在功能性安全方面，IEC 61508標準提供了關鍵規(guī)范，包括一系列“電氣/電子/可編程電子安全相關系統(tǒng)的功能性安全”標準。此外，某些應用領域的標準略有調整，這些標準從屬于IEC 61508。例如IEC 61508針對汽車行業(yè)特定條件的相應調整成果就是ISO 26262系列標準，涵蓋“道路車輛中的電氣/電子安全相關系統(tǒng)”。

眾多安全功能

除了滿足ISO 26262標準最高等級的ASIL-D要求外，英飛凌的Aurix 32位單片機亦設計為不受條件局限的獨立安全單元(SEooC)。這意味著Aurix系列衍生產品具備安全特性，可以集成到與安全相關的整體系統(tǒng)中。

第二代Aurix系列采用40nm工藝嵌入式閃存技術制造，完全符合汽車品質標準。得益于頻率高達300 MHz的六個TriCore處理器內核，新系列提供了相比前代產品大幅增加的計算能力(第一代TC2x：740DMIPS；第二代TC3x：2400DMIPS)。

由于提供功能性安全支持，Aurix單片機獲得了工業(yè)應用領域的青睞。以下硬件和軟件安全特性確保Aurix單片機非常適合安全關鍵型應用：

• 檢查器內核
• 閃存和RAM 糾錯碼(ECC)
• 安全的共享資源互連(SRI) (縱橫式交換矩陣)
• 電壓、頻率和外設監(jiān)控
• 安全管理單元 (SMU)
• SafeTpack安全管理器
• 邏輯內置自檢(LBIST)

安全特性

檢查器內核在后臺運行并監(jiān)控處理器。所有的操作都執(zhí)行兩次，一旦獲得不同的結果，SMU 就會發(fā)出錯誤消息。

Flash 和 RAM 都具有集成的糾錯碼(ECC)功能，這個錯誤檢測程序可發(fā)現(xiàn)與數(shù)據(jù)存儲或傳輸相關的錯誤。如果檢測到此類錯誤，則可以對其進行更正。

通過共享資源互連(SRI)，也稱為縱橫式交換矩陣(crossbar)，數(shù)據(jù)在內核和內存之間來回傳輸。這些連接由端到端連接形式的硬件機制加以保護。

第二代Aurix單片機基于 3.3V 的工作電壓和 300MHz 的頻率。如果超出或低于允許的容差，則會生成警報。例如可以通過循環(huán)冗余校驗(CRC)監(jiān)控外圍設備。在此過程中使用校驗來(Checksum)檢查數(shù)據(jù)傳輸是否正確。

作為 Aurix單片機中的集成硬件 IP，安全管理單元用于記錄、處理和評估所有與安全相關的錯誤。

SafeTpack是Hitex開發(fā)的綜合安全管理器，用于在第二代 Aurix 單片機中協(xié)調調試和循環(huán)測試的執(zhí)行，通過混合硬件和軟件模塊來確保Aurix處理器內核和內部總線的正確運行。

邏輯內置自檢是SafeTpack軟件庫的一部分，可讓開發(fā)人員有機會使用軟件來確保每次啟動控制器時Aurix單片機都正常工作。

這些硬件和軟件特性創(chuàng)造了標準單片機無法輕易實現(xiàn)的高安全水平。

實現(xiàn)功能性安全

然而，僅靠單片機無法實現(xiàn)功能性安全，需要將單片機視為整體設計的核心組成部分才可以。只有從一開始就開發(fā)安全設計概念，并且努力追求實施，才能保障整體系統(tǒng)的安全。這個復雜的過程可以概括為五個步驟。

1. 進行危害風險分析

風險分析必須確定考慮安全關鍵應用的程度，以及必須在何種程度上遵守與法律功能性安全相關的要求。有多種方法可用于這項用途，例如，很受歡迎的危害分析和風險評估(HARA)可用于確定一個系統(tǒng)是否為安全相關系統(tǒng)，如果是，則確定安全相關的程度有多高。

2. 定義安全要求級別

根據(jù)標準，有多個不同的安全要求級別。對于工業(yè)應用，IEC 61508 定義了所謂的“安全完整性等級 (SIL)”，劃分為 SIL1 至 SIL4 級別?？梢允褂谩皳p壞程度”、“持續(xù)時間”、“危險防護”和“發(fā)生的可能性”等參數(shù)的組合，在矩陣中確定實際的相關級別。

同樣，ISO 26262為汽車環(huán)境定義了充分的安全標準。在這種情況下，安全級別分為 ASIL-A 到 ASIL-D。

3. 確定組件并實現(xiàn)設計

選擇最合適的組件來實現(xiàn)所需的應用。為了實現(xiàn)這一目標，必須考慮特定的安全功能。而后可以設計電路板的布局并相應地填充。硬件設置好之后，就可以實施軟件了。必須制定最終的安全概念并將其付諸實踐，由于單片機是中央控制單元，在單片機編程時需要特別重視這一點。

4. 驗證安全功能

驗證(validation)步驟顯示所有安全相關功能是否正常工作，即檢查每項獨立于整個系統(tǒng)的單獨功能，如果其中一項或多項不符合規(guī)范，則可以在開發(fā)階段對其進行修改。這個過程會根據(jù)需要重復進行，直到所有安全功能都滿足要求。

5. 校驗安全性

校驗(verification)是在驗證之后進行的第二部分檢查，使用檢查清單來檢查系統(tǒng)是否完美運行。與驗證相反，校驗將系統(tǒng)視為一個整體。如德國TüV的獨立認證機構為這一步驟提供支持，并根據(jù)法律要求進行安全認證。

來自合作伙伴網絡的全面支持

對 Aurix 等復雜單片機進行編程是復雜的工作，尤其是在添加安全功能時。為了支持開發(fā)人員并加速編程，<link

PDH模型包括免費和付費支持服務。例如客戶可以免費獲得一級技術支持以及咨詢和培訓服務，還可以付費使用完整的硬件和軟件組件。儒卓力的合作伙伴 Hitex 也提供相應的支持服務。多年來，該公司贏得了功能性安全專家的贊譽。儒卓力在開發(fā)階段為開發(fā)人員提供全面的支持，客戶可以使用Hitex 的持續(xù)支持，以實現(xiàn)復雜的功能。