Infineon Technologies Watchdog für einfache ASIL-D-Zertifizierung

Watchdog für einfache ASIL-D-Zertifizierung
Watchdog für einfache ASIL-D-Zertifizierung

Infineon Technologies hat mit dem CIC61508 einen intelligenten Signature-Watchdog-Baustein entwickelt. Zusammen mit den 32-Bit-TriCore-Controllern und der speziellen Testsoftware SafeTcore von Infineon lassen sich mit diesem neuen Watchdog Überwachungs- und Testfunktionen durchführen, die die höchsten Anforderungen an funktionale Sicherheit in Automobilen gemäß IEC 61508 und ISO 26262 erfüllen.

Der CIC61508 eignet sich für Sicherheitsanwendungen wie Fahrdynamik-Regelung, elektrische Servolenkung (EPS), Airbags, Stoßdämpfer oder Antriebssteuerung. In diesen Anwendungen überwacht der Baustein den Mikrocontroller auf fehlerhaften Takt, korrekte Stromversorgung oder temperaturbedingte Rechenfehler. Mit seinem kleinen TSSOP-38-Gehäuse ist der CIC61508 eine Platz und Kosten sparende Lösung zur Unterstützung der funktionalen Sicherheit.

Sicherheitssysteme erfordern einen unabhängigen Watchdog-Baustein, der eine robuste und zuverlässige Überwachung des Haupt-Mikrocontrollers in Anwendungen gemäß ISO 26262 und IEC 61508 ermöglicht. So definiert die neueste ISO 26262-Spezifikation (Part 5), dass ein kodierter Window-Watchdog (üblicherweise mit SPI-Interface) für ASIL C und ASIL D erforderlich ist. Deren hohen Anforderungen sind mit einem einfachen Pin-Toggle-Window-Watchdog nicht zu erfüllen. Aus diesem Grund arbeitet der CIC61508 als unabhängiger Diagnose- und Überwachungs-Baustein, um ASIL-D-zertifizierten Sicherheitssystemen gerecht zu werden.

Die Testfunktionen, die vom CIC61508 unterstützt werden, sind in seinem ROM abgelegt. Dazu gehört ein interner Opcode-Test-Scheduler/Sequenzer, der eine Sequenz von Testanforderungen mit spezifischen Daten erzeugt und die Testantworten mit einer nutzerdefinierten Tabelle vergleicht. Andere Test- bzw. Überwachungsfunktionen beinhalten die Erfassung von Unter- und Überspannungen in bis zu vier Stromversorgungen sowie das Monitoring von bis zu acht parallelen Datenvergleichs- und Verifizierungs-Funktionen. Zu den Test- und Überwachungsfunktionen gehören außerdem ein Task-Monitor für das Betriebssystem, der die vordefinierten Dispatch-Sequenzen und die Ausführungs-Budgets prüft, sowie drei unabhängige Anschlüsse für die Systemsteuerung, mit denen das System sicher in einen definierten Status gebracht werden kann.

Entwicklungsmuster des CIC61508 im TSSOP-38-Gehäuse und den Temperaturbereich von -40 bis 140 °C sind verfügbar. Beginn der Volumenfertigung ist im 2. Quartal 2011. Das SafeTcore-Softwarepaket des CIC61508 enthält Testfunktionen zur funktionalen Sicherheit für den Mikrocontroller-Core und die Peripherie entsprechend IEC 61508/ISO 26262.

Die Sicherheitsstufen SIL (Safety Integrity Level) gemäß Standard IEC 61508 oder ASIL (Automotive Safety Integrity Level) gemäß Standard ISO 26262 spezifizieren die erforderlichen Sicherheitsmaßnahmen zur Risikobegrenzung. Es gibt vier SIL-Stufen (1-4; 4 steht für die höchste Sicherheitsanforderung) und vier ASIL-Stufen (A-D; D steht für die höchste Sicherheitsanforderung). Damit Kunden, wie beispielsweise die Systemhersteller der Automobilbranche, möglichst schnell und einfach die erforderliche SIL-Zertifizierung erlangen können, bietet Infineon die PRO-SIL-Sicherheitsprodukte mit SIL-unterstützender Hard- und Software sowie Dokumentation. Die Schlüsselkomponenten von Infineons Lösung beinhalten TriCore-Mikrocontroller, die spezielle SafeTcore Softwarebibliothek, den Signature-Watchdog-Baustein CIC61508 und Dokumentation.