利用PRO-SIL高效實現(xiàn)汽車及工業(yè)系統(tǒng)的功能安全設(shè)計

工程師努力打造百分百失效保護(hù)的系統(tǒng)，但這個夢想很難在實際執(zhí)行中以低成本實現(xiàn)。因此，業(yè)界通常采用一種基于概率和風(fēng)險的方法，界定安全相關(guān)系統(tǒng)所需的功能安全級別，正如ISO 26262和IEC61508等標(biāo)準(zhǔn)中所采用的方式一樣。這些標(biāo)準(zhǔn)規(guī)定了(汽車)安全完整性級別(ASIL/SIL)，它們明確了為通過相關(guān)系統(tǒng)認(rèn)證，必須考慮系統(tǒng)的那些屬性，以及必須達(dá)到的工程工藝嚴(yán)格度，其中包括一個界定系統(tǒng)安全目標(biāo)和容錯率的安全概念，以及一個將安全功能分配至相應(yīng)的軟硬件組件，從而始終不斷地檢測系統(tǒng)是否正確運行的安全架構(gòu)。傳統(tǒng)上，安全軟件、硬件和工具是一些獨立的解決方案，各自實現(xiàn)部分安全需求。如今，一個名為PRO-SIL的綜合性概念，為全面高效地實現(xiàn)功能安全，從而最大限度降低風(fēng)險，節(jié)省成本和降低復(fù)雜度，提供了一個完善的解決方案。

開發(fā)“安全”系統(tǒng)的根本動力在于確保目標(biāo)系統(tǒng)在發(fā)生故障時，按照規(guī)定的方式安全運行。為此，IEC于上個世紀(jì)八十年代中期擬定了IEC 61508標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)之后又進(jìn)行了多次修訂，它提出了電子和電氣設(shè)備安全系統(tǒng)的設(shè)計規(guī)范。此外，以這個通用標(biāo)準(zhǔn)為藍(lán)本，IEC/ISO還針對過程自動化(IEC 61511)、機械自動化(ISO 13849)、傳動裝置(IEC 61800-5)、核電(IEC 61513)和汽車(ISO 26262草案)的特定需求編寫了相應(yīng)的標(biāo)準(zhǔn)。解決系統(tǒng)中每個潛在故障所需達(dá)到的安全等級將確保符合IEC61508安全標(biāo)準(zhǔn)(表1)(針對工業(yè)應(yīng)用設(shè)立了SIL1到SIL4四個等級;針對汽車應(yīng)用設(shè)立了ASIL A到ASIL D四個等級)

過去幾年來，功能安全從一個系統(tǒng)集成任務(wù)演變?yōu)榻M件/軟件級任務(wù)。簡單的電子組件和復(fù)雜的單片機都需要支持IEC 61508。對于系統(tǒng)設(shè)計者而言，一個最重要和最耗時的挑戰(zhàn)是需要確保系統(tǒng)的安全性，并通過相關(guān)的認(rèn)證——不僅包括系統(tǒng)認(rèn)證，而且包括設(shè)備硬件和寄存器認(rèn)證。IEC 61508針對硬件監(jiān)控和測試提出了詳細(xì)要求，從本質(zhì)上講，它是一個側(cè)重于硬件細(xì)節(jié)的標(biāo)準(zhǔn)。編寫和安全相關(guān)的核心軟件以實現(xiàn)硬件所能實現(xiàn)的功能既耗時又費錢，并且難以在器件之間實現(xiàn)移植。

多CPU方案——成本高，占位面積大

采用單通道架構(gòu)和一個單片機最高只能達(dá)到SIL二級。因此工程師一般采用多個CPU設(shè)計SIL三級或ASIL C/D級安全系統(tǒng)和產(chǎn)品，它們不僅具備自檢功能，而且可以確保冗余性。但這是一個復(fù)雜的高成本解決方案，需要占用較大的板卡空間，2個CPU之間的同步和通訊問題會限制其功能的實現(xiàn)。一個新辦法是增加特殊的外置硬件模塊和標(biāo)準(zhǔn)雙核32位單片機上的軟件庫可，突破既定的介質(zhì)診斷覆蓋率(DC)的限制。這一解決方案可以減輕開發(fā)任務(wù)，降低器件成本(僅采用一個單片機)，并采用根據(jù)IEC 61508/ISO 26262標(biāo)準(zhǔn)開發(fā)的可使用自檢功能的所有相關(guān)組件所構(gòu)成的智能安全概念，從而讓設(shè)計人員可以快速可靠地在相關(guān)系統(tǒng)中實現(xiàn)安全功能。

告別以往采用第二個外置內(nèi)核用于評估單片機功能故障的做法，TriCore內(nèi)置兩個內(nèi)核(圖1)，其中一個是TriCore CPU(單片機和DSP)，另一個是外設(shè)控制處理器(PCP)，不用再使用用于安全評估的增設(shè)外置內(nèi)核。

圖1：TriCore結(jié)構(gòu)圖——PCP實現(xiàn)自檢功能。

完善的設(shè)計套件

目前市場上有多種不同的實現(xiàn)安全關(guān)鍵應(yīng)用的解決方案。雖然大多數(shù)領(lǐng)導(dǎo)廠商針對汽車應(yīng)用推出了相應(yīng)的解決方案，但面向其他應(yīng)用領(lǐng)域(包括工業(yè)應(yīng)用)的解決方案數(shù)量有限，而且相關(guān)產(chǎn)品的開發(fā)規(guī)劃圖也不清晰。立足于自身滿足汽車系統(tǒng)嚴(yán)格的安全需求的豐富經(jīng)驗，英飛凌開發(fā)出PRO-SIL系列安全產(chǎn)品，借助高度集成的安全解決方案以滿足工業(yè)市場不斷增長的安全需求。其他應(yīng)用可以輕松地利用英飛凌成熟的汽車解決方案，而且英飛凌還推出了眾多適合的產(chǎn)品型號。PRO-SIL系列產(chǎn)品基于英飛凌的32位TRiCore或16位XC2300單片機，另外還集成了SafeTcore測試軟件庫和安全監(jiān)測芯片CIC61508(圖2)。這個已得到全面驗證的產(chǎn)品系列，完全符合IEC 61508的要求。

圖2：采用TriCore作為主控制器的安全相關(guān)系統(tǒng)，安全監(jiān)測芯片和SafeTcore測試軟件庫。

創(chuàng)新的安全概念

目前有兩類最常用的安全控制架構(gòu)：單通道(1oo1或一選一)和雙通道(1oo2或二選一)結(jié)構(gòu)，后者基于兩個獨立的處理器。1oo1結(jié)構(gòu)可用于設(shè)計安全完整性級別最高為SIL二級的經(jīng)濟(jì)型解決方案。雙通道架構(gòu)(1oo2)可用于設(shè)計安全完整性達(dá)到SIL三級的安全解決方案，但成本更高，需要占用更大的板卡空間。PRO-SIL產(chǎn)品系列采用的是一個集成智能診斷功能的1oo1架構(gòu)(1oo1D)。

這個創(chuàng)新的安全概念立足于詢問—應(yīng)答機制，其中，TriCore芯片上的PCP發(fā)出詢問，而主TriCore CPU負(fù)責(zé)執(zhí)行測試。相關(guān)信息通過一個共享內(nèi)存結(jié)構(gòu)傳遞，數(shù)據(jù)始終保持冗余。PCP實現(xiàn)自檢功能，該功能由外置智能化安全監(jiān)測芯片(CIC61508)進(jìn)行監(jiān)控，后者通過SPI接口被連接至TriCore芯片(圖3)。配備安全監(jiān)測芯片是最大限度減少常見原因故障的一個有效方式。安全監(jiān)測芯片以規(guī)定的時間間隔與TriCore通信，根據(jù)相關(guān)標(biāo)準(zhǔn)檢查TriCore芯片的時鐘、電壓和操作狀態(tài)。另一方面，TriCore監(jiān)控CIC61508的電源，并利用遠(yuǎn)程診斷功能監(jiān)控其工作狀態(tài)。主TriCore CPU和PCP共用錯誤檢測功能(硬件故障和任務(wù)監(jiān)控)。

圖3：創(chuàng)新PRO-SIL概念立足于詢問—應(yīng)答機制，其中，TriCore芯片上的PCP發(fā)出詢問，而主TriCore CPU負(fù)責(zé)執(zhí)行測試。此外，PCP由外置智能化安全監(jiān)測芯片(CIC61508)進(jìn)行監(jiān)控，后者通過SPI接口被連接至TriCore芯片。

PCP軟件具備PCP自檢、C/R(詢問/應(yīng)答)通信、安全監(jiān)測芯片通信、測試執(zhí)行監(jiān)控和任務(wù)監(jiān)控等功能。在TriCore上運行的SafeTcore測試軟件庫是一個可配置的框架，提供驗證處理器和系統(tǒng)完整性的測試功能(圖4)。大多數(shù)測試既可以在系統(tǒng)啟動時執(zhí)行，也可以在系統(tǒng)運行期間在后臺執(zhí)行。典型的診斷間隔時間為6.4ms。最復(fù)雜的測試是TriCore CPU自檢。利用PRO-SIL這一創(chuàng)新安全概念，這個基于操作碼的自檢的整體診斷覆蓋率可以達(dá)到96.5%，大大高于其他指令集測試的覆蓋率，此外它還具備可以中斷和低延時等優(yōu)勢。