如何轻松达成汽车功能的安全性？

忆体结构传送，资料将维持多样并获得备援。自我测试功能在PCP上执行，并由透过SPI连结TriCore芯片的外部智慧型看门狗（CIC61508）额外加以监控（图 3）。看门狗装置是尽可能减少共因失效的有效方法。看门狗使用特定的计时视窗与TriCore芯片传递讯息，以检查TriCore芯片的时脉、电压及正确运作是否符合标准定义。TriCore则负责监控CIC 61508的电源供应，并透过远端诊断测量方法来监控其是否正确运作。主TriCore CPU和PCP之间会共享错误侦测（硬件故障和任务监控）。

　　图3 创新的安全概念以挑战／回应技术为基础，TriCore芯片上的 PCP 扮演挑战者，主TriCore CPU则执行测试。PCP由外部智慧型看门狗（CIC61508）额外加以监控，并透过SPI连结TriCore芯片。

　　PCP软件内含PCP自我测试、C/R（Challenge/Response，挑战／回应）通讯、看门狗通讯、测试执行监控及任务监控等功能。TriCore中所执行的SafeTcore程序库为可组态的架构，可提供测试功能来验证处理器和系统完整性（图 4）。这些测试大部分会进行建置，因此能够在起始时间执行，同时也可以在执行时间於背景执行。典型的诊断间隔时间为6.4ms。最复杂的测试为TriCore CPU自我测试。透过使用创新的安全概念，此项操作码式自我测试的整体诊断覆盖率可达96.5%，远胜于其他指令集测试，且具有可中断且低延迟的优点。

　　图4 SafeTcore软件分割

　　SafeTcore测试程序库

　　SafeTcore套件提供工具，有助于同步完成两项任务，亦即符合SIL1至SIL3（或 ASIL B-D）所需的认证，以及配合紧迫的上市日程表。最大的认证挑战是达到芯片级 （silicon level） 所需的测试，并拥有可支持安全实例的说明文件。SafeTcore套件经由高度可组态性的驱动器程序库，为TriCore系列装置提供前述功能，并结合完整可用的安全手册、安全实例及需求／追踪资料库。SafeTcore集具有强大的自我测试程序，运用在PCP上于起始时间开始并周期于应用程式内执行的SafeTcore集（图 5），使用者软件的正确运作及TriCore CPU本身将可获得验证和认证。

　　图5 SafeTcore开启和关闭测试

　　此核心测试功能结合了详细的周边测试及自动支援安全监控芯片。SafeTcore程序库的软件测试集亦提供作业系统监控功能，以执行复杂的任务及制造流程监控，可支援安全的程式码执行，以及超过 99% 的诊断覆盖率。SafeTcore套件亦包括将各种程序库要素整合至使用者应用程式的安全手册，以及安全整合性等级的核可。

　　看门狗

　　CIC61508 可整合至各种功能安全相关应用程式。看门狗可侦测可能造成微处理器运算错误之常见时脉、供电及温度失效模式，藉此监控主微处理器（如TriCore芯片）。由于采用了 TSSOP-38 的小型封装，CIC61508 具有节省空间和成本效益的特性，是支援安全防护应用的首选。

　　在使用TriCoreMCU 的安全相关系统中，TriCore 主核心执行 SafeTcore测试软件以及核心和周边测试，PCP 则监控TriCore主核心。CIC61508 外部看门狗监控两个核心，以确定失效共因。由于 PCP 已建置各种自我测试功能，TriCore/CIC61508 组合仅需要由 CIC61508 提供的功能子集。

　　CIC61508 所支援的测试特性，存在储存器中，包括内部操作码测试日程表／定序器，可產生一连串附带特定资料的测试需求，并依据使用者自定表格来检查回应。其他监控功能包括可侦测多达 4 个电源域的欠压及过压、监控多达 8 项平行资料比对及确认，并包含作业系统的任务监控，可以检查预先定义的派工顺序，以及执行预定的所有安全重要任务。
　　作者：英飞凌科技 Manfred Choutka

本文转摘自电子发烧友网《汽车电子特刊》5月刊