外部监控芯片助力,多核MCU强化汽车/工业安全

kelly的头像

每位汽车工程师都致力建构100%失效安全(Fail-safe)系统,但要以符合经济效益的方式实现目标却相当困难。因此,诸如ISO 26262和IEC 61508等标准在定义安全相关系统所需的功能安全等级时,一般多采用机率风险评估方法。

这些标准定义(汽车)安全完整性等级(ASIL/SIL),规定须遵守的系统属性及工程工艺严格度,以符合相关系统认证要求;同时,为长期维持系统正常运作,新标准也定义系统安全目标和容忍错误率的安全概念,以及软硬件功能安全架构。

满足汽车安全规范多核心MCU重装上阵

一般而言,安全软件、硬件及工具属于独立解决方案,可各自解决部分需求,却无法加以整合。不过,目前有一种提供完整解决方案的整合式PRO-SIL概念,能通过有效的设计方式,达成安全功能整合运作的目标,以充分降低汽车上路风险、简化开发成本及系统复杂度。

开发汽车安全系统的基本动机,在于发现缺陷时,确保安全操作和明确定义的行为,IEC 61508标准便是在此背景下,于1980年代中期发展而成,并不断修订。其定义电子和电动装置安全系统设计,并衍生出工艺自动化(IEC 61511)、机械自动化(ISO 13849)、驱动装置(IEC 61800-5)、核能(IEC 61513)及汽车特定需求(ISO 26262草案)相关标准。

确保符合IEC 61508标准的测量方法,取决于系统中每种危险所需的安全完整性等级(表1)。其中,SIL 1?4级适用于自动化应用检测方面,ASIL A?D级则适用于汽车应用。近2年来,汽车功能安全已从系统整合者作业转移至组件、软件开发商层面上,简单的电子组件和复杂的微控制器(MCU)都须支持IEC 61508。

对系统设计师而言,最重要且最费时的挑战就是确保系统安全性,不仅要在最高系统层级上获得相关认证,机器的硬件和注册数据也须有同样水平;因此,IEC 61508遂针对硬件规定详细的管理和测试需求,避免撰写安全软件执行这些功能导致研发时间及成本加剧,且不易在装置之间携行使用的状况。

在使用配备单一微控制器的单通道(1oo1)架构之下,最大安全完整性等级将限制为SIL 2。因此,SIL 3或ASIL C/D系统及安全产品采用多重中央处理器(CPU)设计,以处理自我测试和确保备援。

然而,此种解决方案相当复杂、昂贵,并将占用大量印刷电路板(PCB)空间,而且覆盖范围则因两个CPU之间的同步和传递问题而受限。目前业界最新方法是增加特殊的外部硬件区块,并使用在标准双核心32位微控制器上执行的软件链接库,藉此突破指定的媒体诊断范围(DC)限制。

通过使用单一微控制器来减轻开发负担和原料成本,并运用智能型安全概念搭配所有相关组件,包括依据IEC6 1508/ISO26262开发且方便的自我测试功能,将能快速、可靠的将安全性纳入相关系统。例如英飞凌(Infineon)的Tri Core微控制器,即不须采用外部第二核心评估功能故障,因其本身即具备多核心功能,包括微控制器、数字信号处理器(DSP)及周边控制处理器(PCP)(图1)。

图1 多核心微控制器架构图,其中,PCP可用于执行自我测试功能。

完整设计套件助攻多核MCU通吃汽车/工业应用

在建置安全关键应用方面,市场上已有不同的解决方案。尽管大多数领导厂商都提供汽车应用的相关方法,但是用于工业等其他应用领域的相关方案却相当有限,且可用的装置发展亦受到限制。

由于经过认证的汽车解决方案可轻易转移至其他应用上,所以已有芯片业者开发出专属的PRO-SIL安全产品,一方面满足汽车系统严格的安全要求,另一方面亦可催生工业应用产品。PRO-SIL系以16或32位微控制器为基础,并导入软件测试链接库及安全监控芯片(图2)。此建置经过完整验证,完全符合IEC 61508的规定。

图2 以多核心微控制器作为系统主控制器,并采用安全监控芯片及测试软件链接库的安全相关系统。

与此同时,PRO-SIL概念采用的安全架构为单信道结构,搭配智能型诊断功能。单或双信道(1oo2)结构是两种最常见的安全控制架构,后者以两个独立的处理单元为基础,可支持至SIL 3高安全完整性等级,但需更高的成本及更多的PCB空间;相较之下,前者则提供较为经济的解决方案,但安全完整性等级仅限于SIL 2。

创新汽车安全概念须以快速响应技术为灵魂,多核心微处理器内建的PCP将扮演重要功能角色,主要的CPU核心则执行测试。在多核心芯片架构下,车内信息经由共享内存传送,数据将维持多样并取得备援机制,当芯片自我测试功能在PCP上执行,可通过串行周边接口(SPI)链接外部智能型看门狗(Watch Dog)加以监控(图3)。

图3 芯片自我测试运作架构图

看门狗装置系减少共因失效的有效方法。其使用特定的计时窗口进一步与多核心芯片互相传递信息,以检查芯片频率、电压及运作是否合乎标准定义。主芯片则负责监控看门狗的电源供应,并藉由远程诊断测量方法监控运作,达成共享错误侦测(硬件故障和任务监控)的效益。

简化CPU测试复杂度PCP软件链接库立大功

PCP软件内含PCP自我测试、挑战/响应(Challenge/Response,C/R)通讯、看门狗通讯、测试执行监控及任务监控等功能。多核心微控制器中所执行的Safe Tcore链接库为可组态架构,可提供测试功能来验证处理器和系统完整性(图4)。

图4 软件链接库可协助多核心微控制器执行各种验证

这些测试大部分会进行建置,所以能在起始时间或于背景中执行。典型的诊断间隔时间为6.4毫秒(ms)。最复杂的测试则为CPU自我测试,须采用效能远胜于其他指令集的方式,促进整体诊断覆盖率达96.5%,且兼具可中断、低延迟等优点。

针对上述测试需求,芯片商已提供完整的软件套件,有助同步完成两项任务,亦即符合SIL1?SIL3或ASIL B?D级所需认证,加速产品上市时程。对系统供货商而言,最大认证挑战系通过芯片级的测试,并拥有可支持安全实例的说明文件,Safe Tcore套件经由高度可组态性的驱动器链接库和丰富的指令集(表2),并结合完整可用的安全手册、安全实例及需求/追踪数据库,将能完全满足多核心微处理器的测试需求。

此核心测试功能还结合详细的周边测试及自动支持安全监控芯片,并提供操作系统监控功能,以执行复杂的任务及制造流程监控,可支持安全的程序代码执行,以及超过99%的诊断覆盖率。

监控MCU与PCP核心外部看门狗功不可没

看门狗装置设计须整合与各种功能安全相关应用程序,以侦测可能造成微控制器运算错误的常见频率、供电及温度失效模式,达成监控主微控制器的目的。同时,藉由采用TSSOP-38小型封装,看门狗装置还能具有节省空间和成本效益的特性,发展更多元的安全防护应用。

在使用多核心微控制器的安全系统中,主核心执行Safe Tcore测试软件及核心周边测试,PCP监控主核心;而外部看门狗则一并监控PCP与主核心,以确定失效共因。由于PCP已建置各种自我测试功能,主核心与看门狗的组合仅须提供功能子集。

看门狗所支持的测试特性,存在储存器中,包括内部操作码测试日程表/序列发生器,可产生一连串附带特定数据的测试需求,并依据用户自定表格来检查响应。其他监控功能包括可侦测多达四个电源域的欠压及过压、监控多达八项平行数据比对及确认,并包含操作系统的任务监控,可检查预先定义的派工顺序,以及执行预定的所有安全重要任务。

强化汽车/工业安全多核心MCU设计抢眼

以多核心微控制器的非对称双核心架构为基础,搭配外部看门狗进行监督,并结合诊断软件链接库,将有效支持SIL 3的IEC 61508安全相关系统验证。现阶段,Parker Hannifin已在全新的可程序化液压控制器--IQAN-MC3中实现这一设计,协助原始设备制造商(OEM)及系统整合商开发汽车和工业设备。

新的IQAN-MC3支持从单一模块同时控制安全与作业功能,可大幅缩短系统设计时间和减少成本,同时提升机械效能、安全及生产力。其符合移动和非公路设备制造商不断增加的组件和软件需求,用于生产和开发安全系统,以强化车用和工业用装置效能,并助其通过EN ISO13849-1(机械指令)或IEC 61508等业界公认的安全标准认证。

此外,研发新一代电路板层级(Board-level)的服务套件亦相当重要,更完整的安全解决方案将使应用程序轻松通过IEC 61508认证,节省设计资源,并为客户缩短产品上市时间。

文章来源: 牛喀网