工程师尽力打造百分百失效维护的体系,但这个愿望很难在实践履行中以低本钱完成。因而,业界一般选用一种依据概率和危险的办法,界定安全相关体系所需的功用安全等级,正如ISO 26262和IEC61508等规范中所选用的方法相同。这些规范规则了(轿车)安全完整性等级(ASIL/SIL),它们明晰了为经过相关体系认证,有必要考虑体系的那些特点,以及有必要到达的工程工艺严厉度,其间包含一个界定体系安全方针和容错率的安全概念,以及一个将安全功用分配至相应的软硬件组件,然后一直不断地检测体系是否正确运转的安全架构。传统上,安全软件、硬件和东西是一些独立的处理计划,各自完成部分安全需求。现在,一个名为PRO-SIL的综合性概念,为全面高效地完成功用安全,然后最大极限下降危险,节约本钱和下降杂乱度,供给了一个完善的处理计划。
开发“安全”体系的底子动力在于保证方针体系在产生毛病时,依照规则的方法安全运转。为此,IEC于上个世纪八十年代中期拟定了IEC 61508规范,该规范之后又进行了屡次修订,它提出了电子和电气设备安全体系的规划规范。此外,以这个通用规范为蓝本,IEC/ISO还针对进程自动化(IEC 61511)、机械自动化(ISO 13849)、传动装置(IEC 61800-5)、核电(IEC 61513)和轿车(ISO 26262草案)的特定需求编写了相应的规范。处理体系中每个潜在毛病所需到达的安全等级将保证契合IEC61508安全规范(表1)(针对工业运用设立了SIL1到SIL4四个等级;针对轿车运用设立了ASIL A到ASIL D四个等级)
曩昔几年来,功用安全从一个体系集成使命演变为组件/软件级使命。简略的电子组件和杂乱的单片机都需求支撑IEC 61508。关于体系规划者而言,一个最重要和最耗时的应战是需求保证体系的安全性,并经过相关的认证——不只包含体系认证,并且包含设备硬件和寄存器认证。IEC 61508针对硬件监控和测验提出了具体要求,从本质上讲,它是一个侧重于硬件细节的规范。编写和安全相关的中心软件以完成硬件所能完成的功用既耗时又费钱,并且难以在器材之间完成移植。
多CPU计划——本钱高,占位面积大
选用单通道架构和一个单片机最高只能到达SIL二级。因而工程师一般选用多个CPU规划SIL三级或ASIL C/D级安全体系和产品,它们不只具有自检功用,并且能够保证冗余性。但这是一个杂乱的高本钱处理计划,需求占用较大的板卡空间,2个CPU之间的同步和通讯问题会约束其功用的完成。一个新办法是添加特别的外置硬件模块和规范双核32位单片机上的软件库可,打破既定的介质确诊覆盖率(DC)的约束。这一处理计划能够减轻开发使命,下降器材本钱(仅选用一个单片机),并选用依据IEC 61508/ISO 26262规范开发的可运用自检功用的一切相关组件所构成的智能安全概念,然后让规划人员能够快速可靠地在相关体系中完成安全功用。
离别以往选用第二个外置内核用于评价单片机功用毛病的做法,TriCore内置两个内核(图1),其间一个是TriCore CPU(单片机和DSP),另一个是外设操控处理器(PCP),不必再运用用于安全评价的增设外置内核。
图1:TriCore结构图——PCP完成自检功用。
完善的规划套件
现在商场上有多种不同的完成安全要害运用的处理计划。尽管大多数领导厂商针对轿车运用推出了相应的处理计划,但面向其他运用领域(包含工业运用)的处理计划数量有限,并且相关产品的开发规划图也不明晰。立足于本身满意轿车体系严厉的安全需求的丰厚经历,英飞凌开宣布PRO-SIL系列安全产品,凭借高度集成的安全处理计划以满意工业商场不断增加的安全需求。其他运用能够轻松地使用英飞凌老练的轿车处理计划,并且英飞凌还推出了很多合适的产品型号。PRO-SIL系列产品依据英飞凌的32位TRiCore或16位XC2300单片机,别的还集成了SafeTcore测验软件库和安全监测芯片CIC61508(图2)。这个已得到全面验证的产品系列,完全契合IEC 61508的要求。
图2:选用TriCore作为主操控器的安全相关体系,安全监测芯片和SafeTcore测验软件库。
立异的安全概念
现在有两类最常用的安全操控架构:单通道(1oo1或一选一)和双通道(1oo2或二选一)结构,后者依据两个独立的处理器。1oo1结构可用于规划安全完整性等级最高为SIL二级的经济型处理计划。双通道架构(1oo2)可用于规划安全完整性到达SIL三级的安全处理计划,但本钱更高,需求占用更大的板卡空间。PRO-SIL产品系列选用的是一个集成智能确诊功用的1oo1架构(1oo1D)。
这个立异的安全概念立足于问询—应对机制,其间,TriCore芯片上的PCP宣布问询,而主TriCore CPU担任履行测验。相关信息经过一个同享内存结构传递,数据一直保持冗余。PCP完成自检功用,该功用由外置智能化安全监测芯片(CIC61508)进行监控,后者经过SPI接口被衔接至TriCore芯片(图3)。装备安全监测芯片是最大极限削减常见原因毛病的一个有用方法。安全监测芯片以规则的时刻距离与TriCore通讯,依据相关规范查看TriCore芯片的时钟、电压和操作状况。另一方面,TriCore监控CIC61508的电源,并使用长途确诊功用监控其作业状况。主TriCore CPU和PCP共用过错检测功用(硬件毛病和使命监控)。
图3:立异PRO-SIL概念立足于问询—应对机制,其间,TriCore芯片上的PCP宣布问询,而主TriCore CPU担任履行测验。此外,PCP由外置智能化安全监测芯片(C%&&&&&%61508)进行监控,后者经过SPI接口被衔接至TriCore芯片。
PCP软件具有PCP自检、C/R(问询/应对)通讯、安全监测芯片通讯、测验履行监控和使命监控等功用。在TriCore上运转的SafeTcore测验软件库是一个可装备的结构,供给验证处理器和体系完整性的测验功用(图4)。大多数测验既能够在体系启动时履行,也能够在体系运转期间在后台履行。典型的确诊距离时刻为6.4ms。最杂乱的测验是TriCore CPU自检。使用PRO-SIL这一立异安全概念,这个依据操作码的自检的全体确诊覆盖率能够到达96.5%,大大高于其他指令集测验的覆盖率,此外它还具有能够中止和低延时等优势。
