中国于2008年引入高速铁路，到2014年底高铁网络已增长至16000公里。它是世界上最大的高铁网络，每天运载200-300万乘客。这些高速列车每列运载1000多人，以超过300公里/小时的速度不分昼夜地运行。它们的运行频率很高，例如，每5至10分钟就有一辆往返于深圳和广州之间的高速列车。

　　高铁信号和控制系统

　　中国的高铁信号和控制系统与由地面系统和车载系统组成的欧洲列车控制系统 (ETCS) 非常相似。列车位置、列车速度、交通管制和容许速度等信息不断在列车和地面系统之间进行交换。车载计算机会根据实时数据来确定列车速度和制动模式。

　　考虑到巨大的旅客数量和极长的运行时间，安全成为了人们最为关切的问题。中国的高铁系统目前已证明是非常安全的。这突出表明了用于支持故障检测并在检测到故障之后及时消除风险的安全信号和控制系统的重要性。

　　高铁信号和控制方面的安全要求

　　中国高铁在安全方面遵循CENELEC（欧洲电工标准化委员会）EN 5012x 铁路安全标准：

　　? 50126：铁路应用 - 是关于可靠性、可用性、可维护性和安全性 (RAMS) 方面的规范和示范。

　　? 50128：铁路应用 - 主要应用于通信、信号和处理系统。

　　? 50129：铁路应用 - 主要应用在通信、信号和处理系统中与安全相关的信号电子系统

　　EN 5012x 以行业功能安全标准 IEC 61508为参考。EN 50126涵盖了铁路系统在整个生命周期的可靠性、可用性、可维护性和安全性（RAMS）。EN 50128涉及铁路控制系统的软件开发方面，EN 50129涉及到铁路信号电子系统。

　　EN 50129 的风险降低水平和故障率与 IEC 61508基本上是统一的。

　　? 安全故障比例 (SFF)

　　? 硬件故障容错 (HFT)

　　? 按需故障概率 (PFD)

　　? 每小时故障概率 (PFH)

　　? 可容忍危险率 (THR)

　　与IEC 61508类似，EN 50129系统风险降低水平要求是按照安全完整性水平 (SIL) 来进行分类，SIL 1为最低，SIL 4为最高。但是，EN 50129是通过THR来指定故障率，而不是通过IEC 61508中的PFD/PFH。由于高速列车系统故障可能会造成严重的后果，因此系统SIL水平大多为SIL 4，即系统的故障率必 须低于每1E8或1亿运行时1次故障。

　　IEC 61508和EN 50129的另外一个显著差异在于对大型集成电路的故障检测要求。EN 50129提供了一系列有关CPU和存储器自检的规定性要求，而IEC 61508提供的是有关故障检测技术和措施的指导准则。

　　Hercules MCU 如何能够帮助客户开发在高速列车系统中使用的产品

　　除了功能实现，高速列车系统开发人员面临的安全方面的挑战为:

　　1. 实现一个符合SIL 4标准的系统

　　2. 实现特定的CPU和存储器自检要求（需具有业 经证明的有效性）

　　3. 提供可靠的系统间通信接口

　　4. 提供系统间的高速通信接口

　　5. 配套模拟组件

　　6. 系统认证

　　TI Hercules TMS570 MCU提供双核CPU锁步/比较和存储器错误校正代码(ECC) 实时诊断，以及基于硬件的CPU逻辑内置自检 (LBIST) 和SRAM 可编程内置自检 (PBIST)。

　　这些基于硬件的安全功能可帮助在任关键模块中诊断错误，并以最低的软件开支提供高诊断覆盖率。

　　此外，TI 还提供了Hercules SafeTI诊断库，在系统启动和正常运行期间提供易于使用的API功能来实施CPU和存储器自检。它还能提供针对初始化、意外处理、错误处理和故障注入的API支持。