每個工程師都在努力構建100％故障安全系統(tǒng)，但是以經(jīng)濟的方式實現(xiàn)這一理想目標非常困難。

因此，在定義安全相關系統(tǒng)所需的功能安全級別時，諸如ISO 26262和IEC 61508之類的標準通常使用概率風險評估方法。

這些標準定義了（汽車）安全完整性等級（ASIL / SIL），以指定必須遵循的系統(tǒng)屬性以及應用于滿足相關系統(tǒng)認證要求的工程過程嚴格性，包括定義系統(tǒng)安全目標和錯誤容忍度。

高效的安全性概念和將功能配置為硬件和軟件功能的安全體系結構，以連續(xù)檢測系統(tǒng)是否長時間正常運行。

傳統(tǒng)上，安全軟件，硬件和工具是獨立的解決方案，可以解決部分需求，但無法集成。

但是，目前存在集成的PRO-SIL＆amp; trade;貿(mào)易。

該概念提供了一種完整的解決方案，可以以有效且集成的方式實現(xiàn)功能安全目標，從而充分降低風險，節(jié)省成本并降低復雜性。

開發(fā)“安全”軟件的基本動機系統(tǒng)應確保發(fā)現(xiàn)缺陷時的安全操作和明確定義的行為。

在這種背景下，IEC 61508標準在1980年代中期制定并不斷修訂。

本標準定義了電子和電氣設備安全系統(tǒng)的設計。

此外，還可以從過程自動化（IEC 61511），機械自動化（ISO 13849），驅動設備（IEC 61800-5），核能（IEC 61513）和汽車（ISO 26262草案）中獲取滿足特定需求的標準。

一般標準成為。

確保符合IEC 61508標準的測量方法取決于系統(tǒng)中每種危害所需的安全完整性等級（表1）（SIL 1至SIL 4適用于自動化應用，ASIL A至ASIL D適用于汽車應用）。

表1安全完整性等級，其中根據(jù)IEC 61508或ISO 26262的系統(tǒng)安全認證規(guī)定了合規(guī)性項目。

在過去的兩年中，功能安全已經(jīng)從系統(tǒng)集成商的運營轉移到組件/軟件級別。

簡單的電子組件和復雜的微處理器都必須支持IEC61508。

對于系統(tǒng)設計人員來說，最重要也是通常最耗時的挑戰(zhàn)之一就是確保系統(tǒng)的安全性。

不僅必須在最高系統(tǒng)級別獲得相關認證，而且機器的硬件和注冊信息還必須具有相同的標準。

IEC 61508指定了詳細的硬件管理和硬件測試要求。

因此，編寫安全關鍵軟件來執(zhí)行這些功能既耗時又昂貴，并且在設備之間攜帶也不容易。

多個CPU成本高且占用空間大。

在配備單個微處理器的單通道體系結構下，最大安全完整性級別將限制為SIL2。

因此，SIL 3或ASIL C / D系統(tǒng)和安全產(chǎn)品采用多種CPU設計來進行自檢并確保備份。

但是，此解決方案非常復雜且昂貴，因為它占用了大量PCB空間，并且由于兩個CPU之間的同步和傳輸問題而導致覆蓋范圍受到限制。

新方法是添加一個特殊的外部硬件模塊，并使用在標準雙核32位微處理器上執(zhí)行的軟件庫來突破指定的介質診斷范圍（DC）限制。

該解決方案使用單個微處理器來減輕開發(fā)負擔和原材料成本，并使用具有所有相關組件的智能安全概念（包括根據(jù)IEC61508 / ISO26262開發(fā)的便捷的自檢功能）來快速可靠地合并安全相關系統(tǒng)。

TriCore不使用外部第二個內(nèi)核來評估微處理器的功能故障； TriCore已經(jīng)包括TriCore CPU本身（微處理器和DSP）和外圍控制處理器（PCP）雙核（圖1），因此無需外部第二核Core即可進行安全評估。

圖1 TriCore框圖-PCP在安全關鍵型應用中執(zhí)行自測功能的完整設計套件，在市場上具有不同的解決方案。

盡管大多數(shù)領先的供應商都為汽車應用提供了相關方法，但包括工業(yè)在內(nèi)的其他應用的相關方法仍然受到限制，可用設備的開發(fā)通常受到限制。

汽車系統(tǒng)要求嚴格的安全要求。

英飛凌利用在該領域的豐富經(jīng)驗開發(fā)PRO-SIL安全產(chǎn)品，以高度集成的安全解決方案滿足不斷增長的工業(yè)市場需求。

認證汽車解決方案