中國(guó)于2008年引入高速鐵路，到2014年底高鐵網(wǎng)絡(luò)已增長(zhǎng)至16000公里。它是世界上最大的高鐵網(wǎng)絡(luò)，每天運(yùn)載200-300萬(wàn)乘客。這些高速列車每列運(yùn)載1000多人，以超過(guò)300公里/小時(shí)的速度不分晝夜地運(yùn)行。它們的運(yùn)行頻率很高，例如，每5至10分鐘就有一輛往返于深圳和廣州之間的高速列車。

　　高鐵信號(hào)和控制系統(tǒng)

　　中國(guó)的高鐵信號(hào)和控制系統(tǒng)與由地面系統(tǒng)和車載系統(tǒng)組成的歐洲列車控制系統(tǒng) (ETCS) 非常相似。列車位置、列車速度、交通管制和容許速度等信息不斷在列車和地面系統(tǒng)之間進(jìn)行交換。車載計(jì)算機(jī)會(huì)根據(jù)實(shí)時(shí)數(shù)據(jù)來(lái)確定列車速度和制動(dòng)模式。

　　考慮到巨大的旅客數(shù)量和極長(zhǎng)的運(yùn)行時(shí)間，安全成為了人們最為關(guān)切的問(wèn)題。中國(guó)的高鐵系統(tǒng)目前已證明是非常安全的。這突出表明了用于支持故障檢測(cè)并在檢測(cè)到故障之后及時(shí)消除風(fēng)險(xiǎn)的安全信號(hào)和控制系統(tǒng)的重要性。

　　高鐵信號(hào)和控制方面的安全要求

　　中國(guó)高鐵在安全方面遵循CENELEC（歐洲電工標(biāo)準(zhǔn)化委員會(huì)）EN 5012x 鐵路安全標(biāo)準(zhǔn)：

　　? 50126：鐵路應(yīng)用 - 是關(guān)于可靠性、可用性、可維護(hù)性和安全性 (RAMS) 方面的規(guī)范和示范。

　　? 50128：鐵路應(yīng)用 - 主要應(yīng)用于通信、信號(hào)和處理系統(tǒng)。

　　? 50129：鐵路應(yīng)用 - 主要應(yīng)用在通信、信號(hào)和處理系統(tǒng)中與安全相關(guān)的信號(hào)電子系統(tǒng)

　　EN 5012x 以行業(yè)功能安全標(biāo)準(zhǔn) IEC 61508為參考。EN 50126涵蓋了鐵路系統(tǒng)在整個(gè)生命周期的可靠性、可用性、可維護(hù)性和安全性（RAMS）。EN 50128涉及鐵路控制系統(tǒng)的軟件開(kāi)發(fā)方面，EN 50129涉及到鐵路信號(hào)電子系統(tǒng)。

　　EN 50129 的風(fēng)險(xiǎn)降低水平和故障率與 IEC 61508基本上是統(tǒng)一的。

　　? 安全故障比例 (SFF)

　　? 硬件故障容錯(cuò) (HFT)

　　? 按需故障概率 (PFD)

　　? 每小時(shí)故障概率 (PFH)

　　? 可容忍危險(xiǎn)率 (THR)

　　與IEC 61508類似，EN 50129系統(tǒng)風(fēng)險(xiǎn)降低水平要求是按照安全完整性水平 (SIL) 來(lái)進(jìn)行分類，SIL 1為最低，SIL 4為最高。但是，EN 50129是通過(guò)THR來(lái)指定故障率，而不是通過(guò)IEC 61508中的PFD/PFH。由于高速列車系統(tǒng)故障可能會(huì)造成嚴(yán)重的后果，因此系統(tǒng)SIL水平大多為SIL 4，即系統(tǒng)的故障率必 須低于每1E8或1億運(yùn)行時(shí)1次故障。

　　IEC 61508和EN 50129的另外一個(gè)顯著差異在于對(duì)大型集成電路的故障檢測(cè)要求。EN 50129提供了一系列有關(guān)CPU和存儲(chǔ)器自檢的規(guī)定性要求，而IEC 61508提供的是有關(guān)故障檢測(cè)技術(shù)和措施的指導(dǎo)準(zhǔn)則。

　　Hercules MCU 如何能夠幫助客戶開(kāi)發(fā)在高速列車系統(tǒng)中使用的產(chǎn)品

　　除了功能實(shí)現(xiàn)，高速列車系統(tǒng)開(kāi)發(fā)人員面臨的安全方面的挑戰(zhàn)為:

　　1. 實(shí)現(xiàn)一個(gè)符合SIL 4標(biāo)準(zhǔn)的系統(tǒng)

　　2. 實(shí)現(xiàn)特定的CPU和存儲(chǔ)器自檢要求（需具有業(yè) 經(jīng)證明的有效性）

　　3. 提供可靠的系統(tǒng)間通信接口

　　4. 提供系統(tǒng)間的高速通信接口

　　5. 配套模擬組件

　　6. 系統(tǒng)認(rèn)證

　　TI Hercules TMS570 MCU提供雙核CPU鎖步/比較和存儲(chǔ)器錯(cuò)誤校正代碼(ECC) 實(shí)時(shí)診斷，以及基于硬件的CPU邏輯內(nèi)置自檢 (LBIST) 和SRAM 可編程內(nèi)置自檢 (PBIST)。

　　這些基于硬件的安全功能可幫助在任關(guān)鍵模塊中診斷錯(cuò)誤，并以最低的軟件開(kāi)支提供高診斷覆蓋率。

　　此外，TI 還提供了Hercules SafeTI診斷庫(kù)，在系統(tǒng)啟動(dòng)和正常運(yùn)行期間提供易于使用的API功能來(lái)實(shí)施CPU和存儲(chǔ)器自檢。它還能提供針對(duì)初始化、意外處理、錯(cuò)誤處理和故障注入的API支持。