工程師努力打造百分百失效保護的系統(tǒng)，但這個夢想很難在實際執(zhí)行中以低成本實現(xiàn)。因此，業(yè)界通常采用一種基于概率和風險的方法，界定安全相關系統(tǒng)所需的功能安全級別，正如ISO 26262和IEC61508等標準中所采用的方式一樣。這些標準規(guī)定了（汽車）安全完整性級別（ASIL/SIL），它們明確了為通過相關系統(tǒng)認證，必須考慮系統(tǒng)的那些屬性，以及必須達到的工程工藝嚴格度，其中包括一個界定系統(tǒng)安全目標和容錯率的安全概念，以及一個將安全功能分配至相應的軟硬件組件，從而始終不斷地檢測系統(tǒng)是否正確運行的安全架構。傳統(tǒng)上，安全軟件、硬件和工具是一些獨立的解決方案，各自實現(xiàn)部分安全需求。如今，一個名為PRO-SIL的綜合性概念，為全面高效地實現(xiàn)功能安全，從而最大限度降低風險，節(jié)省成本和降低復雜度，提供了一個完善的解決方案。

開發(fā)“安全”系統(tǒng)的根本動力在于確保目標系統(tǒng)在發(fā)生故障時，按照規(guī)定的方式安全運行。為此，IEC于上個世紀八十年代中期擬定了IEC 61508標準，該標準之后又進行了多次修訂，它提出了電子和電氣設備安全系統(tǒng)的設計規(guī)范。此外，以這個通用標準為藍本，IEC/ISO還針對過程自動化（IEC 61511）、機械自動化（ISO 13849）、傳動裝置（IEC 61800-5）、核電（IEC 61513）和汽車（ISO 26262草案）的特定需求編寫了相應的標準。解決系統(tǒng)中每個潛在故障所需達到的安全等級將確保符合IEC61508安全標準（表1）（針對工業(yè)應用設立了SIL1到SIL4四個等級；針對汽車應用設立了ASIL A到ASIL D四個等級）

過去幾年來，功能安全從一個系統(tǒng)集成任務演變?yōu)榻M件/軟件級任務。簡單的電子組件和復雜的單片機都需要支持IEC 61508。對于系統(tǒng)設計者而言，一個最重要和最耗時的挑戰(zhàn)是需要確保系統(tǒng)的安全性，并通過相關的認證——不僅包括系統(tǒng)認證，而且包括設備硬件和寄存器認證。IEC 61508針對硬件監(jiān)控和測試提出了詳細要求，從本質上講，它是一個側重于硬件細節(jié)的標準。編寫和安全相關的核心軟件以實現(xiàn)硬件所能實現(xiàn)的功能既耗時又費錢，并且難以在器件之間實現(xiàn)移植。

多CPU方案——成本高，占位面積大

采用單通道架構和一個單片機最高只能達到SIL二級。因此工程師一般采用多個CPU設計SIL三級或ASIL C/D級安全系統(tǒng)和產品，它們不僅具備自檢功能，而且可以確保冗余性。但這是一個復雜的高成本解決方案，需要占用較大的板卡空間，2個CPU之間的同步和通訊問題會限制其功能的實現(xiàn)。一個新辦法是增加特殊的外置硬件模塊和標準雙核32位單片機上的軟件庫可，突破既定的介質診斷覆蓋率（DC）的限制。這一解決方案可以減輕開發(fā)任務，降低器件成本（僅采用一個單片機），并采用根據(jù)IEC 61508/ISO 26262標準開發(fā)的可使用自檢功能的所有相關組件所構成的智能安全概念，從而讓設計人員可以快速可靠地在相關系統(tǒng)中實現(xiàn)安全功能。

告別以往采用第二個外置內核用于評估單片機功能故障的做法，TriCore內置兩個內核（圖1），其中一個是TriCore CPU（單片機和DSP），另一個是外設控制處理器（PCP），不用再使用用于安全評估的增設外置內核。

圖1：TriCore結構圖——PCP實現(xiàn)自檢功能。

完善的設計套件

目前市場上有多種不同的實現(xiàn)安全關鍵應用的解決方案。雖然大多數(shù)領導廠商針對汽車應用推出了相應的解決方案，但面向其他應用領域（包括工業(yè)應用）的解決方案數(shù)量有限，而且相關產品的開發(fā)規(guī)劃圖也不清晰。立足于自身滿足汽車系統(tǒng)嚴格的安全需求的豐富經驗，英飛凌開發(fā)出PRO-SIL系列安全產品，借助高度集成的安全解決方案以滿足工業(yè)市場不斷增長的安全需求。其他應用可以輕松地利用英飛凌成熟的汽車解決方案，而且英飛凌還推出了眾多適合的產品型號。PRO-SIL系列產品基于英飛凌的32位TRiCore或16位XC2300單片機，另外還集成了SafeTcore測試軟件庫和安全監(jiān)測芯片CIC61508（圖2）。這個已得到全面驗證的產品系列，完全符合IEC 61508的要求。

圖2：采用TriCore作為主控制器的安全相關系統(tǒng)，安全監(jiān)測芯片和SafeTcore測試軟件庫。

創(chuàng)新的安全概念

目前有兩類最常用的安全控制架構：單通道（1oo1或一選一）和雙通道（1oo2或二選一）結構，后者基于兩個獨立的處理器。1oo1結構可用于設計安全完整性級別最高為SIL二級的經濟型解決方案。雙通道架構（1oo2）可用于設計安全完整性達到SIL三級的安全解決方案，但成本更高，需要占用更大的板卡空間。PRO-SIL產品系列采用的是一個集成智能診斷功能的1oo1架構（1oo1D）。

這個創(chuàng)新的安全概念立足于詢問—應答機制，其中，TriCore芯片上的PCP發(fā)出詢問，而主TriCore CPU負責執(zhí)行測試。相關信息通過一個共享內存結構傳遞，數(shù)據(jù)始終保持冗余。PCP實現(xiàn)自檢功能，該功能由外置智能化安全監(jiān)測芯片（CIC61508）進行監(jiān)控，后者通過SPI接口被連接至TriCore芯片（圖3）。配備安全監(jiān)測芯片是最大限度減少常見原因故障的一個有效方式。安全監(jiān)測芯片以規(guī)定的時間間隔與TriCore通信，根據(jù)相關標準檢查TriCore芯片的時鐘、電壓和操作狀態(tài)。另一方面，TriCore監(jiān)控CIC61508的電源，并利用遠程診斷功能監(jiān)控其工作狀態(tài)。主TriCore CPU和PCP共用錯誤檢測功能（硬件故障和任務監(jiān)控）。

圖3：創(chuàng)新PRO-SIL概念立足于詢問—應答機制，其中，TriCore芯片上的PCP發(fā)出詢問，而主TriCore CPU負責執(zhí)行測試。此外，PCP由外置智能化安全監(jiān)測芯片（CIC61508）進行監(jiān)控，后者通過SPI接口被連接至TriCore芯片。

PCP軟件具備PCP自檢、C/R（詢問/應答）通信、安全監(jiān)測芯片通信、測試執(zhí)行監(jiān)控和任務監(jiān)控等功能。在TriCore上運行的SafeTcore測試軟件庫是一個可配置的框架，提供驗證處理器和系統(tǒng)完整性的測試功能（圖4）。大多數(shù)測試既可以在系統(tǒng)啟動時執(zhí)行，也可以在系統(tǒng)運行期間在后臺執(zhí)行。典型的診斷間隔時間為6.4ms。最復雜的測試是TriCore CPU自檢。利用PRO-SIL這一創(chuàng)新安全概念，這個基于操作碼的自檢的整體診斷覆蓋率可以達到96.5%，大大高于其他指令集測試的覆蓋率，此外它還具備可以中斷和低延時等優(yōu)勢。

圖4：SafeTcore軟件分區(qū)。

SafeTcore測試軟件庫

SafeTcore套件為同時達成如下兩個目標提供了相應的工具：其一，通過SIL一級至三級（或ASIL B級至D級）認證；其二，滿足苛刻的上市時間要求。通過認證的最大挑戰(zhàn)是在芯片級實現(xiàn)所要求的測試，并編寫相應的文檔備份安全測試例程。SafeTcore套件借助一個面向TriCore系列產品的高度可配置的驅動程序庫，加上全套安全手冊、安全測試例程以及需求/跟蹤數(shù)據(jù)庫，能夠讓設計人員達成上述目標。運行在PCP上的功能強大的SafeTcore自檢程序，可以在系統(tǒng)啟動時執(zhí)行，也可以在系統(tǒng)運行期間定期執(zhí)行（圖5），從而確保用戶軟件和TriCore CPU自身的正常運行。

圖5：SafeTcore啟動和關閉測試。

內核測試功能與全面的外設測試以及安全監(jiān)測芯片自動支持功能相輔相成。SafeTcore測試軟件庫中的系列軟件測試程序，還具備操作系統(tǒng)監(jiān)測功能，可執(zhí)行復雜任務和進程監(jiān)控任務，以超過99%的診斷覆蓋率，確保程序代碼安全執(zhí)行。SafeTcore套件還包括一本可讓設計人員將不同的軟件庫元素與用戶軟件相結合的安全手冊，以及安全完整性認證證書。

安全監(jiān)測芯片

CIC61508可被集成于不同的功能安全相關應用。該芯片負責監(jiān)控主單片機（例如TriCore芯片），提供相關功能，檢測可導致單片機運算錯誤的時鐘、電源和溫度等常見故障模式。由于采用占板空間較小的TSSOP-38封裝，CIC61508成為一種支持安全應用的既經濟又節(jié)省板卡空間的安全監(jiān)測芯片。

在采用TriCore單片機的安全相關系統(tǒng)中，TriCore CPU負責運行SafeTcore測試軟件，對內核和外設進行測試，而PCP負責監(jiān)控TriCore主核的運行。外置CIC61508安全監(jiān)測芯片同時監(jiān)控TriCore CPU和PCP，以查明常見故障原因。由于PCP已經實現(xiàn)了不同的自檢功能，因此TriCore/CIC61508組合僅僅需要CIC61508所提供的功能的一部分。

CIC61508所提供的測試功能，存放在內部ROM中，包括一個內部操作代碼測試排程器/定序器，它可生成帶有特定數(shù)據(jù)的測試請求序列，根據(jù)用戶定義的表格檢查應答。CIC61508還具備同時檢測最多4個電源域的欠壓和過壓故障的能力，同時監(jiān)控最多8個并行數(shù)據(jù)比較和驗證函數(shù)的能力。它還配備了一個操作系統(tǒng)任務監(jiān)視器，可檢查所有安全關鍵任務的預定調度序列和執(zhí)行預算。

應用實例

PRO-SIL SafeTCore是一個完善的解決方案，包括經過優(yōu)化的TriCore和XC2300單片機、安全測試軟件庫、服務和相關文檔，并為目標系統(tǒng)通過功能安全認證鋪平了道路。該安全概念基于TriCore非對稱雙核架構，配備一個外置安全監(jiān)測芯片。硬件功能與診斷軟件庫結合在一起，這樣系統(tǒng)集成設計人員就可輕松地進行各種常規(guī)的系統(tǒng)測試。該產品系列支持符合IEC 61508標準的安全完整性高達SIL3的相關安全系統(tǒng)設計。PRO-SIL安全解決方案已得到業(yè)界的肯定，Hitex公司所提供的SafeTkit被授予“2011年嵌入式大獎”；此方案同時也得到很多全球重要工業(yè)用戶的良好評價，如Parker Hannifin公司就采用極具創(chuàng)新的PRO-SIL SafeTCore套件設計出自己的最新安全產品。

可靠的移動設備安全控制器設計

Parker Hannifin公司采用英飛凌的PRO-SIL開發(fā)了一種創(chuàng)新型可編程液壓控制器。設備制造商（OEM）和系統(tǒng)集成商可利用該控制器開發(fā)非公路移動設備。這個設計基于TC1197，以下這些數(shù)據(jù)可以很好地說明開發(fā)人員設計IQAN-MC3時所面臨的挑戰(zhàn)：687條設計要求、674行FMEDA故障分析程序、2800個軟件和超過500個硬件測試。依托PRO-SIL概念，開發(fā)人員得以快速可靠地完成了這一復雜的設計。

全新推出的IQAN-MC3可在一個模塊中同時控制移動設備的安全和操作功能，這樣不僅可以大大減少系統(tǒng)的設計時間和成本，而且可以提升設備的性能、安全性和生產率。新型控制器的推出，迎合了非公路移動設備制造商對于用于安全系統(tǒng)的生產和開發(fā)、具備改進性能并且符合全球公認的功能安全標準（例如EN ISO 13849-1（機械指令））的組件和軟件不斷增長的需求。為此，Parker Hannifin利用PRO-SIL產品設計出符合IEC 61508標準的IQAN-MC3，使有效達到符合SIL 2標準的各類安全功能的操作和性能級別成為可能。該控制器還是符合EN ISO 13849-1標準的PLD子系統(tǒng)的組件之一。

SafeTkit——蓄勢待發(fā)

英飛凌攜手Hitex推出了一個綜合性服務套件。SafeTkit是一個板級解決方案，包括TriCore單片機、CIC61508 和所有相關軟件和文檔。這個完善的安全解決方案最大限度簡化了符合IEC 61508標準的應用設計，同時可節(jié)省設計資源，縮短客戶的產品開發(fā)周期。

32位SafeTkit是滿足ASIL D級/SIL三級安全設計要求的平臺的核心，它易于配置和使用。它基于一個配備安全監(jiān)測芯片CIC61508和SafeTcore測試軟件庫的TriCore評估板。

SafeTkit基于一個配備安全監(jiān)測芯片CIC61508的TriCore評估板。除SafeTcore測試軟件庫外，SafeTkit還包含一個完整的工具鏈，其中有免費提供的通用TriCore編譯器、安全示范應用和測試平臺。該安全套件還提供一整套文檔，包含安全手冊和快速入門指南等。它提供所有主要的安全特性，這些特性可以進行配置，以評估它們對于系統(tǒng)行為的影響，了解底層的概念。目前，英飛凌已針對TC1767、TC1782、TC1797和TC1387處理器推出用于安全認證的SafeTcore測試軟件庫和文檔。公司還將在不久以后推出面向其他TriCore和XC2300型號的測試軟件庫和文檔。此外，Hitex可針對SafeTkit提供全面的設計支持，以及相關的培訓和咨詢服務。

責任編輯：gt