工業(yè)4.0為未來(lái)的工廠提供了新的視野。在未來(lái)的這些工廠中，安全將至關(guān)重要。功能安全是指設(shè)備在需要時(shí)能夠執(zhí)行其安全功能的信心。與其他形式的安全相比，它是一種積極的安全形式。集成電路是實(shí)現(xiàn)功能安全的基礎(chǔ)，因此也是工業(yè)4.0的基礎(chǔ)。本文探討了功能安全對(duì)工業(yè)4.0的影響。其影響包括對(duì)網(wǎng)絡(luò)、安全性、機(jī)器人/協(xié)作機(jī)器人、軟件以及用于實(shí)現(xiàn)這些功能的半導(dǎo)體的要求。

介紹

功能安全是安全的一部分，它涉及系統(tǒng)在需要時(shí)執(zhí)行其安全相關(guān)任務(wù)的信心。例如，電機(jī)將足夠快地關(guān)閉，以防止對(duì)打開防護(hù)門的操作員或機(jī)器人造成傷害，當(dāng)有人在附近時(shí)，機(jī)器人應(yīng)該以降低的速度和力運(yùn)行。

工業(yè)4.0是制造工廠的下一個(gè)發(fā)展方向，有望提高靈活性并降低成本。

本文將探討功能安全對(duì)工業(yè)4.0的一些影響。

功能安全

A. 標(biāo)準(zhǔn)

基本功能安全標(biāo)準(zhǔn)是IEC 61508。1該標(biāo)準(zhǔn)的第一次修訂版于1998年發(fā)布，修訂版2010年發(fā)布，現(xiàn)在開始更新到2020年的修訂版3。自 IEC 61508 第一版于 1998 年發(fā)布以來(lái)，基本的 IEC 61508 標(biāo)準(zhǔn)已適應(yīng)汽車等領(lǐng)域，具有 ISO 26262，2采用IEC61511的過(guò)程控制，3采用IEC61131-6的可編程邏輯控制，4符合IEC 62061標(biāo)準(zhǔn)的機(jī)械，5符合IEC 61800-5-2標(biāo)準(zhǔn)的變速驅(qū)動(dòng)器，6和許多其他領(lǐng)域。這些其他標(biāo)準(zhǔn)有助于解釋IEC 61508對(duì)這些更有限領(lǐng)域的廣泛范圍。

不是從IEC 61508派生的重要平行標(biāo)準(zhǔn)是ISO 13849，7它涵蓋了源自過(guò)時(shí)的歐洲EN 954標(biāo)準(zhǔn)的機(jī)械。

圖1.功能安全標(biāo)準(zhǔn)示例。

功能安全中更基本的概念是安全功能。安全功能定義為實(shí)現(xiàn)或維護(hù)安全而必須執(zhí)行的操作。典型的安全功能包括輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著檢測(cè)到潛在的不安全狀態(tài)，并且某些東西對(duì)檢測(cè)到的值做出決定，如果認(rèn)為有潛在危險(xiǎn)，則指示輸出子系統(tǒng)將系統(tǒng)帶到定義的安全狀態(tài)。

從存在的不安全狀態(tài)到實(shí)現(xiàn)安全狀態(tài)之間的時(shí)間至關(guān)重要。例如，安全功能可能包括一個(gè)傳感器，用于檢測(cè)機(jī)器上的防護(hù)裝置是否打開，一個(gè)用于處理數(shù)據(jù)的PLC，以及一個(gè)具有安全扭矩關(guān)閉輸入的變速驅(qū)動(dòng)器，該驅(qū)動(dòng)器在插入機(jī)器的手到達(dá)運(yùn)動(dòng)部件之前殺死電機(jī)。

B. 安全完整性等級(jí)

SIL 代表安全完整性級(jí)別，是表示將風(fēng)險(xiǎn)降低到可接受水平所需的風(fēng)險(xiǎn)降低的一種手段。根據(jù) IEC 61508，安全級(jí)別為 1、2、3 和 4，隨著您從一個(gè)級(jí)別到下一個(gè)級(jí)別，安全要求會(huì)增加一個(gè)數(shù)量級(jí)。SIL 4 在機(jī)械和工廠自動(dòng)化中不可見，通常不超過(guò)一個(gè)人暴露于危險(xiǎn)中。它保留用于核能和鐵路等可能造成數(shù)百甚至數(shù)千人受傷的應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車，它使用 ASIL（汽車安全完整性等級(jí)）A、B、C 和 D 以及 ISO 13849。其性能級(jí)別 A、B、C、D 和 E 可以映射到 SIL 1 到 SIL 3 等級(jí)。

圖2.系統(tǒng)級(jí)設(shè)計(jì)的示例 V 模型。

C. 故障來(lái)源

功能安全標(biāo)準(zhǔn)通常識(shí)別兩種類型的故障，然后提出解決它們的方法。

隨機(jī)硬件故障是最容易理解的，顧名思義，它們是由設(shè)備中的隨機(jī)意外故障引起的。由于隨機(jī)故障而導(dǎo)致的故障概率表示為系統(tǒng)的PFH（危險(xiǎn)故障的平均頻率）。允許的PFH取決于所需的SIL，范圍從10–5SIL 1 的 /h 到最小值 10–7/h 表示 SIL 3。

系統(tǒng)故障是設(shè)計(jì)中固有的故障，從某種意義上說(shuō)，它們只能通過(guò)設(shè)計(jì)更改來(lái)修復(fù)。EMC穩(wěn)健性不足可被視為系統(tǒng)性錯(cuò)誤，需求缺陷、驗(yàn)證和確認(rèn)不足以及所有軟件錯(cuò)誤也是如此。系統(tǒng)誤差實(shí)際上是存在于每個(gè)生產(chǎn)項(xiàng)目中的弱點(diǎn)，而不是存在于單個(gè)單元中。如果出現(xiàn)正確的情況，故障將以 100% 的概率發(fā)生。

為了適合在需要SIL X安全功能的情況下使用，必須滿足標(biāo)準(zhǔn)中對(duì)該SIL水平的隨機(jī)和系統(tǒng)要求。僅滿足硬件要求是不夠的。

D. 處理隨機(jī)故障

無(wú)論設(shè)備多么可靠，在任何給定的小時(shí)內(nèi)，一切都有有限的機(jī)會(huì)發(fā)生故障。解決隨機(jī)硬件故障的技術(shù)包括診斷覆蓋要求和冗余的使用。根據(jù)安全功能的 SIL 水平，將有最低的 PFH 或 PFD（按需故障概率）。此外，根據(jù) SIL 的不同，隨著 SIL 從 SIL 1 增加到 SIL 3，所需的最低 SFF（安全失效分?jǐn)?shù)）范圍為 60% 到 99%。該標(biāo)準(zhǔn)允許在診斷和系統(tǒng)中存在的冗余之間進(jìn)行權(quán)衡。其他技術(shù)包括降額和使用質(zhì)量更好的組件。

E. 處理系統(tǒng)故障

系統(tǒng)故障是與隨機(jī)硬件故障無(wú)關(guān)的故障，可能需要更改設(shè)計(jì)以避免故障。

系統(tǒng)性故障通過(guò)遵循嚴(yán)格的開發(fā)過(guò)程和對(duì)各種工作產(chǎn)品的獨(dú)立審查來(lái)解決。該過(guò)程通常以不同復(fù)雜度的 V 模型表示。審查所需的嚴(yán)謹(jǐn)性和審查員所需的獨(dú)立性隨著SIL水平的增加而增加。

在某些情況下，可以使用不同的冗余來(lái)處理系統(tǒng)錯(cuò)誤。這是因?yàn)椴煌南到y(tǒng)不太可能同時(shí)以相同的方式失敗。插入用于處理隨機(jī)故障的診斷程序也可用于檢測(cè)系統(tǒng)故障。

大部分工作涉及系統(tǒng)工程和良好的工程實(shí)踐。某些文件中使用的表達(dá)方式是“最新技術(shù)”。文檔至關(guān)重要，能夠證明已實(shí)現(xiàn)安全幾乎與實(shí)現(xiàn)安全一樣重要。

工業(yè)4.0

工業(yè)4.08以其他名稱而聞名，包括工業(yè) 4.0、工業(yè)物聯(lián)網(wǎng) （IIoT）、中國(guó)制造 2025、工業(yè)加、智能工廠等。名稱中的4.0代表了它代表了繼1970年左右的第三次革命之后的第四次工業(yè)革命，當(dāng)時(shí)電子產(chǎn)品和IT的廣泛使用始于自動(dòng)化。

雖然工業(yè)物聯(lián)網(wǎng)是文章、會(huì)議和營(yíng)銷工作中的一個(gè)常見話題，但它仍然缺乏支持其采用的殺手級(jí)應(yīng)用?？赡艿臍⑹旨?jí)應(yīng)用包括預(yù)測(cè)性故障、自適應(yīng)診斷和基于狀態(tài)的維護(hù)。

工業(yè)4.0的一個(gè)關(guān)鍵思想是網(wǎng)絡(luò)物理系統(tǒng)（CPS）。CPS由“能夠自主交換信息，觸發(fā)動(dòng)作和獨(dú)立相互控制的智能機(jī)器，存儲(chǔ)系統(tǒng)和生產(chǎn)設(shè)施”組成。9換句話說(shuō)，一切都是智能的、儀表化的和互聯(lián)的。除其他問(wèn)題外，此定義還對(duì)網(wǎng)絡(luò)和安全性有影響。

工業(yè)4.0的關(guān)鍵設(shè)計(jì)原則包括

互操作性 — 一切都是相互關(guān)聯(lián)的

虛擬化 — 提供工廠和仿真模型

權(quán)力下放——本地情報(bào)

實(shí)時(shí)功能 — 實(shí)時(shí)響應(yīng)現(xiàn)實(shí)世界

面向服務(wù) — 通過(guò)互聯(lián)網(wǎng)提供的服務(wù)

模塊化 — 可根據(jù)需要重新配置

通過(guò)傳感器融合和數(shù)據(jù)分析，將獲得新的見解，包括基于從智能儀器收集的診斷及其在云中的分析的預(yù)防性維護(hù)。比較系統(tǒng)之間的老化還可以允許切換冗余項(xiàng)目以提高生產(chǎn)率。機(jī)器健康將是一個(gè)關(guān)鍵問(wèn)題。

A. 聯(lián)網(wǎng)

較舊的系統(tǒng)傾向于使用孤立的自動(dòng)化孤島 - 通常使用專有網(wǎng)絡(luò)?；? mA至20 mA電路的模擬網(wǎng)絡(luò)過(guò)去和現(xiàn)在都很常見，并且具有許多優(yōu)點(diǎn)，包括EMC魯棒性，范圍可達(dá)3 km，并且本質(zhì)上是安全和同步的，但對(duì)于工業(yè)4.0來(lái)說(shuō)不夠靈活或不夠快。

在工業(yè)4.0中，人們的愿望是讓一切連接起來(lái)，并與其他一切對(duì)話。常用術(shù)語(yǔ)包括 M2M（機(jī)器對(duì)機(jī)器）和 P2M（過(guò)程到機(jī)器）。然后可以利用連接來(lái)

提高制造效率

提高制造靈活性

增加操作知識(shí)

降低生產(chǎn)成本

基于以太網(wǎng)的連接解決方案非常適合滿足上述要求，但需要解決此類網(wǎng)絡(luò)的安全性要求。隨著新的效率，新的服務(wù)將變得具有成本效益。

B. 安全

隨著數(shù)字網(wǎng)絡(luò)的使用，安全性成為一個(gè)問(wèn)題。最近在電影（例如，零日）和媒體中強(qiáng)調(diào)的案例包括Stuxnet和黑色能量病毒。如果網(wǎng)絡(luò)擴(kuò)展到云中，那么黑客攻擊一個(gè)云提供商可能會(huì)摧毀許多工廠，而以前他們必須一次被黑客入侵。這種規(guī)模經(jīng)濟(jì)使它們對(duì)黑客更具吸引力。一些專家甚至聲稱物聯(lián)網(wǎng)確實(shí)代表了“威脅互聯(lián)網(wǎng)”。

IT安全要求通常不適合應(yīng)用于工業(yè)網(wǎng)絡(luò)。IT安全有多種行為，包括不適合制造的頻繁軟件更新，其中由于意外后果停止生產(chǎn)的風(fēng)險(xiǎn)，軟件更改不受歡迎。當(dāng)涉及安全時(shí)，由于認(rèn)證功能安全系統(tǒng)和所需的變更管理流程的成本很高，這種對(duì)變革的厭惡甚至更加強(qiáng)烈。

涵蓋工業(yè)控制安全要求的擬議國(guó)際共識(shí)標(biāo)準(zhǔn)是IEC 62443。IEC 6244310涵蓋IACS（工業(yè)自動(dòng)化和控制系統(tǒng)）的設(shè)計(jì)、實(shí)施和管理。

C. 機(jī)器人和協(xié)作機(jī)器人

機(jī)器人曾經(jīng)是生活在籠子里的可怕機(jī)器。協(xié)作機(jī)器人或協(xié)作機(jī)器人不那么可怕，并且注意不要傷害人。它們是傳感器和軟件的融合，無(wú)需與人類工人分開。工業(yè)環(huán)境中的協(xié)作機(jī)器人可以由一個(gè)手臂或一對(duì)手臂組成，例如優(yōu)傲機(jī)器人的UR5系列或ABB的YuMi。在未來(lái)的工廠中，協(xié)作機(jī)器人將協(xié)助人類操作員，甚至知道與他們一起工作的人是右撇子還是左撇子。?

圖3.典型安全系統(tǒng)的誤差預(yù)算。

AGV（自動(dòng)導(dǎo)引車）是移動(dòng)機(jī)器人，可以考慮 一種特殊的協(xié)作機(jī)器人。它們?yōu)楣I(yè)4.0提供了基本要素 通過(guò)在制造車間周圍移動(dòng)產(chǎn)品和材料。

隨著動(dòng)態(tài)環(huán)境導(dǎo)致新的危害到來(lái)，必須加以解決。對(duì)于協(xié)作機(jī)器人和AGV，選項(xiàng)是1）開發(fā)一個(gè)本質(zhì)上安全的系統(tǒng)，因?yàn)榱ψ銐虻?，不?huì)發(fā)生嚴(yán)重傷害，或者2）根據(jù)相關(guān)的功能安全標(biāo)準(zhǔn)設(shè)計(jì)解決方案。對(duì)于AGV，防撞可以基于視覺，雷達(dá)，激光或嵌入地板的軌道。

功能安全和聯(lián)網(wǎng)

功能安全系統(tǒng)通常由傳感器、邏輯和輸出子系統(tǒng)組成。這三個(gè)要素結(jié)合在一起以實(shí)現(xiàn)安全功能，SIL 級(jí)別、PFH、SFF 和 HFT 要求適用于整個(gè)安全功能。因此，這些子系統(tǒng)之間的通信與安全有關(guān)。IEC 61508 是指現(xiàn)場(chǎng)總線標(biāo)準(zhǔn) IEC 61784-3 的功能安全要求。這些措施將包括處理隨機(jī)和系統(tǒng)誤差源的措施。

表 1 顯示了用于分配每小時(shí)最大允許故障概率的普遍接受的誤差預(yù)算。此模型的改進(jìn)通常顯示分配給每個(gè)接口的預(yù)算的 1% 以紅色顯示。如果安全功能為 SIL 3，則允許的最大 PFH 為 10–7/h，因此分配給接口的 1% 為 10–9/h.

總的來(lái)說(shuō)，必須考慮的與通信相關(guān)的危害顯示在表 1 中，該表包含在包括 IEC 61784、EN 50159 和 IEC 62280 在內(nèi)的標(biāo)準(zhǔn)中。11

表 1 中的每一行必須由至少一個(gè)防御措施解決。IEC 61784-3 中對(duì)防御措施進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明9和 IEC 62280-1/EN 50159。12例如，可以通過(guò)使用具有漢明距離的CRC來(lái)處理?yè)p壞，具體取決于預(yù)期的BER（誤碼率），SIL要求和每小時(shí)傳輸?shù)奈粩?shù)。

在工業(yè)環(huán)境中，如果安全和非安全數(shù)據(jù)可以在同一網(wǎng)絡(luò)上通信，則要求變得更加復(fù)雜。

IEC 61508-2：2010 提供兩種選擇。選項(xiàng)1）是白通道方法，其中整個(gè)通信通道按照IEC 61508開發(fā)。選項(xiàng)2）是黑通道方法，即不對(duì)通信通道的性能做出任何假設(shè)，并且每個(gè)安全裝置中的特殊層處理安全性。此安全層通過(guò)一組防御措施解決了圖 2 中的威脅。這些防御措施是對(duì)底層現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)內(nèi)的任何防御措施的補(bǔ)充，例如，除了底層通信協(xié)議中的CRC之外，還可能包括另一個(gè)CRC來(lái)檢測(cè)位損壞。到目前為止，黑色通道方法是更常見的。一個(gè)例子是PROFIsafe，它是位于PROFIBUS或PROFINET之上的安全層。??

功能安全和安保

有趣的是，在許多語(yǔ)言中，只有一個(gè)詞來(lái)表示安保和安全。然而，在工業(yè)背景下，它們都涵蓋了一組不同的問(wèn)題，這些問(wèn)題有時(shí)會(huì)發(fā)生沖突。安全的一個(gè)定義是防止由于無(wú)意行為造成的傷害，而相應(yīng)的安全定義是防止由于故意行為造成的傷害。兩者之間的共同點(diǎn)包括需要在體系結(jié)構(gòu)級(jí)別考慮安全性和安全性。否則，它們很難在事后添加。但兩者相互沖突，因?yàn)閷?duì)意外事件的典型安全反應(yīng)是關(guān)閉系統(tǒng)——黑客可以通過(guò)拒絕服務(wù)攻擊利用這一功能，而安全性旨在防止該功能。安全功能通常包括用于身份驗(yàn)證的密碼，但是您真的想在有人輸入密碼時(shí)減慢安全反應(yīng)，或者在密碼輸入錯(cuò)誤三次時(shí)將安全人員鎖定在外面嗎？

2010 年 IEC 61508 的修訂版二版幾乎沒有安全要求。它確實(shí)指出必須考慮安全性，并參考尚未發(fā)布的IEC 62443系列作為指導(dǎo)。此外，目前正在制定具體標(biāo)準(zhǔn)，以解決機(jī)械和核領(lǐng)域的功能安全與安保之間的關(guān)系。

與IEC 61508中的SIL級(jí)別類似，IEC 62443定義了SL（安全級(jí)別），其中級(jí)別也是1到4。符合SL 1的系統(tǒng)可能對(duì)普通旁觀者是安全的，而符合SL 4的系統(tǒng)可能對(duì)國(guó)家贊助機(jī)構(gòu)的黑客攻擊是安全的。但是，沒有從 SIL 到 SL 的直接映射。

IEC 62443 與 IEC 62443-4-2 一起確定了七個(gè)基本要求 （FR），以指導(dǎo)每個(gè) FR 實(shí)現(xiàn)給定 SL 所需的內(nèi)容。七個(gè)FR是：

識(shí)別和認(rèn)證控制 （IAC）

使用控制 （UC）

系統(tǒng)完整性 （SI）

數(shù)據(jù)保密性

受限數(shù)據(jù)流 （RDF）

及時(shí)響應(yīng)事件 （TRE）

資源可用性 （RA）

然后，SL 1 可以表示為安全向量 （1， 1， 1， 1， 1， 1， 1），其中向量中的每個(gè)項(xiàng)目對(duì)應(yīng)于七個(gè) FR 中的一個(gè)。鑒于SL 1代表偶然攻擊，這似乎是必須考慮可預(yù)見的濫用的安全應(yīng)用的最低要求。13可以說(shuō)，SIL > 1 的安全應(yīng)用的合適載體是 （N1， N2， N3， 1， 1， N6, 1),13認(rèn)識(shí)到數(shù)據(jù)機(jī)密性、受限數(shù)據(jù)流和可用性在工業(yè)功能安全應(yīng)用中是有限關(guān)注的問(wèn)題。但是，N 的值之間沒有明顯的相關(guān)性1， N2， N3和 N6取決于 SIL 級(jí)別是 2、3 還是 4。

要記住的一個(gè)關(guān)鍵點(diǎn)是，雖然并非所有安全系統(tǒng)都有功能安全要求，但需要考慮所有安全相關(guān)系統(tǒng)的安全性。

功能安全和機(jī)器人

ISO 10218 認(rèn)證14是涵蓋包括協(xié)作機(jī)器人在內(nèi)的工業(yè)機(jī)器人安全要求的標(biāo)準(zhǔn)。它包括安全停止、示教、速度和分離監(jiān)控，以及功率和力限制。ISO 10218-1：2011 條款 5.4.2 要求控制系統(tǒng)的安全相關(guān)部件的設(shè)計(jì)符合 ISO 13849-1：2006 中所述的 PL = D 類別 3 或 IEC 62061：2005 中所述的 SIL 2，HFT（硬件容錯(cuò)）為 1。實(shí)際上，這意味著至少有一個(gè) 2 通道安全系統(tǒng)，每個(gè)通道的診斷覆蓋率至少為 60%。這兩個(gè)標(biāo)準(zhǔn)（ISO 13849 和 IEC 62061）都遵循 IEC 61508-3 的軟件要求。

AGV在ISO 10218中沒有得到很好的解決，雖然無(wú)人駕駛汽車在汽車標(biāo)準(zhǔn)ISO 26262中得到了解決，但由于其范圍要有限得多，工業(yè)用途是汽車的一個(gè)特例。機(jī)械指令范圍包括AGV，鑒于缺乏特定標(biāo)準(zhǔn)，通用IEC 61508標(biāo)準(zhǔn)的要求將適用。

圖4.軟件的主要優(yōu)勢(shì)。

雖然固定機(jī)器人的網(wǎng)絡(luò)可能是基于以太網(wǎng)的，但對(duì)于AVG來(lái)說(shuō)，它將是無(wú)線的，這將需要額外的安全和安保要求。

功能安全和軟件

無(wú)論您處理的是安全還是安保，實(shí)現(xiàn)高質(zhì)量軟件的詳細(xì)要求大多相同。例如，程序員的軟件錯(cuò)誤可能會(huì)導(dǎo)致系統(tǒng)故障，如果出現(xiàn)正確的情況來(lái)暴露錯(cuò)誤。很難判斷這種可能性，一些功能安全標(biāo)準(zhǔn)規(guī)定概率應(yīng)被視為100%。15然而，雖然 99.99% 無(wú)錯(cuò)誤的程序通常不會(huì)引起安全問(wèn)題似乎是合理的，但黑客會(huì)嘗試確保始終遇到 0.01% 的實(shí)例。因此，消除系統(tǒng)誤差對(duì)于安全和功能安全同樣重要。但是，確實(shí)，100%完美的安全相關(guān)軟件可能存在嚴(yán)重的安全問(wèn)題。

過(guò)去，不允許在安全系統(tǒng)中使用軟件，因?yàn)樗捎诔尸F(xiàn)的不同狀態(tài)的數(shù)量而被認(rèn)為本質(zhì)上是不可測(cè)試的。新標(biāo)準(zhǔn)提供了一個(gè)生命周期模型，如果遵循該模型，則可以提出安全性聲明，因?yàn)檫@些標(biāo)準(zhǔn)中倡導(dǎo)的技術(shù)在過(guò)去已被證明可以生產(chǎn)安全系統(tǒng)。軟件本質(zhì)上是有吸引力的，因?yàn)樗试S將通用機(jī)器轉(zhuǎn)換為非常特定的機(jī)器。然而，這種靈活性也是它的弱點(diǎn)之一。

ESDA-312 等文件16表明IEC 61508中的許多技術(shù)可用于滿足工業(yè)安全要求。遵循這樣的過(guò)程會(huì)留下工作產(chǎn)品的書面記錄，可用于證明已實(shí)現(xiàn)安全性。

這些技術(shù)包括進(jìn)行設(shè)計(jì)評(píng)審、制定編碼標(biāo)準(zhǔn)、規(guī)劃工具的使用、單元級(jí)別的驗(yàn)證、需求可追溯性、獨(dú)立驗(yàn)證和評(píng)估。雖然軟件不會(huì)磨損，但它運(yùn)行的硬件可能會(huì)出現(xiàn)故障，軟件需要處理這個(gè)問(wèn)題。對(duì)于機(jī)器和機(jī)器人，使用冗余架構(gòu)（如ISO 13849中的Cat 3或Cat 4）減少了在IC級(jí)別實(shí)施診斷的需求，但確實(shí)提高了對(duì)各種軟件的要求。

功能安全和集成電路

集成電路（IC）對(duì)智能系統(tǒng)至關(guān)重要。IC可以提供跟蹤容器中的物品而不是容器本身的方法，跟蹤機(jī)器人手臂的位置而不僅僅是整個(gè)機(jī)器人，跟蹤低價(jià)值機(jī)器的健康狀況，并處理數(shù)據(jù)，以便傳輸?shù)皆浦械氖切畔⒍皇菙?shù)據(jù)。新型電機(jī)控制IC可以提高電機(jī)效率并延長(zhǎng)電池壽命。

IC提供大腦，特別是在邊緣，智能需要緊湊和低功耗。它們還提供傳感器技術(shù);例如，使用雷達(dá)、激光、磁、相機(jī)或超聲波技術(shù)。它們可以測(cè)量速度和位置，并且借助AMR（各向異性磁阻）等新技術(shù)，傳感器無(wú)需外部機(jī)械組件即可確定速度和位置。IC在網(wǎng)絡(luò)中實(shí)現(xiàn)物理接口和MAC（媒體訪問(wèn)控制）層。通過(guò)無(wú)線通信，這種實(shí)現(xiàn)都可以在IC上完成。

同樣，集成電路可以通過(guò)PUF（物理上不可克隆的功能）、加密加速器和篡改檢測(cè)機(jī)制來(lái)支持安全性。鑒于現(xiàn)在可以實(shí)現(xiàn)的集成水平，過(guò)去在許多情況下的系統(tǒng)級(jí)要求已成為IC級(jí)要求。

然而，在目前的工業(yè)功能安全標(biāo)準(zhǔn)中，集成電路的內(nèi)容很少，在安全標(biāo)準(zhǔn)中甚至更少。對(duì)于汽車而言，計(jì)劃于2018年發(fā)布的ISO 26262-11草案是一個(gè)很好的資源，其中大部分也可用于工業(yè)應(yīng)用的集成電路。在IEC 61508的修訂版2中，提出了與軟件幾乎相同的ASIC生命周期模型。事實(shí)上，關(guān)于像Verilog這樣的HDL代碼是軟件還是僅僅是硬件的表示的爭(zhēng)論是一個(gè)有趣的爭(zhēng)論。IEC 61508-2：2010的附錄E涉及使用單片硅時(shí)要求片上冗余的要求，但僅限于數(shù)字電路和重復(fù)的情況，除非它不包括各種冗余或模擬和混合信號(hào)電路。IEC 61508-2：2010的信息性附錄F非常有用，因?yàn)樗谐隽薎C開發(fā)過(guò)程中應(yīng)采取的措施，以避免引入系統(tǒng)錯(cuò)誤。每個(gè)SIL都給出了要求，但同樣僅限于數(shù)字電路，沒有關(guān)于模擬或混合信號(hào)IC的具體指導(dǎo)。

IC的高集成度既是福也是禍。與單個(gè)組件相比，IC上的單個(gè)晶體管非常可靠，IC最不可靠的方面通常是引腳。例如，如果使用西門子SN 29500標(biāo)準(zhǔn)進(jìn)行可靠性預(yù)測(cè)，則具有500k晶體管的IC的FIT將為70，但如果晶體管數(shù)量增加10到500萬(wàn)倍，則FIT將增加到僅80。如果使用兩個(gè)IC，每個(gè)IC具有500k個(gè)晶體管，則每個(gè)FIT將為70，總共140個(gè)。從 140 到 80 的節(jié)省是在您還考慮 PCB 面積、PCB 走線和外部無(wú)源器件的節(jié)省之前，或者 IC 上的片上天線比 PCB 上的天線小得多，可以減少 EMI 問(wèn)題。等式的詛咒部分是，對(duì)于復(fù)雜的IC，確定故障模式可能很困難。簡(jiǎn)單性是安全之友，兩個(gè)單獨(dú)封裝的微控制器更有可能被認(rèn)為比包含兩個(gè)微控制器的IC更簡(jiǎn)單。IEC 61508-2：2010的附錄E提供了一些指導(dǎo)。然而，在聲稱足夠的獨(dú)立性和大多數(shù)安全標(biāo)準(zhǔn)中，低于10%的β（兩個(gè)通道因相同原因同時(shí)失敗的測(cè)量）被認(rèn)為是非常好的。

IC供應(yīng)商可以通過(guò)為已發(fā)布的器件、片上硬件加速器、片上和片外診斷以及分離關(guān)鍵和非關(guān)鍵軟件（安全和安保關(guān)鍵）的方法提供認(rèn)證組件、安全手冊(cè)或安全數(shù)據(jù)表，從而幫助他們的安全和安保供應(yīng)商。這些安全和安保功能需要從一開始就進(jìn)行設(shè)計(jì)。試圖在IC設(shè)計(jì)后增加安全性將導(dǎo)致額外的系統(tǒng)復(fù)雜性和額外的組件。

開發(fā)用于功能安全系統(tǒng)的集成電路有多種選擇。標(biāo)準(zhǔn)中沒有要求只使用兼容的集成電路，而是要求模塊或系統(tǒng)設(shè)計(jì)人員確信所選集成電路適合在其系統(tǒng)中使用。擁有獨(dú)立評(píng)估的安全手冊(cè)是一種令人滿意的方式，但不是唯一的選擇。

可用選項(xiàng)包括：

通過(guò)外部評(píng)估和安全手冊(cè)完全按照IEC 61508開發(fā)IC

開發(fā)符合IEC 61508標(biāo)準(zhǔn)的IC，無(wú)需外部評(píng)估，但使用安全手冊(cè)

根據(jù)半導(dǎo)體公司的標(biāo)準(zhǔn)開發(fā)流程開發(fā)IC但發(fā)布安全數(shù)據(jù)表

開發(fā)IC到半導(dǎo)體公司標(biāo)準(zhǔn)流程

注意—對(duì)于未按照 IEC 61508 開發(fā)的部件，安全手冊(cè)可能稱為安全數(shù)據(jù)表或類似內(nèi)容，以避免混淆。兩種情況下的內(nèi)容和格式將相似。

對(duì)于半導(dǎo)體制造商來(lái)說(shuō)，選項(xiàng)1是最昂貴的選擇，但它也為模塊或系統(tǒng)設(shè)計(jì)人員提供了最大的好處。擁有這樣的組件，其中集成電路安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配，可以降低模塊或系統(tǒng)外部評(píng)估遇到問(wèn)題的風(fēng)險(xiǎn)。SIL 2安全功能的額外設(shè)計(jì)工作量可能達(dá)到20%或更多。額外的努力可能會(huì)更高，除了半導(dǎo)體制造商通常已經(jīng)暗示了嚴(yán)格的開發(fā)過(guò)程，即使沒有功能安全。

備選方案2節(jié)省了外部評(píng)估的費(fèi)用，但除此之外，影響是相同的。此選項(xiàng)適用于客戶無(wú)論如何都要獲得外部認(rèn)證的模塊/系統(tǒng)，并且集成電路是該系統(tǒng)的重要組成部分。

選項(xiàng) 3 最適合已發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以讓模塊或系統(tǒng)設(shè)計(jì)人員訪問(wèn)他們?cè)诟呒?jí)別的安全設(shè)計(jì)所需的額外信息。這包括所使用的實(shí)際開發(fā)過(guò)程的詳細(xì)信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細(xì)信息以及制造現(xiàn)場(chǎng)的ISO 9001認(rèn)證證據(jù)等信息。

圖5.ADI公司的ADSP-CM41x系列具有許多安全和安保特性。

然而，備選方案4仍將是開發(fā)集成電路的最常見方式。使用此類組件開發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計(jì)費(fèi)用，因?yàn)檫@些組件沒有足夠的診斷，需要雙通道架構(gòu)與單通道架構(gòu)進(jìn)行比較。此外，使用此類組件的診斷測(cè)試間隔通常不是最佳的，并且可用性較低，因?yàn)闊o(wú)法確定哪些故障項(xiàng)目失敗，這可能會(huì)對(duì)可用性產(chǎn)生影響。如果沒有安全數(shù)據(jù)手冊(cè)，模塊/系統(tǒng)設(shè)計(jì)人員還需要做出保守的假設(shè)，將集成電路視為黑匣子。這可能會(huì)降低可以聲明的可靠性數(shù)字。

為了簡(jiǎn)化功能安全的實(shí)現(xiàn)，IC制造商可能希望制定自己的IEC 61508解釋。ADI公司有一個(gè)內(nèi)部公司規(guī)范ADI61508，它是IEC 61508對(duì)集成電路開發(fā)的解釋。然后，IEC 61508的所有七個(gè)部分都在一個(gè)文檔中進(jìn)行解釋，省略IEC 61508中與集成電路無(wú)關(guān)的位，其余部分解釋為集成電路。

無(wú)論采用哪種系統(tǒng)級(jí)標(biāo)準(zhǔn)，IC都是按照IEC 61508開發(fā)的，唯一的例外是汽車，其中ISO 26262可用于開發(fā)用于汽車應(yīng)用的IC和軟件。

總結(jié)

基于IEC 61508的各種功能安全標(biāo)準(zhǔn)為一般工業(yè)和工業(yè)4.0提供了良好的服務(wù)。其中包括軟件、硬件、網(wǎng)絡(luò)、安全和機(jī)器人技術(shù)的標(biāo)準(zhǔn)。然而，這些信息目前分布在多個(gè)標(biāo)準(zhǔn)中，工業(yè)4.0具有幾個(gè)與工業(yè)4.0所需的不斷變化相關(guān)的獨(dú)特功能。工業(yè)4.0的單一重點(diǎn)標(biāo)準(zhǔn)可能需要通過(guò)對(duì)新世界基本安全標(biāo)準(zhǔn)的解釋來(lái)簡(jiǎn)化合規(guī)性。也許這可以稱為“安全4.0”或“智能安全”！同樣，IEC 61508標(biāo)準(zhǔn)中需要更多與IC相關(guān)的信息，以便證明和實(shí)現(xiàn)足夠的安全性。展望未來(lái)，工業(yè)4.0成為現(xiàn)實(shí)和成功之前的機(jī)遇和挑戰(zhàn)將很有趣。

功能安全可以為工業(yè)4.0提供很多東西，不僅因?yàn)榘踩俏磥?lái)工廠的基本要素，還因?yàn)楣δ馨踩哂袑?shí)現(xiàn)更高可靠性，診斷，彈性和冗余的技術(shù)。

審核編輯：郭婷