利用PRO-SIL高效實(shí)現汽車(chē)及工業(yè)系統的功能安全設計

工程師努力打造百分百失效保護的系統，但這個(gè)夢(mèng)想很難在實(shí)際執行中以低成本實(shí)現。因此，業(yè)界通常采用一種基于概率和風(fēng)險的方法，界定安全相關(guān)系統所需的功能安全級別，正如ISO 26262和IEC61508等標準中所采用的方式一樣。這些標準規定了(汽車(chē))安全完整性級別(ASIL/SIL)，它們明確了為通過(guò)相關(guān)系統認證，必須考慮系統的那些屬性，以及必須達到的工程工藝嚴格度，其中包括一個(gè)界定系統安全目標和容錯率的安全概念，以及一個(gè)將安全功能分配至相應的軟硬件組件，從而始終不斷地檢測系統是否正確運行的安全架構。傳統上，安全軟件、硬件和工具是一些獨立的解決方案，各自實(shí)現部分安全需求。如今，一個(gè)名為PRO-SIL的綜合性概念，為全面高效地實(shí)現功能安全，從而最大限度降低風(fēng)險，節省成本和降低復雜度，提供了一個(gè)完善的解決方案。

開(kāi)發(fā)“安全”系統的根本動(dòng)力在于確保目標系統在發(fā)生故障時(shí)，按照規定的方式安全運行。為此，IEC于上個(gè)世紀八十年代中期擬定了IEC 61508標準，該標準之后又進(jìn)行了多次修訂，它提出了電子和電氣設備安全系統的設計規范。此外，以這個(gè)通用標準為藍本，IEC/ISO還針對過(guò)程自動(dòng)化(IEC 61511)、機械自動(dòng)化(ISO 13849)、傳動(dòng)裝置(IEC 61800-5)、核電(IEC 61513)和汽車(chē)(ISO 26262草案)的特定需求編寫(xiě)了相應的標準。解決系統中每個(gè)潛在故障所需達到的安全等級將確保符合IEC61508安全標準(表1)(針對工業(yè)應用設立了SIL1到SIL4四個(gè)等級;針對汽車(chē)應用設立了ASIL A到ASIL D四個(gè)等級)

過(guò)去幾年來(lái)，功能安全從一個(gè)系統集成任務(wù)演變?yōu)榻M件/軟件級任務(wù)。簡(jiǎn)單的電子組件和復雜的單片機都需要支持IEC 61508。對于系統設計者而言，一個(gè)最重要和最耗時(shí)的挑戰是需要確保系統的安全性，并通過(guò)相關(guān)的認證——不僅包括系統認證，而且包括設備硬件和寄存器認證。IEC 61508針對硬件監控和測試提出了詳細要求，從本質(zhì)上講，它是一個(gè)側重于硬件細節的標準。編寫(xiě)和安全相關(guān)的核心軟件以實(shí)現硬件所能實(shí)現的功能既耗時(shí)又費錢(qián)，并且難以在器件之間實(shí)現移植。

多CPU方案——成本高，占位面積大

采用單通道架構和一個(gè)單片機最高只能達到SIL二級。因此工程師一般采用多個(gè)CPU設計SIL三級或ASIL C/D級安全系統和產(chǎn)品，它們不僅具備自檢功能，而且可以確保冗余性。但這是一個(gè)復雜的高成本解決方案，需要占用較大的板卡空間，2個(gè)CPU之間的同步和通訊問(wèn)題會(huì )限制其功能的實(shí)現。一個(gè)新辦法是增加特殊的外置硬件模塊和標準雙核32位單片機上的軟件庫可，突破既定的介質(zhì)診斷覆蓋率(DC)的限制。這一解決方案可以減輕開(kāi)發(fā)任務(wù)，降低器件成本(僅采用一個(gè)單片機)，并采用根據IEC 61508/ISO 26262標準開(kāi)發(fā)的可使用自檢功能的所有相關(guān)組件所構成的智能安全概念，從而讓設計人員可以快速可靠地在相關(guān)系統中實(shí)現安全功能。

告別以往采用第二個(gè)外置內核用于評估單片機功能故障的做法，TriCore內置兩個(gè)內核(圖1)，其中一個(gè)是TriCore CPU(單片機和DSP)，另一個(gè)是外設控制處理器(PCP)，不用再使用用于安全評估的增設外置內核。

圖1：TriCore結構圖——PCP實(shí)現自檢功能。

完善的設計套件

目前市場(chǎng)上有多種不同的實(shí)現安全關(guān)鍵應用的解決方案。雖然大多數領(lǐng)導廠(chǎng)商針對汽車(chē)應用推出了相應的解決方案，但面向其他應用領(lǐng)域(包括工業(yè)應用)的解決方案數量有限，而且相關(guān)產(chǎn)品的開(kāi)發(fā)規劃圖也不清晰。立足于自身滿(mǎn)足汽車(chē)系統嚴格的安全需求的豐富經(jīng)驗，英飛凌開(kāi)發(fā)出PRO-SIL系列安全產(chǎn)品，借助高度集成的安全解決方案以滿(mǎn)足工業(yè)市場(chǎng)不斷增長(cháng)的安全需求。其他應用可以輕松地利用英飛凌成熟的汽車(chē)解決方案，而且英飛凌還推出了眾多適合的產(chǎn)品型號。PRO-SIL系列產(chǎn)品基于英飛凌的32位TRiCore或16位XC2300單片機，另外還集成了SafeTcore測試軟件庫和安全監測芯片CIC61508(圖2)。這個(gè)已得到全面驗證的產(chǎn)品系列，完全符合IEC 61508的要求。

圖2：采用TriCore作為主控制器的安全相關(guān)系統，安全監測芯片和SafeTcore測試軟件庫。

創(chuàng )新的安全概念

目前有兩類(lèi)最常用的安全控制架構：?jiǎn)瓮ǖ?1oo1或一選一)和雙通道(1oo2或二選一)結構，后者基于兩個(gè)獨立的處理器。1oo1結構可用于設計安全完整性級別最高為SIL二級的經(jīng)濟型解決方案。雙通道架構(1oo2)可用于設計安全完整性達到SIL三級的安全解決方案，但成本更高，需要占用更大的板卡空間。PRO-SIL產(chǎn)品系列采用的是一個(gè)集成智能診斷功能的1oo1架構(1oo1D)。

這個(gè)創(chuàng )新的安全概念立足于詢(xún)問(wèn)—應答機制，其中，TriCore芯片上的PCP發(fā)出詢(xún)問(wèn)，而主TriCore CPU負責執行測試。相關(guān)信息通過(guò)一個(gè)共享內存結構傳遞，數據始終保持冗余。PCP實(shí)現自檢功能，該功能由外置智能化安全監測芯片(CIC61508)進(jìn)行監控，后者通過(guò)SPI接口被連接至TriCore芯片(圖3)。配備安全監測芯片是最大限度減少常見(jiàn)原因故障的一個(gè)有效方式。安全監測芯片以規定的時(shí)間間隔與TriCore通信，根據相關(guān)標準檢查T(mén)riCore芯片的時(shí)鐘、電壓和操作狀態(tài)。另一方面，TriCore監控CIC61508的電源，并利用遠程診斷功能監控其工作狀態(tài)。主TriCore CPU和PCP共用錯誤檢測功能(硬件故障和任務(wù)監控)。

圖3：創(chuàng )新PRO-SIL概念立足于詢(xún)問(wèn)—應答機制，其中，TriCore芯片上的PCP發(fā)出詢(xún)問(wèn)，而主TriCore CPU負責執行測試。此外，PCP由外置智能化安全監測芯片(CIC61508)進(jìn)行監控，后者通過(guò)SPI接口被連接至TriCore芯片。

PCP軟件具備PCP自檢、C/R(詢(xún)問(wèn)/應答)通信、安全監測芯片通信、測試執行監控和任務(wù)監控等功能。在TriCore上運行的SafeTcore測試軟件庫是一個(gè)可配置的框架，提供驗證處理器和系統完整性的測試功能(圖4)。大多數測試既可以在系統啟動(dòng)時(shí)執行，也可以在系統運行期間在后臺執行。典型的診斷間隔時(shí)間為6.4ms。最復雜的測試是TriCore CPU自檢。利用PRO-SIL這一創(chuàng )新安全概念，這個(gè)基于操作碼的自檢的整體診斷覆蓋率可以達到96.5%，大大高于其他指令集測試的覆蓋率，此外它還具備可以中斷和低延時(shí)等優(yōu)勢。