在功能性安全方面，IEC 61508標(biāo)準(zhǔn)提供了關(guān)鍵規(guī)范，包括一系列“電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能性安全”標(biāo)準(zhǔn)。此外，某些應(yīng)用領(lǐng)域的標(biāo)準(zhǔn)略有調(diào)整，這些標(biāo)準(zhǔn)從屬于IEC 61508。例如IEC 61508針對汽車行業(yè)特定條件的相應(yīng)調(diào)整成果就是ISO 26262系列標(biāo)準(zhǔn)，涵蓋“道路車輛中的電氣/電子安全相關(guān)系統(tǒng)”。

眾多安全功能

除了滿足ISO 26262標(biāo)準(zhǔn)最高等級的ASIL-D要求外，英飛凌的Aurix 32位單片機(jī)亦設(shè)計為不受條件局限的獨立安全單元(SEooC)。這意味著Aurix系列衍生產(chǎn)品具備安全特性，可以集成到與安全相關(guān)的整體系統(tǒng)中。

第二代Aurix系列采用40nm工藝嵌入式閃存技術(shù)制造，完全符合汽車品質(zhì)標(biāo)準(zhǔn)。得益于頻率高達(dá)300 MHz的六個TriCore處理器內(nèi)核，新系列提供了相比前代產(chǎn)品大幅增加的計算能力(第一代TC2x：740DMIPS；第二代TC3x：2400DMIPS)。

由于提供功能性安全支持，Aurix單片機(jī)獲得了工業(yè)應(yīng)用領(lǐng)域的青睞。以下硬件和軟件安全特性確保Aurix單片機(jī)非常適合安全關(guān)鍵型應(yīng)用：

• 檢查器內(nèi)核
• 閃存和RAM 糾錯碼(ECC)
• 安全的共享資源互連(SRI) (縱橫式交換矩陣)
• 電壓、頻率和外設(shè)監(jiān)控
• 安全管理單元 (SMU)
• SafeTpack安全管理器
• 邏輯內(nèi)置自檢(LBIST)

安全特性

檢查器內(nèi)核在后臺運行并監(jiān)控處理器。所有的操作都執(zhí)行兩次，一旦獲得不同的結(jié)果，SMU 就會發(fā)出錯誤消息。

Flash 和 RAM 都具有集成的糾錯碼(ECC)功能，這個錯誤檢測程序可發(fā)現(xiàn)與數(shù)據(jù)存儲或傳輸相關(guān)的錯誤。如果檢測到此類錯誤，則可以對其進(jìn)行更正。

通過共享資源互連(SRI)，也稱為縱橫式交換矩陣(crossbar)，數(shù)據(jù)在內(nèi)核和內(nèi)存之間來回傳輸。這些連接由端到端連接形式的硬件機(jī)制加以保護(hù)。

第二代Aurix單片機(jī)基于 3.3V 的工作電壓和 300MHz 的頻率。如果超出或低于允許的容差，則會生成警報。例如可以通過循環(huán)冗余校驗(CRC)監(jiān)控外圍設(shè)備。在此過程中使用校驗來(Checksum)檢查數(shù)據(jù)傳輸是否正確。

作為 Aurix單片機(jī)中的集成硬件 IP，安全管理單元用于記錄、處理和評估所有與安全相關(guān)的錯誤。

SafeTpack是Hitex開發(fā)的綜合安全管理器，用于在第二代 Aurix 單片機(jī)中協(xié)調(diào)調(diào)試和循環(huán)測試的執(zhí)行，通過混合硬件和軟件模塊來確保Aurix處理器內(nèi)核和內(nèi)部總線的正確運行。

邏輯內(nèi)置自檢是SafeTpack軟件庫的一部分，可讓開發(fā)人員有機(jī)會使用軟件來確保每次啟動控制器時Aurix單片機(jī)都正常工作。

這些硬件和軟件特性創(chuàng)造了標(biāo)準(zhǔn)單片機(jī)無法輕易實現(xiàn)的高安全水平。

實現(xiàn)功能性安全

然而，僅靠單片機(jī)無法實現(xiàn)功能性安全，需要將單片機(jī)視為整體設(shè)計的核心組成部分才可以。只有從一開始就開發(fā)安全設(shè)計概念，并且努力追求實施，才能保障整體系統(tǒng)的安全。這個復(fù)雜的過程可以概括為五個步驟。

1. 進(jìn)行危害風(fēng)險分析

風(fēng)險分析必須確定考慮安全關(guān)鍵應(yīng)用的程度，以及必須在何種程度上遵守與法律功能性安全相關(guān)的要求。有多種方法可用于這項用途，例如，很受歡迎的危害分析和風(fēng)險評估(HARA)可用于確定一個系統(tǒng)是否為安全相關(guān)系統(tǒng)，如果是，則確定安全相關(guān)的程度有多高。

2. 定義安全要求級別

根據(jù)標(biāo)準(zhǔn)，有多個不同的安全要求級別。對于工業(yè)應(yīng)用，IEC 61508 定義了所謂的“安全完整性等級 (SIL)”，劃分為 SIL1 至 SIL4 級別?？梢允褂谩皳p壞程度”、“持續(xù)時間”、“危險防護(hù)”和“發(fā)生的可能性”等參數(shù)的組合，在矩陣中確定實際的相關(guān)級別。

同樣，ISO 26262為汽車環(huán)境定義了充分的安全標(biāo)準(zhǔn)。在這種情況下，安全級別分為 ASIL-A 到 ASIL-D。

3. 確定組件并實現(xiàn)設(shè)計

選擇最合適的組件來實現(xiàn)所需的應(yīng)用。為了實現(xiàn)這一目標(biāo)，必須考慮特定的安全功能。而后可以設(shè)計電路板的布局并相應(yīng)地填充。硬件設(shè)置好之后，就可以實施軟件了。必須制定最終的安全概念并將其付諸實踐，由于單片機(jī)是中央控制單元，在單片機(jī)編程時需要特別重視這一點。

4. 驗證安全功能

驗證(validation)步驟顯示所有安全相關(guān)功能是否正常工作，即檢查每項獨立于整個系統(tǒng)的單獨功能，如果其中一項或多項不符合規(guī)范，則可以在開發(fā)階段對其進(jìn)行修改。這個過程會根據(jù)需要重復(fù)進(jìn)行，直到所有安全功能都滿足要求。

5. 校驗安全性

校驗(verification)是在驗證之后進(jìn)行的第二部分檢查，使用檢查清單來檢查系統(tǒng)是否完美運行。與驗證相反，校驗將系統(tǒng)視為一個整體。如德國TüV的獨立認(rèn)證機(jī)構(gòu)為這一步驟提供支持，并根據(jù)法律要求進(jìn)行安全認(rèn)證。

來自合作伙伴網(wǎng)絡(luò)的全面支持

對 Aurix 等復(fù)雜單片機(jī)進(jìn)行編程是復(fù)雜的工作，尤其是在添加安全功能時。為了支持開發(fā)人員并加速編程，<link

PDH模型包括免費和付費支持服務(wù)。例如客戶可以免費獲得一級技術(shù)支持以及咨詢和培訓(xùn)服務(wù)，還可以付費使用完整的硬件和軟件組件。儒卓力的合作伙伴 Hitex 也提供相應(yīng)的支持服務(wù)。多年來，該公司贏得了功能性安全專家的贊譽。儒卓力在開發(fā)階段為開發(fā)人員提供全面的支持，客戶可以使用Hitex 的持續(xù)支持，以實現(xiàn)復(fù)雜的功能。