利用PRO-SIL高效實(shí)現汽車(chē)及工業(yè)系統的功能安全設計

圖4：SafeTcore軟件分區。

SafeTcore測試軟件庫

SafeTcore套件為同時(shí)達成如下兩個(gè)目標提供了相應的工具：其一，通過(guò)SIL一級至三級(或ASIL B級至D級)認證;其二，滿(mǎn)足苛刻的上市時(shí)間要求。通過(guò)認證的最大挑戰是在芯片級實(shí)現所要求的測試，并編寫(xiě)相應的文檔備份安全測試例程。SafeTcore套件借助一個(gè)面向TriCore系列產(chǎn)品的高度可配置的驅動(dòng)程序庫，加上全套安全手冊、安全測試例程以及需求/跟蹤數據庫，能夠讓設計人員達成上述目標。運行在PCP上的功能強大的SafeTcore自檢程序，可以在系統啟動(dòng)時(shí)執行，也可以在系統運行期間定期執行(圖5)，從而確保用戶(hù)軟件和TriCore CPU自身的正常運行。

圖5：SafeTcore啟動(dòng)和關(guān)閉測試。

內核測試功能與全面的外設測試以及安全監測芯片自動(dòng)支持功能相輔相成。SafeTcore測試軟件庫中的系列軟件測試程序，還具備操作系統監測功能，可執行復雜任務(wù)和進(jìn)程監控任務(wù)，以超過(guò)99%的診斷覆蓋率，確保程序代碼安全執行。SafeTcore套件還包括一本可讓設計人員將不同的軟件庫元素與用戶(hù)軟件相結合的安全手冊，以及安全完整性認證證書(shū)。

安全監測芯片

CIC61508可被集成于不同的功能安全相關(guān)應用。該芯片負責監控主單片機(例如TriCore芯片)，提供相關(guān)功能，檢測可導致單片機運算錯誤的時(shí)鐘、電源和溫度等常見(jiàn)故障模式。由于采用占板空間較小的TSSOP-38封裝，CIC61508成為一種支持安全應用的既經(jīng)濟又節省板卡空間的安全監測芯片。

在采用TriCore單片機的安全相關(guān)系統中，TriCore CPU負責運行SafeTcore測試軟件，對內核和外設進(jìn)行測試，而PCP負責監控TriCore主核的運行。外置CIC61508安全監測芯片同時(shí)監控TriCore CPU和PCP，以查明常見(jiàn)故障原因。由于PCP已經(jīng)實(shí)現了不同的自檢功能，因此TriCore/CIC61508組合僅僅需要CIC61508所提供的功能的一部分。

CIC61508所提供的測試功能，存放在內部ROM中，包括一個(gè)內部操作代碼測試排程器/定序器，它可生成帶有特定數據的測試請求序列，根據用戶(hù)定義的表格檢查應答。CIC61508還具備同時(shí)檢測最多4個(gè)電源域的欠壓和過(guò)壓故障的能力，同時(shí)監控最多8個(gè)并行數據比較和驗證函數的能力。它還配備了一個(gè)操作系統任務(wù)監視器，可檢查所有安全關(guān)鍵任務(wù)的預定調度序列和執行預算。

應用實(shí)例

PRO-SIL SafeTCore是一個(gè)完善的解決方案，包括經(jīng)過(guò)優(yōu)化的TriCore和XC2300單片機、安全測試軟件庫、服務(wù)和相關(guān)文檔，并為目標系統通過(guò)功能安全認證鋪平了道路。該安全概念基于TriCore非對稱(chēng)雙核架構，配備一個(gè)外置安全監測芯片。硬件功能與診斷軟件庫結合在一起，這樣系統集成設計人員就可輕松地進(jìn)行各種常規的系統測試。該產(chǎn)品系列支持符合IEC 61508標準的安全完整性高達SIL3的相關(guān)安全系統設計。PRO-SIL安全解決方案已得到業(yè)界的肯定，Hitex公司所提供的SafeTkit被授予“2011年嵌入式大獎”;此方案同時(shí)也得到很多全球重要工業(yè)用戶(hù)的良好評價(jià)，如Parker Hannifin公司就采用極具創(chuàng )新的PRO-SIL SafeTCore套件設計出自己的最新安全產(chǎn)品。

圖6: IQAN-MC3：Parker Hannifin利用PRO-SIL快速可靠地開(kāi)發(fā)出創(chuàng )新型可編程液壓控制器IQAN-MC3。

可靠的移動(dòng)設備安全控制器設計

Parker Hannifin公司采用英飛凌的PRO-SIL開(kāi)發(fā)了一種創(chuàng )新型可編程液壓控制器。設備制造商(OEM)和系統集成商可利用該控制器開(kāi)發(fā)非公路移動(dòng)設備。這個(gè)設計基于TC1197，以下這些數據可以很好地說(shuō)明開(kāi)發(fā)人員設計IQAN-MC3時(shí)所面臨的挑戰：687條設計要求、674行FMEDA故障分析程序、2800個(gè)軟件和超過(guò)500個(gè)硬件測試。依托PRO-SIL概念，開(kāi)發(fā)人員得以快速可靠地完成了這一復雜的設計。

全新推出的IQAN-MC3可在一個(gè)模塊中同時(shí)控制移動(dòng)設備的安全和操作功能，這樣不僅可以大大減少系統的設計時(shí)間和成本，而且可以提升設備的性能、安全性和生產(chǎn)率。新型控制器的推出，迎合了非公路移動(dòng)設備制造商對于用于安全系統的生產(chǎn)和開(kāi)發(fā)、具備改進(jìn)性能并且符合全球公認的功能安全標準(例如EN ISO 13849-1(機械指令))的組件和軟件不斷增長(cháng)的需求。為此，Parker Hannifin利用PRO-SIL產(chǎn)品設計出符合IEC 61508標準的IQAN-MC3，使有效達到符合SIL 2標準的各類(lèi)安全功能的操作和性能級別成為可能。該控制器還是符合EN ISO 13849-1標準的PLD子系統的組件之一。

SafeTkit——蓄勢待發(fā)

英飛凌攜手Hitex推出了一個(gè)綜合性服務(wù)套件。SafeTkit是一個(gè)板級解決方案，包括TriCore單片機、CIC61508 和所有相關(guān)軟件和文檔。這個(gè)完善的安全解決方案最大限度簡(jiǎn)化了符合IEC 61508標準的應用設計，同時(shí)可節省設計資源，縮短客戶(hù)的產(chǎn)品開(kāi)發(fā)周期。

圖7: SafeTkit：32位SafeTkit是滿(mǎn)足ASIL D級/SIL三級安全設計要求的平臺的核心，它易于配置和使用。它基于一個(gè)配備安全監測芯片CIC61508和SafeTcore測試軟件庫的TriCore評估板。

SafeTkit基于一個(gè)配備安全監測芯片CIC61508的TriCore評估板。除SafeTcore測試軟件庫外，SafeTkit還包含一個(gè)完整的工具鏈，其中有免費提供的通用TriCore編譯器、安全示范應用和測試平臺。該安全套件還提供一整套文檔，包含安全手冊和快速入門(mén)指南等。它提供所有主要的安全特性，這些特性可以進(jìn)行配置，以評估它們對于系統行為的影響，了解底層的概念。目前，英飛凌已針對TC1767、TC1782、TC1797和TC1387處理器推出用于安全認證的SafeTcore測試軟件庫和文檔。公司還將在不久以后推出面向其他TriCore和XC2300型號的測試軟件庫和文檔。此外，Hitex可針對SafeTkit提供全面的設計支持，以及相關(guān)的培訓和咨詢(xún)服務(wù)。