集成電路(IC)是所有現(xiàn)代安全系統(tǒng)的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅(qū)動(dòng)最終元件以實(shí)現(xiàn)安全狀態(tài)，它們是軟件運(yùn)行的平臺(tái)。半導(dǎo)體內(nèi)部的高集成度可以簡(jiǎn)化系統(tǒng)級(jí)實(shí)現(xiàn)，其代價(jià)是IC內(nèi)部復(fù)雜性增加。這種集成會(huì)減少器件數(shù)量，改善系統(tǒng)可靠性，并為提高診斷覆蓋率和縮短診斷測(cè)試間隔創(chuàng)造機(jī)會(huì)——所有這些都是以安全性適中為代價(jià)的[NK1] 。有人可能會(huì)認(rèn)為，由于復(fù)雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復(fù)雜性提高，但在模塊和系統(tǒng)層面上可以大大簡(jiǎn)化。令人吃驚的是，過(guò)程控制、機(jī)械、電梯、變速驅(qū)動(dòng)器和有毒氣體傳感器都有相應(yīng)的功能安全標(biāo)準(zhǔn)，但關(guān)于集成電路卻沒(méi)有專門的功能安全標(biāo)準(zhǔn)。相反，相關(guān)要求和知識(shí)是零散地分布在IEC 61508和其他B級(jí)、C級(jí)標(biāo)準(zhǔn)中。本文為解讀現(xiàn)有半導(dǎo)體功能安全標(biāo)準(zhǔn)提供指導(dǎo)。

 

 

簡(jiǎn)介

 

 

通常，集成電路按照IEC 61508或ISO 26262標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)。另外，二級(jí)和三級(jí)標(biāo)準(zhǔn)中有時(shí)還會(huì)有其他要求。只有按照功能安全標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)和評(píng)估，才能讓人放心這些復(fù)雜的集成電路足夠安全。當(dāng)編寫(xiě)IEC 61508時(shí)，其針對(duì)的是定制系統(tǒng)，而不是開(kāi)放市場(chǎng)批量生產(chǎn)的集成電路。本文將回顧并評(píng)論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但很多內(nèi)容都與汽車、航空電子和醫(yī)療等應(yīng)用有關(guān)。

 

功能安全

 

 

功能安全是安全性的一部分，與系統(tǒng)在需要的時(shí)候是否有把握?qǐng)?zhí)行安全相關(guān)任務(wù)有關(guān)[NK2] 。功能安全不同于其他被動(dòng)形式的安全，如電氣安全、機(jī)械安全或本質(zhì)安全。

 

 

功能安全是一種主動(dòng)形式的安全。例如，它能確保馬達(dá)以足夠快的速度關(guān)閉，防止對(duì)打開(kāi)防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時(shí)，機(jī)器人會(huì)降低運(yùn)行的速度和力度。

 

標(biāo)準(zhǔn)

 

主要功能安全標(biāo)準(zhǔn)是IEC 61508 1。該標(biāo)準(zhǔn)的第一版于1998年出版，第二版于2010年出版，并于2017年開(kāi)始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來(lái)，基本IEC 61508標(biāo)準(zhǔn)已針對(duì)不同領(lǐng)域進(jìn)行適應(yīng)性修改，例如汽車(ISO 26262)、過(guò)程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機(jī)械）、變速驅(qū)動(dòng)器(IEC 61800-5-2)以及其他許多領(lǐng)域。此類標(biāo)準(zhǔn)有助于對(duì)非常寬泛的IEC 61508進(jìn)行解釋以便用于這些受到更大限制的領(lǐng)域。

 

一些功能安全標(biāo)準(zhǔn)，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標(biāo)準(zhǔn)的人都不會(huì)對(duì)其內(nèi)容感到過(guò)于吃驚。

 

在安全系統(tǒng)內(nèi)，當(dāng)系統(tǒng)運(yùn)行時(shí)，執(zhí)行關(guān)鍵功能安全活動(dòng)的是安全功能。安全功能定義了實(shí)現(xiàn)或保持安全所必須執(zhí)行的操作。典型的安全功能包含輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著對(duì)潛在的不安全狀態(tài)進(jìn)行檢測(cè)，并且基于檢測(cè)到的值做出決定，如果認(rèn)為有潛在危險(xiǎn)[NK3] ，則指示輸出子系統(tǒng)將系統(tǒng)置于已定義的安全狀態(tài)。

 

圖1.功能安全標(biāo)準(zhǔn)示例。

 

不安全狀態(tài)存在到實(shí)現(xiàn)安全狀態(tài)的時(shí)間至關(guān)重要[NK4] 。例如，安全功能可能包括如下器件：一個(gè)傳感器用來(lái)檢測(cè)機(jī)器上的防護(hù)裝置是否打開(kāi)，一個(gè)PLC用來(lái)處理數(shù)據(jù)，以及一個(gè)具有安全扭矩關(guān)閉輸入的變速驅(qū)動(dòng)器，它在[NK5] 插入機(jī)器中的手可能接近運(yùn)動(dòng)部件之前關(guān)閉電機(jī)。

安全完整性等級(jí)

 

SIL代表安全完整性等級(jí)，是表示需要將風(fēng)險(xiǎn)降至何種程度才能達(dá)到可接受水平的手段。根據(jù)IEC 61508標(biāo)準(zhǔn)，安全等級(jí)有1、2、3、4四級(jí)，從一個(gè)級(jí)別到下一個(gè)級(jí)別，安全性會(huì)提高一個(gè)數(shù)量級(jí)。機(jī)器和工廠自動(dòng)化場(chǎng)景中不會(huì)看到SIL 4，因?yàn)橐话闱闆r下，這種場(chǎng)合中遭受危險(xiǎn)的人員通常不會(huì)超過(guò)一個(gè)。SIL 4針對(duì)的是數(shù)百甚至數(shù)千人可能受到傷害的核能和鐵路等應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車使用ASIL（汽車安全完整性等級(jí)）A、B、C和D，以及ISO 13849標(biāo)準(zhǔn)。其性能等級(jí)a、b、c、d和e可以對(duì)應(yīng)到SIL 1至SIL 3尺度。

 

表1.各應(yīng)用領(lǐng)域安全等級(jí)的粗略對(duì)應(yīng)

 

筆者不相信單個(gè)IC可能有超過(guò)SIL 3的安全水平。但值得注意的是，IEC 61508-2:2010附錄F中的表格顯示了一個(gè)SIL 4列。

三項(xiàng)關(guān)鍵要求

 

功能安全對(duì)IC開(kāi)發(fā)提出了三項(xiàng)關(guān)鍵要求。下面研究這些要求。

 

要求1—遵循嚴(yán)格的開(kāi)發(fā)流程

 

IEC 61508是一個(gè)全生命周期模型，涵蓋了從安全概念到需求采集、維護(hù)，直至最終物料處理[NK6] 的所有階段。不是所有這些階段都與集成電路相關(guān)，甄別哪些階段有關(guān)需要培訓(xùn)和經(jīng)驗(yàn)。IEC 61508為ASIC提供了一個(gè)V模型，另外還有審查、審核及其他要求，它代表了一個(gè)體系，雖然不能保證安全，但過(guò)去已證明它能產(chǎn)生[NK7] 安全的系統(tǒng)和IC。

 

由于更改故障[NK8] 集成電路的成本很高，所以大多數(shù)IC制造商已經(jīng)建立嚴(yán)格的新產(chǎn)品開(kāi)發(fā)標(biāo)準(zhǔn)。對(duì)于小幾何尺寸工藝，僅僅一套掩膜的成本就可能超過(guò)50萬(wàn)美元。這種情況加上長(zhǎng)交貨期，迫使集成電路設(shè)計(jì)商不得不實(shí)施嚴(yán)格的開(kāi)發(fā)流程和優(yōu)良[NK9] 的檢查與驗(yàn)證階段[NK10] 。功能安全的一大區(qū)別在于，不僅必須實(shí)現(xiàn)安全性，還要證明安全性，即使是最好的IC制造商也需要在其正常開(kāi)發(fā)流程之上添加安全流程，以確保合規(guī)性的適當(dāng)證據(jù)得以創(chuàng)建并存檔[NK11] 。

 

開(kāi)發(fā)流程引入的故障稱為系統(tǒng)故障。這些故障只能通過(guò)設(shè)計(jì)變更來(lái)解決。與需求采集相關(guān)的故障、EMC魯棒性不足和測(cè)試不充分就是此類故障。

 

IEC 61508-2:2010的附錄F列出了一系列專門測(cè)量，IEC委員會(huì)專家認(rèn)為這些測(cè)量適合用于集成電路開(kāi)發(fā)。表F.2適用于FPGA和CPLD，表F.1適用于數(shù)字ASIC。這些測(cè)量分為R（推薦）或HR（強(qiáng)烈推薦）兩類，具體取決于SII，某些情況下還提供了備選技術(shù)。對(duì)于擁有良好開(kāi)發(fā)流程的IC供應(yīng)商來(lái)說(shuō)，其中的要求很少會(huì)讓人感到意外，但SIL 3的99%故障覆蓋率要求是有挑戰(zhàn)性的，尤其是對(duì)于小型數(shù)字或混合信號(hào)器件，其中很多電路位于模塊的外圍。該標(biāo)準(zhǔn)第二版中的要求僅適用于數(shù)字IC，但許多要求也可應(yīng)用于模擬或混合信號(hào)IC（ISO 26262的下一版本將包含類似表格，并有針對(duì)模擬和混合信號(hào)集成電路的版本）。

 

除表F.1和表F.2外，還有一些介紹性文字也提供了一些見(jiàn)解。例如，這個(gè)介紹性文字說(shuō)允許使用經(jīng)過(guò)實(shí)際驗(yàn)證的工具，在復(fù)雜度相似的項(xiàng)目中使用18個(gè)月是合理的時(shí)間長(zhǎng)度。這意味著并不需要應(yīng)用IEC 61508-3關(guān)于工具的全部要求。

 

如果模塊/系統(tǒng)設(shè)計(jì)者過(guò)去曾成功使用某一IC，并且了解其應(yīng)用和現(xiàn)場(chǎng)故障率，那么他可以宣稱其“經(jīng)過(guò)實(shí)際驗(yàn)證”。對(duì)于集成電路設(shè)計(jì)者或制造商來(lái)說(shuō)，作出這種宣稱要困難得多，因?yàn)樗麄円话悴惶私庾罱K應(yīng)用或?qū)F(xiàn)場(chǎng)故障單元返回給他們進(jìn)行分析的百分率的含義[NK12] 。

軟件

 

所有軟件錯(cuò)誤都是系統(tǒng)性的，因?yàn)檐浖粫?huì)老化。任何片內(nèi)軟件都應(yīng)考慮IEC 61508-3的要求。通常，片內(nèi)軟件可能包括微控制器/DSP的內(nèi)核/引導(dǎo)程序。但在某些情況下，微控制器/DSP可能包含一個(gè)由IC制造商預(yù)編程的小型微控制器來(lái)實(shí)現(xiàn)一個(gè)邏輯塊，而不是使用狀態(tài)機(jī)。該預(yù)編程的微控制器軟件還需要符合IEC 61508-3的要求。應(yīng)用級(jí)軟件通常是模塊/系統(tǒng)設(shè)計(jì)者的責(zé)任，而不是IC制造商的責(zé)任，但I(xiàn)C供應(yīng)商可能需要提供編譯器或低級(jí)驅(qū)動(dòng)程序等工具。如果這些工具用于安全相關(guān)應(yīng)用軟件的開(kāi)發(fā)，那么IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3:2010第7.4.4條中的工具要求。

 

筆者也使用C語(yǔ)言和其他很多編程語(yǔ)言做過(guò)編程。筆者還做過(guò)少量Verilog編程。Verilog及其姊妹語(yǔ)言VHDL是用于設(shè)計(jì)數(shù)字集成電路的兩種代表性硬件定義語(yǔ)言(HDL)。一個(gè)有趣的問(wèn)題是HDL是否是軟件，但現(xiàn)在遵循IEC 61508-2:2010附錄F就足夠了。在實(shí)踐中，筆者發(fā)現(xiàn)如果遵循附錄F，那么結(jié)合IEC 61508的其他要求（生命周期階段等），HDL是否是軟件的問(wèn)題并不重要，因?yàn)殚_(kāi)發(fā)者最終仍要完成所有必需的任務(wù)。一個(gè)值得注意的相關(guān)標(biāo)準(zhǔn)是IEC 62566 2，它處理的是利用HDL開(kāi)發(fā)的核工業(yè)安全功能。

要求2—固有可靠性

 

IEC 61508以PFH（每小時(shí)危險(xiǎn)故障平均頻率）或PFD（需要時(shí)發(fā)生故障的概率）的形式提出了可靠性要求。這些限制與成年人因自然原因而死亡的風(fēng)險(xiǎn)，以及人們認(rèn)為工作或處理日常業(yè)務(wù)不應(yīng)顯著增加這一風(fēng)險(xiǎn)的想法有關(guān)。SIL 3安全功能的最大PFH為10–7/h，或者每1000年約有一次的危險(xiǎn)故障率。表示為FIT（故障次數(shù)/每運(yùn)行十億小時(shí)的故障率）的話，即為100 FIT。

 

鑒于典型的安全功能有一個(gè)輸入模塊、一個(gè)邏輯模塊和一個(gè)執(zhí)行器模塊，并且PFH預(yù)算必須分配給所有三個(gè)模塊，所以某一IC的PFH完全可能是個(gè)位數(shù)(<10 FIT)。可以使用冗余架構(gòu)來(lái)提高這些數(shù)字，若有兩個(gè)100 FIT結(jié)構(gòu)，則每個(gè)可以提供相同的置信度，使模塊可靠性達(dá)到10 FIT（受常見(jiàn)原因故障(CCF)限制）。然而，冗余會(huì)消耗大量空間和能量，并增加成本。

此信息有時(shí)會(huì)不被重視，因?yàn)檫@種可靠性評(píng)估是在人為條件下于實(shí)驗(yàn)室中完成的。推薦使用行業(yè)標(biāo)準(zhǔn)，如SN 295003或IEC 623804，但這些標(biāo)準(zhǔn)有一些問(wèn)題：

 

• 它們預(yù)測(cè)99%置信度下的可靠性，IEC 61508僅要求70%置信度下的數(shù)據(jù)，因此標(biāo)準(zhǔn)偏悲觀。

• 它們將隨機(jī)故障模式和系統(tǒng)故障模式混為一談。根據(jù)IEC 61508的規(guī)定，應(yīng)以不同方式處理這些故障模式。

• 它們不是經(jīng)常更新。

• 它們未考慮不同供應(yīng)商之間的質(zhì)量差異。

 

SN 29500之類的標(biāo)準(zhǔn)說(shuō)明的是片內(nèi)晶體管的可靠性。如果使用兩個(gè)IC（每個(gè)有50萬(wàn)個(gè)晶體管）來(lái)實(shí)現(xiàn)安全功能，每個(gè)IC的FIT為70，那么整個(gè)系統(tǒng)的FIT為140。但是，如果用一個(gè)含100萬(wàn)個(gè)晶體管的IC來(lái)替代這兩個(gè)IC，那么這一個(gè)IC的FIT只有80，減少了40%以上。

 

IC內(nèi)部的軟錯(cuò)誤往往被忽略。軟錯(cuò)誤不同于傳統(tǒng)的可靠性預(yù)測(cè)，因?yàn)橐坏嚯娫偻?，軟錯(cuò)誤就會(huì)消失。引起軟錯(cuò)誤的原因是空間中的中子或封裝材料中的α粒子，它們撞擊片內(nèi)RAM單元或觸發(fā)器(FF)，改變其中存儲(chǔ)的值。ECC（雙比特錯(cuò)誤檢測(cè)和單比特錯(cuò)誤校正[NK13] ）可用來(lái)檢測(cè)并無(wú)縫糾正RAM中的錯(cuò)誤，但代價(jià)是速度降低和片內(nèi)錯(cuò)誤增多。奇偶校驗(yàn)增加的開(kāi)銷更少，但系統(tǒng)設(shè)計(jì)人員需要解決錯(cuò)誤恢復(fù)問(wèn)題。如果不使用奇偶校驗(yàn)或ECC技術(shù)，則軟錯(cuò)誤率可能會(huì)比傳統(tǒng)硬錯(cuò)誤率高出多達(dá)1000倍（IEC 61508提供的RAM數(shù)值為1000 FIT/MB）。用于解決實(shí)現(xiàn)邏輯電路的FF（觸發(fā)器）中軟錯(cuò)誤的技術(shù)不那么令人滿意，但看門狗定時(shí)器、計(jì)算中的時(shí)間冗余以及其他技術(shù)可提供幫助。

 

要求3—容錯(cuò)性

 

無(wú)論產(chǎn)品有多可靠，有時(shí)候還是會(huì)出事。容錯(cuò)性承認(rèn)這一現(xiàn)實(shí)并予以解決。容錯(cuò)性主要包含兩方面。一個(gè)是使用冗余，另一個(gè)是使用診斷。這兩方面都承認(rèn)[NK14] ，無(wú)論IC的可靠性或IC開(kāi)發(fā)流程有多好，故障難免會(huì)發(fā)生。

 

冗余可以是相同的或不同的，可以在片內(nèi)或片外。IEC 61508-2:2010的附錄E提供了一組技術(shù)來(lái)證明，已經(jīng)采取了充分的措施來(lái)支持關(guān)于數(shù)字電路使用相同冗余的片內(nèi)冗余性聲明。附錄E似乎是針對(duì)雙鎖步微控制器的，針對(duì)以下方面的片內(nèi)獨(dú)立性沒(méi)有給出任何指導(dǎo)：

 

• 模擬和混頻信號(hào)集成電路

• 模塊與其片內(nèi)診斷之間

• 采用不同冗余的數(shù)字電路

 

但在某些情況下，可以針對(duì)這些情況對(duì)附錄E加以靈活解釋。附錄E中有一個(gè)有意思的內(nèi)容是βIC計(jì)算，其衡量片內(nèi)常見(jiàn)原因故障。通過(guò)它可以判斷間隔是否足夠，前提是常見(jiàn)原因故障的來(lái)源所代表的β小于25%，這與IEC 61508-6:2010的表格中的1%、5%或10%相比是較高的。

 

診斷是集成電路真正可以大放異彩的領(lǐng)域。片內(nèi)診斷可以：

 

• 通過(guò)設(shè)計(jì)來(lái)適應(yīng)片內(nèi)模塊的預(yù)期故障[NK15] 模式

• 不增加PCB空間，因?yàn)橥獠恳_需求有限

• 以高速率運(yùn)行（診斷測(cè)試間隔極小[NK16] ）

• 無(wú)需冗余器件來(lái)通過(guò)比較進(jìn)行診斷

 

這意味著片內(nèi)診斷可以最大限度地減少系統(tǒng)成本和面積。一般而言，診斷是多種多樣的（有不同實(shí)施方式），取決于其監(jiān)控的片內(nèi)項(xiàng)目[NK17] ，因此它們不太可能以與被監(jiān)控項(xiàng)目[NK18] 相同的方式和同時(shí)發(fā)生故障。當(dāng)故障確實(shí)發(fā)生時(shí)[NK19] ，它們遇到的很可能是同樣的問(wèn)題（常常與EMC、電源問(wèn)題和溫度過(guò)高有關(guān)），哪怕診斷功能是在單獨(dú)的芯片上實(shí)現(xiàn)。雖然該標(biāo)準(zhǔn)不包含此要求，但存在與使用片內(nèi)電源監(jiān)視器和看門狗電路有關(guān)的問(wèn)題，而這些是最后的診斷手段。[NK20] 某些外部評(píng)估人員會(huì)堅(jiān)持將此類診斷放在片外。

 

一般來(lái)說(shuō)，對(duì)較簡(jiǎn)單集成電路的診斷將由遠(yuǎn)程微控制器/DSP控制，測(cè)量在片內(nèi)完成，但結(jié)果發(fā)送到芯片外進(jìn)行處理。

 

IEC 61508要求最低級(jí)別的診斷覆蓋率[NK21] ，用SFF（安全失效系數(shù)[NK22] ）給出，其考慮安全故障和危險(xiǎn)故障，與忽略安全故障的DC（診斷覆蓋率）相關(guān)但不同。已實(shí)施診斷的成功程度可以使用量化FMEA或FMEDA來(lái)衡量。但是，在IC中實(shí)施的診斷也可以覆蓋IC外部的器件，IC內(nèi)的項(xiàng)目[NK23] 可以通過(guò)系統(tǒng)級(jí)診斷來(lái)覆蓋。當(dāng)IC開(kāi)發(fā)人員執(zhí)行FMEDA時(shí)，必須假定IC開(kāi)發(fā)人員一般不知道最終應(yīng)用的細(xì)節(jié)[NK24] 。在ISO 26262術(shù)語(yǔ)中，這被稱為SEooC（脫離背景的安全要素[NK25] ）。對(duì)于要利用IC級(jí)FMEDA的最終用戶，他們必須確信上述假設(shè)對(duì)其系統(tǒng)仍然成立。

 

雖然IEC 61508-2:2010的表A.1（實(shí)際上是表A.2至A.14）就IC失效提供了很好的指導(dǎo)，分析IC時(shí)應(yīng)予以考慮，但I(xiàn)EC 60730:2010 5的附錄H就該主題提供了更好的論述。

集成電路的開(kāi)發(fā)方案

 

開(kāi)發(fā)用于功能安全系統(tǒng)的集成電路有幾種方案。標(biāo)準(zhǔn)中沒(méi)有要求只能使用符合標(biāo)準(zhǔn)的集成電路，而是要求模塊或系統(tǒng)設(shè)計(jì)人員確信所選的集成電路適用于目標(biāo)系統(tǒng)。

可用方案包括：

 

u  方案1：完全依照IEC 61508標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)，使用外部評(píng)估和安全手冊(cè)

u  方案2：依照IEC 61508標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)，無(wú)外部評(píng)估，但有安全手冊(cè)

u  方案3：依照半導(dǎo)體公司的標(biāo)準(zhǔn)開(kāi)發(fā)流程進(jìn)行開(kāi)發(fā)，但會(huì)發(fā)布安全數(shù)據(jù)手冊(cè)

u  方案4：依照半導(dǎo)體公司的標(biāo)準(zhǔn)流程進(jìn)行開(kāi)發(fā)[NK26] 

 

注意：未依照IEC 61508開(kāi)發(fā)的器件，其安全手冊(cè)可能被稱為安全數(shù)據(jù)手冊(cè)或類似名稱，以避免與遵照安全手冊(cè)開(kāi)發(fā)的器件發(fā)生混淆。

 

對(duì)于半導(dǎo)體制造商來(lái)說(shuō)，方案1成本最高，但對(duì)模塊或系統(tǒng)設(shè)計(jì)商來(lái)說(shuō)可能最有利。擁有這樣一個(gè)器件，其中集成電路安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配，可以降低模塊或系統(tǒng)進(jìn)行外部評(píng)估時(shí)遇到問(wèn)題的風(fēng)險(xiǎn)。SIL 2安全功能的額外設(shè)計(jì)工作量可能在20%或更多。即使沒(méi)有功能安全，半導(dǎo)體制造商通常也已經(jīng)實(shí)施了嚴(yán)格的開(kāi)發(fā)流程，而且額外工作量可能會(huì)更多。

 

方案2節(jié)省了外部評(píng)估的成本，但其他方面的影響相同。如果客戶無(wú)論如何都要讓模塊/系統(tǒng)進(jìn)行外部認(rèn)證，并且集成電路是該系統(tǒng)的重要組成部分，那么此方案是合適的。

 

方案3最適合于已經(jīng)發(fā)布的集成電路，提供安全數(shù)據(jù)手冊(cè)可以讓模塊或系統(tǒng)設(shè)計(jì)人員獲得其在更高級(jí)別上進(jìn)行安全設(shè)計(jì)所需的額外信息。這包括如下信息：所用實(shí)際開(kāi)發(fā)流程的詳細(xì)信息，集成電路的FIT數(shù)據(jù)，任何診斷的詳細(xì)信息，以及制造現(xiàn)場(chǎng)的ISO 9001認(rèn)證證據(jù)等。

 

然而，方案4仍然是開(kāi)發(fā)集成電路最常用的方法。使用此類器件開(kāi)發(fā)安全模塊或系統(tǒng)，將需要額外的器件和開(kāi)支用于模塊/系統(tǒng)設(shè)計(jì)，因?yàn)檫@些器件沒(méi)有充分的診斷能力，需要雙通道架構(gòu)以資比較，而不是單通道架構(gòu)。若沒(méi)有安全數(shù)據(jù)手冊(cè)，模塊/系統(tǒng)設(shè)計(jì)人員還需要做出保守的假設(shè)，并將集成電路視為黑盒子。

 

此外，半導(dǎo)體公司需要制定自己對(duì)標(biāo)準(zhǔn)的解釋，筆者自己的公司為此開(kāi)發(fā)了內(nèi)部文件ADI61508和ADI26262。ADI61508采用了IEC 61508:2010的七個(gè)部分，并根據(jù)集成電路開(kāi)發(fā)解釋了相關(guān)要求。

SIL 2/3開(kāi)發(fā)

 

有時(shí)候，集成電路可以依照SIL 3的所有系統(tǒng)要求進(jìn)行開(kāi)發(fā)。這意味著IEC 61508-2:2010表F.1針對(duì)SIL 3的所有相關(guān)項(xiàng)目都得到遵守，并且所有設(shè)計(jì)評(píng)審和其他分析都按照SIL 3級(jí)要求完成。但是，硬件度量標(biāo)準(zhǔn)可能只對(duì)SIL 2來(lái)說(shuō)是夠好的。這種電路可以被標(biāo)識(shí)為SIL 2/3或更典型的SIL M/N，其中M表示根據(jù)硬件度量標(biāo)準(zhǔn)可以聲明的最高SIL級(jí)別，N表示根據(jù)系統(tǒng)要求可以聲明的最高SIL級(jí)別。兩個(gè)SIL 2/3集成電路可用來(lái)實(shí)現(xiàn)SIL 3模塊或系統(tǒng)，因?yàn)楦鶕?jù)硬件度量標(biāo)準(zhǔn)，兩個(gè)SIL 2項(xiàng)目并聯(lián)就會(huì)將該組合升級(jí)到SIL 3，但就系統(tǒng)要求而言，各項(xiàng)目已經(jīng)是SIL 3。如果集成電路僅是SIL 2/2，那么將兩個(gè)這樣的集成電路并聯(lián)不會(huì)使其成為SIL 3，因?yàn)槠涑淦淞坎贿^(guò)是SIL 3/2。

將硬件度量標(biāo)準(zhǔn)應(yīng)用于集成電路

 

除了幾乎全部安全功能都由集成電路實(shí)現(xiàn)的情況之外，很難為半導(dǎo)體指定SFF、DC或PFH限值。以SFF為例，SIL 3要求SFF大于99%，這適用于完整安全功能，而不只是集成電路。如果集成電路為98%，仍然可以利用它來(lái)實(shí)現(xiàn)SIL 3安全功能，但系統(tǒng)的其他部分需要實(shí)現(xiàn)更高的覆蓋率以進(jìn)行補(bǔ)償。集成電路的安全手冊(cè)或安全數(shù)據(jù)手冊(cè)需要公布λDD、λDU和λ以用于系統(tǒng)級(jí)FMEDA。

 

理想情況下，IC要求是在系統(tǒng)級(jí)分析中導(dǎo)出的，但通常情況并非如此，開(kāi)發(fā)實(shí)際上是一個(gè)SEooC（參見(jiàn)ISO 26262，脫離背景的安全要素[NK27] ）。在SEooC的情況下，IC開(kāi)發(fā)者需要假設(shè)IC在系統(tǒng)中將會(huì)如何使用。然后，系統(tǒng)或模塊設(shè)計(jì)者必須將這些假設(shè)與實(shí)際系統(tǒng)進(jìn)行比較，以確定IC的功能安全性對(duì)系統(tǒng)是否足夠。這些假設(shè)可以決定診斷是在IC上實(shí)施，還是在系統(tǒng)級(jí)實(shí)施，并因此影響IC級(jí)特性和功能。

保密性(Security)

 

系統(tǒng)的安全性與保密性密不可分。目前，IEC 61508或ISO 26262中與保密性有關(guān)的唯一指導(dǎo)是讓讀者參考IEC 62443系列6。但是，IEC 62443似乎更多地是針對(duì)較大的組件，例如整個(gè)PLC組件，而不是單個(gè)IC。好消息是，功能安全標(biāo)準(zhǔn)中消除系統(tǒng)故障的大部分要求也適用于保密性。沒(méi)有任何參照是很有趣的，因?yàn)樵谀承┣闆r下，硬件可以提供硬件信任根和類似PUF（物理上不可克隆的功能）的功能，這對(duì)于安全性和保密性十分重要。

結(jié)論

 

現(xiàn)有IEC 61508涵蓋了從集成電路開(kāi)發(fā)到煉油廠的一切。雖然針對(duì)機(jī)械和過(guò)程控制等領(lǐng)域有專門的行業(yè)專

用標(biāo)準(zhǔn)，并且IEC 61508第二版中有關(guān)于集成電路的一些指導(dǎo)，但針對(duì)集成電路并無(wú)專用標(biāo)準(zhǔn)。缺乏具體要求導(dǎo)致要求被任意解釋，因此不同客戶和外部評(píng)估人員的期望之間可能出現(xiàn)沖突。

 

這意味著，各行業(yè)將傾向于按照更高層次的標(biāo)準(zhǔn)對(duì)集成電路提出行業(yè)特定的要求。這樣的要求已經(jīng)可以在EN 50402 7等標(biāo)準(zhǔn)中看到，但最特別的是ISO 26262的2016版草案8中，其中新增的第11部分專門處理集成電路。

 

筆者希望將于2021年左右發(fā)布的IEC 61508第三版會(huì)擴(kuò)充和澄清關(guān)于集成電路的指導(dǎo)意見(jiàn)。筆者很幸運(yùn)能夠加入IEC TC65/SC65A MT61508-1/2和MT 61508-3起草團(tuán)隊(duì)，得以有機(jī)會(huì)參與此類工作。也許未來(lái)的修訂版會(huì)有專門針對(duì)半導(dǎo)體的第8部分，以便各行業(yè)之間保持一致，使得所開(kāi)發(fā)的集成電路能夠滿足所有行業(yè)的要求。

 

即便如此，該標(biāo)準(zhǔn)也不太可能包含IC制造商設(shè)計(jì)滿足功能安全要求的IC所需的一切。與保密性、EMC等相關(guān)的要求仍然需要從系統(tǒng)應(yīng)用知識(shí)中衍生出來(lái)。