인피니언의 AUDOMAX 제품군과 PRO-SIL Safe- Tcore 드라이버 라이브러리를 이용함으로써 AUTOSAR 표준을 비롯해서 IEC 61508 및 ISO 26262를 준수하는 MCU 안전성 애플리케이션을 구현할 수 있다. 외부 감시 워치독 디바이스 CIC61508과 Safety Manual에 문서화된 안전성 사례와 더불어 인피니언 솔루션을 이용함으로써 안전성 관련 시스템을 빠르게 구현할 수 있다. 따라서 자동차 ECU 개발자들은 애플리케이션 관련 안전성 메커니즘만 작성하면 되며 MCU 테스트 코드나 외부 모니터링 디바이스를 프로그램하는 작업은 하지 않아도 된다.
ISO(International Organization for Standardization)에서 최근 자동차의 기능 안전성(functional safety)에 대한 새로운 표준(ISO 26262)을 발표한 것을 보면 제동, 스티어링, 자동 변속, 전동 파워트레인(하이브리드 카 및 전기차의 인버터 제어, 배터리 관리 시스템, 자동차 관리 시스템) 같은 주요 안전 관련 자동차 애플리케이션을 위해 갈수록 상세한 분석이 요구되고 있다는 것을 알 수 있다.
IEC(International Electrotechnical Commission)에서 먼저 기능 안전성 표준인 IEC 61508을 내놓았지만 이 표준은 자동차 시스템에 곧바로 적용하기에 어려움이 있었다. ISO 26262 표준은 IEC 61508을 바탕으로 하지만 통제되지 않는 환경에서 다양한 능숙도의 운전자에 의해 사용되는 대량 생산 자동차에 적용할 수 있도록 해석을 좀 더 명확히 하고 있다. 기능 안전성은 시스템 특징이지만, 기본적으로는 제어 경로에 이용되는 하드웨어 프로세스에 크게 의존한다. 기능 안전성은 지정된 규격들을 준수하는 전용 마이크로 컨트롤러를 이용해 안전 무결성 수준 SIL-3/ASIL-D까지 달성할 수 있도록 한다.
인피니언 테크놀로지스의 AUDO MAX 마이크로컨트롤러 제품군은 PRO-SIL™ SafeTcore 소프트웨어 드라이버 라이브러리와 결합해서 안전성 관련 마이크로컨트롤러 기반 애플리케이션을 설계하기 위한 토대를 제공한다. 이 안전성 드라이버는 설정이 자유로워서 기능적으로 독립적인 안전성 측면들을 다루기 위한 모니터링 기능들을 맞춤화할 수 있으며, 기존의 애플리케이션 레벨 테스트를 통합할 수 있도록 다수의 기능들을 제공해 AUDO MAX 플랫폼으로 안전성 우선 애플리케이션을 빠르게 통합할 수 있다.
안전성 달성 위한 기본 원칙
기능 안전성은 인명의 상해나 그에 따른 손상을 일으킬 수 있는 허용 불가능한 위험성을 일으키지 않는 것을 말한다. ISO 26262는 비즈니스 프로세스, 조직, 기술적 시스템 요구를 정의함으로써 자동차 업체들이 이와 같은 위험성을 평가 및 관리하기 위한 방법론을 정의하고 있다. 이 표준은 오작동하는 전기/전자 시스템의 위험성 분석, 가능성이 있는 결함 모드와 대응책 결정, 시스템 개발, 안전성 측면들이 수행되어진 활동과 성취된 수치들을 문서화한 “work products”를 통해 준수되고 있음을 보여주는 테스트 및 검증과정에 이르기까지 전체 안전성 수명 주기에 대해서 정의하고 있다. 이 표준은 시스템의 잠재적인 위험성을 평가하기 위한 위험성 지향적인 표준으로서 ASIL QM(상해 가능성 없음)에서부터 ASIL D(생명을 위협할 수 있는 심각한 상해 가능성)에 이르기까지 자동차 안전성 무결성 레벨(Automotive Safety Integrity Level)을 분류하고 있다. ISO 26262는 또한 조직 내에서의 체계적 측면 및 역할에 대해서 정의하고 있다. 이같은 역할을 수행하는 직책이 기능 안전성 책임자이고, 이 책임자는 엔지니어링 팀으로부터 독립적이며 안전성 수명 주기에 걸쳐서 안전성 관련 활동을 계획하고 시행하도록 하는 임무를 맡는다. 책임자는 다른 기능 안전성 엔지니어와 협력해 시스템의 “안전성 사례”를 만들고 전달한다.
이와 같은 증거와 주장들을 수집함으로써 그 시스템의 정의된 안전성 요구사항과 목적이 여러 안전 조치와 그 시스템이 정의된 안전성 목표을 위반하는 터무니없는 위험이 없다는 것을 입증하기 위한 검증 과정을 통해 어떻게 수행되고 만족 됐었는지를 자세히 뒷받침한다.
어떤 시스템의 위험성 분석은 잠재적인 심각성(Severity), 노출(Exposure) 가능성, 운전자의 통제가능성(Controllability)을 바탕으로 한다. 이러한 요소들을 합쳐서 특정한 위험성에 대한 ASIL 레벨을 결정할 수 있다. 인지된 모든 위험성에 대해서 이 프로세스를 반복하고 이로부터 일련의 안전성 목표들을 정의할 수 있다. ASIL은 다음과 같은 것들을 정의하고 있다.
- Single Point Failure Metric (SPFM): ASIL D는 이를 99퍼센트 이상으로 정의하고 있는데, 이는 안전성 조치들이 가능성이 있는 결함의 99퍼센트 이상을 검출할 수 있어야 한다는 것을 의미한다.
- Latent Fault Metric(LFM): ASIL D는 이 비율이 90퍼센트 이상이어야 하는데, 이는 안전성 조치들이 90퍼센트 이상의 잠재적 결함을 검출할 수 있어야 한다는 것을 의미한다.
- 임의적인 하드웨어 결함으로 인해서 안전성 목표를 달성하지 못하는 확률이 ASIL D는 시간당 10-8 이하여야 한다.
다시 말해 10 FIT(Failure In Time)이어야 한다. 이러한 시스템 요구를 달성하기 위해서는 ECU가 통상적으로 3 FIT여야 하고, 그러면 마이크로컨트롤러는 1 FIT 미만이어야
한다.
마이크로컨트롤러가 1 FIT 미만을 달성하기 위해서는 애플리케이션 의존적 또한 독립적인 각 안전성 우선 서브시스템이 기여해야 한다. 그러므로 CPU 서브시스템(Tricore CPU, FLASH Memory,SRAM and Interconnect Bus)의 중요 프로세싱 부품이 마이크로컨트롤러 안전 개념으로 정의된 무결성 수준에 따라 고객 명령 스트림의 애플리케이션 독립적 실행을 위한 기본적인 안전성 기능을 제공해야 한다. 안전성 관련 기능에 이용되는 애플리케이션 의존적 안전성 서브시스템(주로 주변장치)에 대해서는 어떠한 통칭적인 기법이 존재하지 않으므로 AUDO MAX 제품군은 주변장치 중복성 및 다양성 기법을 가능하게 한다.
IEC 61508의 SIL 레벨은 SIL 3에 대해서 SFF(Safe Failure Fraction)가 99퍼센트 이상이 되고(다시 말해서 안전성 조치들을 취했을 때 잠재적 결함의 99퍼센트 이상을 검출할 수 있어야 함) 임의적인 하드웨어 결함으로 인해서 안전성 목표를 위반하는 확률이 시간 당 10-8 이하(10 FIT)일 것으로 정의하고 있다.
마이크로컨트롤러의 안전성 개념
인피니언은 안전성 애플리케이션에 이용하는 마이크로컨트롤러와 관련해서 안전성 개념을 개발했다. 이 개념은 2개의 서브시스템으로 나눌 수 있다:
- “¡°vital(중요한)” 부분은 CPU(Central Processing Unit), FLASH, SRAM, 인터커넥션 등을 말한다. 이러한 “vital” 부분에 대해서 이 안전성 개념에서는 애플리케이션으로부터 독립적인 안전성 메커니즘을 제공하고 있다. 이러한 안전성 메커니즘은 결함 시뮬레이션(Fault Simulation)을 이용해서 검증할 수 있으며 CPU 셀프 테스트를 통해서 지원할 수 있다. 이 기능은 인피니언 AUDO MAX 마이크로컨트롤러와 인피니언 PRO-SIL SafeTcore 드라이버 라이브러리에 포함된 기능들을 통해서 제공
된다.
- “¡°non-vital(중요하지 않은)” 부분은 주변장치들을 말한다. 애플리케이션 레벨에서 시스템 안전성 목표들을 달성해야 한다. 통상적인 메커니즘은 상이한 데이터, 외부 피드백, 애플리케이션 레벨 타당성을 이용한 기능적 중복성이다. 직렬 인터페이스(SPI, CAN, FlexRay)는 애플리케이션 레벨 데이터 무결성 기법을 적용함으로써(CRC, 타임아웃 등) 이러한 통신 인터페이스를 “블랙 채널”로 취급할 수 있다. 애플리케이션 의존적 주변장치들에 대해서는 애플리케이션의 상황에 따라 안전성 메커니즘을 검증한다.
이러한 두 서브시스템을 통합함으로써 ISO 26262 ASIL D 요구를 충족하는 시스템을 달성할 수 있다. 또한 마이크로컨트롤러 기반 메모리 보호 메커니즘을 통해서 소프트웨어 레벨에서 간섭 가능성을 제거할 수 있다.
AUDO MAX 마이크로컨트롤러의 ECU 모니터링은 3개 층의 구조로 되어 있으며 비대칭 듀얼 코어 하드웨어 솔루션과 별도 실리콘에 들어있는 외부 복합적 시그니처 윈도우 워치독를 기반으로 한다.
- 프로세싱 층은 이중적(Redundant)과 다양한(Diverse) 신호 처리 등과 같은 모든 애플리케이션 안전성 기능을 포함한다. 이 층은 마이크로컨트롤러의 메인 TriCore CPU를 기반으로 하며 애플리케이션 설계 내에서 지원된다.
- 프로세스 및 프로세서 모니터링 층은 모든 안전성 관련 입력의 타당성을 검사하며 프로세싱 층을 제어한다. 이 층은 인피니언의 AUDO MAX 마이크로컨트롤러에 포함된 Peripheral Control Processor (PCP2)라고 하는 고속 코프로세서를 기반으로 한다. 이 두 프로세서 각각이 각기 독립적인 명령 셋을 이용함으로써 두 프로세서 간에(소프트웨어를 빌드할 때 이용되는 툴들을 포함한) 공통된 원인으로 인한 결함을 제거할 수 있다.
- 감시 디바이스(supervisor)는 마이크로컨트롤러의 기능을 모니터링하며 물리적으로 독립적인 실리콘으로 존재하며 자체적인 오류 대응 경로를 가지고 있다. 안전성 목표를 위반하는 경우가 발생하면 이 오류 대응 경로를 통해서 시스템에 대해서 페일 세이프 상태를 달성한다. 인피니언은 또한 AUDO MAX 마이크로컨트롤러에 이용할 수 있도록 CIC61508이라고 하는 보조 모니터링 디바이스를 제공한다. 이 작은 디바이스가 시그니처 윈도우 워치독 기능을 수행하고, 또한 자유롭게 프로그래밍 할 수 있는 3개의 독립적인 동작 정지 신호선을 이용해서 통제된 방식으로 시스템을 안전한 상태로 전환할 수 있다(그림 1).
인피니언 AUDO MAX 제품군의 TriCore™ 마이크로컨트롤러 시스템은 특정한 FIT 수준을 달성하기 위해 하드웨어와 소프트웨어로 통해 안전성 개념을 구현한다. 인피니언의 PRO-SIL SafeTcore 드라이버 라이브러리는 프로세스/프로세서 모니터링 층과 감시기 층을 감시한다. 진단 테스트 메커니즘이 검출한 결함을 분류하고 계수한다. 결함 횟수가 사전에 지정된 한계를 넘으면 이 결함을 콜백을 통해 애플리케이션 소프트웨어로 보고한다. 그러면 애플리케이션 소프트웨어는 적절한 조치를 시행할 수 있다(이러한 조치는 프로세싱 유닛을 페일 세이프 상태로 전환하는 것이거나 오류 보고 및 기록 등일 수 있다). CPU 코어 테스트 결함 같은 중대한 결함이 발생하면 곧바로 시스템을 정지시키고 CIC61508 감시 워치독를 통해서 페일 세이프 상태로 전환한다.
AUDO MAX MCU의 안전성 메커니즘
그림 2는 구성 모듈 및 그에 관련된 진단 조치의 개요다. AUDO MAX 마이크로컨트롤러 디바이스가 제공하는 진단 안전성 기능들로서는 메모리 보호, RAM 및 ROM에 대한 향상된 ECC(Error Correcting Code), 향상된 CRC(Cyclic Redundancy Check), 버스 오류 검출, 안전성 DMA(Direct Memory Access) 채널, SSC(Synchronous Serial Communication) 보호, 타임 트리거드 CAN, 공간적 중복 성을 위한 타이머와 ADC (Analog Digital Converter)를 포함한다.
메인 TriCore CPU를 감시하는 것은 PRO -SIL SafeTcore 드라이버(외부 감시 워치독 디바이스와의 통신 담당)를 통해서 Peripheral Control Processor(PCP2)에 의해서 이루어진다.
PRO-SIL SafeTcore 드라이버
PRO-SIL SafeTcore 드라이버는 마이크로컨트롤러 하드웨어에 대해서 결함을 모니터링할 수 있도록 소프트웨어로 작성된 진단 기능들을 제공한다. 이 드라이버는 C 소스 코드로 제공되므로, AUTOSAR나 OSEK(Offene Systeme und deren Schnittstellen fur die Elektronik in Kraftfahrzeugen - “Open Systems and their Interfaces for the Electronics in Motor Vehicles”) 같은 주요 자동차 운영체제와 그 밖의 스케쥴러같은 시스템으로 편리하게 통합될 수 있다. 이 드라이버는 테스트들을 시스템으로 연결할 수 있는 API(application programming interface)를 제공하며 일련의 테스트 시퀀스의 결과를 압축된 메시지로 외부 감시 워치독로 보내면 이 워치독이 테스트 결과를 검사하고 안전성 경로를 작동할 것인지 정지할 것인지를 판단한다. 이 소프트웨어는 2개의 부분으로 나뉘는데, 한 부분은 TriCore™ CPU로 실행되고 또 다른 한 부분은 PCP로 실행된다.
PRO-SIL SafeTcore 드라이버의 주요 구성요소는 다음과 같다.
- 질의-응답(challenge-response) 시스템
- CPU 서브시스템 테스트
- 진단 테스트
- 태스크 모니터링
- 데이터 벡터 비교
- 외부 감시 워치독 취급
질의-응답(challenge-response) 시스템: 감시 워치독이 PCP로 질의 요청을 발행하면 PCP는 다시 메인 TriCore™ CPU로 질의한다. 안전성 무결성을 달성하도록 하기 위해서는 질의-응답 메커니즘이 적절하게 서비스 될 수 있도록 하기 위해 정해진 서비스 윈도우 이내에 PCP를 통해 외부 워치독으로 응답이 되돌아와야 한다. 이 서비스를 위해 시드 번호를 판독하고 32비트 결과를 회신해야 한다. 이 메커니즘은 매 적절한 응답 후에 각기 다른 시드 번호가 제공되므로 동일한 정적 데이터를 반복하는 것으로는 충분하지 않다.
CPU 서브시스템 테스트: TriCore™ CPU 서브시스템의 영구적 결함을 검출하는 것은 Software-Based Self Test(SBST)를 통해서 이뤄진다. 이 테스트는 CPU 내에서 최대한의 로직을 조사할 수 있도록 작성됐다. 테스트의 출력 결과를 처리하고 외부 윈도우 워치독으로부터의 응답과 대조한다. TriCore 테스트 응답을 PCP로 주기적으로 전송해서 워치독 서비스에 포함시킨다. SBST 코어 테스트는 문맥과 명령 캐시 메커니즘을 이용함으로써 이들 CPU 서브시스템의 오류 또한 검출할 수 있다.
진단 테스트: 진단 테스트 기능은 특수 기능 레지스터, 내부 버스, 인터럽트 및 트랩 시스템, CRC 엔진, DMA 유닛, 타이밍 보호 시스템, 프로그램 플로우 제어, TriCore™ 및 PCP 메모리에 대해서 제공된다. 이들 대부분의 테스트는 서브시스템으로 의도적인 오류를 주입하고 어떤 이벤트(인터럽트, 트랩, 콜백 등)가 발생하거나 발생하지 않는 것을 검사하고 보고한다. 이러한 테스트 결과를 테스트 출력 벡터와 함께 PCP로 보고하므로 PCP가 셀프 테스트 메커니즘이 정해진 시간 내에 적절히 실행되는지 모니터링 할 수 있다.
태스크 모니터링: 태스크 모니터링 기능은 TriCore™ 코어가 수행하는 작업들이 실행 시간과 태스크 플로우 스케쥴링이 적절한지를 검증한다. 이 때 사용하는 방법은 PCP에 저장하고 있는 해당 스케쥴 테이블에 따라 각각의 작업이 시작되고 끝날 때마다 검사 지점을 비교함으로써 TriCore™ 상의 호스트 운영체제가 스케쥴링하고 있는 모든 모니터링 대상 작업들의 시작 시퀀스를 검사하는 것이다. 이 스케쥴 테이블에는 실행 데드라인을 검사하기 위해 모니터링 대상 작업들에 대한 실행 예산 시간을 저장하고 있다. 모니터링을 필요로 하는 각각의 작업이 TriCore™ 상의 함수를 호출함으로써 PCP 메시지 버퍼의 메모리로 시그니처를 작성하고, 이를 통해 그 작업이 실행됐다는 것을 통보한다. 작업이 완료되면 또 다른 함수 호출로서 완료 시그니처를 작성한다.
데이터 벡터 비교: 안전성 애플리케이션에 비대칭 듀얼 코어 프로세서를 이용할 때의 이점은 진정으로 독립적인 비교기를 구현할 수 있다는 것이다. 이것은 비교기의 CPU(이 예에서는 PCP)가 아키텍처적으로 메인 프로세서의 CPU(이 예에서 TriCore™)와 전적으로 다르다는 점 때문에 가능하다. 이에 따라 중복적인 또는 상이한 계산 결과들을 비교할 수 있다. TriCore에 부동소수점 유닛(floating point unit)을 이용하는 것이 이러한 다양성(Diversity)을 가능하게 하는 열쇠다. 이 계산은 중복적 작업을 2회 실시하도록 스케쥴링하거나 또는 상이한 결과들의 계산을 위해 FPU와 FPU를 수반하지 않는 고정 소수점 계산으로 계산할 수 있다. 그리고 이러한 계산 결과를 PCP로 전달한다. PCP는 32비트 정수뿐만 아니라 32비트 부동소수점 숫자를 비교할 수 있다. 이러한 비교 결과를 외부 워치독(CIC61508 같은)으로 보내 평가하도록 한다. 이러한 비교는 “거의 동일한(almost equal to)” 비교를 가능하게 해 고정소수점 및 부동소수점 결과를 비교할 때 반올림, 축약, 정밀도 효과를 무시할 수 있다.
이러한 테스트들은 잠재적인 결함을 검사하기 위한 스타트업 테스트(proof test)와 주요 런타임 안전성 메커니즘을 검사하기 위해서 시스템의 결함 허용 시간 간격 이내에 실행하는 주기적 테스트로 나눠진다.
안전성 도큐멘테이션
“Safety Element out of Context(SEooC)”의 개념을 바탕으로 안전성 사례를 구축할 수 있도록 지원하기 위해 Safety Manual 형태로 포괄적인 도큐멘테이션을 제공한다. 이 Safety Manual에서는 다음에 대해서 설명하고 있다:
- 안전성 개념
- 안전성 항목을 구성하는 제품 구성요소(하드웨어와 소프트웨어 포함)
- 결함 모드, 진단 조치(하드웨어와 SafeTcore 구성을 통해서 구현), 결함 비율(FIT 비율)에 대해서 설명하는 개요적인 FMEDA
- 인피니언 하드웨어 및 소프트웨어 솔루션이 지원하는 항목과 지원하지 않는 추가적인 애플리케이션 레벨 요구. 그러므로 이러한 요구를 충족하기 위해서는 애플리케이션 수준의 조치들을 추가해야 한다.
- 결과의 평가. 이 작업은 이 제품에 포함된 모든 진단 조치들을 적용하고 또한 사용자가 해당 애플리케이션으로 모든 필요한 조치들을 구현했을 때 가능하다.
이와 함께 모든 안전성 요구 및 목표를 요약적으로 설명하고, SEooC의 활용 전제조건들을 설명하며, 해당 안전성 사례가 종합적으로 시스템이 허용 불가능한 위험성을 일으키지 않을 것이라는 결론을 도출할 수 있는지에 대해 의견을 기술한 안전성 사례 보고서를 작성할 수 있다. Safety Manual의 관련 FIT 비율 및 진단 기능에 대해 의견을 요약할 수 있으며, FMEDA(Failure Mode Effect and Diagnostic Analysis)와 CCA(Common Cause Analysis)의 형식으로 추가적인 증거 자료를 작성할 수 있으므로 이를 감사 시의 검토 자료로 이용할 수 있다.
AUTOSAR 표준
AUTOSAR는 자동차 ECU 내의 기능적으로 독립적인 기본 소프트웨어에 대해 정의하고 있는 표준이다. 이 표준은 몇 년 전의 AUTOSAR v2 및 v3부터 시작해 활발히 채택되고 있다. AUTOSAR v2 및 v3 표준은 안전성 관련 시스템에 적용하기 위한 것이 아니었다. 그러므로 소프트웨어 개발 프로세스가 안전성 요구를 충족하지 못한다. 최근의 AUTOSAR v4 릴리즈는 End-to-End(E2E) 보호 라이브러리 같은 안전성 애플리케이션을 지원하기 위한 기능들을 포함하기는 하지만 많은 경우에 AUTOSAR v4 소프트웨어 스택은 안전성 가이드라인을 준수해서 설계되지 않은 AUTOSAR v2 및 v3 코드 기준으로 재사용해서 구현돼 있다.
AUTOSAR를 안전성 우선 시스템에 이용할 때는 AUTOSAR 시스템의 구성요소(운영체제, 통신 층 등)가 안전성 관련 기능을 제어하기 위한 중요 경로 상의 일부분일 가능성이 높다. 이는 다시 말해 AUTOSAR 시스템이 이 시스템이 통합되는 시스템의 가장 높은 수준의 (A)SIL이 적용된다는 뜻이다. 예를 들어서 ECU가 SIL 3/ASIL D를 충족해야 한다면 AUTOSAR 시스템 역시 일어날 가능성이 있는 어떠한 위험성에 대해서 그와 동일한 SIL 3/ASIL D를 달성해야 한다는 뜻이다.
그런데 안전성 기능은 시스템의 메인 제어 경로만이 아니라 이차 경로에서도 달성할 수 있다. 이와 같은 ASIL 분해는 하위 ASIL로 2개 이상의 독립적인 경로를 구현할 수 있는 강력한 수단을 제공한다. 그러므로 ASIL D AUTOSAR 시스템을 달성하기 위한 요구사항을 ASIL B AUTOSAR 시스템, ASIL A 모니터링 유닛, ASIL A 외부 감시 윈도우 워치독으로 분해해 구현할 수 있다.
이와 같은 요구사항 분해와 운영체제가 제공하는 태스크 스케쥴링 및 타이밍 보호에 대한 적절한 진단 검사를 이용함으로써 AUTOSAR 시스템이 ASIL B 기능 안전성 레벨만 달성하면 되므로 소프트웨어 개발 작업에 소요되는 시간과 비용을 절약할 수 있다.
AUDOMAX 제품군과 PRO-SIL SafeTcore 드라이버
인피니언의 AUDOMAX 제품군과 PRO-SIL SafeTcore 드라이버 라이브러리를 이용함으로써 AUTOSAR 표준을 비롯해서 IEC 61508 및 ISO 26262를 준수하는 마이크로컨트롤러 안전성 애플리케이션을 구현할 수 있다. 외부 감시 워치독 디바이스 CIC61508과 Safety Manual에 문서화된 안전성 사례와 더불어 인피니언 솔루션을 이용함으로써 안전성 관련 시스템을 빠르게 구현할 수 있다. 따라서 자동차 ECU 개발자들은 애플리케이션 관련 안전성 메커니즘만 작성하면 되며 마이크로컨트롤러 테스트 코드나 외부 모니터링 디바이스를 프로그램하는 작업은 하지 않아도 된다.
AUDOMAX 제품군에 이용하기 위한 PRO-SIL SafeTcore 드라이버는 AUTOSAR 표준과 함께 안전성 관련 애플리케이션에 이미 널리 이용되고 있다. 태스크 모니터링 기능 및 데이터 일관성 비교 기능과 외부 워치독 및 메모리 보호 유닛을 제공하므로 안전성 애플리케이션으로 AUTOSAR 표준을 준수할 수 있다. 최근의 AUTOSAR v4 버전에서는 안전성 관련 시스템을 지원하고자 할 때 이전의 몇 가지 취약성에 대해서 언급하고 있으나 그렇다고 해도 마이크로컨트롤러 시스템의 안전성 무결성을 보장할 수 있는 것은 아니다. PRO-SIL SafeTcore는 최대 SIL3 및 ASIL D에 이르는 안전성 시스템을 구현할 수 있도록 테스트 및 진단 기능들을 제공한다.
www.infineon.com/prosil
<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>