基于TMS570的SIL4級列控系統(tǒng)安全平臺設(shè)計

裴志斌，呂媛媛

（北京全路通信信號研究設(shè)計院集團有限公司，北京 100070）

1 概述

軌道交通領(lǐng)域的列控系統(tǒng)是對列車運行狀態(tài)進行控制的系統(tǒng)，其中的安全平臺應(yīng)該具備高安全性、高可靠性的特點，滿足安全完整性等級SIL4 級功能要求。TMS570 是TI 公司Hercules 系列的安全微處理器，是TI 針對航空航天、軌道交通領(lǐng)域推出的新型安全微處理器。一般的微處理器不具備安全功能，需要用戶通過軟件實現(xiàn)，而TMS570 微處理器在硬件內(nèi)部已做好安全防護，從而使CPU 部分的架構(gòu)簡潔化、性能最佳化，從而減少用戶軟件開銷。本文基于TMS570 設(shè)計一個列控系統(tǒng)SIL4級安全平臺。

2 TMS570 CPU安全自檢設(shè)計

在EN 50129:2018 標準里，針對SIL4 級系統(tǒng)提出要求，對數(shù)字集成電路的單點故障防護應(yīng)對CPU 進行初始化時的自檢和運行中的周期自檢。系統(tǒng)對安全CPU 的自檢內(nèi)容應(yīng)包括：指令集（加減乘除、移位、等值、與或非等）、內(nèi)部RAM、棧空間防護、內(nèi)部ROM、寄存器（通用寄存器、專用寄存器含F(xiàn)lag Register、核外可檢測寄存器）、Cache（盡量關(guān)掉，因缺少自檢方法）和時鐘偏移。

TMS570 CPU 可提供雙核鎖步CPU 架構(gòu)、CPU 和存儲器內(nèi)置硬件自檢BIST、內(nèi)存保護單元（MPU）、Flash 和RAM 接口上的ECC 和片上時鐘及電壓監(jiān)控等一些關(guān)鍵功能的安全特性，單CPU 芯片達到了IEC61508 標準中SIL3 級的相關(guān)要求。CPU 硬件內(nèi)置的自檢功能，使用戶無需設(shè)計復(fù)雜的安全軟件和花費安全代碼費用，即可檢測到潛在缺陷。

2.1 TMS570芯片架構(gòu)

以TMS570 系列里的TMS570LS3137 為例，CPU 架構(gòu)如圖1 所示，從安全功能角度將CPU 分為3 部分。

圖1 TMS570LS3137芯片結(jié)構(gòu)Fig.1 TMS570LS3137 chip architecture

紅色部分為安全島層（Safe Island Layer）：包含芯片內(nèi)安全運行相關(guān)功能，如雙CPU 鎖步周期故障檢測機制、RAM 的ECC 等，這些功能始終運行，用戶無法關(guān)閉，擁有最高的硬件自檢診斷覆蓋率。

藍色部分為混合層（Blended Layer）：包含執(zhí)行外部安全相關(guān)功能的外設(shè)。這部分功能僅在部分關(guān)鍵部位具備有限的硬件自檢措施，如外圍存儲器上的奇偶校驗、模擬和數(shù)字I/O 環(huán)回測試、AD 自檢和校正等，自檢主要通過用戶軟件實現(xiàn)。

黑色部分為離線層（Offline Layer）：包含調(diào)試和測試相關(guān)功能。這部分功能不包含在硬件自檢范圍內(nèi)。

2.2 異常處理

TMS570 架構(gòu)中設(shè)計了一個錯誤信號模塊（ESM-Error Signaling Module)，來提供內(nèi)部安全措施的故障指示集合。CPU 檢測到故障后會通過ESM 模塊觸發(fā)中斷處理，并通過MCU 的ERROR引腳向外輸出信號。故障依據(jù)固定的嚴重等級分類，根據(jù)故障的分類產(chǎn)生相應(yīng)的反應(yīng)，ESM 對故障等級的管理如表1 所示。

表1 TMS570中ESM故障等級劃分Tab.1 ESM fault levels classification in TMS570

以TMS570LS3137 為例，芯片給出128 個故障通道對應(yīng)的故障源。本平臺中使用CPU 的AD、PWM、FLASH、以太網(wǎng)等資源，針對這些資源，設(shè)計了相關(guān)ESM 中斷的處理，如表2 所示。

表2 本平臺中ESM故障處理Tab.2 ESM fault handling in the platform

2.3 啟用的自檢項及處理方法

對于CPU 自檢的具體方法，在EN/IEC61508-2中有明確的指引。EN50129:2018 由于考慮了鐵路行業(yè)的專有特點，在失效模式與EN/IEC61508 保持一致的情況下，對防護措施/方法做了部分調(diào)整，以適應(yīng)于更嚴苛的鐵路運營安全需要。

根據(jù)EN50129 對SIL4 級系統(tǒng)的要求，結(jié)合本平臺實際應(yīng)用情況，啟用的CPU 主要自檢項及處理方法如下。

1）電源

TMS570 內(nèi)置電壓監(jiān)測（VMON）獨立于CPU 運行，用戶無法配置和關(guān)閉。當(dāng)CPU 內(nèi)核和輸入輸出引腳電壓超出指定范圍，VMON 會將CPU 強制拉入安全狀態(tài)。同時，使用TPS65381 作為外部電源管理芯片，屬于TMS570 推薦配套的電源管理芯片，可實現(xiàn)安全看門狗功能。

MCU 中有兩個電源管理模塊采用鎖步方式運行，當(dāng)檢測到鎖步異常后通過ESM 觸發(fā)中斷。此功能時刻運行，無法關(guān)閉。為了檢測電源管理模塊的鎖步機制運行是否正常，電源鎖閉自檢分兩步：比較一致的測試和鎖步故障植入測試。本自檢只在啟動時執(zhí)行。

2）周期寄存器配置回讀

用戶軟件運行中定期回讀所有固定不變的寄存器配置，當(dāng)發(fā)現(xiàn)寄存器數(shù)值出現(xiàn)變動，平臺進行宕機處理。

3）重啟

CPU 的nRST 和nPORRST 引腳自帶毛刺濾波，防止錯誤重啟，該功能屬于強制項，無法關(guān)閉。

4）CPU

TMS570 使用雙核鎖步技術(shù)，雙核相差兩個CPU 時鐘周期運行相同程序，最后通過比較器檢測CPU 計算結(jié)果是否異常。雙核鎖步比較失敗會通過ESM 觸發(fā)不可屏蔽中斷。強制功能時刻運行，無法關(guān)閉。CPU 鎖步比較自檢是通過故障植入檢測CPU 比較器是否正常運行。本檢測僅在啟動時執(zhí)行一次；CPU 邏輯自檢（LBIST）通過硬件對兩個CPU 的寄存器和指令執(zhí)行結(jié)果進行檢測，本檢測在執(zhí)行完成后會觸發(fā)CPU 熱啟動，僅在啟動時執(zhí)行一次。

5）內(nèi)存

TMS570 具備ECC 保護功能，在啟動時配置執(zhí)行。當(dāng)內(nèi)存檢測到1 bit 可糾正錯誤后，會將修正后的數(shù)據(jù)存入錯誤寄存器，同時將修正后的數(shù)據(jù)回寫入內(nèi)存中，并從內(nèi)存重新讀取。當(dāng)再一次檢測到1 bit 可糾正錯誤后，CPU 進入活鎖狀態(tài)，觸發(fā)ESM 中斷，需要CPU 重啟。此功能在啟動后強制啟用。同時，CPU 自帶硬件內(nèi)存自檢電路（PBIST），可提供對SRAM 的高診斷覆蓋率自檢，所有片上RAM 都可以檢測到，但這個自檢會破壞內(nèi)存中的原有數(shù)據(jù)，因此僅在啟動時執(zhí)行一次，自檢失敗后平臺宕機。

3 二乘二取二SIL4級安全平臺設(shè)計

列控系統(tǒng)安全平臺一般為三取二或二乘二取二架構(gòu)。為實現(xiàn)高可靠性和高安全性，本文基于TMS570 搭建了一個二乘二取二的安全平臺。TMS570 本身是通過認證的SIL3 級CPU，通過兩個CPU 二取架構(gòu)，配合CPU 自檢措施，可以達到SIL4 級功能安全。同時，通過雙系二乘架構(gòu)，可以達到高可靠性的要求。

平臺內(nèi)部通信（系內(nèi)雙CPU 間以及雙系間）采用TMS570 自帶的Flexray 高速冗余總線，來實現(xiàn)時間同步和數(shù)據(jù)交互功能；外部通信采用TMS570自帶的以太網(wǎng)，來實現(xiàn)和外部系統(tǒng)的大容量數(shù)據(jù)交互功能。平臺架構(gòu)如圖2 所示。

圖2 安全平臺結(jié)構(gòu)Fig.2 Security platform architecture

4 總結(jié)

目前，列控系統(tǒng)安全平臺中CPU 安全功能多數(shù)由用戶軟件實現(xiàn)，具有代碼繁瑣，設(shè)計復(fù)雜等缺點。憑借集成的安全特性和可供選擇的多種通信接口和控制外設(shè)，TMS570 為具有安全要求的高性能實時控制應(yīng)用提供了理想解決方案。本文基于TMS570 設(shè)計了一種二乘二取二安全平臺，用戶只需通過配置和簡單的故障處理即可實現(xiàn)安全防護措施，使用戶可以將精力放在業(yè)務(wù)功能層面，為用戶帶來了極大便利。