利用PRO-SIL高效實(shí)現(xiàn)汽車及工業(yè)系統(tǒng)的功能安全設(shè)計(jì)

 工程師努力打造百分百失效保護(hù)的系統(tǒng)，但這個(gè)夢(mèng)想很難在實(shí)際執(zhí)行中以低成本實(shí)現(xiàn)。因此，業(yè)界通常采用一種基于概率和風(fēng)險(xiǎn)的方法，界定安全相關(guān)系統(tǒng)所需的功能安全級(jí)別，正如ISO 26262和IEC61508等標(biāo)準(zhǔn)中所采用的方式一樣。這些標(biāo)準(zhǔn)規(guī)定了(汽車)安全完整性級(jí)別(ASIL/SIL)，它們明確了為通過(guò)相關(guān)系統(tǒng)認(rèn)證，必須考慮系統(tǒng)的那些屬性，以及必須達(dá)到的工程工藝嚴(yán)格度，其中包括一個(gè)界定系統(tǒng)安全目標(biāo)和容錯(cuò)率的安全概念，以及一個(gè)將安全功能分配至相應(yīng)的軟硬件組件，從而始終不斷地檢測(cè)系統(tǒng)是否正確運(yùn)行的安全架構(gòu)。傳統(tǒng)上，安全軟件、硬件和工具是一些獨(dú)立的解決方案，各自實(shí)現(xiàn)部分安全需求。如今，一個(gè)名為PRO-SIL的綜合性概念，為全面高效地實(shí)現(xiàn)功能安全，從而最大限度降低風(fēng)險(xiǎn)，節(jié)省成本和降低復(fù)雜度，提供了一個(gè)完善的解決方案。

開(kāi)發(fā)“安全”系統(tǒng)的根本動(dòng)力在于確保目標(biāo)系統(tǒng)在發(fā)生故障時(shí)，按照規(guī)定的方式安全運(yùn)行。為此，IEC于上個(gè)世紀(jì)八十年代中期擬定了IEC 61508標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)之后又進(jìn)行了多次修訂，它提出了電子和電氣設(shè)備安全系統(tǒng)的設(shè)計(jì)規(guī)范。此外，以這個(gè)通用標(biāo)準(zhǔn)為藍(lán)本，IEC/ISO還針對(duì)過(guò)程自動(dòng)化(IEC 61511)、機(jī)械自動(dòng)化(ISO 13849)、傳動(dòng)裝置(IEC 61800-5)、核電(IEC 61513)和汽車(ISO 26262草案)的特定需求編寫了相應(yīng)的標(biāo)準(zhǔn)。解決系統(tǒng)中每個(gè)潛在故障所需達(dá)到的安全等級(jí)將確保符合IEC61508安全標(biāo)準(zhǔn)(表1)(針對(duì)工業(yè)應(yīng)用設(shè)立了SIL1到SIL4四個(gè)等級(jí);針對(duì)汽車應(yīng)用設(shè)立了ASIL A到ASIL D四個(gè)等級(jí))

過(guò)去幾年來(lái)，功能安全從一個(gè)系統(tǒng)集成任務(wù)演變?yōu)榻M件/軟件級(jí)任務(wù)。簡(jiǎn)單的電子組件和復(fù)雜的單片機(jī)都需要支持IEC 61508。對(duì)于系統(tǒng)設(shè)計(jì)者而言，一個(gè)最重要和最耗時(shí)的挑戰(zhàn)是需要確保系統(tǒng)的安全性，并通過(guò)相關(guān)的認(rèn)證——不僅包括系統(tǒng)認(rèn)證，而且包括設(shè)備硬件和寄存器認(rèn)證。IEC 61508針對(duì)硬件監(jiān)控和測(cè)試提出了詳細(xì)要求，從本質(zhì)上講，它是一個(gè)側(cè)重于硬件細(xì)節(jié)的標(biāo)準(zhǔn)。編寫和安全相關(guān)的核心軟件以實(shí)現(xiàn)硬件所能實(shí)現(xiàn)的功能既耗時(shí)又費(fèi)錢，并且難以在器件之間實(shí)現(xiàn)移植。

多CPU方案——成本高，占位面積大

采用單通道架構(gòu)和一個(gè)單片機(jī)最高只能達(dá)到SIL二級(jí)。因此工程師一般采用多個(gè)CPU設(shè)計(jì)SIL三級(jí)或ASIL C/D級(jí)安全系統(tǒng)和產(chǎn)品，它們不僅具備自檢功能，而且可以確保冗余性。但這是一個(gè)復(fù)雜的高成本解決方案，需要占用較大的板卡空間，2個(gè)CPU之間的同步和通訊問(wèn)題會(huì)限制其功能的實(shí)現(xiàn)。一個(gè)新辦法是增加特殊的外置硬件模塊和標(biāo)準(zhǔn)雙核32位單片機(jī)上的軟件庫(kù)可，突破既定的介質(zhì)診斷覆蓋率(DC)的限制。這一解決方案可以減輕開(kāi)發(fā)任務(wù)，降低器件成本(僅采用一個(gè)單片機(jī))，并采用根據(jù)IEC 61508/ISO 26262標(biāo)準(zhǔn)開(kāi)發(fā)的可使用自檢功能的所有相關(guān)組件所構(gòu)成的智能安全概念，從而讓設(shè)計(jì)人員可以快速可靠地在相關(guān)系統(tǒng)中實(shí)現(xiàn)安全功能。

告別以往采用第二個(gè)外置內(nèi)核用于評(píng)估單片機(jī)功能故障的做法，TriCore內(nèi)置兩個(gè)內(nèi)核(圖1)，其中一個(gè)是TriCore CPU(單片機(jī)和DSP)，另一個(gè)是外設(shè)控制處理器(PCP)，不用再使用用于安全評(píng)估的增設(shè)外置內(nèi)核。

圖1：TriCore結(jié)構(gòu)圖——PCP實(shí)現(xiàn)自檢功能。

完善的設(shè)計(jì)套件

目前市場(chǎng)上有多種不同的實(shí)現(xiàn)安全關(guān)鍵應(yīng)用的解決方案。雖然大多數(shù)領(lǐng)導(dǎo)廠商針對(duì)汽車應(yīng)用推出了相應(yīng)的解決方案，但面向其他應(yīng)用領(lǐng)域(包括工業(yè)應(yīng)用)的解決方案數(shù)量有限，而且相關(guān)產(chǎn)品的開(kāi)發(fā)規(guī)劃圖也不清晰。立足于自身滿足汽車系統(tǒng)嚴(yán)格的安全需求的豐富經(jīng)驗(yàn)，英飛凌開(kāi)發(fā)出PRO-SIL系列安全產(chǎn)品，借助高度集成的安全解決方案以滿足工業(yè)市場(chǎng)不斷增長(zhǎng)的安全需求。其他應(yīng)用可以輕松地利用英飛凌成熟的汽車解決方案，而且英飛凌還推出了眾多適合的產(chǎn)品型號(hào)。PRO-SIL系列產(chǎn)品基于英飛凌的32位TRiCore或16位XC2300單片機(jī)，另外還集成了SafeTcore測(cè)試軟件庫(kù)和安全監(jiān)測(cè)芯片CIC61508(圖2)。這個(gè)已得到全面驗(yàn)證的產(chǎn)品系列，完全符合IEC 61508的要求。

圖2：采用TriCore作為主控制器的安全相關(guān)系統(tǒng)，安全監(jiān)測(cè)芯片和SafeTcore測(cè)試軟件庫(kù)。

創(chuàng)新的安全概念

目前有兩類最常用的安全控制架構(gòu)：?jiǎn)瓮ǖ?1oo1或一選一)和雙通道(1oo2或二選一)結(jié)構(gòu)，后者基于兩個(gè)獨(dú)立的處理器。1oo1結(jié)構(gòu)可用于設(shè)計(jì)安全完整性級(jí)別最高為SIL二級(jí)的經(jīng)濟(jì)型解決方案。雙通道架構(gòu)(1oo2)可用于設(shè)計(jì)安全完整性達(dá)到SIL三級(jí)的安全解決方案，但成本更高，需要占用更大的板卡空間。PRO-SIL產(chǎn)品系列采用的是一個(gè)集成智能診斷功能的1oo1架構(gòu)(1oo1D)。

這個(gè)創(chuàng)新的安全概念立足于詢問(wèn)—應(yīng)答機(jī)制，其中，TriCore芯片上的PCP發(fā)出詢問(wèn)，而主TriCore CPU負(fù)責(zé)執(zhí)行測(cè)試。相關(guān)信息通過(guò)一個(gè)共享內(nèi)存結(jié)構(gòu)傳遞，數(shù)據(jù)始終保持冗余。PCP實(shí)現(xiàn)自檢功能，該功能由外置智能化安全監(jiān)測(cè)芯片(CIC61508)進(jìn)行監(jiān)控，后者通過(guò)SPI接口被連接至TriCore芯片(圖3)。配備安全監(jiān)測(cè)芯片是最大限度減少常見(jiàn)原因故障的一個(gè)有效方式。安全監(jiān)測(cè)芯片以規(guī)定的時(shí)間間隔與TriCore通信，根據(jù)相關(guān)標(biāo)準(zhǔn)檢查TriCore芯片的時(shí)鐘、電壓和操作狀態(tài)。另一方面，TriCore監(jiān)控CIC61508的電源，并利用遠(yuǎn)程診斷功能監(jiān)控其工作狀態(tài)。主TriCore CPU和PCP共用錯(cuò)誤檢測(cè)功能(硬件故障和任務(wù)監(jiān)控)。

圖3：創(chuàng)新PRO-SIL概念立足于詢問(wèn)—應(yīng)答機(jī)制，其中，TriCore芯片上的PCP發(fā)出詢問(wèn)，而主TriCore CPU負(fù)責(zé)執(zhí)行測(cè)試。此外，PCP由外置智能化安全監(jiān)測(cè)芯片(CIC61508)進(jìn)行監(jiān)控，后者通過(guò)SPI接口被連接至TriCore芯片。

PCP軟件具備PCP自檢、C/R(詢問(wèn)/應(yīng)答)通信、安全監(jiān)測(cè)芯片通信、測(cè)試執(zhí)行監(jiān)控和任務(wù)監(jiān)控等功能。在TriCore上運(yùn)行的SafeTcore測(cè)試軟件庫(kù)是一個(gè)可配置的框架，提供驗(yàn)證處理器和系統(tǒng)完整性的測(cè)試功能(圖4)。大多數(shù)測(cè)試既可以在系統(tǒng)啟動(dòng)時(shí)執(zhí)行，也可以在系統(tǒng)運(yùn)行期間在后臺(tái)執(zhí)行。典型的診斷間隔時(shí)間為6.4ms。最復(fù)雜的測(cè)試是TriCore CPU自檢。利用PRO-SIL這一創(chuàng)新安全概念，這個(gè)基于操作碼的自檢的整體診斷覆蓋率可以達(dá)到96.5%，大大高于其他指令集測(cè)試的覆蓋率，此外它還具備可以中斷和低延時(shí)等優(yōu)勢(shì)。[!--empirenews.page--]

圖4：SafeTcore軟件分區(qū)。

SafeTcore測(cè)試軟件庫(kù)

SafeTcore套件為同時(shí)達(dá)成如下兩個(gè)目標(biāo)提供了相應(yīng)的工具：其一，通過(guò)SIL一級(jí)至三級(jí)(或ASIL B級(jí)至D級(jí))認(rèn)證;其二，滿足苛刻的上市時(shí)間要求。通過(guò)認(rèn)證的最大挑戰(zhàn)是在芯片級(jí)實(shí)現(xiàn)所要求的測(cè)試，并編寫相應(yīng)的文檔備份安全測(cè)試?yán)?。SafeTcore套件借助一個(gè)面向TriCore系列產(chǎn)品的高度可配置的驅(qū)動(dòng)程序庫(kù)，加上全套安全手冊(cè)、安全測(cè)試?yán)桃约靶枨?跟蹤數(shù)據(jù)庫(kù)，能夠讓設(shè)計(jì)人員達(dá)成上述目標(biāo)。運(yùn)行在PCP上的功能強(qiáng)大的SafeTcore自檢程序，可以在系統(tǒng)啟動(dòng)時(shí)執(zhí)行，也可以在系統(tǒng)運(yùn)行期間定期執(zhí)行(圖5)，從而確保用戶軟件和TriCore CPU自身的正常運(yùn)行。

圖5：SafeTcore啟動(dòng)和關(guān)閉測(cè)試。

內(nèi)核測(cè)試功能與全面的外設(shè)測(cè)試以及安全監(jiān)測(cè)芯片自動(dòng)支持功能相輔相成。SafeTcore測(cè)試軟件庫(kù)中的系列軟件測(cè)試程序，還具備操作系統(tǒng)監(jiān)測(cè)功能，可執(zhí)行復(fù)雜任務(wù)和進(jìn)程監(jiān)控任務(wù)，以超過(guò)99%的診斷覆蓋率，確保程序代碼安全執(zhí)行。SafeTcore套件還包括一本可讓設(shè)計(jì)人員將不同的軟件庫(kù)元素與用戶軟件相結(jié)合的安全手冊(cè)，以及安全完整性認(rèn)證證書。

安全監(jiān)測(cè)芯片

CIC61508可被集成于不同的功能安全相關(guān)應(yīng)用。該芯片負(fù)責(zé)監(jiān)控主單片機(jī)(例如TriCore芯片)，提供相關(guān)功能，檢測(cè)可導(dǎo)致單片機(jī)運(yùn)算錯(cuò)誤的時(shí)鐘、電源和溫度等常見(jiàn)故障模式。由于采用占板空間較小的TSSOP-38封裝，CIC61508成為一種支持安全應(yīng)用的既經(jīng)濟(jì)又節(jié)省板卡空間的安全監(jiān)測(cè)芯片。

在采用TriCore單片機(jī)的安全相關(guān)系統(tǒng)中，TriCore CPU負(fù)責(zé)運(yùn)行SafeTcore測(cè)試軟件，對(duì)內(nèi)核和外設(shè)進(jìn)行測(cè)試，而PCP負(fù)責(zé)監(jiān)控TriCore主核的運(yùn)行。外置CIC61508安全監(jiān)測(cè)芯片同時(shí)監(jiān)控TriCore CPU和PCP，以查明常見(jiàn)故障原因。由于PCP已經(jīng)實(shí)現(xiàn)了不同的自檢功能，因此TriCore/CIC61508組合僅僅需要CIC61508所提供的功能的一部分。

CIC61508所提供的測(cè)試功能，存放在內(nèi)部ROM中，包括一個(gè)內(nèi)部操作代碼測(cè)試排程器/定序器，它可生成帶有特定數(shù)據(jù)的測(cè)試請(qǐng)求序列，根據(jù)用戶定義的表格檢查應(yīng)答。CIC61508還具備同時(shí)檢測(cè)最多4個(gè)電源域的欠壓和過(guò)壓故障的能力，同時(shí)監(jiān)控最多8個(gè)并行數(shù)據(jù)比較和驗(yàn)證函數(shù)的能力。它還配備了一個(gè)操作系統(tǒng)任務(wù)監(jiān)視器，可檢查所有安全關(guān)鍵任務(wù)的預(yù)定調(diào)度序列和執(zhí)行預(yù)算。

應(yīng)用實(shí)例

PRO-SIL SafeTCore是一個(gè)完善的解決方案，包括經(jīng)過(guò)優(yōu)化的TriCore和XC2300單片機(jī)、安全測(cè)試軟件庫(kù)、服務(wù)和相關(guān)文檔，并為目標(biāo)系統(tǒng)通過(guò)功能安全認(rèn)證鋪平了道路。該安全概念基于TriCore非對(duì)稱雙核架構(gòu)，配備一個(gè)外置安全監(jiān)測(cè)芯片。硬件功能與診斷軟件庫(kù)結(jié)合在一起，這樣系統(tǒng)集成設(shè)計(jì)人員就可輕松地進(jìn)行各種常規(guī)的系統(tǒng)測(cè)試。該產(chǎn)品系列支持符合IEC 61508標(biāo)準(zhǔn)的安全完整性高達(dá)SIL3的相關(guān)安全系統(tǒng)設(shè)計(jì)。PRO-SIL安全解決方案已得到業(yè)界的肯定，Hitex公司所提供的SafeTkit被授予“2011年嵌入式大獎(jiǎng)”;此方案同時(shí)也得到很多全球重要工業(yè)用戶的良好評(píng)價(jià)，如Parker Hannifin公司就采用極具創(chuàng)新的PRO-SIL SafeTCore套件設(shè)計(jì)出自己的最新安全產(chǎn)品。

圖6: IQAN-MC3：Parker Hannifin利用PRO-SIL快速可靠地開(kāi)發(fā)出創(chuàng)新型可編程液壓控制器IQAN-MC3。

可靠的移動(dòng)設(shè)備安全控制器設(shè)計(jì)

Parker Hannifin公司采用英飛凌的PRO-SIL開(kāi)發(fā)了一種創(chuàng)新型可編程液壓控制器。設(shè)備制造商(OEM)和系統(tǒng)集成商可利用該控制器開(kāi)發(fā)非公路移動(dòng)設(shè)備。這個(gè)設(shè)計(jì)基于TC1197，以下這些數(shù)據(jù)可以很好地說(shuō)明開(kāi)發(fā)人員設(shè)計(jì)IQAN-MC3時(shí)所面臨的挑戰(zhàn)：687條設(shè)計(jì)要求、674行FMEDA故障分析程序、2800個(gè)軟件和超過(guò)500個(gè)硬件測(cè)試。依托PRO-SIL概念，開(kāi)發(fā)人員得以快速可靠地完成了這一復(fù)雜的設(shè)計(jì)。

全新推出的IQAN-MC3可在一個(gè)模塊中同時(shí)控制移動(dòng)設(shè)備的安全和操作功能，這樣不僅可以大大減少系統(tǒng)的設(shè)計(jì)時(shí)間和成本，而且可以提升設(shè)備的性能、安全性和生產(chǎn)率。新型控制器的推出，迎合了非公路移動(dòng)設(shè)備制造商對(duì)于用于安全系統(tǒng)的生產(chǎn)和開(kāi)發(fā)、具備改進(jìn)性能并且符合全球公認(rèn)的功能安全標(biāo)準(zhǔn)(例如EN ISO 13849-1(機(jī)械指令))的組件和軟件不斷增長(zhǎng)的需求。為此，Parker Hannifin利用PRO-SIL產(chǎn)品設(shè)計(jì)出符合IEC 61508標(biāo)準(zhǔn)的IQAN-MC3，使有效達(dá)到符合SIL 2標(biāo)準(zhǔn)的各類安全功能的操作和性能級(jí)別成為可能。該控制器還是符合EN ISO 13849-1標(biāo)準(zhǔn)的PLD子系統(tǒng)的組件之一。

SafeTkit——蓄勢(shì)待發(fā)

英飛凌攜手Hitex推出了一個(gè)綜合性服務(wù)套件。SafeTkit是一個(gè)板級(jí)解決方案，包括TriCore單片機(jī)、CIC61508 和所有相關(guān)軟件和文檔。這個(gè)完善的安全解決方案最大限度簡(jiǎn)化了符合IEC 61508標(biāo)準(zhǔn)的應(yīng)用設(shè)計(jì)，同時(shí)可節(jié)省設(shè)計(jì)資源，縮短客戶的產(chǎn)品開(kāi)發(fā)周期。

圖7: SafeTkit：32位SafeTkit是滿足ASIL D級(jí)/SIL三級(jí)安全設(shè)計(jì)要求的平臺(tái)的核心，它易于配置和使用。它基于一個(gè)配備安全監(jiān)測(cè)芯片CIC61508和SafeTcore測(cè)試軟件庫(kù)的TriCore評(píng)估板。

SafeTkit基于一個(gè)配備安全監(jiān)測(cè)芯片CIC61508的TriCore評(píng)估板。除SafeTcore測(cè)試軟件庫(kù)外，SafeTkit還包含一個(gè)完整的工具鏈，其中有免費(fèi)提供的通用TriCore編譯器、安全示范應(yīng)用和測(cè)試平臺(tái)。該安全套件還提供一整套文檔，包含安全手冊(cè)和快速入門指南等。它提供所有主要的安全特性，這些特性可以進(jìn)行配置，以評(píng)估它們對(duì)于系統(tǒng)行為的影響，了解底層的概念。目前，英飛凌已針對(duì)TC1767、TC1782、TC1797和TC1387處理器推出用于安全認(rèn)證的SafeTcore測(cè)試軟件庫(kù)和文檔。公司還將在不久以后推出面向其他TriCore和XC2300型號(hào)的測(cè)試軟件庫(kù)和文檔。此外，Hitex可針對(duì)SafeTkit提供全面的設(shè)計(jì)支持，以及相關(guān)的培訓(xùn)和咨詢服務(wù)。[!--empirenews.page--]