智能底盤技術開始崛起，最近TI也分享了自己的見解，認為鎖步內核高性能MCU是支撐新一代高安全、高靈敏智能底盤落地的關鍵。無獨有偶，隨著自動駕駛的崛起，MCU的可靠性對于維持操作安全至關重要，即便是一個小故障，也可能導致整個系統的故障，危及乘客和其他道路使用者的安全。此時，鎖步技術也成為了關鍵。

如今，鎖步技術在汽車MCU中已經成為標配，那么你對這項技術了解嗎？今天EEWorld就來詳細解析這項技術值得關注的技術點。

什么是鎖步技術

鎖步架構（lock-step）是一種MCU/處理器設計方法，是一種傳統且成熟的高診斷覆蓋率實現方式，其核心目標是檢測錯誤條件的發生。

其原理非常簡單：兩個或者多個冗余內核同時連接到一組硬件比較器（Comparator Logic），并執行完全相同的程序代碼。同步執行機制通常依賴共享時鐘、專用硬件信號或軟件控制邏輯實現，使系統能夠通過比對各冗余內核的輸出結果，實現故障的檢測與修正。比較器會逐周期（Cycle-by-Cycle）比較兩個核心的輸出結果。

當兩個或者多個核心的結果完全一致時，系統正常運行；一旦檢測到結果存在差異，即表明某一內核出現故障，系統會隨即啟動修正措施，確保整體持續正常運行。

以下是Arm DCLS（雙核鎖步）和Arm TCLS（三核鎖步）的示意圖：

后續處理方式由系統開發者根據具體應用場景決定。例如：重啟系統；等待一段時間后重新驗證故障是否仍然存在；進入安全狀態（Safe State）；執行其他故障恢復策略。

不過，鎖步技術會讓MCU成本大大增加，此外鎖步機制是在芯片設計階段固化到硬件中的，因此缺乏靈活性。雖然系統實際上使用了兩個或多個CPU核，但由于兩個核心始終執行同一任務，因此最終只能獲得單核的計算性能。

鎖步的內核有很叫法，包括：Primary CPU/Shadow CPU、Main CPU/Shadow CPU、Master Core/Checker Core、Master Core/Slave Core……

MCU鎖步主要類型

完全鎖步（Full Lockstep）：Master Core與Checker Core的每一條指令都實時同步比對，故障檢測精度達到指令級別，安全性最高，是汽車行業 ASIL-D 級系統的首選。

分時鎖步（Delayed Lockstep）：Checker Core延遲幾個時鐘周期再執行相同指令，通過時間冗余降低硬件成本，但故障檢測有微小延遲，適用于對成本敏感的中低安全等級場景。

需要注意的是，Delayed Lockstep是否優于Full Lockstep，本質上取決于具體應用需求。兩種方式比較的東西是一樣的，不同只是dealyed lockstep、checker core的輸入和main core的輸出都要增加dff打拍。

幾種主流的LockStep架構

目前，國外的LockStep架構有很多方式實現。下列為幾種主流的LockStep架構:

主從式處理器驗證比較：主從式架構采用一個主處理器（Master）執行實際任務，另一個檢查處理器（Checker）同步運行相同任務，并對結果進行比對。當兩者結果不一致時，系統判定發生故障，并觸發異常處理機制。

這種方案實現簡單、成本較低，能夠基于現有處理器快速擴展，因此被廣泛應用于早期安全系統。其特點是安全相關控制軟件僅在主核執行一次，而檢查核運行簡化的校驗程序，對主核輸出結果進行驗證，從而降低整體處理器負載。

不過，該架構通常需要額外的外部同步比較邏輯，比較效率較低，且會帶來一定的性能損失，因此故障檢測能力和實時性相對有限。

雙處理器內部驗證比較：雙處理器內部比較架構將同步比較邏輯集成到處理器內部，兩個核心同時執行相同任務，并在內部完成結果比對。對于用戶而言，其使用方式與單處理器基本一致，無需額外的軟件協調和板級比較電路。

該方案能夠有效降低系統復雜度和硬件成本。通常兩個核心分別執行相同的安全任務，并在軟件或硬件層面對結果進行交叉驗證，只有在結果一致或誤差處于允許范圍內時，才向執行機構輸出控制指令。

但其檢測范圍主要集中在CPU核心內部及總線接口之間，對于Memory、Bridge等外圍資源的故障覆蓋能力有限，因此在系統級故障檢測方面存在一定局限性。

定制雙核處理器驗證比較：定制雙核LockStep是目前功能安全等級較高的實現方式。該架構專門設計了兩顆對稱處理核心，在取指、譯碼、執行等流水線階段進行實時同步比較。

系統在雙核同步取指時即可對每條指令進行比對，一旦發現差異，立即觸發故障隔離機制。由于比較發生在指令級甚至流水線級，因此能夠在故障發生的第一時間完成檢測與定位，具有響應速度快、定位精確、故障覆蓋率高等優勢。

部分高級實現還采用分階段執行機制首先由兩個核心分別完成預處理任務，然后交換中間結果并執行安全相關計算，通過交叉驗證進一步發現和處理潛在故障，從而提高整體診斷覆蓋率和系統可靠性。

容易被混淆的概念

雙核模式和鎖步模式是兩個不同的概念，時常會被人混淆，兩個技術的目的和運行方式都不同。

• 鎖步模式：是為了讓系統更安全，主要目的是故障檢測與容錯，兩個核心執行完全相同的代碼，最終算力只相當于單核新能，支持ASIL-D；

• 雙核模式：是為了發揮更好的性能，主要目的是并行處理多任務，兩個核心執行不同的代碼，最終算力算力接近2個核，通常支持ASIL-B或QM。

此外，需要注意的是，鎖步核能夠顯著降低MCU運行至非預期區域的風險，但無法從根本上完全杜絕此類情況。鎖步解決的是SEU的問題，通過雙核同步執行和結果比對來發現異常。對于代碼執行區域隔離、權限控制和非法訪問防護，通常需要依賴TrustZone。

汽車上，鎖步技術怎么運行

汽車對安全可靠性要求極高，鎖步架構至關重要。即便某一內核因瞬時故障或硬件損壞發生失效、輸出錯誤結果，另一內核仍能提供正確輸出，這為系統增添了一層容錯保障，也讓鎖步技術成為各類高功能安全等級系統的優選方案。

如今的車輛集成了眾多ECU，管理從發動機性能到安全操作（如制動和安全氣囊展開）等功能。鎖步架構確保這些ECU可靠運行，能夠迅速檢測和響應故障，以維護安全。

在自動駕駛車輛中，鎖步應用于處理傳感器數據并執行實時駕駛決策的CPU中。這種冗余執行確保數據處理中的故障能立即被發現，從而立即采取糾正措施以維持安全運行。

高級駕駛輔助系統（ADAS）同樣大量采用鎖步技術。例如車道保持輔助、自動緊急制動以及碰撞預警等功能，都依賴于高可靠的數據處理能力。鎖步架構通過持續監測處理器運行狀態，確保感知、決策和控制鏈路中的數據處理結果準確一致，從而提升整車功能安全水平。

隨著汽車網絡安全威脅日益增加，鎖步架構在提升系統抗攻擊能力方面也發揮著重要作用。特別是在滿足ASIL-D等最高等級功能安全認證的微控制器中，鎖步機制能夠有效增強系統對故障注入攻擊（Fault Injection Attack）的防御能力。通過冗余計算與持續交叉校驗，系統可以快速識別由于電壓干擾、時鐘篡改、電磁攻擊等手段導致的異常行為，并及時觸發安全響應機制，從而降低惡意攻擊對車輛關鍵功能的影響，進一步提升汽車電子系統的安全性與韌性。

在汽車功能安全標準ISO2626中，硬件層面附錄D對處理單元的診斷覆蓋率推薦的安全技術措施中，作為可實現高診斷覆蓋率的幾種技術措施之一，硬件冗余技術中，雙核鎖步、非對稱冗余、編碼計算是三種典型的技術措施。

英飛凌官方推薦在功能安全等級為ASIL-C和ASIL-D情況下，要激活啟用LockStep功能；對于QM，ASIL-A和ASIL-B沒有強制要求。在多核系統中，要求功能安全等級在ASIL-C以上的核，必須開啟LockStep功能。

鎖步技術，成為標配

目前，隨著汽車行業深入發展，鎖步技術逐漸成為車規MCU的標配，與此同時，由雙核鎖步向多核鎖步發展，與此同時鎖步芯片能支持的計算能力越來越強，最高的主頻由原來200～300MHz上升到1GHz。

當下廠商對于鎖步技術也有了自己的理解。

比如，英飛凌AURIX TC4x系列TriCore從v1.6.2升級到v1.8，頻率從300MHz提升到500MHz，最高支持6對鎖步核同時運行。更重要的是，英飛凌實現了獨有的“異構鎖步”架構技術，與依賴于相同核心來檢測錯誤的傳統鎖步架構不同，英飛凌的多樣化鎖步技術使用兩個不同的核心，它們以不同的方式運行。它們采用不同的架構和指令來完成相同的整體任務。

恩智浦的全球首款16nm FinFET+MRAM的S32K5系列MCU提供單核、多核及鎖步內核配置選項，包括Arm Cortex-M7內核與Arm CortexR52內核，運行頻率為200～800MHz，還有一個信號處理器（DSP）。

瑞薩的RH850 CPU內核結構多樣—包括單核、多核、鎖步核或其組合。

國內廠商新推出的汽車MCU也都標配了鎖步技術，包括Arm內核和RISC-V產品。

芯弛E3650專為新一代跨域融合的控制型ZCU（區域控制單元）應用設計，采用最新的Arm Cortex-R52高性能鎖步多核集群。

矽力杰新推出的SA32D系列ASIL-D車規級MCU作為一款RISC-V架構的MCU，也支持雙核鎖步（Lockstep）設計，設計上涵蓋雙核至最高6核RISC-V內核，主頻最高可達300MHz。

國科安芯研制的一款32位RISC-V指令集MCU AS32X601也采用雙核鎖步架構，主頻高達180MHz，支持ASIL-B功能安全等級。AS32X601的E7內核采用動態分支預測與8級雙發射流水線設計，雙核以鎖步模式運行，通過專用錯誤控制模塊（FCU）檢測差異并觸發安全響應（如復位或中斷），有效防范瞬態故障與永久性硬件失效。

國內首款融合RISC-V 架構、AI推理、抗量子密碼三大特征的高性能汽車MCU——國芯科技宣布CCRC4XXX，可以做到DCLS鎖步與混合模式。DCLS（Dual-Core Lockstep）模式：每個主核配一個延遲鎖步核（Checker Core），兩核執行相同指令流；混合模式（Hybrid Mode）：部分鎖步核可重新配置為獨立主核，例如8+4 配置其中Core2/3的鎖步核釋放為獨立核。

紫光同芯的THA6系列汽車域控芯片配置多達5組的雙核鎖步內核，最高主頻達300MHz，計算能力達4000+DMIPS，內嵌大容量Flash和SRAM，為用戶未來的功能擴展提供了充分的靈活性。

目前，RISC-V還在研究時間鎖步（Temporal Lockstep, TL）的概念，針對MCU級 RISC-V Ibex處理器實現抗單粒子瞬態（SET）、單粒子翻轉（SEU）防護，在PPA之間實現更優權衡，并完成65nm流片實測與全面對比驗證。（Tedeschi, Riccardo, et al. "Temporal Lockstep: Low-Cost Resilient Design for Microcontroller-Class RISC-V Processors." IEEE Access 14 (2026): 44575-44590.）

總之，當下行業還在不斷對鎖步技術進行研究，而對廠商來說，鎖步技術也是保障功能安全的其中一環，為了增強魯棒性，MCU中每個技術的相互配合都非常關鍵。

有獎直播報名中｜瑞薩電子傳感與檢測技術專題研討會 直播時間：6月25日（周四）上午10:00-11:30 本次直播將深入講解：

• RAA2S4704阻抗檢測IC在方向盤離手檢測（HOD）中的應用
• 瑞薩傳感器信號調理器（SSC）產品平臺
• 瑞薩電感式位置傳感器技術

參考文獻

[1]Arm：https://developer.arm.com/community/arm-community-blogs/b/embedded-and-microcontrollers-blog/posts/comparing-lock-step-redundant-execution-versus-split-lock-technologies

[2]Electronic Design：https://www.electronicdesign.com/markets/automotive/article/55363542/how-does-lockstep-architecture-enhance-mcu-performance

[3]零一棧：https://mp.weixin.qq.com/s/W_X0b6K3ks9CYmP_x2-8JQ

[4]ADAS與ECU之吾見：https://mp.weixin.qq.com/s/hjENJgvgqF_vTIok_x2NIw

[5]乾勤科技：汽車處理器中的LockStep技術

歡迎關注EEWorld旗下訂閱號：“汽車開發圈”

和電子工程師們面對面交流經驗