一、 重要保护单元
1、 CPU
2、 CPU中断(VIM)
3、 系统控制单元:电源,复位,时钟
4、 操作系统关键部分:DMA,OS定时器
TMS570 提出“安全岛”思想,对于安全功能所共用的重要的单元采用硬件诊断机制进行重点保护
。已知部分保证安全,这部分的逻辑为其他部分提供诊断覆盖,可以减少由于安全设计的需要而对系统成本所造成的压力。
二、 Hercules硬件安全特性
Hercules由安全岛硬件诊断,混合硬件诊断,非安全关键性区域组成
安全岛硬件诊断
1、CPU自检模块,
2、双核锁步CPU,逐周期检测
3、FLASH及RAM有ECC模块
4、内存BIST模块在启动时检测所有RAM
5、所有时钟及电源监视器
6、错误信号输出模块
混合硬件诊断
1、IO回环,ADC自检
2、带共享通道的双ADC模块
3、所有外设,DMA以及中断控制器的RAM均带有奇偶校验
4、串口及网络通讯外设中有奇偶或
CRC校验
三、 Hercules 处理器1oo1D双核架构
1oo1D双核架构特点
独一无二的设计减少共模失效(共因失效)
第二个CPU镜像旋转90度
两个CPU间距至少100um
时钟延迟锁步
每个CPU有独立保护环
每个CPU独立的时钟系统
CPU比较模块(CCM)
自检功能,自检错误信号输出
强制输出错误信号
错误信号外部引脚输出
1oo1D双核锁步优势
更快的错误检测,通过严格的控制时序进行安全检测
更高的故障覆盖率,可检测的故障覆盖硬件,瞬态,持续等各种错误类型
对性能影响降低,甚至没有任何影响。CPU诊断几乎不占用CPU性能
对存储空间影响很小,CPU诊断几乎不占用FLASH和RAM空间
易于集成到现有应用,无须复杂的软件开发时间,缩短产品开发的时间
易于诊断覆盖率,用户可以将更多的是时间用来开发应用程序,而 担心CPU的安全性是否满足安全要求
四、 可编程存储器BIST(PBIST)
特点
可以完成对片内所有RAM的测试
通过寄存器进行配置
应用程序根据需要进行测试
多种内存测试算法供选择
检测多种失效模式
辨别故障是硬件还是软件错误
提高系统从软件错误中恢复的可能性
优点
更快的测试速度:软件测试方法需要花费10-100倍的时间来达到同样的测试覆盖率
更高的故障覆盖率:利用多种复合失效模型获得比单一软件方案更高的故障覆盖率
不占用内存:不占用存储器和CPU资源,FLASH和RAM可以完全服务于应用程序
易于集成到现有应用:无须复杂的软件开发时间,缩短产品开发时间
易于确认诊断覆盖率:用户可以将时间更多的用来开发应用程序,而无须花费时间来验证CPU本身是否安全
五、 FLASH/RAM ECC保护
Cortex R4F CPU的ECC特点
可纠正1位错误,检测2位错误
并行处理数据及指令
对CPU性能无任何影响
保护从CPU到FLASH和RAM的总线数据传输
六、 时钟监控
1、 外部时钟分频器(ECLK):配置引脚(GIO 或ECLK)可以从外部监视CPU时钟频率
2、 晶振监视器:检测晶振频率是否超过设定的最大或最小值
失效可选行为:a:复位b:切换到内部低功耗振荡器(LPO)
3、 FMzPLL失效监测:监测PLL是否出现锁相失败
失效可选行为:a:复位b:切换到内部低功耗振荡器(LPO)c:切换到外部晶振
七、 电压监视器(VMON)
1、 使系统处于复位状态,直到内核及IO口供电电压在正常范围内
2、 当内核或IO供电电压超过设定的最大最小值时,产生复位
3、 内核电压超限时,产生复位并将所有IO置高阻状态
八、 内核比较模块(CCM-R4F)特点
CCM硬件:检查CPU内部故障,在并行或锁步模式下比较两个CPU的输出结果
CCM功能:锁步、自检、强制产生错误信号、强制在自检时产生错误信号
九、内核比较模块(CCM-R4F)工作模式
锁步(Lock Step):普通执行模式
自检(Self Test):检测其硬件错误模式(BIST)
强制产生错误信号(Error forcing):强制不同的CPU信号到CCM
强制在自检时产生错误信号(
Self Test Error Forcing):强制输出自检错误信号
十、 存储器保护单元(MPU)
1、CPU,DMA,HTU,FTU等总线主设备均有内存保护功能
2、存储器单元属性可由住设备配置:只读,只写,可读写
3、定义区域外的设备对存储器的访问模式:a:只读(可以读取,禁止写入) b:不可访问(读写都被禁止)
4、对存储器的违规操作,会产生错误信号至错误信号处理模块(ESM)
十一、双时钟比较器(DCC)
DCC模块采用一个时钟信号为参考以测量另一个时钟信号的频率
允许应用程序在两个时钟信号源之间设定一个频率的固定比例值
可定义一个可编程的窗口容差值,相比于参考时钟周期
无需应用程序干预,可连续监控
可以选择单序列的模式用于单点测量
可灵活的为
count0和
count1选择时钟源
十二、数字窗口看门狗(DWWD)
未能在适当的时间内喂狗,DWWD可产生复位或不可屏蔽中断
包含一个25位递减计数器
CPU中断信号产生时,会通知错误信号模块ESM
窗口类型:100%,50%,25%,12。5%,3。125%
密钥序列喂狗(0XE51A,0XA35C)
DWWD使能后,只有系统复位或上电复位才能关闭
京公网安备 11010802033920号
