微处理器(MCU)是ECU中的关键组件。使用传统的汽车MCU不可能达到SIL3认证要求。需要采用全新的芯片架构，以确保处理结果、总线流量的数据完整性以及存储器中数据的安全性与可靠性，同时满足严格的响应时间要求。
    根据IEC 61508标准，危险故障的成因包括以下因素：
    (1)软件或硬件系统规范不正确；(2)安全要求规范缺失；(3)硬件随机故障；(4)系统原因故障；(5)人为错误；(6)环境影响（EMI、温度以及机械等）。
    从完整系统的角度来说，危险评估和安全完整性要求包括以下因素：
    · 在电压下降、假信号等情况下确保稳定的电源供给和时钟信号完整性；
    · 用于处理与通信的冗余性或真实性检查，其中包括往返于传感器和执行器的信号；
    · 提供故障检验功能；
    · 提供故障管理策略，其中包括在故障容错架构、紧急操作模式及可控系统关断等情况下定义安全状态和故障防护；
    · 增强型软件开发进程包括使用正式规范、编程语言子集以及代码验证工具等。

                                    硅芯片的强大支持
    开发人员可充分利用市场上的微处理器，为ECU制动控制功能达到SIL3认证标准提供所需技术。TI与罗伯特·博世有限公司(Robert Bosch GmbH)联合开发的TMS570就是一款这样的微处理器。
    在硅芯片设计中，芯片布局本身就是一项很大的挑战，应包括专用知识产权(IP)以减少并检测随机硬件和系统故障原因。此外，还可用运行于锁步(lock-step)模式的双核处理器架构来比较处理结果，从而避免为开发独立的检验微处理器软件耗费大量的时间。为了保护存储器子系统免受外部事件引发的故障影响，应在主存储器和本地存储器以及总线流量上实施错误校正代码(ECC)和奇偶位保护机制。为简化开发工作，开发人员还应使用MCU中已实施FlexRayTM网络协议的器件。这种由领先汽车制造商和供应商开发的确定性通信标准能为高级汽车系统提供全面确定的冗余通信。
    例如，TI的TMS570 MCU是一款基于两个相同的新一代ARM R4 CortexTM内核之上的对称型双核MCU。每个Cortex-R4内核的性能均可达到300 MIPS，而且TMS570还集成了2 MB的片上闪存、FlexRayTM网络、BIST、CAN及多种外设。双核与正在申请专利的架构紧密耦合，可实现最高可靠性。

                                       Cortex-R4的优势
    Cortex-R4的64位AMBA 3 AXI 存储器接口能够提供几项可增强可靠性的重要性能优势，其中包括发出多个待定地址，并支持乱序数据返回。
    AMBA 3 AXI存储接口另一个最显著的优势还在于，即便存储器或外设速度较慢，也不会阻塞总线，进而影响存取速度。这种功能使得内核不必等待速度较慢的存取完成，从而可以执行更多存取。此外，64位宽总线还提高了可用带宽，从而仅需四次存取就能完成高速缓存行填充，而不像ARM946E-S那样需要八次。