每位工程師皆努力想建構(gòu)100%的失效安全（fail-safe）系統(tǒng)，但要以經(jīng)濟的方式實現(xiàn)這個理想目標(biāo)，卻是相當(dāng)困難。因此，諸如ISO 26262和IEC 61508等標(biāo)準(zhǔn)在定義安全相關(guān)系統(tǒng)所需之功能安全等級時，一般多采用機率風(fēng)險評估方法。這些標(biāo)準(zhǔn)定義（汽車）安全完整性等級（ASIL/SIL），以規(guī)定必須遵守的系統(tǒng)屬性，以及應(yīng)采用的工程制程嚴(yán)格度，以符合相關(guān)的系統(tǒng)認(rèn)證要求，其中包括定義系統(tǒng)安全目標(biāo)及容忍錯誤率的安全概念，以及將機能配置到硬件和軟件功能的安全架構(gòu)，以長期持續(xù)偵測系統(tǒng)是否正常運作。傳統(tǒng)上，安全軟件、硬件及工具屬于獨立的解決方案，能夠各自解決部分需求，卻無法加以整合。不過，目前有一種提供完整解決方案的整合式PRO-SIL™概念，能透過有效且整合的方式達(dá)成功能安全目標(biāo)，以充分降低風(fēng)險、節(jié)省成本及減少復(fù)雜性。

　　開發(fā)“安全”系統(tǒng)的基本動機，在于發(fā)現(xiàn)缺陷時，確保安全的操作和明確定義的行為。IEC 61508標(biāo)準(zhǔn)便是在此背景下，於1980年代中期發(fā)展而成，并且不斷修訂。此標(biāo)準(zhǔn)定義了電子和電動裝置安全系統(tǒng)的設(shè)計。另外，針對制程自動化（IEC 61511）、機械自動化（ISO 13849）、驅(qū)動裝置 （IEC 61800-5）、核能（IEC 61513）及汽車（ISO 26262 草案）等特定需求的標(biāo)準(zhǔn)，也由此一般標(biāo)準(zhǔn)衍生而成。確保符合 IEC 61508 標(biāo)準(zhǔn)的測量方法，取決於系統(tǒng)中每種危險所需的安全完整性等級（表1）（SIL 1至SIL 4適用于自動化應(yīng)用，ASIL A至ASIL D適用于汽車應(yīng)用）。

　　表1 安全完整性等級，其中依照IEC 61508或ISO 26262之系統(tǒng)安全認(rèn)證，規(guī)定遵守項目

　　近兩年來，功能安全已從系統(tǒng)整合者作業(yè)轉(zhuǎn)移為元件／軟件等級。簡單的電子元件和復(fù)雜的微處理器皆必須支援IEC 61508。對系統(tǒng)設(shè)計師而言，最重要且經(jīng)常最花時間的挑戰(zhàn)之一，就是確保系統(tǒng)的安全，而且不僅要在最高系統(tǒng)層級上獲得相關(guān)認(rèn)證，機器的硬件和注冊資料也需有同樣水準(zhǔn)。IEC 61508針對硬件規(guī)定了詳細(xì)的硬件管理和測試需求，因此，撰寫安全關(guān)鍵軟件來執(zhí)行這些功能相當(dāng)費時且昂貴，而且不易在裝置之間攜行使用。

　　多重CPU－成本與空間密集

　　在使用配備單一微處理器的單通道架構(gòu)之下，最大安全完整性等級將限制為SIL 2。因此，SIL 3或ASIL C/D系統(tǒng)及安全產(chǎn)品采用多重CPU設(shè)計，以處理自我測試和確保備援。然而這種解決方案相當(dāng)復(fù)雜且昂貴，因為會占用大量PCB空間，而且覆蓋范圍因兩個CPU之間的同步和傳遞問題而受限。新方法是增加特殊的外部硬件區(qū)塊，并使用在標(biāo)準(zhǔn)雙核心32位微處理器上執(zhí)行的軟件程序庫，借此突破指定的媒體診斷范圍（DC） 限制。此解決方案透過使用單一微處理器來減輕開發(fā)負(fù)擔(dān)和原料成本，并運用智慧型安全概念搭配所有相關(guān)元件（包括依據(jù)IEC61508/ISO26262開發(fā)且方便的自我測試功能），快速可靠地將安全性納入相關(guān)系統(tǒng)。

　　TriCore不采用外部第二核心來評估微處理器的功能故障；TriCore已包含TriCore CPU本身（微處理器及DSP）及周邊控制處理器（PCP）雙核心（圖 1），因此不需要外部第二核心來進(jìn)行安全性評估。

　　圖1 TriCore方塊圖 － PCP執(zhí)行自我測試功能

　　完整的設(shè)計套件

　　在建置安全關(guān)鍵應(yīng)用方面，市場上已經(jīng)有不同的解決方案。盡管大多數(shù)領(lǐng)導(dǎo)供應(yīng)商皆提供汽車應(yīng)用的相關(guān)方法，但是包含工業(yè)在內(nèi)之其他應(yīng)用領(lǐng)域的相關(guān)方法卻仍然有限，而且可用的裝置發(fā)展經(jīng)常受到限制。汽車系統(tǒng)講求嚴(yán)格的安全要求，英飛凌利用在此領(lǐng)域的豐富經(jīng)驗，開發(fā)出PRO-SIL安全產(chǎn)品，以高度整合的安全解決方案來滿足持續(xù)增加的工業(yè)市場需求。經(jīng)過認(rèn)證的汽車解決方案可輕松供其他應(yīng)用使用，同時提供各種裝置。PRO-SIL的建置是以其32位TriCore或16位XC2300微處理器為基礎(chǔ)，同時包含SafeTcore測試程序庫及CIC61508安全監(jiān)控芯片（圖 2）。此建置經(jīng)過完整驗證，完全符合IEC 61508的規(guī)定。

　　圖2 以TriCore作為主控制器，并采用安全監(jiān)控芯片（看門狗）及 SafeTcore測試軟件程序庫的安全相關(guān)系統(tǒng)