智能底盘技术开始崛起,最近TI也分享了自己的见解,认为锁步内核高性能MCU是支撑新一代高安全、高灵敏智能底盘落地的关键。无独有偶,随着自动驾驶的崛起,MCU的可靠性对于维持操作安全至关重要,即便是一个小故障,也可能导致整个系统的故障,危及乘客和其他道路使用者的安全。此时,锁步技术也成为了关键。
如今,锁步技术在汽车MCU中已经成为标配,那么你对这项技术了解吗?今天EEWorld就来详细解析这项技术值得关注的技术点。
什么是锁步技术
锁步架构(lock-step)是一种MCU/处理器设计方法,是一种传统且成熟的高诊断覆盖率实现方式,其核心目标是检测错误条件的发生。
其原理非常简单:两个或者多个冗余内核同时连接到一组硬件比较器(Comparator Logic),并执行完全相同的程序代码。同步执行机制通常依赖共享时钟、专用硬件信号或软件控制逻辑实现,使系统能够通过比对各冗余内核的输出结果,实现故障的检测与修正。比较器会逐周期(Cycle-by-Cycle)比较两个核心的输出结果。
当两个或者多个核心的结果完全一致时,系统正常运行;一旦检测到结果存在差异,即表明某一内核出现故障,系统会随即启动修正措施,确保整体持续正常运行。
以下是Arm DCLS(双核锁步)和Arm TCLS(三核锁步)的示意图:
后续处理方式由系统开发者根据具体应用场景决定。例如:重启系统;等待一段时间后重新验证故障是否仍然存在;进入安全状态(Safe State);执行其他故障恢复策略。
不过,锁步技术会让MCU成本大大增加,此外锁步机制是在芯片设计阶段固化到硬件中的,因此缺乏灵活性。虽然系统实际上使用了两个或多个CPU核,但由于两个核心始终执行同一任务,因此最终只能获得单核的计算性能。
锁步的内核有很叫法,包括:Primary CPU/Shadow CPU、Main CPU/Shadow CPU、Master Core/Checker Core、Master Core/Slave Core……
MCU锁步主要类型
完全锁步(Full Lockstep):Master Core与Checker Core的每一条指令都实时同步比对,故障检测精度达到指令级别,安全性最高,是汽车行业 ASIL-D 级系统的首选。
分时锁步(Delayed Lockstep):Checker Core延迟几个时钟周期再执行相同指令,通过时间冗余降低硬件成本,但故障检测有微小延迟,适用于对成本敏感的中低安全等级场景。
需要注意的是,Delayed Lockstep是否优于Full Lockstep,本质上取决于具体应用需求。两种方式比较的东西是一样的,不同只是dealyed lockstep、checker core的输入和main core的输出都要增加dff打拍。
几种主流的LockStep架构
目前,国外的LockStep架构有很多方式实现。下列为几种主流的LockStep架构:
主从式处理器验证比较:主从式架构采用一个主处理器(Master)执行实际任务,另一个检查处理器(Checker)同步运行相同任务,并对结果进行比对。当两者结果不一致时,系统判定发生故障,并触发异常处理机制。
这种方案实现简单、成本较低,能够基于现有处理器快速扩展,因此被广泛应用于早期安全系统。其特点是安全相关控制软件仅在主核执行一次,而检查核运行简化的校验程序,对主核输出结果进行验证,从而降低整体处理器负载。
不过,该架构通常需要额外的外部同步比较逻辑,比较效率较低,且会带来一定的性能损失,因此故障检测能力和实时性相对有限。
双处理器内部验证比较:双处理器内部比较架构将同步比较逻辑集成到处理器内部,两个核心同时执行相同任务,并在内部完成结果比对。对于用户而言,其使用方式与单处理器基本一致,无需额外的软件协调和板级比较电路。
该方案能够有效降低系统复杂度和硬件成本。通常两个核心分别执行相同的安全任务,并在软件或硬件层面对结果进行交叉验证,只有在结果一致或误差处于允许范围内时,才向执行机构输出控制指令。
但其检测范围主要集中在CPU核心内部及总线接口之间,对于Memory、Bridge等外围资源的故障覆盖能力有限,因此在系统级故障检测方面存在一定局限性。
定制双核处理器验证比较:定制双核LockStep是目前功能安全等级较高的实现方式。该架构专门设计了两颗对称处理核心,在取指、译码、执行等流水线阶段进行实时同步比较。
系统在双核同步取指时即可对每条指令进行比对,一旦发现差异,立即触发故障隔离机制。由于比较发生在指令级甚至流水线级,因此能够在故障发生的第一时间完成检测与定位,具有响应速度快、定位精确、故障覆盖率高等优势。
部分高级实现还采用分阶段执行机制首先由两个核心分别完成预处理任务,然后交换中间结果并执行安全相关计算,通过交叉验证进一步发现和处理潜在故障,从而提高整体诊断覆盖率和系统可靠性。
容易被混淆的概念
双核模式和锁步模式是两个不同的概念,时常会被人混淆,两个技术的目的和运行方式都不同。
锁步模式:是为了让系统更安全,主要目的是故障检测与容错,两个核心执行完全相同的代码,最终算力只相当于单核新能,支持ASIL-D;
双核模式:是为了发挥更好的性能,主要目的是并行处理多任务,两个核心执行不同的代码,最终算力算力接近2个核,通常支持ASIL-B或QM。
此外,需要注意的是,锁步核能够显著降低MCU运行至非预期区域的风险,但无法从根本上完全杜绝此类情况。锁步解决的是SEU的问题,通过双核同步执行和结果比对来发现异常。对于代码执行区域隔离、权限控制和非法访问防护,通常需要依赖TrustZone。
汽车上,锁步技术怎么运行
汽车对安全可靠性要求极高,锁步架构至关重要。即便某一内核因瞬时故障或硬件损坏发生失效、输出错误结果,另一内核仍能提供正确输出,这为系统增添了一层容错保障,也让锁步技术成为各类高功能安全等级系统的优选方案。
如今的车辆集成了众多ECU,管理从发动机性能到安全操作(如制动和安全气囊展开)等功能。锁步架构确保这些ECU可靠运行,能够迅速检测和响应故障,以维护安全。
在自动驾驶车辆中,锁步应用于处理传感器数据并执行实时驾驶决策的CPU中。这种冗余执行确保数据处理中的故障能立即被发现,从而立即采取纠正措施以维持安全运行。
高级驾驶辅助系统(ADAS)同样大量采用锁步技术。例如车道保持辅助、自动紧急制动以及碰撞预警等功能,都依赖于高可靠的数据处理能力。锁步架构通过持续监测处理器运行状态,确保感知、决策和控制链路中的数据处理结果准确一致,从而提升整车功能安全水平。
随着汽车网络安全威胁日益增加,锁步架构在提升系统抗攻击能力方面也发挥着重要作用。特别是在满足ASIL-D等最高等级功能安全认证的微控制器中,锁步机制能够有效增强系统对故障注入攻击(Fault Injection Attack)的防御能力。通过冗余计算与持续交叉校验,系统可以快速识别由于电压干扰、时钟篡改、电磁攻击等手段导致的异常行为,并及时触发安全响应机制,从而降低恶意攻击对车辆关键功能的影响,进一步提升汽车电子系统的安全性与韧性。
在汽车功能安全标准ISO2626中,硬件层面附录D对处理单元的诊断覆盖率推荐的安全技术措施中,作为可实现高诊断覆盖率的几种技术措施之一,硬件冗余技术中,双核锁步、非对称冗余、编码计算是三种典型的技术措施。
英飞凌官方推荐在功能安全等级为ASIL-C和ASIL-D情况下,要激活启用LockStep功能;对于QM,ASIL-A和ASIL-B没有强制要求。在多核系统中,要求功能安全等级在ASIL-C以上的核,必须开启LockStep功能。
锁步技术,成为标配
目前,随着汽车行业深入发展,锁步技术逐渐成为车规MCU的标配,与此同时,由双核锁步向多核锁步发展,与此同时锁步芯片能支持的计算能力越来越强,最高的主频由原来200~300MHz上升到1GHz。
当下厂商对于锁步技术也有了自己的理解。
比如,英飞凌AURIX TC4x系列TriCore从v1.6.2升级到v1.8,频率从300MHz提升到500MHz,最高支持6对锁步核同时运行。更重要的是,英飞凌实现了独有的“异构锁步”架构技术,与依赖于相同核心来检测错误的传统锁步架构不同,英飞凌的多样化锁步技术使用两个不同的核心,它们以不同的方式运行。它们采用不同的架构和指令来完成相同的整体任务。
恩智浦的全球首款16nm FinFET+MRAM的S32K5系列MCU提供单核、多核及锁步内核配置选项,包括Arm Cortex-M7内核与Arm CortexR52内核,运行频率为200~800MHz,还有一个信号处理器(DSP)。
瑞萨的RH850 CPU内核结构多样—包括单核、多核、锁步核或其组合。
国内厂商新推出的汽车MCU也都标配了锁步技术,包括Arm内核和RISC-V产品。
芯弛E3650专为新一代跨域融合的控制型ZCU(区域控制单元)应用设计,采用最新的Arm Cortex-R52高性能锁步多核集群。
矽力杰新推出的SA32D系列ASIL-D车规级MCU作为一款RISC-V架构的MCU,也支持双核锁步(Lockstep)设计,设计上涵盖双核至最高6核RISC-V内核,主频最高可达300MHz。
国科安芯研制的一款32位RISC-V指令集MCU AS32X601也采用双核锁步架构,主频高达180MHz,支持ASIL-B功能安全等级。AS32X601的E7内核采用动态分支预测与8级双发射流水线设计,双核以锁步模式运行,通过专用错误控制模块(FCU)检测差异并触发安全响应(如复位或中断),有效防范瞬态故障与永久性硬件失效。
国内首款融合RISC-V 架构、AI推理、抗量子密码三大特征的高性能汽车MCU——国芯科技宣布CCRC4XXX,可以做到DCLS锁步与混合模式。DCLS(Dual-Core Lockstep)模式:每个主核配一个延迟锁步核(Checker Core),两核执行相同指令流;混合模式(Hybrid Mode):部分锁步核可重新配置为独立主核,例如8+4 配置其中Core2/3的锁步核释放为独立核。
紫光同芯的THA6系列汽车域控芯片配置多达5组的双核锁步内核,最高主频达300MHz,计算能力达4000+DMIPS,内嵌大容量Flash和SRAM,为用户未来的功能扩展提供了充分的灵活性。
目前,RISC-V还在研究时间锁步(Temporal Lockstep, TL)的概念,针对MCU级 RISC-V Ibex处理器实现抗单粒子瞬态(SET)、单粒子翻转(SEU)防护,在PPA之间实现更优权衡,并完成65nm流片实测与全面对比验证。(Tedeschi, Riccardo, et al. "Temporal Lockstep: Low-Cost Resilient Design for Microcontroller-Class RISC-V Processors." IEEE Access 14 (2026): 44575-44590.)
总之,当下行业还在不断对锁步技术进行研究,而对厂商来说,锁步技术也是保障功能安全的其中一环,为了增强鲁棒性,MCU中每个技术的相互配合都非常关键。
RAA2S4704阻抗检测IC在方向盘离手检测(HOD)中的应用 瑞萨传感器信号调理器(SSC)产品平台 瑞萨电感式位置传感器技术
参考文献
精彩文章推荐
· END ·
欢迎关注EEWorld旗下订阅号:“汽车开发圈”
扫码添加小助手回复“进群”
和电子工程师们面对面交流经验
