Contact us

Une nouvelle fenêtre s'ouvre Une nouvelle fenêtre s'ouvre

Technologies de sécurité fonctionnelle

Toshiba fournit des microcontrôleurs pour l'automobile, qui intègrent un superviseur de pannes étroitement couplé assurant la sécurité fonctionnelle. Ils ont également reçu l'agrément Technical Report I pour IEC61508 SIL3 d'un organisme de certification agréé. Ces microcontrôleurs constituent des solutions plus sûres et plus économiques.

Méthode SIL3 de Toshiba

This figure provides an overview of the Toshiba SIL3 Method.

Dans une configuration optimisée de superviseur de pannes étroitement couplé, le noyau d'exécution A est étroitement couplé à une suite de contrôleurs matériels qui référencent les signaux internes. Les comparaisons et les autodiagnostics sont ainsi effectués automatiquement. La nouvelle configuration propose des allégements matériels et logiciels par rapport aux configurations double cœur classiques.

Propositions concernant les systèmes à sûreté intégrée et à protection opérationnelle intégrale économiques

Si le microcontrôleur (MCU) du moteur venait à tomber en panne pendant la conduite...
MCU de la concurrence MCU étroitement couplée de Toshiba
1 sortie 1 seul cœur Ne parvient pas à mettre en œuvre les fonctions de sécurité intégrées. (Nécessite une MCU auxiliaire.)
Ne parvient pas à mettre en œuvre les fonctions de sécurité intégrées.
(Nécessite une MCU auxiliaire.)
Arrête le véhicule en toute sécurité en cas de condition de conduite instable (fonction de sécurité intégrée)
Arrête le véhicule en toute sécurité en cas de condition de conduite instable (fonction de sécurité intégrée)
1 sortie 2 double cœur Arrête le véhicule en toute sécurité en cas de condition de conduite instable (fonction de sécurité intégrée)
Arrête le véhicule en toute sécurité en cas de condition de conduite instable (fonction de sécurité intégrée)

Maintient le véhicule en condition de conduite stable. (Système à protection opérationnelle intégrale et tolérant aux pannes)

Maintient le véhicule en condition de conduite stable.
(Système à protection opérationnelle intégrale et tolérant aux pannes)

La MCU monoprocesseur de Toshiba est dotée d'une fonction de sûreté intégrée, habituellement réservée aux systèmes double cœur. En outre, la MCU double cœur de Toshiba prend en charge les systèmes à protection opérationnelle intégrale et tolérants aux pannes.

Dispositif de sécurité fonctionnelle Toshiba

Toshiba offre un environnement de soutien, non seulement du point de vue du système, mais aussi du point de vue du client.

This figure shows the diagram of functional safety package.

Caractéristique 1 : Soutien du point de vue du dispositif

La technologie de sécurité fonctionnelle de Toshiba repose sur un superviseur de pannes étroitement couplé optimisé, qui observe et dirige le fonctionnement non seulement de l'UC, mais aussi de ses périphériques. La sortie de l'alarme de sécurité fonctionnelle sur l'interface entre une MCU et un CI d'alimentation peut être surveillée pour améliorer la sécurité fonctionnelle de l'automobile du point de vue du système.

Exemple de dispositif de sécurité fonctionnelle pour un microcontrôleur destiné à l'industrie automobile (y compris l'interface entre le microcontrôleur et le CI d'alimentation)

Exemple de dispositif de sécurité fonctionnelle pour un microcontôleur destiné à l'industrie automobile.

Caractéristiques du dispositif de sécurité fonctionnelle
  • Surveille tous les dispositifs périphériques, l'UC, les bus et les mémoires utilisés par le logiciel d'application, excepté quelques contrôleurs de communication.
  • Intègre un dispositif fRNET qui gère les alarmes de toutes les fonctions de surveillance.
  • Envoie les signaux d'alarme de toutes les fonctions de surveillance directement du dispositif fRNET au monde extérieur sans impliquer l'UC.
  • Fonction d'autodiagnostic du dispositif fRNET pour protéger sa fonction de gestion des alarmes.

*1 Circuit de diagnostic de panne de Yogitech qui surveille les mémoires
*2 Circuit de diagnostic de panne de Yogitech qui surveille les bus d'UC sur puce
*3 Circuit de diagnostic de panne de Yogitech qui surveille la totalité de l'UC
*4 Circuit de diagnostic de panne développé par Toshiba
*5 Circuit de diagnostic de panne de Yogitech qui collecte toutes les informations d'alarme et de panne et gère le traitement des pannes

Caractéristique 2 : Injection de panne (en cours de développement)

L'émulateur de contrôleur Full ICE offre un environnement d'essai d'injection de panne qui peut être directement connecté à un environnement d'évaluation du matériel du client. Il est facile à apprendre et permet des essais flexibles d'injection de panne.

Cette figure montre le schéma du flux de développement d'un système d'injection de panne.

Caractéristique 3 : Bibliothèque IP de sécurité fonctionnelle

La bibliothèque IP de sécurité fonctionnelle est une bibliothèque logicielle conçue pour détecter les pannes sur un microcontrôleur destiné à l'industrie automobile. Elle a été créée à l'aide d'un processus de développement de logiciel agréé par le TÜV-SÜD.

La bibliothèque IP de sécurité fonctionnelle permet à ses utilisateurs de réduire la durée de développement.

Cette figure montre les offres de la bibliothèque.

Réduction du temps requis pour créer un mécanisme de sécurité
  • Effectue l'analyse des exigences et la vérification de la section diagnostic de panne d'un microcontrôleur
  • Identifie les interfaces de programmation (API) pour permettre une rétroaction rapide sur la conception du système
  • Garantit que la couverture des pannes requise par l'ASIL D est satisfaite

Cette figure montre la réduction du temps requis pour créer un mécanisme de sécurité.

Réduction du temps requis pour satisfaire les exigences en matière de déclaration
  • Un ensemble de documents justificatifs est préétabli.

Cette figure montre la réduction du temps requis pour satisfaire les exigences en matière de déclaration.

Qu'est-ce que la sûreté fonctionnelle ?

Prenons l'exemple de l'intersection d'une voie ferrée et d'une route. Comment y assurer la sécurité ?
  • Passage supérieur : prévient intrinsèquement les dangers (sûreté intrinsèque)
  • Passage à niveau : prévient le danger par un système de sécurité (sûreté fonctionnelle)
La sûreté fonctionnelle exige de prendre un certain nombre de mesures dès la conception.
  • Défaillances déterministes : Les faiblesses fonctionnelles ont-elles été éliminées lors de la conception du matériel et du logiciel ?
  • Défaillances matérielles aléatoires : Les défaillances liées à l'usure et au hasard ont-elles été prises en considération dans la conception du matériel ?
Normes internationales régissant les systèmes de commande électroniques
  • Norme élémentaire de sûreté fonctionnelle en vigueur dans tous les secteurs d'activité : IEC 61508 (seconde édition publiée en avril 2010)
    Couverture : Installations nucléaires, voies ferrées, usines, machines industrielles, automobiles, etc.
  • Adaptation de la norme IEC 61508 pour les systèmes électriques/électroniques destinés à l'automobile : ISO 26262 (publiée le 15 novembre 2011)

* ARM, Cortex et Thumb sont les marques déposées d'ARM Limited en UE et dans d'autres pays.

* Les noms de système et de produit mentionnés peuvent être des marques commerciales ou déposées de leurs sociétés ou entreprises respectives.

Contacts

Pour toute question, cliquez sur l'un de ces liens :

Questions techniques
Questions concernant les achats, l'échantillonnage et la fiabilité des circuits intégrés
To Top
·Before creating and producing designs and using, customers must also refer to and comply with the latest versions of all relevant TOSHIBA information and the instructions for the application that Product will be used with or for.