如何輕松達(dá)成汽車功能的安全性？

　　每位工程師皆努力想建構(gòu)100%的失效安全（fail-safe）系統(tǒng)，但要以經(jīng)濟(jì)的方式實(shí)現(xiàn)這個(gè)理想目標(biāo)，卻是相當(dāng)困難。因此，諸如ISO 26262和IEC 61508等標(biāo)準(zhǔn)在定義安全相關(guān)系統(tǒng)所需之功能安全等級(jí)時(shí)，一般多采用機(jī)率風(fēng)險(xiǎn)評(píng)估方法。這些標(biāo)準(zhǔn)定義（汽車）安全完整性等級(jí)（ASIL/SIL），以規(guī)定必須遵守的系統(tǒng)屬性，以及應(yīng)采用的工程制程嚴(yán)格度，以符合相關(guān)的系統(tǒng)認(rèn)證要求，其中包括定義系統(tǒng)安全目標(biāo)及容忍錯(cuò)誤率的安全概念，以及將機(jī)能配置到硬件和軟件功能的安全架構(gòu)，以長期持續(xù)偵測(cè)系統(tǒng)是否正常運(yùn)作。傳統(tǒng)上，安全軟件、硬件及工具屬于獨(dú)立的解決方案，能夠各自解決部分需求，卻無法加以整合。不過，目前有一種提供完整解決方案的整合式PRO-SIL™概念，能透過有效且整合的方式達(dá)成功能安全目標(biāo)，以充分降低風(fēng)險(xiǎn)、節(jié)省成本及減少復(fù)雜性。

　　開發(fā)“安全”系統(tǒng)的基本動(dòng)機(jī)，在于發(fā)現(xiàn)缺陷時(shí)，確保安全的操作和明確定義的行為。IEC 61508標(biāo)準(zhǔn)便是在此背景下，於1980年代中期發(fā)展而成，并且不斷修訂。此標(biāo)準(zhǔn)定義了電子和電動(dòng)裝置安全系統(tǒng)的設(shè)計(jì)。另外，針對(duì)制程自動(dòng)化（IEC 61511）、機(jī)械自動(dòng)化（ISO 13849）、驅(qū)動(dòng)裝置 （IEC 61800-5）、核能（IEC 61513）及汽車（ISO 26262 草案）等特定需求的標(biāo)準(zhǔn)，也由此一般標(biāo)準(zhǔn)衍生而成。確保符合 IEC 61508 標(biāo)準(zhǔn)的測(cè)量方法，取決於系統(tǒng)中每種危險(xiǎn)所需的安全完整性等級(jí)（表1）（SIL 1至SIL 4適用于自動(dòng)化應(yīng)用，ASIL A至ASIL D適用于汽車應(yīng)用）。

　　表1 安全完整性等級(jí)，其中依照IEC 61508或ISO 26262之系統(tǒng)安全認(rèn)證，規(guī)定遵守項(xiàng)目

　　近兩年來，功能安全已從系統(tǒng)整合者作業(yè)轉(zhuǎn)移為元件／軟件等級(jí)。簡(jiǎn)單的電子元件和復(fù)雜的微處理器皆必須支援IEC 61508。對(duì)系統(tǒng)設(shè)計(jì)師而言，最重要且經(jīng)常最花時(shí)間的挑戰(zhàn)之一，就是確保系統(tǒng)的安全，而且不僅要在最高系統(tǒng)層級(jí)上獲得相關(guān)認(rèn)證，機(jī)器的硬件和注冊(cè)資料也需有同樣水準(zhǔn)。IEC 61508針對(duì)硬件規(guī)定了詳細(xì)的硬件管理和測(cè)試需求，因此，撰寫安全關(guān)鍵軟件來執(zhí)行這些功能相當(dāng)費(fèi)時(shí)且昂貴，而且不易在裝置之間攜行使用。

　　多重CPU－成本與空間密集

　　在使用配備單一微處理器的單通道架構(gòu)之下，最大安全完整性等級(jí)將限制為SIL 2。因此，SIL 3或ASIL C/D系統(tǒng)及安全產(chǎn)品采用多重CPU設(shè)計(jì)，以處理自我測(cè)試和確保備援。然而這種解決方案相當(dāng)復(fù)雜且昂貴，因?yàn)闀?huì)占用大量PCB空間，而且覆蓋范圍因兩個(gè)CPU之間的同步和傳遞問題而受限。新方法是增加特殊的外部硬件區(qū)塊，并使用在標(biāo)準(zhǔn)雙核心32位微處理器上執(zhí)行的軟件程序庫，借此突破指定的媒體診斷范圍（DC） 限制。此解決方案透過使用單一微處理器來減輕開發(fā)負(fù)擔(dān)和原料成本，并運(yùn)用智慧型安全概念搭配所有相關(guān)元件（包括依據(jù)IEC61508/ISO26262開發(fā)且方便的自我測(cè)試功能），快速可靠地將安全性納入相關(guān)系統(tǒng)。

　　TriCore不采用外部第二核心來評(píng)估微處理器的功能故障；TriCore已包含TriCore CPU本身（微處理器及DSP）及周邊控制處理器（PCP）雙核心（圖 1），因此不需要外部第二核心來進(jìn)行安全性評(píng)估。

　　圖1 TriCore方塊圖 － PCP執(zhí)行自我測(cè)試功能

　　完整的設(shè)計(jì)套件

　　在建置安全關(guān)鍵應(yīng)用方面，市場(chǎng)上已經(jīng)有不同的解決方案。盡管大多數(shù)領(lǐng)導(dǎo)供應(yīng)商皆提供汽車應(yīng)用的相關(guān)方法，但是包含工業(yè)在內(nèi)之其他應(yīng)用領(lǐng)域的相關(guān)方法卻仍然有限，而且可用的裝置發(fā)展經(jīng)常受到限制。汽車系統(tǒng)講求嚴(yán)格的安全要求，英飛凌利用在此領(lǐng)域的豐富經(jīng)驗(yàn)，開發(fā)出PRO-SIL安全產(chǎn)品，以高度整合的安全解決方案來滿足持續(xù)增加的工業(yè)市場(chǎng)需求。經(jīng)過認(rèn)證的汽車解決方案可輕松供其他應(yīng)用使用，同時(shí)提供各種裝置。PRO-SIL的建置是以其32位TriCore或16位XC2300微處理器為基礎(chǔ)，同時(shí)包含SafeTcore測(cè)試程序庫及CIC61508安全監(jiān)控芯片（圖 2）。此建置經(jīng)過完整驗(yàn)證，完全符合IEC 61508的規(guī)定。

　　圖2 以TriCore作為主控制器，并采用安全監(jiān)控芯片（看門狗）及 SafeTcore測(cè)試軟件程序庫的安全相關(guān)系統(tǒng)