当你翻开ECU的微控制器的用户手册,比如英飞凌Aurix TC29x系列为例,如下所示:
我们可以看到并非只有常见的RAM和ROM,如果你是新手,那么这些看起来都不认识,搞不清谁属于RAM,谁又属于ROM,本文就试图来搞清这点。
在微控制器(MCU)和计算机系统中,存储器(Memory)按功能、速度和用途可以分为多种类型。上图中提到的术语都是嵌入式系统中常见的存储器类型,我们可以先从 RAM(随机存取存储器) 和 ROM(只读存储器) 两个大类入手,逐步深入解析。
01
ROM 类存储器
(非易失性)——PMU
在汽车电子领域,微控制器不仅需要强大的算力,更需要一个可靠、安全且灵活的非易失性存储系统,用以承载控制逻辑、保障数据安全并确保系统的确定性启动。AURIX TCxx系列微控制器中的程序存储单元(Program Memory Unit, PMU0) 正是为此而设计的集成化存储解决方案。它并非单一存储器,而是一个由多种类型存储介质构成的功能复合体,各自承担着从芯片上电第一刻到复杂应用运行全周期的关键角色。
PMU0可被视为芯片内部非易失性存储资源的“总成”或“仓库”。它集成了适用于不同目的、具有不同特性的Flash存储器及ROM,并通过统一的控制器进行管理。这种集成化设计带来了多重优势:统一的访问接口简化了软件驱动;集中的错误纠正码(ECC)与保护机制提升了整体数据完整性;分区的物理隔离则实现了功能安全(如ISO 26262 ASIL-D)所要求的独立性。PMU0管理的四大核心组件共同构成了系统稳定运行的基石,这些四大组件分别如下:
1.1 程序存储器(PFLASH)
PFLASH是用户应用程序的主要载体,其8MB容量(在TC29x中常由4个独立的2MB Bank组成)足以容纳复杂的汽车控制算法、通信协议栈及操作系统内核。
PFLASH基于NOR Flash技术,支持按扇区(Sector)擦除和按字/半字编程。与RAM的直接映射访问不同,对PFLASH的写入和擦除操作必须通过一个由PMU控制器管理的、特定的“命令序列” 来完成,即用户不能直接向Flash地址写入数据,而需向PMU的命令寄存器写入一系列预定义的值来触发内部状态机执行擦写周期。这种设计虽然增加了软件复杂度,但至关重要:它防止了程序跑飞等意外情况对代码区的破坏,并允许在操作中插入精确的时序控制和状态校验,确保Flash寿命与数据可靠性。
这里PFLASH在汽车应用中有几点关键设计:
快速读取与缓存执行:虽然Flash读取速度远慢于CPU时钟,但通过程序缓存(PCache) 和将热点代码复制到程序暂存RAM(PSPR) 中执行,系统性能得以保障。地址映射表显示,PFLASH在缓存空间(如段8 0x8xxxxxxx)和非缓存空间(如段10 0xAxxxxxxx)有双重映射,为开发者提供了灵活性。
ECC与数据完整性:每位数据都伴随ECC校验位。PMU能在读取时自动检测并纠正单位错误,检测双位错误,这是满足功能安全要求、防止辐射等引起的软错误(Soft Error)的关键。
分Bank操作:独立的Flash Bank允许在执行“读-修改-写”更新时,在一个Bank中运行程序,同时对另一个Bank进行擦写,实现固件在线更新(OTA) 而无需停机。
1.2 数据存储器(DFLASH/DF_EEPROM)
DFLASH,常被称为DF_EEPROM,其设计目标是模拟传统EEPROM的行为,专门用于存储需要在车辆生命周期内频繁修改的数据,如标定参数、诊断事件日志(DTC)、里程信息、安全访问计数器等。
它与PFLASH的本质区别在于:尽管同为Flash,DFLASH在物理设计和操作模式上针对“小数据量、高更新频率”进行了优化。它通常组织成更小的扇区或页,并采用“影子块”或“穿线式” 等磨损均衡算法,当一个物理单元接近擦写寿命时,控制器会自动将数据迁移到备用单元,从而将有效的循环擦写次数提升至数十万乃至百万次,远高于PFLASH。
在TC29x的地址空间中,DFLASH拥有独立的映射区域(例如段10中的 0xAF00 0000 至 0xAF11 FFFF)。与PFLASH类似,其写入也需通过PMU命令序列,这种隔离映射使得软件可以清晰地划分代码段和数据段,链接器脚本能准确地将特定变量分配到DFLASH区域。
1.3 用户配置块(DF_UCB)
DF_UCB是一组特殊且受高度保护的Flash区域,用于存储决定芯片底层行为的配置信息。可以将其理解为芯片的“一次性可编程”身份档案,通常在出厂前或首次启动时由Bootloader或编程工具配置,之后在应用中多为只读。
DF_UCB的核心配置内容通常包括:
启动配置:定义启动源(从哪个Flash Bank启动、是否启用外部总线引导等)。
访问保护:设置不同内存区域(如PFLASH、DFLASH)的读/写/执行权限,防止非授权代码访问或篡改关键区域。
调试与安全:控制JTAG/DAP调试接口的开关,配置HSM(硬件安全模块)相关的安全密钥或策略。
时钟与功耗:初始时钟配置、看门狗使能等。
对DF_UCB的修改通常需要严格的安全访问序列,甚至需要验证密码或密钥,这是系统安全的第一道防线,防止攻击者通过修改启动路径或关闭保护来植入恶意代码。
1.4 引导ROM(BROM)
BROM是芯片出厂时掩模(Mask-ROM)或一次性编程(OTP)的只读存储器,其内容由英飞凌固化,用户无法更改,它是系统上电或复位后第一个执行的代码。
BROM在启动阶段承担几个重要的工作:
硬件初始化:执行最底层的时钟、电源和内存控制器初始化。
启动模式判断:读取DF_UCB等处的配置,决定从PFLASH、外部存储器还是串行接口启动。
完整性检查:可选地验证用户应用程序代码的完整性(如CRC校验)。
引导加载:将控制权移交给下一阶段的引导程序(User Bootloader)或直接跳转到用户应用程序的入口点。
可以说BROM是信任链的根,由于其不可篡改性,它确保了系统总能从一个已知的、可信的状态开始执行。即使在用户程序完全损坏或DF_UCB配置混乱的情况下,BROM也能提供一个恢复入口(如通过串口重新编程),这对于汽车电子在极端场景下的可维护性至关重要。
02
RAM 类存储器(易失性)
在安全至上的汽车电子控制领域,微控制器面临的不仅仅是性能竞赛,更是确定性、可靠性和实时性的综合考验。英飞凌AURIX TC29x系列的CPU存储子系统展现了一种巧妙而深思熟虑的双轨架构:硬件管理的缓存与软件可控的暂存RAM共存。
2.1 缓存(Cache)
缓存是基于局部性原理的硬件智能系统,它透明地工作,预测CPU下一步可能需要的数据或指令,并预先将其从低速主存调入高速缓存中。其中:
程序缓存(PCache):专门缓存来自PFLASH的指令。当CPU取指时,首先检查PCache,如果"命中",则直接以CPU时钟级别的速度提供指令;如果"未命中",则需从PFLASH加载,同时可能替换掉缓存中"最不常用"的指令块。
数据缓存(DCache):缓存来自DFLASH或RAM的数据。对数据的读写首先发生在DCache中,随后由硬件在适当时机同步回主存。
缓存的核心价值在于其"统计优势":对于大多数通用计算任务,它能显著降低平均内存访问延迟,提高整体吞吐量。
2.2 暂存RAM(Scratch-Pad RAM)
与缓存的硬件自动管理不同,暂存RAM是一种软件显式管理的内存资源。程序员必须明确知道哪些代码或数据被放置在PSPR或DSPR中,并负责其加载和更新。
程序暂存RAM(PSPR):一个可由软件直接控制的指令存储区。关键的时间敏感代码(如中断服务例程、实时控制循环)可以被显式地复制到这里执行。
数据暂存RAM(DSPR):用于存储频繁访问的变量或实时计算中间结果。访问延迟固定且极低,通常为1-2个CPU周期。
暂存RAM的核心优势在于其"确定性":每次访问都保证在固定的、最少的时钟周期内完成,没有缓存未命中的不确定性,这使得汽车控制系统的最坏情况执行时间(WCET) 可以精确计算和分析,这是满足ISO 26262功能安全认证的基础。
2.3 非对称多核:CPU0、CPU1、CPU2的差异化定位
TC29x的三核配置并非简单的复制,而是体现了明确的角色分工:
1)CPU0:安全关键的控制核心
CPU0被设计为系统的安全核心,承担最关键的实时控制任务(如刹车、转向),因此确定性优先于平均性能,会更依赖暂存RAM而非缓存。
较小的DSPR(120KB)表明CPU0主要处理结构化、紧凑的控制算法,如PID控制、状态机等,而非大数据处理。较小的PCache(16KB)因为CPU0的关键代码往往已被手动放置到PSPR中执行,对PCache的依赖相对较低。CPU0通常与另一个"影子"核以锁步方式运行,每个周期比较结果,其存储子系统也相应地为这种高安全性需求优化。
2)CPU1与CPU2:高性能计算核心
CPU1和CPU2是性能核心,用于处理计算密集但实时性要求相对略低的任务,如引擎管理中的燃油喷射计算、ADAS中的传感器融合预处理等。
更大的DSPR(240KB)可容纳更大的数据集合,适合处理传感器数据数组、矩阵运算、滤波器系数等。由于可能执行更复杂的算法或更大的代码库,需要更大的缓存PCache(32KB)来维持平均性能。CPU1和CPU2配置相同,可以便于负载均衡和并行处理。
03
本地内存单元(LMU)
和芯片内部总线
在一个拥有三颗异构CPU、多级缓存和多种类型存储器中,如何实现高效、有序、可预测的数据流动与资源共享?英飞凌AURIX TC29x给出的答案是两个关键系统组件:本地内存单元(LMU) 与分层化的芯片内部总线系统(SPB与SRI)。它们共同构成了芯片内部的“交通网络”与“共享资源枢纽”。
3.1 本地内存单元(LMU)
LMU常被简单地理解为“Local Memory Unit”,但其功能远不止于提供一块额外的RAM。它是连接计算核心、外设、调试系统和存储单元的关键集成化服务模块。
1)LMURAM
这32KB的SRAM与CPU内部的DSPR/PSPR有本质区别,它不属于任何单一CPU核心,而是映射到全局地址空间,可供所有CPU、DMA控制器及部分总线主设备直接访问。总结起来,LMURAM的核心用途有:
1. 多核通信缓冲区:CPU0、CPU1、CPU2之间进行数据交换和消息传递的理想场所,避免了通过缓慢的外部总线或复杂的缓存一致性协议进行通信。
2. DMA操作的理想目的地:当高速外设(如ADC、以太网MAC)通过DMA采集大量数据时,可直接将数据存入LMURAM,再由CPU进行后续处理,实现“零拷贝”或高效的数据搬运。
3. 外设数据暂存池:为那些需要与CPU频繁交换数据,但自身仅有少量FIFO的外设提供数据缓冲。
4. 确定性访问的延伸:虽然访问延迟略高于CPU内部的DSPR,但其访问时间仍然是确定性的,适合某些对时序有要求但不需要极致速度的共享数据。
2)miniMCDS Trace SRAM(TRAM)
miniMCDS(mini Multi-Core Debug Solution)是英飞凌强大的片上调试解决方案,这8KB的专用SRAM是调试与追踪子系统的核心存储,它可以进行:
程序执行流追踪:可以配置为记录CPU的程序计数器(PC)跳转历史、分支预测结果等,帮助重现复杂的软件执行路径,定位偶发性Bug。
数据访问监视:监视对特定地址范围的数据读写,用于排查内存越界、数据竞争等问题。
事件触发与过滤:可以设置复杂的触发条件(如某个变量被特定值写入),仅记录触发前后的相关信息,高效利用有限的8KB空间。
在功能安全(ISO 26262)开发中,尤其是达到ASIL-D级别,需要对系统失效进行根本原因分析。TRAM能在不显著干扰实时任务执行(即非侵入式调试)的情况下,记录系统出错前后的关键状态,是进行故障注入测试、验证安全机制有效性的不可或缺的工具。
所以说,LMU不是一个孤立的存储单元,而是一个服务聚合器——既提供了关键的共享内存资源,又集成了强大的系统级调试支持,是提升系统整体可协作性和可观测性的基石。
3.2 芯片内部总线
TC29x采用清晰的分层总线架构,这并非简单的互联线路,而是针对不同类型的数据流量进行优化的“交通规划”。
1)共享资源互连(SRI):高速数据“主干道”
SRI并非传统意义上的共享总线,而是一个交叉开关(Crossbar)。想象一个有多条入口和出口的高速公路立交桥,不同车辆(数据流)可以同时通过不同的路径通行,极大地提高了并行性和总带宽。
我们来看TC29x中的SRI的应用情况,如下所示:
由上可知:主设备有三颗CPU、DMA控制器、某些高性能外设主接口;从设备包括所有内存(PFLASH, DFLASH, CPU本地RAM, LMURAM)、高性能外设从接口、以及到SPB的桥接器。
2)系统外设总线(SPB):低速控制“省道”
与SRI的高性能定位互补,SPB是一个专用于寄存器配置与控制的传统总线。它优化的是对大量外设控制寄存器的频繁、小规模、低带宽的访问。SPB连接绝大多数外设的配置寄存器,如CAN控制寄存器、ADC转换控制字、定时器模式寄存器等,这些访问的特点是:频率可能高,但每次传输的数据量很小(几个字节)。
SPB与SRI的协同合作,它避免了低速、频繁的配置访问去“堵塞”SRI这条高速数据通道。所有CPU对SPB上外设的访问,都需要经过SRI-to-SPB桥接器。该桥接器作为SRI的一个从设备,负责将来自SRI的访问协议转换为SPB协议。
04
它们之间的
关系与层次结构
我们从“靠近 CPU”到“远离 CPU”的层次来看,如下所示:
第一层:CPU寄存器。每个CPU核心内部都有寄存器,用于存储当前正在处理的数据和指令,速度最快。(图中未列出,速度最快,容量最小)。
第二层:Cache(分为程序缓存PCache和数据缓存DCache,用于缓存最近使用的指令和数据,减少访问主存的延迟。每个CPU核心都有自己的Cache,因此三个核心的Cache是独立的)。
第三层:Scratch-Pad RAM(分为PSPR和DSPR,通常被映射到地址空间,可以由软件直接管理,用于存储需要快速访问的数据或代码。每个CPU核心都有自己的PSPR和DSPR,分别是程序和数据暂存区)。
第四层:局部共享SRAM,可能是为某个特定模块(如DMA、外设等)服务的,也可以被多个核心访问,但速度比Scratch-Pad RAM慢一些。
第五层:主Flash存储器,容量大,但速度相对较慢,用于存储程序代码。它是非易失性的,断电后内容不丢失。
第六层:数据Flash(DF_EEPROM)用于存储需要频繁修改的数据,模拟EEPROM的功能,也是非易失性的。
第七层:Boot ROM,即引导ROM,芯片出厂时固化的启动代码,不可修改,用于芯片上电后的初始引导。
从访问速度来看,越靠近CPU的存储器速度越快,但容量越小。从非易失性来看,只有Flash和ROM是掉电不丢失的,RAM掉电会丢失数据。
这个层次结构体现了计算机体系结构的经典速度-容量权衡:越靠近CPU的存储器速度越快,但容量越小、成本越高。TC29x作为汽车微控制器,通过多层次存储结构平衡了性能、实时性和成本要求。
沪公网安备31010702008139