Sicherheit im Paket
Fortsetzung des Artikels von Teil 1
Das Sicherheitskonzept
Für Nutzer der Mikrocontroller TriCore und auch XC2000 haben Infineon und Hitex nun ein Sicherheitskonzept entwickelt und bieten hierfür ein rundes Paket von Komponenten an, mit dem die Integration funktionaler Sicherheit leicht gemacht wird. Die 16-bit-Familie XC2300 ist dediziert für Safety-Applikationen im Automobil- und auch im Industrial-Bereich ausgelegt. Die Derivate decken sowohl kosten- als auch leistungsbezogene Anforderungen ab. Mit ihrem reichen und flexiblen Satz an Peripherals ist die Familie optimal für Sicherheitsanwendungen geeignet.
Die 32-bit-Familie TriCore mit dem vereinigten RISC/MCU/DSP-Prozessor ist für höhere Anforderungen im Automobil- und Industriebereich ausgelegt. Mit ihrem integrierten Peripheral Control Processor (PCP) ist sogar eine Aufgabenteilung bei der Fehlererkennung möglich, weshalb in diesem Artikel hauptsächlich auf die TriCore-Variante des Sicherheitskonzeptes eingegangen wird. Dies soll allerdings nicht den Eindruck erwecken, dass die XC-Variante weniger leistungsfähig wäre.
Mit dem Label PRO-SIL hat Infineon alle Komponenten gekennzeichnet, die zu dem Sicherheitskonzept passen. Das Konzept für die Erkennung von statistischen Fehlern (Hardware) basiert auf einem Zwei-Silizium-System mit einem TriCore-Mikrocontroller (beim 16-bit-System ein XC2300-Mikrocontroller) und einem externen Watchdog CIC61508 (Safety Monitor). Der CIC61508 hat die Aufgabe der konfigurierbaren Spannungsüberwachung von bis zu vier Spannungsdomänen und ist über einen SPI-Kanal an den TriCore angeschlossen. Er kommuniziert mit dem TriCore in definierten Zeitfenstern einen Frage-Antwort-Ablauf und kann damit sowohl die von den Normen geforderte korrekte Funktionsweise des TriCore-Takts als auch der TriCore-Spannungen prüfen. Fehlerzähler summieren auftretende Fehler, ab einer konfigurierbaren Schwelle wird dies mit bis zu drei Ausgabepins (Safe State Control) signalisiert und kann zum sicheren Abschalten des Systems genutzt werden.
Der TriCore-Mikrocontroller überwacht die Spannungsversorgung des CIC61508 und durch die Frage-Antwort-Kommunikation erkennt er auch dessen Ausfall. Ansonsten teilt er seine Fehler-erkennungsaufgaben zwischen Haupt-CPU und PCP auf. Es wird hierbei nicht nur auf Hardware-Fehler getestet, sondern auch auf fehlerhafte Abweichungen des Programmablaufes (Task Monitoring).
Jeder Test hat einen Fehlerzähler mit zwei konfigurierbaren Schwellen. Die erste Schwelle kann einen Interrupt auslösen, um noch per Software auf den Fehler reagieren zu können; die zweite Schwelle führt nach einem Interrupt zwangsweise zum sicheren Abschalten des Systems.
Der aufwendigste Test ist der Opcode-Test. Hierbei wird nicht nur jeder Befehl getestet, sondern der Test wird so durchgeführt, dass eine ausreichende Abdeckung des Siliziums getestet wird. Die Liste der Core-Checks enthält Registertests, Speichertests (RAM, Flash, Cache), Bus-Diagnostic-Tests, Algorithm Result Comparison und MPU-Tests. Auch Peripherals werden getestet, CAN, FlexRay (falls vorhanden), Memory Check Unit, DAM Unit, Interrupt-Struktur, Bus Control Unit und Error Correction Unit. Das intelligente Konzept verteilt dabei die Aufgaben auf TriCore und PCP und erreicht damit eine maximale Abdeckung bei möglichst kleinem Ressourcenbedarf. Durch die Aufteilung ist auch eine Unabhängigkeit von ausführender und überwachender Instanz gegeben. So wird jeweils die Instanz, die die Tests ausführt, von der anderen Instanz bezüglich der Testergebnisse überwacht.
Jobangebote+ passend zum Thema
- Sicherheit im Paket
- Das Sicherheitskonzept
- Das Bausteinsystem für zertifizierbare Qualität
Lesen Sie mehr zum Thema
