[发明专利]一种微控制单元的安全冗余架构

说明书

本发明涉及一种微控制单元的安全冗余架构至少包括分别与功能模块连接的第一MCU和第二MCU，以及分别与所述第一MCU和所述第二MCU连接的看门狗电路，在所述第一MCU异常而向所述看门狗电路发送第一异常信号的情况下，所述看门狗电路基于所述第一异常信号向所述第二MCU发送第二异常信号，并且所述第二MCU基于所述第二异常信号向功能模块发送至少一个第一控制信号。本发明通过看门狗监测第一MCU的工作状态，通过设计看门狗的工作原理来实现MCU的实时监测，并覆盖MCU的多种失效模式；监测设备的副MCU也可具有输出功能，在监测到MCU故障后，发出后级功能模块的关断信号，做到及时启动故障保护，从而提高了安全功能性能。

技术领域

本发明涉及芯片安全技术领域，尤其涉及一种微控制单元的安全冗余架构。

背景技术

微控制单元(Microcontroller Unit,MCU)，又称单片微型计算机(Single ChipMicrocomputer)或者单片机，是把中央处理器(Central Process Unit；CPU)的频率与规格做适当缩减，并将内存(memory)、计数器(Timer)、USB、A/D转换、UART、PLC、DMA等周边接口，甚至LCD驱动电路都整合在单一芯片上，形成芯片级的计算机，为不同的应用场合做不同组合控制。诸如手机、PC外围、遥控器，至汽车电子、工业上的步进马达、机器手臂的控制等，都可见到MCU的身影。

在安全功能标准中微控制单元(MCU)不被认为是等效于经验证的元件，在应用中MCU需要进行冗余设计以得到更高的安全功能等级，并选用合适的指定结构。对于d级的安全等级，采用2类就可实现，在两次检查之间出现故障会导致系统安全功能的损失，MCU作为控制核心元件，在此期间出现故障会导致最大损失。

现有技术中，通常采用两种方式监测微控制单元的状态，一是第二MCU的状态通过串口通信监测MCU的状态；二是第一MCU使用一个I/O，作为状态指示给第二MCU轮询的方式。例如，中国发明(CN109324501A)公开了一种双MCU的电池管理系统，包括与锂电池组相连的BMS从控，与BMS从控通过CAN总线相连的主MCU和备用MCU。备用MCU与主MCU相连并监听主MCU的异常信号。优选地，主MCU向备用MCU发送生命信号。还包括与锂电池组相连的Zigbee模块，Zigbee模块分别与主MCU和备用MCU相连。当系统发生MCU或BMS从控、CAN总线其中单一故障时，可针对故障由备用MCU或Zigbee无线传输模块实现故障重构，当MCU和BMS从控或MCU和CAN总线共同发生故障时，备用MCU与Zigbee无线传输模块共同完成系统故障的重构。有效提升了BMS的稳定性与可靠性。但是，该专利采用主MCU给备用MCU发送生命信号，即采用第一MCU使用一个I/O轮询第二MCU，而如果在轮询之间发生故障会导致安全功能失效。通常I/O的物理失效模式有高电平、低电平和高阻态三种，而轮询备用MCU从而检测得到的模式也可能是高电平、低电平、高阻态，因此当失效模式与检测模式相同时，则检测失效，导致无法监测到故障。

发明内容

针对现有技术之不足，本发明提供一种微控制单元的安全冗余架构。对MCU的状态检测由一个周期的开始改为实时检测，出现故障可以立即被侦测到，减小故障响应时间。MCU的状态检测通过外部看门狗电路实现，而看门狗电路只有在MCU正常时其功能才能实现，具体如下：选用第一MCU的定时器I/O作为看门狗电路的输入控制，例如发出1KHz的方波。看门狗电路输出高电平给第二MCU。第一MCU出现故障时，第二MCU监测到看门狗电路信号变化后，产生控制信号关闭后级的功能模块。

优选地，一种微控制单元的安全冗余架构，至少包括与功能模块连接的第一MCU和第二MCU。所述安全冗余架构还包括分别与所述第一MCU和所述第二MCU连接的看门狗电路。在所述第一MCU异常而向所述看门狗电路发送第一异常信号的情况下，所述看门狗电路基于所述第一异常信号向所述第二MCU发送第二异常信号。所述第二MCU基于所述第二异常信号向功能模块发送至少一个第一控制信号。