如何轻松达成汽车功能的安全性？

　　每位工程师皆努力想建构100%的失效安全（fail-safe）系统，但要以经济的方式实现这个理想目标，却是相当困难。因此，诸如ISO 26262和IEC 61508等标准在定义安全相关系统所需之功能安全等级时，一般多采用机率风险评估方法。这些标准定义（汽车）安全完整性等级（ASIL/SIL），以规定必须遵守的系统属性，以及应采用的工程制程严格度，以符合相关的系统认证要求，其中包括定义系统安全目标及容忍错误率的安全概念，以及将机能配置到硬件和软件功能的安全架构，以长期持续侦测系统是否正常运作。传统上，安全软件、硬件及工具属于独立的解决方案，能够各自解决部分需求，却无法加以整合。不过，目前有一种提供完整解决方案的整合式PRO-SIL™概念，能透过有效且整合的方式达成功能安全目标，以充分降低风险、节省成本及减少复杂性。

　　开发“安全”系统的基本动机，在于发现缺陷时，确保安全的操作和明确定义的行为。IEC 61508标准便是在此背景下，於1980年代中期发展而成，并且不断修订。此标准定义了电子和电动装置安全系统的设计。另外，针对制程自动化（IEC 61511）、机械自动化（ISO 13849）、驱动装置 （IEC 61800-5）、核能（IEC 61513）及汽车（ISO 26262 草案）等特定需求的标准，也由此一般标准衍生而成。确保符合 IEC 61508 标准的测量方法，取决於系统中每种危险所需的安全完整性等级（表1）（SIL 1至SIL 4适用于自动化应用，ASIL A至ASIL D适用于汽车应用）。

　　表1 安全完整性等级，其中依照IEC 61508或ISO 26262之系统安全认证，规定遵守项目

　　近两年来，功能安全已从系统整合者作业转移为元件／软件等级。简单的电子元件和复杂的微处理器皆必须支援IEC 61508。对系统设计师而言，最重要且经常最花时间的挑战之一，就是确保系统的安全，而且不仅要在最高系统层级上获得相关认证，机器的硬件和注册资料也需有同样水准。IEC 61508针对硬件规定了详细的硬件管理和测试需求，因此，撰写安全关键软件来执行这些功能相当费时且昂贵，而且不易在装置之间携行使用。

　　多重CPU－成本与空间密集

　　在使用配备单一微处理器的单通道架构之下，最大安全完整性等级将限制为SIL 2。因此，SIL 3或ASIL C/D系统及安全产品采用多重CPU设计，以处理自我测试和确保备援。然而这种解决方案相当复杂且昂贵，因为会占用大量PCB空间，而且覆盖范围因两个CPU之间的同步和传递问题而受限。新方法是增加特殊的外部硬件区块，并使用在标准双核心32位微处理器上执行的软件程序库，借此突破指定的媒体诊断范围（DC） 限制。此解决方案透过使用单一微处理器来减轻开发负担和原料成本，并运用智慧型安全概念搭配所有相关元件（包括依据IEC61508/ISO26262开发且方便的自我测试功能），快速可靠地将安全性纳入相关系统。

　　TriCore不采用外部第二核心来评估微处理器的功能故障；TriCore已包含TriCore CPU本身（微处理器及DSP）及周边控制处理器（PCP）双核心（图 1），因此不需要外部第二核心来进行安全性评估。

　　图1 TriCore方块图 － PCP执行自我测试功能

　　完整的设计套件

　　在建置安全关键应用方面，市场上已经有不同的解决方案。尽管大多数领导供应商皆提供汽车应用的相关方法，但是包含工业在内之其他应用领域的相关方法却仍然有限，而且可用的装置发展经常受到限制。汽车系统讲求严格的安全要求，英飞凌利用在此领域的丰富经验，开发出PRO-SIL安全产品，以高度整合的安全解决方案来满足持续增加的工业市场需求。经过认证的汽车解决方案可轻松供其他应用使用，同时提供各种装置。PRO-SIL的建置是以其32位TriCore或16位XC2300微处理器为基础，同时包含SafeTcore测试程序库及CIC61508安全监控芯片（图 2）。此建置经过完整验证，完全符合IEC 61508的规定。

　　图2 以TriCore作为主控制器，并采用安全监控芯片（看门狗）及 SafeTcore测试软件程序库的安全相关系统