每个工程师都在努力构建100%故障安全系统,但是以经济的方式实现这一理想目标非常困难。
因此,在定义安全相关系统所需的功能安全级别时,诸如ISO 26262和IEC 61508之类的标准通常使用概率风险评估方法。
这些标准定义了(汽车)安全完整性等级(ASIL / SIL),以指定必须遵循的系统属性以及应用于满足相关系统认证要求的工程过程严格性,包括定义系统安全目标和错误容忍度。
高效的安全性概念和将功能配置为硬件和软件功能的安全体系结构,以连续检测系统是否长时间正常运行。
传统上,安全软件,硬件和工具是独立的解决方案,可以解决部分需求,但无法集成。
但是,目前存在集成的PRO-SIL& trade;贸易。
该概念提供了一种完整的解决方案,可以以有效且集成的方式实现功能安全目标,从而充分降低风险,节省成本并降低复杂性。
开发“安全”软件的基本动机系统应确保发现缺陷时的安全操作和明确定义的行为。
在这种背景下,IEC 61508标准在1980年代中期制定并不断修订。
本标准定义了电子和电气设备安全系统的设计。
此外,还可以从过程自动化(IEC 61511),机械自动化(ISO 13849),驱动设备(IEC 61800-5),核能(IEC 61513)和汽车(ISO 26262草案)中获取满足特定需求的标准。
一般标准成为。
确保符合IEC 61508标准的测量方法取决于系统中每种�:λ璧陌踩暾缘燃叮ū�1)(SIL 1至SIL 4适用于自动化应用,ASIL A至ASIL D适用于汽车应用)。
表1安全完整性等级,其中根据IEC 61508或ISO 26262的系统安全认证规定了合规性项目。
在过去的两年中,功能安全已经从系统集成商的运营转移到组件/软件级别。
简单的电子组件和复杂的微处理器都必须支持IEC61508。
对于系统设计人员来说,最重要也是通常最耗时的挑战之一就是确保系统的安全性。
不仅必须在最高系统级别获得相关认证,而且机器的硬件和注册信息还必须具有相同的标准。
IEC 61508指定了详细的硬件管理和硬件测试要求。
因此,编写安全关键软件来执行这些功能既耗时又昂贵,并且在设备之间携带也不容易。
多个CPU成本高且占用空间大。
在配备单个微处理器的单通道体系结构下,最大安全完整性级别将限制为SIL2。
因此,SIL 3或ASIL C / D系统和安全产品采用多种CPU设计来进行自检并确保备份。
但是,此解决方案非常复杂且昂贵,因为它占用了大量PCB空间,并且由于两个CPU之间的同步和传输问题而导致覆盖范围受到限制。
新方法是添加一个特殊的外部硬件�?椋⑹褂迷诒曜妓�32位微处理器上执行的软件库来突破指定的介质诊断范围(DC)限制。
该解决方案使用单个微处理器来减轻开发负�:驮牧铣杀荆⑹褂镁哂兴邢喙刈榧闹悄馨踩拍睿òǜ軮EC61508 / ISO26262开发的便捷的自检功能)来快速可靠地合并安全相关系统。
TriCore不使用外部第二个内核来评估微处理器的功能故障; TriCore已经包括TriCore CPU本身(微处理器和DSP)和外围控制处理器(PCP)双核(图1),因此无需外部第二核Core即可进行安全评估。
图1 TriCore框图-PCP在安全关键型应用中执行自测功能的完整设计套件,在市场上具有不同的解决方案。
尽管大多数领先的供应商都为汽车应用提供了相关方法,但包括工业在内的其他应用的相关方法仍然受到限制,可用设备的开发通常受到限制。
汽车系统要求严格的安全要求。
英飞凌利用在该领域的丰富经验开发PRO-SIL安全产品,以高度集成的安全解决方案满足不断增长的工业市场需求。
认证汽车解决方案
深圳市捷比信实业有限公司
邮箱:momo@jepsun.com
产品经理:李经理
QQ:2215069954
地址:深圳市龙华区东环一路皇嘉中心A座820