广告
如何轻松达成汽车功能的安全性
2019-06-29 00:16:14· 来源:汽车功能安全 作者:英飞凌
如何轻松达成汽车功能的安全性(一)?每位工程师皆努力想建构100%的失效安全(fail-safe)系统,但要以经济的方式实现这个理想目标,却是相当困难。因此,诸如I
如何轻松达成汽车功能的安全性(一)?
每位工程师皆努力想建构100%的失效安全(fail-safe)系统,但要以经济的方式实现这个理想目标,却是相当困难。因此,诸如ISO 26262和IEC 61508等标准在定义安全相关系统所需之功能安全等级时,一般多采用机率风险评估方法。这些标准定义(汽车)安全完整性等级(ASIL/SIL),以规定必须遵守的系统属性,以及应采用的工程制程严格度,以符合相关的系统认证要求,其中包括定义系统安全目标及容忍错误率的安全概念,以及将机能配置到硬件和软件功能的安全架构,以长期持续侦测系统是否正常运作。传统上,安全软件、硬件及工具属于独立的解决方案,能够各自解决部分需求,却无法加以整合。不过,目前有一种提供完整解决方案的整合式PRO-SIL™概念,能透过有效且整合的方式达成功能安全目标,以充分降低风险、节省成本及减少复杂性。
开发“安全”系统的基本动机,在于发现缺陷时,确保安全的操作和明确定义的行为。IEC 61508标准便是在此背景下,於1980年代中期发展而成,并且不断修订。此标准定义了电子和电动装置安全系统的设计。另外,针对制程自动化(IEC 61511)、机械自动化(ISO 13849)、驱动装置 (IEC 61800-5)、核能(IEC 61513)及汽车(ISO 26262 草案)等特定需求的标准,也由此一般标准衍生而成。确保符合 IEC 61508 标准的测量方法,取决於系统中每种危险所需的安全完整性等级(表1)(SIL 1至SIL 4适用于自动化应用,ASIL A至ASIL D适用于汽车应用)。
近两年来,功能安全已从系统整合者作业转移为元件/软件等级。简单的电子元件和复杂的微处理器皆必须支援IEC 61508。对系统设计师而言,最重要且经常最花时间的挑战之一,就是确保系统的安全,而且不仅要在最高系统层级上获得相关认证,机器的硬件和注册资料也需有同样水准。IEC 61508针对硬件规定了详细的硬件管理和测试需求,因此,撰写安全关键软件来执行这些功能相当费时且昂贵,而且不易在装置之间携行使用。
多重CPU-成本与空间密集
在使用配备单一微处理器的单通道架构之下,最大安全完整性等级将限制为SIL 2。因此,SIL 3或ASIL C/D系统及安全产品采用多重CPU设计,以处理自我测试和确保备援。然而这种解决方案相当复杂且昂贵,因为会占用大量PCB空间,而且覆盖范围因两个CPU之间的同步和传递问题而受限。新方法是增加特殊的外部硬件区块,并使用在标准双核心32位微处理器上执行的软件程序库,借此突破指定的媒体诊断范围(DC) 限制。此解决方案透过使用单一微处理器来减轻开发负担和原料成本,并运用智慧型安全概念搭配所有相关元件(包括依据IEC61508/ISO26262开发且方便的自我测试功能),快速可靠地将安全性纳入相关系统。
TriCore不采用外部第二核心来评估微处理器的功能故障;TriCore已包含TriCore CPU本身(微处理器及DSP)及周边控制处理器(PCP)双核心(图 1),因此不需要外部第二核心来进行安全性评估。
完整的设计套件
在建置安全关键应用方面,市场上已经有不同的解决方案。尽管大多数领导供应商皆提供汽车应用的相关方法,但是包含工业在内之其他应用领域的相关方法却仍然有限,而且可用的装置发展经常受到限制。汽车系统讲求严格的安全要求,英飞凌利用在此领域的丰富经验,开发出PRO-SIL安全产品,以高度整合的安全解决方案来满足持续增加的工业市场需求。经过认证的汽车解决方案可轻松供其他应用使用,同时提供各种装置。PRO-SIL的建置是以其32位TriCore或16位XC2300微处理器为基础,同时包含SafeTcore测试程序库及CIC61508安全监控芯片(图 2)。此建置经过完整验证,完全符合IEC 61508的规定。
如何轻松达成汽车功能的安全性(二)?
创新的安全概念
单通道(1oo1或1 out of 1)或双通道(1oo2或1 out of 2)结构是两种最常见的安全控制架构,后者是以两个独立的处理单元为基础。1oo1结构提供经济的解决方案,其安全完整性等级仅限于SIL 2。双通道架构(1oo2)支援SIL 3高安全完整性等级,但需要更高的成本及更多的电路板空间。PRO-SIL 概念采用的安全架构为1oo1结构,搭配智慧型诊断功能(1oo1D)。
创新的安全概念以挑战/回应技术为基础,TriCore芯片上的PCP扮演挑战者,主TriCoreCPU则执行测试。资讯经由共享记忆体结构传送,资料将维持多样并获得备援。自我测试功能在PCP上执行,并由透过SPI连结TriCore芯片的外部智慧型看门狗(CIC61508)额外加以监控(图 3)。看门狗装置是尽可能减少共因失效的有效方法。看门狗使用特定的计时视窗与TriCore芯片传递讯息,以检查TriCore芯片的时脉、电压及正确运作是否符合标准定义。TriCore则负责监控CIC 61508的电源供应,并透过远端诊断测量方法来监控其是否正确运作。主TriCore CPU和PCP之间会共享错误侦测(硬件故障和任务监控)。
PCP软件内含PCP自我测试、C/R(Challenge/Response,挑战/回应)通讯、看门狗通讯、测试执行监控及任务监控等功能。TriCore中所执行的SafeTcore程序库为可组态的架构,可提供测试功能来验证处理器和系统完整性(图 4)。这些测试大部分会进行建置,因此能够在起始时间执行,同时也可以在执行时间於背景执行。典型的诊断间隔时间为6.4ms。最复杂的测试为TriCore CPU自我测试。透过使用创新的安全概念,此项操作码式自我测试的整体诊断覆盖率可达96.5%,远胜于其他指令集测试,且具有可中断且低延迟的优点。
SafeTcore测试程序库
SafeTcore套件提供工具,有助于同步完成两项任务,亦即符合SIL1至SIL3(或 ASIL B-D)所需的认证,以及配合紧迫的上市日程表。最大的认证挑战是达到芯片级 (silicon level) 所需的测试,并拥有可支持安全实例的说明文件。SafeTcore套件经由高度可组态性的驱动器程序库,为TriCore系列装置提供前述功能,并结合完整可用的安全手册、安全实例及需求/追踪资料库。SafeTcore集具有强大的自我测试程序,运用在PCP上于起始时间开始并周期于应用程式内执行的SafeTcore集(图 5),使用者软件的正确运作及TriCore CPU本身将可获得验证和认证。
此核心测试功能结合了详细的周边测试及自动支援安全监控芯片。SafeTcore程序库的软件测试集亦提供作业系统监控功能,以执行复杂的任务及制造流程监控,可支援安全的程式码执行,以及超过 99% 的诊断覆盖率。SafeTcore套件亦包括将各种程序库要素整合至使用者应用程式的安全手册,以及安全整合性等级的核可。
看门狗
CIC61508 可整合至各种功能安全相关应用程式。看门狗可侦测可能造成微处理器运算错误之常见时脉、供电及温度失效模式,藉此监控主微处理器(如TriCore芯片)。由于采用了 TSSOP-38 的小型封装,CIC61508 具有节省空间和成本效益的特性,是支援安全防护应用的首选。
在使用TriCoreMCU 的安全相关系统中,TriCore 主核心执行 SafeTcore测试软件以及核心和周边测试,PCP 则监控TriCore主核心。CIC61508 外部看门狗监控两个核心,以确定失效共因。由于 PCP 已建置各种自我测试功能,TriCore/CIC61508 组合仅需要由 CIC61508 提供的功能子集。
CIC61508 所支援的测试特性,存在储存器中,包括内部操作码测试日程表/定序器,可產生一连串附带特定资料的测试需求,并依据使用者自定表格来检查回应。其他监控功能包括可侦测多达 4 个电源域的欠压及过压、监控多达 8 项平行资料比对及确认,并包含作业系统的任务监控,可以检查预先定义的派工顺序,以及执行预定的所有安全重要任务。
广告
最新资讯
-
NVIDIA 收购 GPU 编排软件提供商 Run:ai
2024-04-26 17:32
-
在亚洲最大车展见证 AI 推动未来交通运输业
2024-04-26 17:07
-
《GB/T 15385-2022 气瓶水压爆破试验方法》
2024-04-26 16:51
-
直播|中国汽研:大倾角座椅下的乘员安全研
2024-04-26 16:35
-
采埃孚亚太区最大安全气囊生产基地在武汉投
2024-04-26 16:29
广告
广告
