工程師努力打造百分百失效保護的系統，但這個夢想很難在實際執行中以低成本實現。因此，業界通常采用一種基于概率和風險的方法，界定安全相關系統所需的功能安全級別，正如ISO 26262和IEC61508等標準中所采用的方式一樣。這些標準規定了（汽車）安全完整性級別（ASIL/SIL），它們明確了為通過相關系統認證，必須考慮系統的那些屬性，以及必須達到的工程工藝嚴格度，其中包括一個界定系統安全目標和容錯率的安全概念，以及一個將安全功能分配至相應的軟硬件組件，從而始終不斷地檢測系統是否正確運行的安全架構。傳統上，安全軟件、硬件和工具是一些獨立的解決方案，各自實現部分安全需求。如今，一個名為PRO-SIL的綜合性概念，為全面高效地實現功能安全，從而最大限度降低風險，節省成本和降低復雜度，提供了一個完善的解決方案。

開發“安全”系統的根本動力在于確保目標系統在發生故障時，按照規定的方式安全運行。為此，IEC于上個世紀八十年代中期擬定了IEC 61508標準，該標準之后又進行了多次修訂，它提出了電子和電氣設備安全系統的設計規范。此外，以這個通用標準為藍本，IEC/ISO還針對過程自動化（IEC 61511）、機械自動化（ISO 13849）、傳動裝置（IEC 61800-5）、核電（IEC 61513）和汽車（ISO 26262草案）的特定需求編寫了相應的標準。解決系統中每個潛在故障所需達到的安全等級將確保符合IEC61508安全標準（表1）（針對工業應用設立了SIL1到SIL4四個等級；針對汽車應用設立了ASIL A到ASIL D四個等級）

過去幾年來，功能安全從一個系統集成任務演變為組件/軟件級任務。簡單的電子組件和復雜的單片機都需要支持IEC 61508。對于系統設計者而言，一個最重要和最耗時的挑戰是需要確保系統的安全性，并通過相關的認證——不僅包括系統認證，而且包括設備硬件和寄存器認證。IEC 61508針對硬件監控和測試提出了詳細要求，從本質上講，它是一個側重于硬件細節的標準。編寫和安全相關的核心軟件以實現硬件所能實現的功能既耗時又費錢，并且難以在器件之間實現移植。

多CPU方案——成本高，占位面積大

采用單通道架構和一個單片機最高只能達到SIL二級。因此工程師一般采用多個CPU設計SIL三級或ASIL C/D級安全系統和產品，它們不僅具備自檢功能，而且可以確保冗余性。但這是一個復雜的高成本解決方案，需要占用較大的板卡空間，2個CPU之間的同步和通訊問題會限制其功能的實現。一個新辦法是增加特殊的外置硬件模塊和標準雙核32位單片機上的軟件庫可，突破既定的介質診斷覆蓋率（DC）的限制。這一解決方案可以減輕開發任務，降低器件成本（僅采用一個單片機），并采用根據IEC 61508/ISO 26262標準開發的可使用自檢功能的所有相關組件所構成的智能安全概念，從而讓設計人員可以快速可靠地在相關系統中實現安全功能。

告別以往采用第二個外置內核用于評估單片機功能故障的做法，TriCore內置兩個內核（圖1），其中一個是TriCore CPU（單片機和DSP），另一個是外設控制處理器（PCP），不用再使用用于安全評估的增設外置內核。

圖1：TriCore結構圖——PCP實現自檢功能。

完善的設計套件

目前市場上有多種不同的實現安全關鍵應用的解決方案。雖然大多數領導廠商針對汽車應用推出了相應的解決方案，但面向其他應用領域（包括工業應用）的解決方案數量有限，而且相關產品的開發規劃圖也不清晰。立足于自身滿足汽車系統嚴格的安全需求的豐富經驗，英飛凌開發出PRO-SIL系列安全產品，借助高度集成的安全解決方案以滿足工業市場不斷增長的安全需求。其他應用可以輕松地利用英飛凌成熟的汽車解決方案，而且英飛凌還推出了眾多適合的產品型號。PRO-SIL系列產品基于英飛凌的32位TRiCore或16位XC2300單片機，另外還集成了SafeTcore測試軟件庫和安全監測芯片CIC61508（圖2）。這個已得到全面驗證的產品系列，完全符合IEC 61508的要求。

圖2：采用TriCore作為主控制器的安全相關系統，安全監測芯片和SafeTcore測試軟件庫。

創新的安全概念

目前有兩類最常用的安全控制架構：單通道（1oo1或一選一）和雙通道（1oo2或二選一）結構，后者基于兩個獨立的處理器。1oo1結構可用于設計安全完整性級別最高為SIL二級的經濟型解決方案。雙通道架構（1oo2）可用于設計安全完整性達到SIL三級的安全解決方案，但成本更高，需要占用更大的板卡空間。PRO-SIL產品系列采用的是一個集成智能診斷功能的1oo1架構（1oo1D）。

這個創新的安全概念立足于詢問—應答機制，其中，TriCore芯片上的PCP發出詢問，而主TriCore CPU負責執行測試。相關信息通過一個共享內存結構傳遞，數據始終保持冗余。PCP實現自檢功能，該功能由外置智能化安全監測芯片（CIC61508）進行監控，后者通過SPI接口被連接至TriCore芯片（圖3）。配備安全監測芯片是最大限度減少常見原因故障的一個有效方式。安全監測芯片以規定的時間間隔與TriCore通信，根據相關標準檢查TriCore芯片的時鐘、電壓和操作狀態。另一方面，TriCore監控CIC61508的電源，并利用遠程診斷功能監控其工作狀態。主TriCore CPU和PCP共用錯誤檢測功能（硬件故障和任務監控）。

圖3：創新PRO-SIL概念立足于詢問—應答機制，其中，TriCore芯片上的PCP發出詢問，而主TriCore CPU負責執行測試。此外，PCP由外置智能化安全監測芯片（CIC61508）進行監控，后者通過SPI接口被連接至TriCore芯片。

PCP軟件具備PCP自檢、C/R（詢問/應答）通信、安全監測芯片通信、測試執行監控和任務監控等功能。在TriCore上運行的SafeTcore測試軟件庫是一個可配置的框架，提供驗證處理器和系統完整性的測試功能（圖4）。大多數測試既可以在系統啟動時執行，也可以在系統運行期間在后臺執行。典型的診斷間隔時間為6.4ms。最復雜的測試是TriCore CPU自檢。利用PRO-SIL這一創新安全概念，這個基于操作碼的自檢的整體診斷覆蓋率可以達到96.5%，大大高于其他指令集測試的覆蓋率，此外它還具備可以中斷和低延時等優勢。

圖4：SafeTcore軟件分區。

SafeTcore測試軟件庫

SafeTcore套件為同時達成如下兩個目標提供了相應的工具：其一，通過SIL一級至三級（或ASIL B級至D級）認證；其二，滿足苛刻的上市時間要求。通過認證的最大挑戰是在芯片級實現所要求的測試，并編寫相應的文檔備份安全測試例程。SafeTcore套件借助一個面向TriCore系列產品的高度可配置的驅動程序庫，加上全套安全手冊、安全測試例程以及需求/跟蹤數據庫，能夠讓設計人員達成上述目標。運行在PCP上的功能強大的SafeTcore自檢程序，可以在系統啟動時執行，也可以在系統運行期間定期執行（圖5），從而確保用戶軟件和TriCore CPU自身的正常運行。

圖5：SafeTcore啟動和關閉測試。

內核測試功能與全面的外設測試以及安全監測芯片自動支持功能相輔相成。SafeTcore測試軟件庫中的系列軟件測試程序，還具備操作系統監測功能，可執行復雜任務和進程監控任務，以超過99%的診斷覆蓋率，確保程序代碼安全執行。SafeTcore套件還包括一本可讓設計人員將不同的軟件庫元素與用戶軟件相結合的安全手冊，以及安全完整性認證證書。

安全監測芯片

CIC61508可被集成于不同的功能安全相關應用。該芯片負責監控主單片機（例如TriCore芯片），提供相關功能，檢測可導致單片機運算錯誤的時鐘、電源和溫度等常見故障模式。由于采用占板空間較小的TSSOP-38封裝，CIC61508成為一種支持安全應用的既經濟又節省板卡空間的安全監測芯片。

在采用TriCore單片機的安全相關系統中，TriCore CPU負責運行SafeTcore測試軟件，對內核和外設進行測試，而PCP負責監控TriCore主核的運行。外置CIC61508安全監測芯片同時監控TriCore CPU和PCP，以查明常見故障原因。由于PCP已經實現了不同的自檢功能，因此TriCore/CIC61508組合僅僅需要CIC61508所提供的功能的一部分。

CIC61508所提供的測試功能，存放在內部ROM中，包括一個內部操作代碼測試排程器/定序器，它可生成帶有特定數據的測試請求序列，根據用戶定義的表格檢查應答。CIC61508還具備同時檢測最多4個電源域的欠壓和過壓故障的能力，同時監控最多8個并行數據比較和驗證函數的能力。它還配備了一個操作系統任務監視器，可檢查所有安全關鍵任務的預定調度序列和執行預算。

應用實例

PRO-SIL SafeTCore是一個完善的解決方案，包括經過優化的TriCore和XC2300單片機、安全測試軟件庫、服務和相關文檔，并為目標系統通過功能安全認證鋪平了道路。該安全概念基于TriCore非對稱雙核架構，配備一個外置安全監測芯片。硬件功能與診斷軟件庫結合在一起，這樣系統集成設計人員就可輕松地進行各種常規的系統測試。該產品系列支持符合IEC 61508標準的安全完整性高達SIL3的相關安全系統設計。PRO-SIL安全解決方案已得到業界的肯定，Hitex公司所提供的SafeTkit被授予“2011年嵌入式大獎”；此方案同時也得到很多全球重要工業用戶的良好評價，如Parker Hannifin公司就采用極具創新的PRO-SIL SafeTCore套件設計出自己的最新安全產品。

可靠的移動設備安全控制器設計

Parker Hannifin公司采用英飛凌的PRO-SIL開發了一種創新型可編程液壓控制器。設備制造商（OEM）和系統集成商可利用該控制器開發非公路移動設備。這個設計基于TC1197，以下這些數據可以很好地說明開發人員設計IQAN-MC3時所面臨的挑戰：687條設計要求、674行FMEDA故障分析程序、2800個軟件和超過500個硬件測試。依托PRO-SIL概念，開發人員得以快速可靠地完成了這一復雜的設計。

全新推出的IQAN-MC3可在一個模塊中同時控制移動設備的安全和操作功能，這樣不僅可以大大減少系統的設計時間和成本，而且可以提升設備的性能、安全性和生產率。新型控制器的推出，迎合了非公路移動設備制造商對于用于安全系統的生產和開發、具備改進性能并且符合全球公認的功能安全標準（例如EN ISO 13849-1（機械指令））的組件和軟件不斷增長的需求。為此，Parker Hannifin利用PRO-SIL產品設計出符合IEC 61508標準的IQAN-MC3，使有效達到符合SIL 2標準的各類安全功能的操作和性能級別成為可能。該控制器還是符合EN ISO 13849-1標準的PLD子系統的組件之一。

SafeTkit——蓄勢待發

英飛凌攜手Hitex推出了一個綜合性服務套件。SafeTkit是一個板級解決方案，包括TriCore單片機、CIC61508 和所有相關軟件和文檔。這個完善的安全解決方案最大限度簡化了符合IEC 61508標準的應用設計，同時可節省設計資源，縮短客戶的產品開發周期。

32位SafeTkit是滿足ASIL D級/SIL三級安全設計要求的平臺的核心，它易于配置和使用。它基于一個配備安全監測芯片CIC61508和SafeTcore測試軟件庫的TriCore評估板。

SafeTkit基于一個配備安全監測芯片CIC61508的TriCore評估板。除SafeTcore測試軟件庫外，SafeTkit還包含一個完整的工具鏈，其中有免費提供的通用TriCore編譯器、安全示范應用和測試平臺。該安全套件還提供一整套文檔，包含安全手冊和快速入門指南等。它提供所有主要的安全特性，這些特性可以進行配置，以評估它們對于系統行為的影響，了解底層的概念。目前，英飛凌已針對TC1767、TC1782、TC1797和TC1387處理器推出用于安全認證的SafeTcore測試軟件庫和文檔。公司還將在不久以后推出面向其他TriCore和XC2300型號的測試軟件庫和文檔。此外，Hitex可針對SafeTkit提供全面的設計支持，以及相關的培訓和咨詢服務。

責任編輯：gt