集成電路的功能安全

集成電路(ICs)是所有現(xiàn)代安全系統(tǒng)的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅(qū)動最終元件以實(shí)現(xiàn)安全狀態(tài)，它們是軟件運(yùn)行的平臺。半導(dǎo)體內(nèi)部的高集成度可以簡化系統(tǒng)級實(shí)現(xiàn)，其代價(jià)是IC內(nèi)部復(fù)雜性增加。

這種集成會減少器件數(shù)量，改善系統(tǒng)可靠性，并為提高診斷覆蓋率和縮短診斷測試間隔創(chuàng)造機(jī)會——所有的這些都是為了達(dá)到安全的同時(shí)成本可接受。有人可能會認(rèn)為，由于復(fù)雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復(fù)雜性提高，但在模塊和系統(tǒng)層面上可以大大簡化。

令人吃驚的是，過程控制、機(jī)械、電梯、變速驅(qū)動器和有毒氣體傳感器都有相應(yīng)的功能安全標(biāo)準(zhǔn)，但關(guān)于集成電路卻沒有專門的功能安全標(biāo)準(zhǔn)。相反，相關(guān)要求和知識是零散地分布在IEC 61508和其他B級、C級標(biāo)準(zhǔn)中。本文為解讀現(xiàn)有半導(dǎo)體功能安全標(biāo)準(zhǔn)提供指導(dǎo)。

01

簡介

通常，集成電路按照IEC 61508或ISO 26262標(biāo)準(zhǔn)進(jìn)行開發(fā)。另外，二級和三級標(biāo)準(zhǔn)中有時(shí)還會有其他要求。只有按照功能安全標(biāo)準(zhǔn)進(jìn)行開發(fā)和評估，才能讓人放心這些復(fù)雜的集成電路足夠安全。當(dāng)編寫IEC 61508時(shí)，其針對的是定制系統(tǒng)，而不是開放市場批量生產(chǎn)的集成電路。本文將回顧并評論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但很多內(nèi)容都與汽車、航空電子和醫(yī)療等應(yīng)用有關(guān)。

02

功能安全

功能安全是安全性的一部分，用以應(yīng)對安全相關(guān)系統(tǒng)的可靠性需求。功能安全不同于其他被動形式的安全，如電氣安全、機(jī)械安全或本質(zhì)安全。

功能安全是一種主動形式的安全。例如，它能確保馬達(dá)以足夠快的速度關(guān)閉，防止對打開防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時(shí)，機(jī)器人會降低運(yùn)行的速度和力度。

03

ASIL分解詮釋與實(shí)踐

主要功能安全標(biāo)準(zhǔn)是IEC 61508 1 。該標(biāo)準(zhǔn)的第一版于1998年出版，第二版于2010年出版，并于2017年開始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來，基本IEC 61508標(biāo)準(zhǔn)已針對不同領(lǐng)域進(jìn)行適應(yīng)性修改，例如汽車(ISO 26262)、過程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機(jī)械）、變速驅(qū)動器(IEC 61800-5-2)以及其他許多領(lǐng)域。此類標(biāo)準(zhǔn)有助于對非常寬泛的IEC 61508進(jìn)行解釋以便用于這些受到更大限制的領(lǐng)域。

一些功能安全標(biāo)準(zhǔn)，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標(biāo)準(zhǔn)的人都不會對其內(nèi)容感到過于吃驚。

在安全系統(tǒng)內(nèi)，當(dāng)系統(tǒng)運(yùn)行時(shí)，執(zhí)行關(guān)鍵功能安全活動的是安全功能。安全功能定義了實(shí)現(xiàn)或保持安全所必須執(zhí)行的操作。典型的安全功能包含輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著對潛在的不安全狀態(tài)進(jìn)行檢測，并且基于檢測到的值做出決定，如果認(rèn)為有潛在危害，則指示輸出子系統(tǒng)將系統(tǒng)置于已定義的安全狀態(tài)。

圖1.功能安全標(biāo)準(zhǔn)示例

從不安全狀態(tài)出現(xiàn)到進(jìn)入安全狀態(tài)所用的時(shí)間至關(guān)重要。例如，安全功能可能包括如下器件：一個傳感器用來檢測機(jī)器上的防護(hù)裝置是否打開，一個PLC用來處理數(shù)據(jù)，以及一個具有安全扭矩關(guān)閉輸入的變速驅(qū)動器，改驅(qū)動器應(yīng)該在插入機(jī)器中的手可能接近運(yùn)動部件之前關(guān)閉電機(jī)。

04

安全完整性等級

SIL代表安全完整性等級，是表示需要將風(fēng)險(xiǎn)降至何種程度才能達(dá)到可接受水平的手段。根據(jù)IEC 61508標(biāo)準(zhǔn)，安全等級有1、2、3、4四級，從一個級別到下一個級別，安全性會提高一個數(shù)量級。機(jī)器和工廠自動化場景中不會看到SIL 4，因?yàn)橐话闱闆r下，這種場合中遭受危險(xiǎn)的人員通常不會超過一個。SIL 4針對的是數(shù)百甚至數(shù)千人可能受到傷害的核能和鐵路等應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車使用ASIL（汽車安全完整性等級）A、B、C和D，以及ISO 13849標(biāo)準(zhǔn)的PL（性能等級）從PLa到PLe。這些等級可以對應(yīng)到SIL 1至SIL 3級別。

表1.各應(yīng)用領(lǐng)域安全等級的大致對應(yīng)關(guān)系

作者不相信單個IC可能有超過SIL 3的安全水平。但值得注意的是，IEC 61508-2:2010附錄F中的表格顯示了一個SIL 4列。

05

三項(xiàng)關(guān)鍵要求

接下來的章節(jié)介紹的是功能安全對集成電路(IC)開發(fā)提出的三個關(guān)鍵要求。

要求1—遵循嚴(yán)格的開發(fā)流程

IEC 61508是一個全生命周期模型，涵蓋了從安全概念到需求采集、維護(hù)，直至最終廢棄處理的所有階段。不是所有這些階段都與集成電路相關(guān)，甄別哪些階段有關(guān)需要培訓(xùn)和經(jīng)驗(yàn)。IEC 61508為ASIC提供了一個V模型，另外還有審查、審核及其他要求，它代表了一個體系，雖然不能保證安全，但過去已證明它能指導(dǎo)我們設(shè)計(jì)制造出安全的系統(tǒng)和IC。

由于更改有缺陷的集成電路的成本很高，所以大多數(shù)IC制造商已經(jīng)建立嚴(yán)格的新產(chǎn)品開發(fā)標(biāo)準(zhǔn)。對于小幾何尺寸工藝，僅僅一套掩膜的成本就可能超過50萬美元。這種情況加上長交貨期，迫使集成電路設(shè)計(jì)商不得不實(shí)施嚴(yán)格的開發(fā)流程和進(jìn)行嚴(yán)謹(jǐn)?shù)臋z查與驗(yàn)證。功能安全的一大區(qū)別在于，不僅必須實(shí)現(xiàn)安全性，還要證明安全性，即使是最好的IC制造商也需要在其正常開發(fā)流程之上添加安全流程，以確保用來證明合規(guī)性相應(yīng)的證據(jù)得以創(chuàng)建并存檔。

開發(fā)流程引入的故障稱為系統(tǒng)故障。這些故障只能通過設(shè)計(jì)變更來解決。與需求采集相關(guān)的故障、EMC魯棒性不足和測試不充分就是此類故障。

IEC 61508-2:2010的附錄F列出了一系列專門測量，IEC委員會專家認(rèn)為這些測量適合用于集成電路開發(fā)。表F.2適用于FPGA和CPLD，表F.1適用于數(shù)字ASIC。這些測量分為R（推薦）或HR（強(qiáng)烈推薦）兩類，具體取決于SII，某些情況下還提供了備選技術(shù)。對于擁有良好開發(fā)流程的IC供應(yīng)商來說，其中的要求很少會讓人感到意外，但SIL 3的99%故障覆蓋率要求是有挑戰(zhàn)性的，尤其是對于小型數(shù)字或混合信號器件，其中很多電路位于模塊的外圍。該標(biāo)準(zhǔn)第二版中的要求僅適用于數(shù)字IC，但許多要求也可應(yīng)用于模擬或混合信號IC（ISO 26262的下一版本將包含類似表格，并有針對模擬和混合信號集成電路的版本）。

除表F.1和表F.2外，還有一些介紹性文字也提供了一些見解。例如，這個介紹性文字說允許使用經(jīng)過實(shí)際驗(yàn)證的工具，在復(fù)雜度相似的項(xiàng)目中使用18個月是合理的時(shí)間長度。這意味著并不需要應(yīng)用IEC 61508-3關(guān)于工具的全部要求。

如果模塊/系統(tǒng)設(shè)計(jì)者過去曾成功使用某一IC，并且了解其應(yīng)用和現(xiàn)場故障率，那么他可以宣稱其"經(jīng)過實(shí)際驗(yàn)證"。對于集成電路設(shè)計(jì)者或制造商來說，作出這種宣稱要困難得多，因?yàn)樗麄円话悴惶私庾罱K應(yīng)用或擁有完備的現(xiàn)場失效器件收集、失效分析流程及數(shù)據(jù)。

軟件

所有軟件錯誤都是系統(tǒng)性的，因?yàn)檐浖粫匣Ｈ魏纹瑑?nèi)軟件都應(yīng)考慮IEC 61508-3的要求。通常，片內(nèi)軟件可能包括微控制器/DSP的內(nèi)核/引導(dǎo)程序。但在某些情況下，微控制器/DSP可能包含一個由IC制造商預(yù)編程的小型微控制器來實(shí)現(xiàn)一個邏輯塊，而不是使用狀態(tài)機(jī)。該預(yù)編程的微控制器軟件還需要符合IEC 61508-3的要求。應(yīng)用級軟件通常是模塊/系統(tǒng)設(shè)計(jì)者的責(zé)任，而不是IC制造商的責(zé)任，但I(xiàn)C供應(yīng)商可能需要提供編譯器或低級驅(qū)動程序等工具。如果這些工具用于安全相關(guān)應(yīng)用軟件的開發(fā)，那么IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3:2010第7.4.4條中的工具要求。

作者也使用C語言和其他很多編程語言做過編程。作者還做過少量Verilog編程。Verilog及其姊妹語言VHDL是用于設(shè)計(jì)數(shù)字集成電路的兩種代表性硬件定義語言(HDL)。一個有趣的問題是HDL是否是軟件，但現(xiàn)在遵循IEC 61508-2:2010附錄F就足夠了。在實(shí)踐中，作者發(fā)現(xiàn)如果遵循附錄F，那么結(jié)合IEC 61508的其他要求（生命周期階段等），HDL是否是軟件的問題并不重要，因?yàn)?a target="_blank">開發(fā)者最終仍要完成所有必需的任務(wù)。一個值得注意的相關(guān)標(biāo)準(zhǔn)是IEC 62566 2，它處理的是利用HDL開發(fā)的核工業(yè)安全功能。

要求2—固有可靠性

IEC 61508以PFH（每小時(shí)危險(xiǎn)故障平均頻率）或PFD（需要時(shí)發(fā)生故障的概率）的形式提出了可靠性要求。這些限制與成年人因自然原因而死亡的風(fēng)險(xiǎn)，以及人們認(rèn)為工作或處理日常業(yè)務(wù)不應(yīng)顯著增加這一風(fēng)險(xiǎn)的想法有關(guān)。SIL 3安全功能的最大PFH為10–7/h，或者每1000年約有一次的危險(xiǎn)故障率。表示為FIT（故障次數(shù)/每運(yùn)行十億小時(shí)的故障率）的話，即為100 FIT。

鑒于典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執(zhí)行器模塊，并且PFH預(yù)算必須分配給所有三個模塊，所以某一IC的PFH完全可能是個位數(shù)(<10 FIT)。可以使用冗余架構(gòu)來提高這些數(shù)字，若有兩個100 FIT結(jié)構(gòu)，則每個可以提供相同的置信度，使模塊可靠性達(dá)到10 FIT（受常見原因故障(CCF)限制）。

假設(shè)一個典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執(zhí)行器模塊，并且PFH預(yù)算必須跨所有三個塊分配，那么給定IC的PFH完全有可能為個位數(shù)(<10 FIT)。冗余架構(gòu)可以用于允許更高的失效率值，這樣兩個100 FIT的IC，通過限制CCF(共因失效)，每個都可以為一個可靠性為10 FIT的IC提供等效的置信度。然而，冗余會消耗大量的空間和能量，并增加成本。

IC制造商如Analog Devices在analog.com/reliabilitydata等網(wǎng)站上提供基于加速壽命測試的所有發(fā)布IC的可靠性信息。這種方法不被贊同，因?yàn)槠淇煽啃栽u估是在人工條件下的實(shí)驗(yàn)室中完成的。相反，建議使用行業(yè)標(biāo)準(zhǔn)，如SN 295003或IEC 62380。然而，這些標(biāo)準(zhǔn)有一些問題:

手冊預(yù)測的可靠性為99%置信水平，而IEC 61508只要求70%置信水平的數(shù)據(jù)，因此該標(biāo)準(zhǔn)是保守的。

手冊混合了隨機(jī)和系統(tǒng)故障模式。根據(jù)IEC 61508的規(guī)定，這些將被區(qū)別對待。

手冊不經(jīng)常更新。

手冊不考慮供應(yīng)商之間的質(zhì)量差異。

像SN 29500這樣的標(biāo)準(zhǔn)確實(shí)證明了片上晶體管的可靠性。如果使用兩個包含500k個晶體管的集成電路來實(shí)現(xiàn)一個安全功能，那么它們的FIT為70，而系統(tǒng)的FIT為140。然而，如果用一個100萬個晶體管的集成電路取代這兩個集成電路，那一個集成電路的FIT只有80，減少了40%以上。

Soft errors（軟錯誤，瞬態(tài)失效）在集成電路中經(jīng)常被忽略。軟誤差與傳統(tǒng)的可靠性預(yù)測不同之處在于，一旦功率循環(huán)，Soft errors就會消失。它們是由來自太空的中子粒子或來自包裝材料的α粒子撞擊片上RAM電池或觸發(fā)器(FF)而改變存儲值引起的。ECC (雙比特錯誤檢測和單比特錯誤糾正)可用于檢測和無縫糾正RAM中的錯誤，但以降低速度和更高的片上錯誤為代價(jià)。奇偶校驗(yàn)增加了較少的開銷，但讓系統(tǒng)設(shè)計(jì)人員解決錯誤恢復(fù)問題。如果奇偶校驗(yàn)或ECC技術(shù)不使用，Soft errors率可以超過傳統(tǒng)的硬錯誤率高達(dá)1000倍(IEC 61508為RAM提供了1000 FIT/MB的數(shù)字)。用于解決用于實(shí)現(xiàn)邏輯電路的FF(觸發(fā)器)中的Soft errors的技術(shù)并不令人滿意，但看門狗定時(shí)器、計(jì)算中的時(shí)間冗余和其他技術(shù)可以提供幫助。

要求 3—容錯能力

無論產(chǎn)品多么可靠，有時(shí)還是會發(fā)生不好的事情。故障容錯接受這一現(xiàn)實(shí)，然后解決它。實(shí)現(xiàn)故障容錯包含兩個主要因素。一個是使用冗余，另一個是使用診斷。兩個因素都說明，無論集成電路的可靠性或用于開發(fā)集成電路的開發(fā)過程有多好，故障都會發(fā)生。

冗余可以是相同的，也可以是不同的，它可以是片內(nèi)的，也可以是片外的。IEC 61508-2:2010附錄E提供了一套技術(shù)來證明已經(jīng)采取了足夠的措施來支持使用非多樣化冗余的數(shù)字電路的片上冗余要求。附件E的目標(biāo)似乎是雙鎖步微控制器，沒有給出關(guān)于片內(nèi)獨(dú)立性的指南。

模擬和混合信號集成電路

在相關(guān)項(xiàng)與其片內(nèi)診斷之間

采用多樣性冗余的數(shù)字電路

然而，在某些情況下，附件E可以為這些情況做出聰明的解釋。附件E中一個有趣的項(xiàng)目是βIC計(jì)算，這是對片內(nèi)的共因失效的測量。如果共因失效的β值小于25%，與IEC 61508-6:2010表中的1%、5%或10%相比，該β值較高，則可以做出充分分離的判斷。

診斷是集成電路真正能發(fā)揮作用的領(lǐng)域。片內(nèi)診斷可以

設(shè)計(jì)以適應(yīng)片上塊的預(yù)期故障模式

由于對外部引腳的要求有限，不增加PCB空間

高速率運(yùn)行(最小診斷測試間隔)

通過比較消除了對冗余部件的需求來實(shí)現(xiàn)診斷

這意味著片內(nèi)診斷可以最小化系統(tǒng)成本和面積。一般來說，診斷的設(shè)計(jì)與其在芯片內(nèi)監(jiān)視的部分是多樣的(不同的實(shí)現(xiàn))，所以診斷部分與正在監(jiān)視的部分不太可能以同樣的方式和同時(shí)失效。當(dāng)診斷部分這樣實(shí)現(xiàn)時(shí)，診斷部分與正在監(jiān)視的部分很可能會面臨相同的問題(通常與EMC、電源供應(yīng)問題和溫度過高有關(guān))，即使診斷是在單獨(dú)的芯片中實(shí)現(xiàn)的。雖然標(biāo)準(zhǔn)沒有包含這一要求，但仍存在使用片內(nèi)電源監(jiān)視器和看門狗電路作為最后的診斷手段的問題。一些外部評估人員會堅(jiān)持使用片外電源監(jiān)視器和看門狗電路診斷。

一般來說，簡單集成電路上的診斷將由遠(yuǎn)程微控制器/DSP控制，測量在芯片上完成，但結(jié)果在芯片外運(yùn)送處理。

IEC 61508要求最低診斷覆蓋率為SFF(安全故障分?jǐn)?shù))，它考慮了安全和危險(xiǎn)故障，與DC(診斷覆蓋率)相關(guān)但不同，DC忽略了安全故障。可以使用量化的FMEA或FMEDA來衡量實(shí)施診斷的成功程度。然而，IC內(nèi)部實(shí)現(xiàn)的診斷也可以覆蓋IC外部的組件，IC內(nèi)部的部分可以由系統(tǒng)級診斷覆蓋。當(dāng)IC開發(fā)人員執(zhí)行FMEDA時(shí)，必須假定IC開發(fā)人員通常不知道最終應(yīng)用程序的細(xì)節(jié)。在ISO 26262術(shù)語中，這被稱為SEooC(脫離上下文的安全要素)。對于使用IC級FMEDA的最終用戶，他們必須滿足IC的假設(shè)仍然適用于他們的系統(tǒng)。

雖然IEC 61508-2:2010的表A.1(以及表A.2到A.14)對分析集成電路時(shí)應(yīng)該考慮的IC故障給出了很好的指南，但I(xiàn)EC 60760:2010的附件H對該主題給出了更好的討論。

06

集成電路的開發(fā)方案

開發(fā)用于功能安全系統(tǒng)的集成電路有幾種選擇。標(biāo)準(zhǔn)中沒有要求只使用符合標(biāo)準(zhǔn)的集成電路，而是要求模塊或系統(tǒng)設(shè)計(jì)者自己符合，所選擇的集成電路是適合在他們的系統(tǒng)中使用的。

可用的選項(xiàng)包括：

完全符合IEC 61508標(biāo)準(zhǔn)，附有外部評估和安全手冊

符合IEC 61508標(biāo)準(zhǔn)開發(fā)，無需外部評估，并附有安全手冊

按照開發(fā)半導(dǎo)體公司的標(biāo)準(zhǔn)開發(fā)流程開發(fā)，但發(fā)布安全數(shù)據(jù)表

按照半導(dǎo)體公司的標(biāo)準(zhǔn)流程開發(fā)

注:對于不符合IEC 61508標(biāo)準(zhǔn)的部件，安全手冊可以稱為安全數(shù)據(jù)表或類似的名稱，以避免與符合安全手冊標(biāo)準(zhǔn)的部件混淆。

選項(xiàng)1對半導(dǎo)體制造商來說是最昂貴的選擇，但也可能為模塊或系統(tǒng)設(shè)計(jì)者提供最有利的選擇。在集成電路的安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配的組件，可以減少模塊或系統(tǒng)的外部評估出現(xiàn)問題的風(fēng)險(xiǎn)。SIL2安全功能的額外設(shè)計(jì)工作量可以達(dá)到20%甚至更多。額外的工作量可能會更高，除非半導(dǎo)體制造商通常已經(jīng)擁有了一個嚴(yán)格的開發(fā)流程，即使沒有功能安全。

選項(xiàng)2節(jié)省了外部評估的費(fèi)用，但在其他方面的影響是相同的。這種選擇適用于客戶無論如何都要獲得模塊/系統(tǒng)外部認(rèn)證，而集成電路是該系統(tǒng)的重要組成部分的情況。

選項(xiàng)3最適用于已經(jīng)發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以使模塊或系統(tǒng)設(shè)計(jì)者獲得更高級別安全設(shè)計(jì)所需的額外信息。這包括使用的實(shí)際開發(fā)過程的詳細(xì)信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細(xì)信息以及生產(chǎn)現(xiàn)場的ISO 9001認(rèn)證證據(jù)。

然而，選項(xiàng)4仍將是開發(fā)集成電路最常見的方法。使用這些組件來開發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計(jì)的費(fèi)用，因?yàn)榻M件將沒有足夠的診斷需要雙通道體系結(jié)構(gòu)與單通道體系結(jié)構(gòu)進(jìn)行比較。如果沒有安全數(shù)據(jù)表，模塊/系統(tǒng)設(shè)計(jì)者還需要做出保守的假設(shè)，并將集成電路視為一個黑盒子。

此外，半導(dǎo)體公司需要制定自己的標(biāo)準(zhǔn)解釋，作者自己的公司為此開發(fā)了內(nèi)部文件ADI61508和ADI26262。ADI61508采用了IEC 6158:2010的七個部分，并從集成電路開發(fā)的角度解釋了要求。

07

SIL 2/3 開發(fā)

有時(shí)集成電路可以根據(jù)SIL 3開發(fā)出所有的系統(tǒng)要求。這意味著符合IEC 61508-2:2010 SIL 3表F.1的所有相關(guān)項(xiàng)目，所有設(shè)計(jì)評審和其他分析都是按照SIL 3水平進(jìn)行的。然而，硬件指標(biāo)可能只適合SIL 2。這樣的電路可以被識別為SIL 2/3或更典型的SIL M/N，其中M表示在硬件指標(biāo)方面可以聲明的最大SIL級別，N表示在系統(tǒng)需求方面可以聲明的最大SIL級別。兩個SIL 2/3集成電路可以用來實(shí)現(xiàn)SIL 3模塊或系統(tǒng)，因?yàn)樵谟布笜?biāo)方面，兩個SIL 2項(xiàng)目的并行升級組合到SIL 3，但在系統(tǒng)需求方面，每個項(xiàng)目已經(jīng)在SIL 3。如果集成電路只有SIL 2/2，將兩個這樣的集成電路并聯(lián)仍然不能使它成為SIL 3，因?yàn)樗疃嘀荒苁荢IL 3/2。

理想情況下，集成電路需求應(yīng)該是通過系統(tǒng)層面分析推導(dǎo)得出的，但通常情況并非如此，開發(fā)實(shí)際上是一個SEooC(參見ISO 26262)或脫離上下文的安全元素。在SEooC的情況下，IC開發(fā)人員需要對IC將如何在系統(tǒng)中使用做出假設(shè)。然后，系統(tǒng)或模塊設(shè)計(jì)者必須將這些假設(shè)與他們的真實(shí)系統(tǒng)進(jìn)行比較，以確定IC的功能安全性是否足以滿足他們的系統(tǒng)。這些假設(shè)可以決定診斷是在集成電路上實(shí)現(xiàn)還是在系統(tǒng)層面實(shí)現(xiàn)，從而影響集成電路層面的特性和功能。

08

Security安全

一個系統(tǒng)不可能是安全的，除非它也是嚴(yán)密保護(hù)的。目前，IEC 61508或ISO 26262中與Security相關(guān)的唯一指南是讓讀者參考IEC 62443系列。然而，IEC 62443似乎更針對較大的組件，如整個PLC組件，而不是單個IC。好消息是，功能安全標(biāo)準(zhǔn)中消除系統(tǒng)故障的大部分要求也適用于Security。缺乏任何引用是有趣的，因?yàn)樵谀承┣闆r下，硬件可以提供信任的硬件根和功能，如PUF(物理上不可克隆的功能)，這對safety和Security很重要。

09

維度的三大階段

現(xiàn)有的IEC 61508涵蓋了從開發(fā)集成電路到煉油廠的方方面面。雖然在機(jī)械和過程控制等領(lǐng)域有專門的行業(yè)特定標(biāo)準(zhǔn)，而且在IEC 61508修訂版2中對集成電路有一些指南，但沒有專門針對集成電路的標(biāo)準(zhǔn)。缺乏具體的需求使得需求容易被解釋，因此在多個客戶和外部評估人員的期望之間可能會產(chǎn)生沖突。

這意味著各部門將傾向于在其更高水平的標(biāo)準(zhǔn)中對集成電路作出特定的要求。這些要求已經(jīng)在EN 50402、7等標(biāo)準(zhǔn)中體現(xiàn)出來，但在ISO 262628的2016年草案中體現(xiàn)得最為明顯，其中新增的第11部分專門涉及集成電路。

作者希望定于2021年左右出版的IEC 61508修訂版3將擴(kuò)展和澄清集成電路的指導(dǎo)。作者有幸成為IEC TC65/SC65A MT61508-1/2和MT 61508-3的一員，因此將有機(jī)會參與到這些工作中來。也許在未來的修訂中會有第8部分專門針對半導(dǎo)體，以便在各個部分之間保持一致，從而開發(fā)出滿足所有部分要求的集成電路。

即便如此，該標(biāo)準(zhǔn)也不太可能包含IC制造商設(shè)計(jì)具有功能性安全要求的IC所需的全部內(nèi)容。與Security、EMC等相關(guān)的需求仍然需要從系統(tǒng)應(yīng)用知識中獲得。

審核編輯：劉清