每位工程师皆奋发念筑构100%的失效安然（fail-safe）编制，但要以经济的体例告竣这个理念宗旨，却是相当繁难。以是，诸如ISO 26262和IEC 61508等圭表正在界说安然相干编制所需之功效安然品级时，大凡众采用机率危险评估措施。这些圭表界说（汽车）安然无缺性品级（ASIL/SIL），以规章务必遵从的编制属性，以及应采用的工程制程庄重度，以相符相干的编制认证央求，个中征求界说编制安然宗旨及容忍纰谬率的安然观点，以及将性能设备到硬件和软件功效的安然架构，以长久赓续侦测编制是否寻常运作。守旧上，安然软件、硬件及器械属于独立的处分计划，可能各自处分一面需求，却无法加以整合。可是，目前有一种供应无缺处分计划的整合式PRO-SIL™观点，能透过有用且整合的体例竣工功效安然宗旨，以敷裕消浸危险、撙节本钱及淘汰繁杂性。

斥地“安然”编制的根本动机，正在于出现缺陷时，确保安然的操作和真切界说的行动。IEC 61508圭表便是正在此布景下，於1980年代中期起色而成，而且不时修订。此圭表界说了电子和电动安装安然编制的打算。别的，针对制程主动化（IEC 61511）、呆板主动化（ISO 13849）、驱动安装 （IEC 61800-5）、核能（IEC 61513）及汽车（ISO 26262 草案）等特定需求的圭表，也由此大凡圭表衍生而成。确保相符 IEC 61508 圭表的衡量措施，取决於编制中每种危害所需的安然无缺性品级（表1）（SIL 1至SIL 4合用于主动化操纵，ASIL A至ASIL D合用于汽车操纵）。

近两年来，功效安然已从编制整合者功课转化为元件／软件品级。容易的电子元件和繁杂的微处置器皆务必增援IEC 61508。对编制打算师而言，最首要且常常最花时代的寻事之一，即是确保编制的安然，况且不但要正在最高编制层级上获取相干认证，机械的硬件和注册原料也需有同样水准。IEC 61508针对硬件规章了周密的硬件束缚和测试需求，以是，撰写安然枢纽软件来践诺这些功效相当费时且腾贵，况且不易正在安装之间携行运用。

正在运用装备简单微处置器的单通道架构之下，最大安然无缺性品级将节制为SIL 2。以是，SIL 3或ASIL C/D编制及安然产物采用众重CPU打算，以处置自我测试和确保备援。然而这种处分计划相当繁杂且腾贵，由于会占用巨额PCB空间，况且笼罩限制因两个CPU之间的同步和通报题目而受限。新措施是弥补特地的外部硬件区块，并运用正在圭表双主题32位微处置器上践诺的软件轨范库，借此打破指定的媒体诊断限制（DC） 节制。此处分计划透过运用简单微处置器来减轻斥地负责和原料本钱，并应用灵巧型安然观点搭配悉数相干元件（征求按照IEC61508/ISO26262斥地且利便的自我测试功效），疾速牢靠地将安然性纳入相干编制。

TriCore不采用外部第二主题来评估微处置器的功效阻碍；TriCore已包括TriCore CPU自身（微处置器及DSP）及周边担任处置器（PCP）双主题（图 1），以是不须要外部第二主题来实行安然性评估。

正在筑置安然枢纽操纵方面，商场上依然有差异的处分计划。尽量大大批率领供应商皆供应汽车操纵的相干措施，不过包括工业正在内之其他操纵范围的相干措施却仍旧有限，况且可用的安装起色常常受到节制。汽车编制讲究庄重的安然央求，英飞凌操纵正在此范围的雄厚经历，斥地出PRO-SIL安然产物，以高度整合的安然处分计划来满意赓续弥补的工业商场需求。历程认证的汽车处分计划可轻松供其他操纵运用，同时供应各样安装。PRO-SIL的筑置是以其32位TriCore或16位XC2300微处置器为根蒂，同时包括SafeTcore测试轨范库及CIC61508安然监控芯片（图 2）。此筑置历程无缺验证，齐全相符IEC 61508的规章。

单通道（1oo1或1 out of 1）或双通道（1oo2或1 out of 2）构造是两种最常睹的安然担任架构，后者是以两个独立的处置单位为根蒂。1oo1构造供应经济的处分计划，其安然无缺性品级仅限于SIL 2。双通道架构（1oo2）增援SIL 3高安然无缺性品级，但须要更高的本钱及更众的电途板空间。PRO-SIL 观点采用的安然架构为1oo1构造，搭配灵巧型诊断功效（1oo1D）。

更始的安然观点以寻事／回应工夫为根蒂，TriCore芯片上的PCP饰演寻事者，主TriCoreCPU则践诺测试。资讯经由共享追忆体构造传送，原料将撑持众样并获取备援。自我测试功效正在PCP上践诺，并由透过SPI相接TriCore芯片的外部灵巧型看门狗（CIC61508）出格加以监控（图 3）。看门狗安装是尽或许淘汰共因失效的有用措施。看门狗运用特定的计时视窗与TriCore芯片通报讯息，以反省TriCore芯片的时脉、电压及确切运作是否相符圭表界说。TriCore则刻意监控CIC 61508的电源供应，并透过远端诊断衡量措施来监控其是否确切运作。主TriCore CPU和PCP之间会共享纰谬侦测（硬件阻碍和职司监控）。

PCP软件内含PCP自我测试、C/R（Challenge/Response，寻事／回应）通信、看门狗通信、测试践诺监控及职司监控等功效。TriCore中所践诺的SafeTcore轨范库为可组态的架构，可供应测试功效来验证处置器和编制无缺性（图 4）。这些测试大一面会实行筑置，以是可能正在肇端时代践诺，同时也可能正在践诺时代於布景践诺。样板的诊断间隔时代为6.4ms。最繁杂的测试为TriCore CPU自我测试。透过运用更始的安然观点，此项操作码式自我测试的完全诊断笼罩率可达96.5%，远胜于其他指令集测试，且具有可终止且低延迟的利益。

SafeTcore套件供应器械，有助于同步实现两项职司，亦即相符SIL1至SIL3（或 ASIL B-D）所需的认证，以及配合危急的上市日程表。最大的认证寻事是到达芯片级 （silicon level） 所需的测试，并具有可撑持安然实例的申明文献。SafeTcore套件经由高度可组态性的驱动器轨范库，为TriCore系列安装供应前述功效，并勾结无缺可用的安然手册、安然实例及需求／追踪原料库。SafeTcore集具有强壮的自我测试轨范，应用正在PCP上于肇端时代发轫并周期于操纵程式内践诺的SafeTcore集（图 5），运用者软件真实切运作及TriCore CPU自身将可获取验证和认证。

此主题测试功效勾结了周密的周边测试及主动增援安然监控芯片。SafeTcore轨范库的软件测试集亦供应功课编制监控功效，以践诺繁杂的职司及筑制流程监控，可增援安然的程式码践诺，以及进步 99% 的诊断笼罩率。SafeTcore套件亦征求将各样轨范库因素整合至运用者操纵程式的安然手册，以及安然整合性品级的核可。

CIC61508 可整合至各样功效安然相干操纵程式。看门狗可侦测或许变成微处置器运算纰谬之常睹时脉、供电及温度失效形式，藉此监控主微处置器（如TriCore芯片）。因为采用了 TSSOP-38 的小型封装，CIC61508 具有撙节空间和本钱效益的性格，是增援安然防护操纵的首选。

正在运用TriCoreMCU 的安然相干编制中，TriCore 主主题践诺 SafeTcore测试软件以及主题和周边测试，PCP 则监控TriCore主主题。CIC61508 外部看门狗监控两个主题，以确定失效共因。因为 PCP 已筑置各样自我测试功效，TriCore/CIC61508 组合仅须要由 CIC61508 供应的功效子集。

CIC61508 所增援的测试性格，存正在积储器中，征求内部操作码测试日程表／定序器，可產生继续串附带特定原料的测试需求，并按照运用者自定表格来反省回应。其他监控功效征求可侦测众达 4 个电源域的欠压及过压、监控众达 8 项平行原料比对及确认，并包括功课编制的职司监控，可能反省预先界说的派工依次，以及践诺预订的悉数安然首要职司。

汽车测试网-首创于2008年，报道汽车测试工夫与产物、趋向、动态等 接洽邮箱 marketing#auto-testing.net (把#改成@)