誤。

圖2:延遲鎖步的工作配置

在非對稱冗余中，不復制相同的內核，而是使用不同的內核。不同的專用內核通過一個接口與主內核緊密耦合，實現內部和外部結果的逐步比較。該接口降低了復雜性，縮短了錯誤檢測延遲。主核執行關鍵的任務，而專用的多樣化內核則復制足夠多的主核執行，確保能夠檢測故障，或確保主核的安全運行。由于硬件的多樣性，可以有效覆蓋共因故障和系統故障。內核的不同結構將導致不同的內核反應方法，改善共因故障的診斷覆蓋。因此這兩個內核發生的同類故障的情況將減少。并行通道無需單獨的代碼，專用內核比主核小。有時，主核的面積差異可高達50%及以上。這種方法的缺點是，可能需要詳細的分析來證明診斷覆蓋。

此類冗余在位級實施，安全關鍵任務中所使用的寄存器位被復制兩次，根據多數投票邏輯生成輸出。這是2oo3多數投票系統的一個示例，如果這三個觸發器中的任何一個發生故障，那么其余的兩個觸發器將掩蓋故障。假設很難同時損壞這三個觸發器中的兩個，那么這種技術可保持系統運行。由于在這種情況下，面積補償是雙倍的，因此需要徹底檢驗設計配置位，確定安全關鍵的配置信息，避免任何不必要的面積開銷。

軟件多樣化冗余

在軟件冗余中，將在軟件中執行該任務多次。可使用不同的軟件執行該任務多次（不同的算法用于同一個任務），然后比較結果， 這將改善診斷覆蓋。

設計中使用兩種完全不同的軟件實現，即在一個處理單元中使用不同的算法來執行相同的任務。圖3說明了實現情況。主用通道負責計算，如果計算錯誤，可能導致危險。冗余通道負責檢驗主用通道的計算，如果發現故障則采取行動。冗余通道采用單獨的算法設計和代碼實現，以提供軟件多樣化。一旦兩條通道都完成后，則比較這兩種冗余軟件實現的輸出數據。如發現差異，則生成故障消息。

圖3:單一硬件通道軟件冗余工作原理

算法多樣化示例包括：A+B=C與C-B=A。一個通道使用正常的計算，另一個通道使用二進制補碼數學。

兩個處理單元相互交換數據（包括結果、中間結果和測試數據），在每個單元中使用軟件比較數據，如檢測到差異則生成故障消息。圖4說明了實現情況。在這種情況下，主用通道和冗余通道在不同的處理單元中使用不同的軟件算法來執行。如果使用不同的處理器類型以及單獨的算法設計、代碼和編譯器，那么這種方法允許硬件和軟件多樣性。另外，外設復制與內核復制不同。外設共享外部世界的相同輸入，外設的輸出在軟件中進行比較。例如，在SoC中使用多個ADC,輸入信道被復制到大多數ADC,它們的輸出可在軟件中進行比較。

圖4:多處理單元軟件冗余工作原理

信息冗余和時間冗余

信息冗余是指在通過嘈雜的信道傳輸信息時添加到實際數據中的冗余數據，目的是檢測故障或修復故障。 下面介紹了幾種信息冗余方案，如：奇偶校驗位、校驗和、糾錯碼。

奇偶校驗位是指被添加到二進制數據結尾的位，指示數據中“1”的數量是奇數還是偶數。偶校驗方案是指如果數據中“1”的數量為奇數，則向數據添加一個“1”。奇校驗方案是指，如果數據中“1”的數量為偶數，則向數據添加一個“1”。例如，如果實際數據為“11110000 0000”，并且在其后添加了一個偶校驗位，那么“111100000 0000 0”將通過通信信道傳輸。在接收器端，如果收到單個的位觸發數據，那么接收器將檢測到數據在傳輸過程中被破壞，可請求發射器重新發送數據。

校驗和是使用某些函數通過信息數據計算的數據。它與信息數據一起通過噪聲信道傳輸。在接收器端，使用收到的數據計算校驗和。計算的校驗和應匹配所收到的校驗和。錯誤檢測功能取決于冗余比特數量、數據大小，以及生成校驗和所用的多項式。奇偶性、模塊化和和與位置相關的校驗和是幾種可用于錯誤檢測的校驗和示例。在檢測到錯誤的情況下，可通過信號通知發射器，重新傳輸數據。

某些校驗函數不僅能夠檢測錯誤，還能指出數據中可能引入的某些類型的錯誤，從而在不重新發送數據的情況下讓接收器能夠獲得正確的數據，這些函數被稱為糾錯碼。能夠被校正的錯誤也有限制。例如，漢明碼是糾錯碼。盡管漢明碼能夠檢測到雙位錯誤，但只能校正數據中的單位錯誤。格雷碼能夠檢測四位錯誤，但只能校正三位錯誤。BCH 碼、Goppa碼、Reed-Solomon 碼、Reed-Muller碼和Hadamard碼是以其發明人命名的其他代碼。此類編碼技術可作為信息和編碼理論的一部分進行研究，是應用數學、電子工程和計算機科學的一個有趣和廣泛的分支。

時間冗余是指以冗余的方式執行安全關鍵的任務，隨時間而變化。由于這些冗余任務隨時間而變化，因此有助于消除瞬時故障。其中，單個硬件信道上的時間冗余是使用同一款軟件在一個硬件上執行多次安全關鍵的任務，然后再比較多次運算的結果。如果發現差異，則執行相關的糾正操作。上述“軟件冗余”部分中描述的“軟件多樣化冗余”（一個硬件通道）是此類冗余的擴展版本。

并行硬件信道上的時間冗余是在并行信道上執行、但不同時執行所有安全關鍵的任務，它有助于隨著時間的推移創建冗余。 瞬時故障不會以相同的方式影響操作，即使并行信道是對稱的硬件。上述“硬件冗余”部分中描述的“延遲鎖步”是此類時間冗余的一個示例。

結語

汽車行業使用到多種設計技術，以實現安全性，各種冗余技術是實現安全性所必不可少的，目的是確保設備在發生故障時更加可靠和穩定。硬件冗余的優勢是能夠盡早檢測到故障，但代價是需要增加硬件數量。另一方面，如果系統成本有限，那么軟件冗余可能用處更大。總之，冗余是實現提高汽車安全性能的關鍵所在，可以利用硬件和軟件冗余，以及信息冗余、時間冗余等，使得系統更加穩定而可靠。