引言
3 `, M, ~3 ~8 r$ e: `2 Z Q本文档介绍了 STM32H7 系列微控制器上纠错码(ECC)的管理和实现。本应用笔记针对保护内部存储器内容的 ECC 机制,描述了与之相关的硬件、软件信息。除此之外,也可使用外部存储器进行 ECC 保护,但本文档不涉及其实现方法。
, C2 L3 g8 g' b5 }6 u4 c本文档介绍了 ECC 保护的一般信息、详细的硬件 ECC 故障管理,以及在 STM32H7 系列微控制器中实现 ECC 的具体方法。本文档提出了安全解决方案软件部分的具体实施方法。2 N$ ~0 q5 I- ~- B; E; Q0 a. E
3 S) p0 U9 B0 v% j/ p9 N1 x0 S
1.概述
6 p) ]8 H1 T& o/ V! U下表列出了本应用笔记中使用的首字母缩略词。
: h) L1 E; {* Q6 ^5 `7 ~
2 o) X& B) V; y7 R- f2 @
$ H' `) H% Y, |: X: rSTM32H7 系列微控制器是基于 Arm®的器件。5 } ` ~% _, G9 s4 p U
, {: y( ~! C' {4 U) M4 _
提示 Arm 是 Arm Limited(或其子公司)在美国和/或其他地区的注册商标。
! l! P4 w4 }# @/ R; v k% S: v+ ~# Z/ L( k
2 ECC 概述
; U0 i8 D2 o( V w+ `# {首个 ECC 由数学家 Richard Hamming 发明。第一个 Hamming 码使用 7 位存储 4 位信息,冗余位用于纠正和检测错误。在 STM32H7 系列器件中,RAM 和 Flash 存储器均使用基于 Hamming 原理的 SEC-DED 算法进行保护,差别在于添加了额外的奇偶校验位。ECC 码能够检测和纠正存储的数据字中的一位错误,并对两位错误进行检测。在 SRAM 易失性存储器中,杂散的阿尔法粒子可能会导致位值翻转。这一威胁持续存在,出现一位故障的概率不会随硬件的使用年限发生改变。在大量数据长期存储而不重置的应用中(例如电池供电的数据记录器),一位或两位错误故障的问题尤为严重。+ I/ C; I9 ^ }1 w0 o! b
在 Flash 存储器中,数据会随时间衰减,尤其是在高温下。存储温度会对 Flash 存储器数据产生影响,但循环(编程)温度的影响更大。Flash 存储器只能对每个存储字进行一定量的重写,这就需要在数据存储的情况下实现平均抹写存储区块。特定产品 Flash 存储器的典型保留时间和生命周期详见产品数据手册。
% c: f/ X; e& @: C$ O这两种类型的故障(一位错误和两位错误)均不可避免,但正确使用 ECC 可以防止数据丢失。2 d, a' m* l9 @1 l: c
! u$ }. W. F8 E1 _+ T
![0P)@JUJ[EYTST]}F0369ARH.png](data/attachment/forum/202207/10/131643uv37wa5v5ctvd3rl.png "0P)@JUJ[EYTST]}F0369ARH.png")
' C( E/ W! W( M/ k% H, f; _ h8 I2 Y: Y! P; C
2.1 ECC 的影响1 `: j# X+ ]$ ^) @2 T6 L
ECC 是嵌入式系统的关键要素之一,旨在符合安全标准的要求,如:IEC60730 C 级、IEC 61508 SIL2,乃至更高级别的标准。* J% u: g' P1 s+ C' V, e
缺乏硬件 ECC 的系统可能依然符合目标安全标准,但需要部署大量的软件。使用 ECC 内存能轻松地将总体诊断覆盖率提高到 90%以上,使系统能更好地符合严格的安全标准。ECC 的另一项优势是潜在的安全性改进,因为 ECC可能会检测到硬件篡改。6 }/ I& Z5 r2 |. c0 y* f+ d7 L6 O
: W U: ?; E* U' f( \( \4 Y: a9 a2.2 RAM ECC
) s. j" Q8 l, N; F; f& W/ PSTM32H7 系列器件的 RAM ECC 功能具有类似外设的接口:带有设置寄存器和中断功能,能够对检测到的故障作出快速响应。所有 STM32H7x5 和 x7 SRAM 以及指令/数据高速缓存存储器均受 ECC 保护。AXI-SRAM 和 ITCM�RAM 的数据宽度为 64 位。所有其他易失性存储器均以 32 位总线宽度(字长)访问。在 STM32H7x3 上,只有紧密耦合的内存和指令/数据缓存内存受 ECC 保护,其他 SRAM 不受保护。与普通外设的主要区别在于,RAM ECC 无法进行关闭。ECC 和 RAM 的时钟、供电同步进行,且 ECC 是 RAM 接口的组成部分。例如,禁用备份 SRAM 时,也会禁用与其关联的 RAM ECC 控制器。) U; ]( r0 C. I! ], }, w. l
ECC 根据数据字计算。如果在易失性存储器中写入了小于字的数据,则在读取-修改-写入的基础上进行修改。如果访问不完整,则 ECC 不会立即写入该值。因为当中可能涉及到紧跟的字节或半字,所以 ECC 会等待下一次写入访问。这是处理备份 SRAM 应用程序中的常见情况。例如,在字符数组中的能量守恒。但是,无法在复位的情况下完成写入操作(内存内容将被保留,且不写入最后一个不完整的字)。
4 I! N4 H! d9 b+ J/ t3 p# e% [对应的解决方法,是在每个常规字之后写入一个虚拟的不完整字。虚拟写入地址必须在同一内存中(本例中为备份SRAM)。; V3 b: t0 d, [6 k9 T& y
- V" y9 @1 N: } B
![)]%Z5]][}GIJAL7{YR$`53N.png](data/attachment/forum/202207/10/131643srlntlnt7blpnlb5.png ")]%Z5]][}GIJAL7{YR$`53N.png")
3 _1 h3 W T. u1 n1 D1 H& }6 l* F8 A* {$ z1 S) K* n
. ~4 y: j+ G9 b) i
1 w" h8 ?" ?& G0 ]
! {1 A6 A' {: z3 URAM ECC 控制器分配给每个内部 SRAM 块。控制器分为三个系统域:D1、D2 和 D3。来自所有内部 SRAM 单元/控制器的诊断信息被收集到一个全局控制块中。该全局控制块有一组配置寄存器和一个带事件可屏蔽功能的全局中断信号。
' l8 ]! v3 @4 ?0 p" H2 D4 w
! z5 t" {9 k: m2 N* k" l: f
- D1 v: z; S6 z
( |6 N W* \1 v4 U+ b. J+ g分配给特定 SRAM 块的特定 RAM ECC 控制器会在每次读取该 SRAM 块时,检查数据完整性。有些读取访问类型并不明显,因为某些写入操作包含隐式读取阶段。关于不明显的读取访问,举例来说,是在两个周期内,以读取/修 改/写入的方式执行不完整 RAM 写入操作。该写入操作可以是小于 RAM 字的数据写入,也可以是未对齐写入。) D* ]7 l6 }& s R2 l
* M0 L3 h; V+ P7 A* U4 P3 f
2.3 Flash 存储器 ECC
@0 `% m2 V$ ]7 r8 S对于 STM32H7x5 和 STM32H7x7 型微控制器,Flash 字(最小可编程内存量)为 256 位,而在 STM32H7x3 型上为 128 位。这也是在 Flash 字上实现 SEC 和 DED 功能所需的 10 个 ECC 位(STM32H7x3 型为 9 个 ECC 位)保护的存储器部分。只有在读取-修改-写入的基础上才能对任何较小的内存单元进行写访问,这种操作会对内存硬件造成更大的压力。STM32H7x3 型的另一个特点是在 1 千字节 OTP 区域增加了稳健性,每个 16 位都有 6 位 ECC冗余保护。STM32H7x5 和 STM32H7x7 型上无 OTP 存储区。
/ x8 x$ B/ a3 \$ V1 }- A( TECC 功能集成在 Flash 控制器中,不能禁用。如果应用并不适用于 ECC,则可禁用相关的中断功能并忽略 Flash状态寄存器中的标志位。
8 j0 I0 _6 m' H7 e& M$ L集成 ECC 解决方案的缺点在于,如果不事先擦除 Flash 字,则无法对 Flash 字中的一位进行编程。由于 EEPROM仿真或单调计数器的实现有时使用无擦除编程,因此必须为 STM32H7 系列 MCU 上的应用选择另一种算法。1 O1 b& s$ q; U1 m1 W
STM32H7 系列的 Flash 控制器还实现了硬件 CRC 完整性保护。CRC 能对 ECC 进行补充,但无法完全取代ECC。如果自动后台 CRC 检查被激活,则对 Flash 存储器的读访问也会对整个范围内的 ECC 进行隐式检查。& D$ x6 ^8 W$ E+ m
W* l* M. Q4 m/ s; z
" T' l9 e% E% J9 E- d& V" D* t! I2.4 高速缓存 ECC
* b7 P+ s0 h8 x' K; \/ |. T+ f缓存属于无地址范围的内存。其目的是针对频繁访问的内容(代码或数据)或未来即将需要的内容(例如,当前地址+1),通过保留此类内容的副本来减少访问寻址内存的延迟。实际上,缓存是一个具有不同寻址的 SRAM。5 Q; ^0 R9 H. I5 M. H
默认情况下,Cortex®-M7 L1 缓存也通过相同的 SEC DED 代码得到 ECC 的保护。当整个缓存行被覆盖时,字宽为 256 位。可以禁用缓存 ECC 保护。要修改缓存 ECC 的状态,首先须禁用代码并刷新缓存。然后可以修改 ECC设置并使用新设置重新启用缓存。. z w' `- w. P: e5 V0 B
CPU 缓存仅参与 AXIM 总线访问,ITCM 和 DTCM 地址范围无需缓存——紧密耦合的内存几乎专门用于 Cortex®-M7 内核。Cortex®-M7 处理器可以自动从指令缓存中检测到的任何 ECC 故障中恢复。一位错误被自动纠正覆盖。" K% ]2 p; e# j6 Q" C Z
对于两位错误,该行无效,且需要再次从程序存储器中加载指令。在数据缓存的情况下,两位错误检测可能会导致在重新加载旧数据时丢失正在进行的修改。请注意,对于此类罕见事件,不建议将透写操作作为应对策略。
2 P M t* F8 }* @) f% T8 R在双核 STM32H7 系列器件上支持 Cortex®-M4 内核的 ART 加速器缓存不受 ECC 保护。; t' W$ i5 [% g9 _
由于 CPU 缓存的 ECC 检测结果缺乏故障通知或接口,针对偶发的两位数据缓存 ECC 错误,唯一解决方案是手动定期清理甚至禁用缓存。定期刷新高速缓存可防止多个失败位累积到单个高速缓存行。禁用缓存可能是极端方法,但在处理关键数据时也是一种有效的预防措施。& u! Y9 l& Q0 s( ]( F |8 h. y6 y
9 F8 ~4 `/ i- e2 w
5 Q6 A. F2 x. m& Y% a9 s$ V) k3 ECC 的应用
- E+ ]% m5 w& _& g9 I/ j为了正确使用 ECC 功能,必须在固件中实现基本例程,以便对检测到的错误进行立即处理。建议记录并监控存在的错误,以便进行维护、故障预测和危险警告。该建议对于安全和工业应用尤为重要。; v2 o, X K1 ?( d: ^! D: P: K
8 w# e6 l! V( O% o% f' ~
3.1 处理 RAM 中的 ECC 错误
" V4 o+ Q0 h) g u+ {静态易失性存储器以单极晶体管的对称排列为基础。单极晶体管在表示逻辑 0 或 1 的两种状态之间翻转。该转换过程所需的能量较低,故而可使器件保持较低的功耗。
- l, J9 b/ F* x5 d* X; X8 [# ^2 t7 V杂散的阿尔法粒子可能会导致 RAM 中的某个位改变其存储值。如未正确使用 ECC 机制,则这些罕见的错误可能会随着时间的推移而累积并导致数据损坏甚至系统故障。这些事件本质上是随机事件,即无法通过某些地址上发生的错误来预测下一个错误的位置或时间。( H9 G3 _" c* ^% w8 K `, B5 K; u7 r
7 E# x$ S0 j$ a6 r
/ O3 m! k' X! v2 W8 A3.1.1 初始化! d2 W; u! q! u/ Q: o1 C
将 ECC 用于 RAM 时,必须对代码访问的所有存储器进行初始化。由于存储值和冗余位的随机初始设置,对未初始化存储器进行读取访问或未对齐写入,可能会触发 ECC 错误。. N0 G" [1 z( I* Y9 @- g
任何模式都适用于执行存储器初始化。以下是建议的后续步骤:
{5 S( i/ B8 z7 |2 UStep 1. 在 POR 或从待机模式唤醒后,或在域待机后,继续 RAM 初始化。1 P8 R/ U5 c* j, J( b- E6 \
Step 2. 在 RAM 初始化后清除 RAM ECC 状态寄存器标志。
8 C. f7 I) L! r6 x: _$ \Step 3. 激活 ECC 错误锁存。即使是可选的,这个操作对后续错误纠正和可靠性错误也有着重要的意义。! n# w. P2 q& T! z
Step 4. 使能中断,进行检测和纠错。
& m) d7 S! s5 ], L0 }3 z5 Q; t通过使用特定 RAM ECC 控制器单元的寄存器标志,可以选择性地仅对某些内存区域使能中断。0 b8 i4 }, K; v# h
Step 5. 使能全局 RAM ECC 中断。
% [! U0 T7 M \* P! V3 `. N8 x9 h; p$ a9 M6 j' l5 c: T! m
3.1.2 ECC ISR
& N1 b4 }# t0 G ?借助中断服务程序,可对 ECC 错误事件作出即时响应。然而,在 CubeHAL 中实现的 ISR(在项目中使用
8 a% x* F {6 C) p6 XSTM32CubeMX 工具生成)仅仅只是一个开始。HAL ISR 分支到一个回调函数。此函数并非 HAL 的组成部分,本节提出了实现该函数的具体方法。7 T' N# S- N" h+ I' d: D" F/ o
一位错误由 ECC 控制器自动纠正,但仅在读取数据时纠正,然后须写回修正后的数据。届时,数据和地址锁存功能将发挥重要作用。在此建议将更正后的数据写回其地址,否则可能会导致稍后出现两位故障(在同一字中的另一' b+ L" G+ k& d! ~
位损坏的情况下)。
, m- b" M- A3 L- f4 x如果仍然发生两位错误,则后续操作取决于具体损坏的内容。如果受影响的字是加载到 RAM 的代码指令,则应识别 Flash 存储器中原始代码内的加载区域,并将代码重新加载到 SRAM。同样的操作适用于任何其他初始化的部
/ i5 Z# h. Q3 d* e" b* e# |6 g, _9 w分,例如:中断向量表的副本。; z* D7 _4 x2 k; z: \$ p
如果损坏的地址落入栈区域,为了避免在不正确的上下文中执行导致进一步的损坏,必须执行系统复位。如果受影响的字地址位于数据 RAM(堆或全局变量)的边界内,则由开发人员决定,具体采取哪项操作。通常建议采取复3 L! n3 L0 [! m! I. A. x1 Y" G
位操作,但风险分析结论可能因情况而异。 O2 M$ p$ e ^0 L1 K: n( u
- h- m8 m w4 n, s n2 A5 S
& N- y% o. q u% f. f' H! M* V( f. K: l, a
进行故障后操作时,可选择记录错误以便进行后续分析。
1 e, s" s2 Y4 u; R+ A1 O0 I; g- Q( U$ Y
( X5 T) l( W5 f) B( P) r+ n* H3.1.3 RAM 中 ECC 的预防措施3 B- R2 x4 C) V+ X# v/ }
RAM ECC 事件具有随机性,因此可通过对已使用的 RAM 区域执行定期检查来防止损坏。通过读取每个字来激活ECC 检查;如果检查周期合适,则可在仅有一个错误位的情况下检测到大多数错误字。适当的检查周期可以从几小' O9 S+ b+ o) h% A* ]; x
时到几天不等,具体取决于外部环境中的辐射危害以及微控制器的作用。
/ @6 T$ D8 l7 I" V/ R1 J6 m L预防性 ECC 检查无需一轮完成。此检查属于后台任务,可在空闲时刻由后台进程或低优先级 DMA 传输执行。由于SRAM 被划分为非连续地址范围,因此不可能进行单循环或 DMA 传输。
+ X; C1 x; @$ E1 V" rMDMA 特别适合此任务,因其可以访问 ITCM/DTCM。使用 Cortex®-M7 CPU 进行内存读取检查时,会涉及到缓存(前提是已启用缓存)。通过 Cortex®-M7 缓存访问 SRAM(ITCM 和 DTCM 不在此规则中),从内存中读取的每
: o* `2 [" T: K7 j( S; K* {# d' N! p个数据都会填充 256 位的缓存行。激活每个内存字 ECC 检查的循环只读取每个 256 位的第一个字,并由缓存行继续加载剩余的字。此操作会降低 CPU 负载,但总线仍会保持高负载。
) ^. P E6 {' W( X; U2 z* F5 D5 i8 F
1 y$ g7 e |8 u! D# X8 B1 c
3.2 处理 Flash 存储器中的 ECC 错误$ o! L6 k% ^5 q" M9 v. o
Flash 存储器的典型故障是由于存储单元抹写导致的故障和电荷泄漏导致的故障。相邻单元的干扰或编程期间的电压不稳定也可能导致故障。与 SRAM 不同,特定 Flash 存储器地址中的故障可能表明同一页中发生后续故障的可能性略高。新器件上不应存在 Flash 存储器错误,故障概率会在预计寿命结束时增加。Flash 存储器的寿命主要取决于温度条件和擦除周期。% G0 o8 B5 X6 \: c0 _ v
8 f V% {4 A- Q; a3 a2 \7 H4 p
5 |1 z$ b7 i) X% K# i- o
3.2.1 Flash 存储器 ECC ISR
8 e; C9 y2 ?% c% W对于 Flash 存储器,ECC 错误通知中断包含在 Flash 存储器全局中断向量中。ISR 检查 Flash 状态寄存器Flash_SR1 的 ECC 标志“单次纠错”和“双重错误检测”,并采取适当的措施(取决于 Flash 存储器的用途)。由于中断向量与正常 Flash 存储器操作共享(如“编程结束”),ISR 应将控制权传递给 HAL,以处理其他标志。
8 F9 y% {: {* y2 z. ~, o: U
" M: x6 n/ Q0 q2 f$ @& S! `+ t4 d7 ~. t( T4 X( y
3.2.2 Flash 存储器代码
- v( {) a7 z) G; v4 w) I7 U' y- g% u片上非易失性存储器主要用于代码。正常情况下,代码的重写频率不高,因此如果发生损坏,很可能是由于老化和电荷泄漏。在双区器件上,可以拥有相同代码的第二副本,并在指示 ECC 错误时交换到该第二副本。该解决方案意味着监控两个存储区内容的健康状况。可通过健康的存储区对另一个存储区的不合格内容进行重新编程,但是不能保证此操作可以有效提高器件的预期寿命。$ F3 I2 D/ M2 B! n# x
: B+ p: |, b8 k
) r' W* f8 M, \$ s# K& d7 F# v7 n# x) r3.2.3 EEPROM 仿真
" d# i4 L3 m& E6 E如果故障 Flash 存储器单元用于存储数据,则故障原因可能与程序/擦除循环有关。在高级 EEPROM 仿真实现中,包含了处理故障存储单元并将其排除在循环之外的机制。3 r8 y3 o9 Q" X# j, u, n
$ q! H4 X4 g( j) _& ~1 x
1 b7 n) N& p3 ~9 c5 A3 e& M4 m3.2.4 Flash 存储器中 ECC 的预防措施
0 G L$ E! T: c6 \. ]- cCRC 硬件模块能够有效监控嵌入式 Flash 存储器的运行状况。CRC 可自动检查整个存储区或特定地址范围;ECC也会在读取时进行隐式检查。然后,程序必须对检测到的问题作出响应。
/ \: z E% z- m% O5 g. O7 P' u, c
$ R) S, K, u: r {4 结论
' A9 F! h; {& E" H6 W, L Z随着微电子技术在系统中的集成度越来越高,存储单元较易发生故障,因此 ECC 存储器完整性保护变得愈加重要。RAM ECC 与常规外设之间的主要区别在于——RAM ECC 作为 RAM 接口组成部分,无法进行关闭。4 _* r8 {9 v( k3 m. _
本应用笔记对 RAM、Flash 存储器和高速缓存中的 ECC 进行了介绍,此外还提供了处理 RAM 和 Flash 中 ECC 错误的程序
; k. i3 ~* l, t% U; |
, X! q* r; x9 u2 M4 A, a3 G: i' v7 }# O8 G* u+ ~8 p% t" N
|
.png)
