利用PRO-SIL高效實(shí)現(xiàn)汽車及工業(yè)系統(tǒng)的功能安全設(shè)計

圖4：SafeTcore軟件分區(qū)。

SafeTcore測試軟件庫

SafeTcore套件為同時達(dá)成如下兩個目標(biāo)提供了相應(yīng)的工具：其一，通過SIL一級至三級(或ASIL B級至D級)認(rèn)證;其二，滿足苛刻的上市時間要求。通過認(rèn)證的最大挑戰(zhàn)是在芯片級實(shí)現(xiàn)所要求的測試，并編寫相應(yīng)的文檔備份安全測試?yán)?。SafeTcore套件借助一個面向TriCore系列產(chǎn)品的高度可配置的驅(qū)動程序庫，加上全套安全手冊、安全測試?yán)桃约靶枨?跟蹤數(shù)據(jù)庫，能夠讓設(shè)計人員達(dá)成上述目標(biāo)。運(yùn)行在PCP上的功能強(qiáng)大的SafeTcore自檢程序，可以在系統(tǒng)啟動時執(zhí)行，也可以在系統(tǒng)運(yùn)行期間定期執(zhí)行(圖5)，從而確保用戶軟件和TriCore CPU自身的正常運(yùn)行。

圖5：SafeTcore啟動和關(guān)閉測試。

內(nèi)核測試功能與全面的外設(shè)測試以及安全監(jiān)測芯片自動支持功能相輔相成。SafeTcore測試軟件庫中的系列軟件測試程序，還具備操作系統(tǒng)監(jiān)測功能，可執(zhí)行復(fù)雜任務(wù)和進(jìn)程監(jiān)控任務(wù)，以超過99%的診斷覆蓋率，確保程序代碼安全執(zhí)行。SafeTcore套件還包括一本可讓設(shè)計人員將不同的軟件庫元素與用戶軟件相結(jié)合的安全手冊，以及安全完整性認(rèn)證證書。

安全監(jiān)測芯片

CIC61508可被集成于不同的功能安全相關(guān)應(yīng)用。該芯片負(fù)責(zé)監(jiān)控主單片機(jī)(例如TriCore芯片)，提供相關(guān)功能，檢測可導(dǎo)致單片機(jī)運(yùn)算錯誤的時鐘、電源和溫度等常見故障模式。由于采用占板空間較小的TSSOP-38封裝，CIC61508成為一種支持安全應(yīng)用的既經(jīng)濟(jì)又節(jié)省板卡空間的安全監(jiān)測芯片。

在采用TriCore單片機(jī)的安全相關(guān)系統(tǒng)中，TriCore CPU負(fù)責(zé)運(yùn)行SafeTcore測試軟件，對內(nèi)核和外設(shè)進(jìn)行測試，而PCP負(fù)責(zé)監(jiān)控TriCore主核的運(yùn)行。外置CIC61508安全監(jiān)測芯片同時監(jiān)控TriCore CPU和PCP，以查明常見故障原因。由于PCP已經(jīng)實(shí)現(xiàn)了不同的自檢功能，因此TriCore/CIC61508組合僅僅需要CIC61508所提供的功能的一部分。

CIC61508所提供的測試功能，存放在內(nèi)部ROM中，包括一個內(nèi)部操作代碼測試排程器/定序器，它可生成帶有特定數(shù)據(jù)的測試請求序列，根據(jù)用戶定義的表格檢查應(yīng)答。CIC61508還具備同時檢測最多4個電源域的欠壓和過壓故障的能力，同時監(jiān)控最多8個并行數(shù)據(jù)比較和驗(yàn)證函數(shù)的能力。它還配備了一個操作系統(tǒng)任務(wù)監(jiān)視器，可檢查所有安全關(guān)鍵任務(wù)的預(yù)定調(diào)度序列和執(zhí)行預(yù)算。

應(yīng)用實(shí)例

PRO-SIL SafeTCore是一個完善的解決方案，包括經(jīng)過優(yōu)化的TriCore和XC2300單片機(jī)、安全測試軟件庫、服務(wù)和相關(guān)文檔，并為目標(biāo)系統(tǒng)通過功能安全認(rèn)證鋪平了道路。該安全概念基于TriCore非對稱雙核架構(gòu)，配備一個外置安全監(jiān)測芯片。硬件功能與診斷軟件庫結(jié)合在一起，這樣系統(tǒng)集成設(shè)計人員就可輕松地進(jìn)行各種常規(guī)的系統(tǒng)測試。該產(chǎn)品系列支持符合IEC 61508標(biāo)準(zhǔn)的安全完整性高達(dá)SIL3的相關(guān)安全系統(tǒng)設(shè)計。PRO-SIL安全解決方案已得到業(yè)界的肯定，Hitex公司所提供的SafeTkit被授予“2011年嵌入式大獎”;此方案同時也得到很多全球重要工業(yè)用戶的良好評價，如Parker Hannifin公司就采用極具創(chuàng)新的PRO-SIL SafeTCore套件設(shè)計出自己的最新安全產(chǎn)品。

圖6: IQAN-MC3：Parker Hannifin利用PRO-SIL快速可靠地開發(fā)出創(chuàng)新型可編程液壓控制器IQAN-MC3。

可靠的移動設(shè)備安全控制器設(shè)計

Parker Hannifin公司采用英飛凌的PRO-SIL開發(fā)了一種創(chuàng)新型可編程液壓控制器。設(shè)備制造商(OEM)和系統(tǒng)集成商可利用該控制器開發(fā)非公路移動設(shè)備。這個設(shè)計基于TC1197，以下這些數(shù)據(jù)可以很好地說明開發(fā)人員設(shè)計IQAN-MC3時所面臨的挑戰(zhàn)：687條設(shè)計要求、674行FMEDA故障分析程序、2800個軟件和超過500個硬件測試。依托PRO-SIL概念，開發(fā)人員得以快速可靠地完成了這一復(fù)雜的設(shè)計。

全新推出的IQAN-MC3可在一個模塊中同時控制移動設(shè)備的安全和操作功能，這樣不僅可以大大減少系統(tǒng)的設(shè)計時間和成本，而且可以提升設(shè)備的性能、安全性和生產(chǎn)率。新型控制器的推出，迎合了非公路移動設(shè)備制造商對于用于安全系統(tǒng)的生產(chǎn)和開發(fā)、具備改進(jìn)性能并且符合全球公認(rèn)的功能安全標(biāo)準(zhǔn)(例如EN ISO 13849-1(機(jī)械指令))的組件和軟件不斷增長的需求。為此，Parker Hannifin利用PRO-SIL產(chǎn)品設(shè)計出符合IEC 61508標(biāo)準(zhǔn)的IQAN-MC3，使有效達(dá)到符合SIL 2標(biāo)準(zhǔn)的各類安全功能的操作和性能級別成為可能。該控制器還是符合EN ISO 13849-1標(biāo)準(zhǔn)的PLD子系統(tǒng)的組件之一。

SafeTkit——蓄勢待發(fā)

英飛凌攜手Hitex推出了一個綜合性服務(wù)套件。SafeTkit是一個板級解決方案，包括TriCore單片機(jī)、CIC61508 和所有相關(guān)軟件和文檔。這個完善的安全解決方案最大限度簡化了符合IEC 61508標(biāo)準(zhǔn)的應(yīng)用設(shè)計，同時可節(jié)省設(shè)計資源，縮短客戶的產(chǎn)品開發(fā)周期。

圖7: SafeTkit：32位SafeTkit是滿足ASIL D級/SIL三級安全設(shè)計要求的平臺的核心，它易于配置和使用。它基于一個配備安全監(jiān)測芯片CIC61508和SafeTcore測試軟件庫的TriCore評估板。

SafeTkit基于一個配備安全監(jiān)測芯片CIC61508的TriCore評估板。除SafeTcore測試軟件庫外，SafeTkit還包含一個完整的工具鏈，其中有免費(fèi)提供的通用TriCore編譯器、安全示范應(yīng)用和測試平臺。該安全套件還提供一整套文檔，包含安全手冊和快速入門指南等。它提供所有主要的安全特性，這些特性可以進(jìn)行配置，以評估它們對于系統(tǒng)行為的影響，了解底層的概念。目前，英飛凌已針對TC1767、TC1782、TC1797和TC1387處理器推出用于安全認(rèn)證的SafeTcore測試軟件庫和文檔。公司還將在不久以后推出面向其他TriCore和XC2300型號的測試軟件庫和文檔。此外，Hitex可針對SafeTkit提供全面的設(shè)計支持，以及相關(guān)的培訓(xùn)和咨詢服務(wù)。