利用PRO-SIL高效實(shí)現(xiàn)汽車及工業(yè)系統(tǒng)的功能安全設(shè)計(jì)
工程師努力打造百分百失效保護(hù)的系統(tǒng),但這個(gè)夢(mèng)想很難在實(shí)際執(zhí)行中以低成本實(shí)現(xiàn)。因此,業(yè)界通常采用一種基于概率和風(fēng)險(xiǎn)的方法,界定安全相關(guān)系統(tǒng)所需的功能安全級(jí)別,正如ISO 26262和IEC61508等標(biāo)準(zhǔn)中所采用的方式一樣。這些標(biāo)準(zhǔn)規(guī)定了(汽車)安全完整性級(jí)別(ASIL/SIL),它們明確了為通過相關(guān)系統(tǒng)認(rèn)證,必須考慮系統(tǒng)的那些屬性,以及必須達(dá)到的工程工藝嚴(yán)格度,其中包括一個(gè)界定系統(tǒng)安全目標(biāo)和容錯(cuò)率的安全概念,以及一個(gè)將安全功能分配至相應(yīng)的軟硬件組件,從而始終不斷地檢測(cè)系統(tǒng)是否正確運(yùn)行的安全架構(gòu)。傳統(tǒng)上,安全軟件、硬件和工具是一些獨(dú)立的解決方案,各自實(shí)現(xiàn)部分安全需求。如今,一個(gè)名為PRO-SIL的綜合性概念,為全面高效地實(shí)現(xiàn)功能安全,從而最大限度降低風(fēng)險(xiǎn),節(jié)省成本和降低復(fù)雜度,提供了一個(gè)完善的解決方案。
本文引用地址:http://butianyuan.cn/article/201610/309799.htm開發(fā)“安全”系統(tǒng)的根本動(dòng)力在于確保目標(biāo)系統(tǒng)在發(fā)生故障時(shí),按照規(guī)定的方式安全運(yùn)行。為此,IEC于上個(gè)世紀(jì)八十年代中期擬定了IEC 61508標(biāo)準(zhǔn),該標(biāo)準(zhǔn)之后又進(jìn)行了多次修訂,它提出了電子和電氣設(shè)備安全系統(tǒng)的設(shè)計(jì)規(guī)范。此外,以這個(gè)通用標(biāo)準(zhǔn)為藍(lán)本,IEC/ISO還針對(duì)過程自動(dòng)化(IEC 61511)、機(jī)械自動(dòng)化(ISO 13849)、傳動(dòng)裝置(IEC 61800-5)、核電(IEC 61513)和汽車(ISO 26262草案)的特定需求編寫了相應(yīng)的標(biāo)準(zhǔn)。解決系統(tǒng)中每個(gè)潛在故障所需達(dá)到的安全等級(jí)將確保符合IEC61508安全標(biāo)準(zhǔn)(表1)(針對(duì)工業(yè)應(yīng)用設(shè)立了SIL1到SIL4四個(gè)等級(jí);針對(duì)汽車應(yīng)用設(shè)立了ASIL A到ASIL D四個(gè)等級(jí))
過去幾年來,功能安全從一個(gè)系統(tǒng)集成任務(wù)演變?yōu)榻M件/軟件級(jí)任務(wù)。簡(jiǎn)單的電子組件和復(fù)雜的單片機(jī)都需要支持IEC 61508。對(duì)于系統(tǒng)設(shè)計(jì)者而言,一個(gè)最重要和最耗時(shí)的挑戰(zhàn)是需要確保系統(tǒng)的安全性,并通過相關(guān)的認(rèn)證——不僅包括系統(tǒng)認(rèn)證,而且包括設(shè)備硬件和寄存器認(rèn)證。IEC 61508針對(duì)硬件監(jiān)控和測(cè)試提出了詳細(xì)要求,從本質(zhì)上講,它是一個(gè)側(cè)重于硬件細(xì)節(jié)的標(biāo)準(zhǔn)。編寫和安全相關(guān)的核心軟件以實(shí)現(xiàn)硬件所能實(shí)現(xiàn)的功能既耗時(shí)又費(fèi)錢,并且難以在器件之間實(shí)現(xiàn)移植。
多CPU方案——成本高,占位面積大
采用單通道架構(gòu)和一個(gè)單片機(jī)最高只能達(dá)到SIL二級(jí)。因此工程師一般采用多個(gè)CPU設(shè)計(jì)SIL三級(jí)或ASIL C/D級(jí)安全系統(tǒng)和產(chǎn)品,它們不僅具備自檢功能,而且可以確保冗余性。但這是一個(gè)復(fù)雜的高成本解決方案,需要占用較大的板卡空間,2個(gè)CPU之間的同步和通訊問題會(huì)限制其功能的實(shí)現(xiàn)。一個(gè)新辦法是增加特殊的外置硬件模塊和標(biāo)準(zhǔn)雙核32位單片機(jī)上的軟件庫(kù)可,突破既定的介質(zhì)診斷覆蓋率(DC)的限制。這一解決方案可以減輕開發(fā)任務(wù),降低器件成本(僅采用一個(gè)單片機(jī)),并采用根據(jù)IEC 61508/ISO 26262標(biāo)準(zhǔn)開發(fā)的可使用自檢功能的所有相關(guān)組件所構(gòu)成的智能安全概念,從而讓設(shè)計(jì)人員可以快速可靠地在相關(guān)系統(tǒng)中實(shí)現(xiàn)安全功能。
告別以往采用第二個(gè)外置內(nèi)核用于評(píng)估單片機(jī)功能故障的做法,TriCore內(nèi)置兩個(gè)內(nèi)核(圖1),其中一個(gè)是TriCore CPU(單片機(jī)和DSP),另一個(gè)是外設(shè)控制處理器(PCP),不用再使用用于安全評(píng)估的增設(shè)外置內(nèi)核。
圖1:TriCore結(jié)構(gòu)圖——PCP實(shí)現(xiàn)自檢功能。
完善的設(shè)計(jì)套件
目前市場(chǎng)上有多種不同的實(shí)現(xiàn)安全關(guān)鍵應(yīng)用的解決方案。雖然大多數(shù)領(lǐng)導(dǎo)廠商針對(duì)汽車應(yīng)用推出了相應(yīng)的解決方案,但面向其他應(yīng)用領(lǐng)域(包括工業(yè)應(yīng)用)的解決方案數(shù)量有限,而且相關(guān)產(chǎn)品的開發(fā)規(guī)劃圖也不清晰。立足于自身滿足汽車系統(tǒng)嚴(yán)格的安全需求的豐富經(jīng)驗(yàn),英飛凌開發(fā)出PRO-SIL系列安全產(chǎn)品,借助高度集成的安全解決方案以滿足工業(yè)市場(chǎng)不斷增長(zhǎng)的安全需求。其他應(yīng)用可以輕松地利用英飛凌成熟的汽車解決方案,而且英飛凌還推出了眾多適合的產(chǎn)品型號(hào)。PRO-SIL系列產(chǎn)品基于英飛凌的32位TRiCore或16位XC2300單片機(jī),另外還集成了SafeTcore測(cè)試軟件庫(kù)和安全監(jiān)測(cè)芯片CIC61508(圖2)。這個(gè)已得到全面驗(yàn)證的產(chǎn)品系列,完全符合IEC 61508的要求。
圖2:采用TriCore作為主控制器的安全相關(guān)系統(tǒng),安全監(jiān)測(cè)芯片和SafeTcore測(cè)試軟件庫(kù)。
創(chuàng)新的安全概念
目前有兩類最常用的安全控制架構(gòu):?jiǎn)瓮ǖ?1oo1或一選一)和雙通道(1oo2或二選一)結(jié)構(gòu),后者基于兩個(gè)獨(dú)立的處理器。1oo1結(jié)構(gòu)可用于設(shè)計(jì)安全完整性級(jí)別最高為SIL二級(jí)的經(jīng)濟(jì)型解決方案。雙通道架構(gòu)(1oo2)可用于設(shè)計(jì)安全完整性達(dá)到SIL三級(jí)的安全解決方案,但成本更高,需要占用更大的板卡空間。PRO-SIL產(chǎn)品系列采用的是一個(gè)集成智能診斷功能的1oo1架構(gòu)(1oo1D)。
這個(gè)創(chuàng)新的安全概念立足于詢問—應(yīng)答機(jī)制,其中,TriCore芯片上的PCP發(fā)出詢問,而主TriCore CPU負(fù)責(zé)執(zhí)行測(cè)試。相關(guān)信息通過一個(gè)共享內(nèi)存結(jié)構(gòu)傳遞,數(shù)據(jù)始終保持冗余。PCP實(shí)現(xiàn)自檢功能,該功能由外置智能化安全監(jiān)測(cè)芯片(CIC61508)進(jìn)行監(jiān)控,后者通過SPI接口被連接至TriCore芯片(圖3)。配備安全監(jiān)測(cè)芯片是最大限度減少常見原因故障的一個(gè)有效方式。安全監(jiān)測(cè)芯片以規(guī)定的時(shí)間間隔與TriCore通信,根據(jù)相關(guān)標(biāo)準(zhǔn)檢查TriCore芯片的時(shí)鐘、電壓和操作狀態(tài)。另一方面,TriCore監(jiān)控CIC61508的電源,并利用遠(yuǎn)程診斷功能監(jiān)控其工作狀態(tài)。主TriCore CPU和PCP共用錯(cuò)誤檢測(cè)功能(硬件故障和任務(wù)監(jiān)控)。
圖3:創(chuàng)新PRO-SIL概念立足于詢問—應(yīng)答機(jī)制,其中,TriCore芯片上的PCP發(fā)出詢問,而主TriCore CPU負(fù)責(zé)執(zhí)行測(cè)試。此外,PCP由外置智能化安全監(jiān)測(cè)芯片(CIC61508)進(jìn)行監(jiān)控,后者通過SPI接口被連接至TriCore芯片。
PCP軟件具備PCP自檢、C/R(詢問/應(yīng)答)通信、安全監(jiān)測(cè)芯片通信、測(cè)試執(zhí)行監(jiān)控和任務(wù)監(jiān)控等功能。在TriCore上運(yùn)行的SafeTcore測(cè)試軟件庫(kù)是一個(gè)可配置的框架,提供驗(yàn)證處理器和系統(tǒng)完整性的測(cè)試功能(圖4)。大多數(shù)測(cè)試既可以在系統(tǒng)啟動(dòng)時(shí)執(zhí)行,也可以在系統(tǒng)運(yùn)行期間在后臺(tái)執(zhí)行。典型的診斷間隔時(shí)間為6.4ms。最復(fù)雜的測(cè)試是TriCore CPU自檢。利用PRO-SIL這一創(chuàng)新安全概念,這個(gè)基于操作碼的自檢的整體診斷覆蓋率可以達(dá)到96.5%,大大高于其他指令集測(cè)試的覆蓋率,此外它還具備可以中斷和低延時(shí)等優(yōu)勢(shì)。
評(píng)論