集成電路（IC）是所有現(xiàn)代安全系統(tǒng)的基礎(chǔ)。集成電路提供邏輯，要么控制傳感器，要么在越來越多的程度上控制傳感器。集成電路驅(qū)動最終元件以實現(xiàn)安全狀態(tài)，它們是運(yùn)行軟件的平臺。半導(dǎo)體內(nèi)部可能的集成度可以簡化系統(tǒng)級實現(xiàn)，但代價是IC本身的復(fù)雜性增加。這種集成水平由于減少了部件數(shù)量而提高了系統(tǒng)可靠性，并提供了以更短的診斷測試間隔增加診斷覆蓋率的機(jī)會 - 所有這些都以使安全性負(fù)擔(dān)得起的成本為代價?？梢哉f，由于增加了復(fù)雜性，這種集成水平是一件壞事。然而，隨著集成電路復(fù)雜性的代價，模塊和系統(tǒng)級別可能會有重大的簡化。令人驚訝的是，雖然有針對過程控制、機(jī)械、電梯、變速驅(qū)動器和有毒氣體傳感器的功能安全標(biāo)準(zhǔn)，但沒有專門針對集成電路的功能安全標(biāo)準(zhǔn)。相反，要求和知識的零碎部分圍繞IEC 61508和其他B級和C級標(biāo)準(zhǔn)傳播。本文為解釋半導(dǎo)體的現(xiàn)有功能安全標(biāo)準(zhǔn)提供了指導(dǎo)。

介紹

通常，集成電路的開發(fā)符合IEC 61508或ISO 26262。此外，二級和三級標(biāo)準(zhǔn)有時還有其他要求。根據(jù)功能安全標(biāo)準(zhǔn)的開發(fā)和評估使人們確信這些有時復(fù)雜的集成電路足夠安全。當(dāng)IEC 61508被編寫時，它針對的是定制系統(tǒng)，而不是公開市場大規(guī)模生產(chǎn)的集成電路。本文將回顧和評論集成電路的已知功能安全要求。雖然本文重點(diǎn)介紹IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但大部分材料與汽車、航空電子設(shè)備和醫(yī)療等應(yīng)用相關(guān)。

功能安全

功能安全是安全的一部分，它涉及系統(tǒng)在需要時執(zhí)行其安全相關(guān)任務(wù)的信心。功能安全不同于其他被動形式的安全，如電氣安全、機(jī)械安全或本質(zhì)安全。

功能安全是一種主動的安全形式;例如，它使人們確信電機(jī)將足夠快地關(guān)閉，以防止對打開防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時，機(jī)器人將以降低的速度和力運(yùn)行。

標(biāo)準(zhǔn)

關(guān)鍵功能安全標(biāo)準(zhǔn)是IEC 61508。1該標(biāo)準(zhǔn)的第一次修訂版于1998年發(fā)布，修訂版2010年發(fā)布，并于2017年開始更新到修訂版三，可能完成日期為2022年。自 1998 年 IEC 61508 第一版發(fā)布以來，基本的 IEC 61508 標(biāo)準(zhǔn)已適應(yīng)汽車 （ISO 26262）、過程控制 （IEC 61511）、PLC （IEC 61131-6）、IEC 62061（機(jī)械）、變速驅(qū)動器 （IEC 61800-5-2） 和許多其他領(lǐng)域。這些其他標(biāo)準(zhǔn)有助于解釋IEC 61508對這些更有限領(lǐng)域的廣泛范圍。

ISO 13849 和 D0-178/D0-254 等一些功能安全標(biāo)準(zhǔn)并非源自 IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標(biāo)準(zhǔn)的人都不會對內(nèi)容感到太驚訝。

在安全系統(tǒng)中，安全功能在系統(tǒng)運(yùn)行時執(zhí)行關(guān)鍵功能安全活動。安全功能定義為實現(xiàn)或維護(hù)安全而必須執(zhí)行的操作。典型的安全功能包括輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著檢測到潛在的不安全狀態(tài)，并且某些東西對檢測到的值做出決定，如果認(rèn)為有潛在危險，則指示輸出子系統(tǒng)將系統(tǒng)帶到定義的安全狀態(tài)。

圖1.功能安全標(biāo)準(zhǔn)示例。

從存在的不安全狀態(tài)到實現(xiàn)安全狀態(tài)之間的時間至關(guān)重要。例如，安全功能可能包括一個傳感器，用于檢測機(jī)器上的防護(hù)裝置是否打開，一個用于處理數(shù)據(jù)的PLC，以及一個具有安全扭矩關(guān)閉輸入的變速驅(qū)動器，該驅(qū)動器在插入機(jī)器的手到達(dá)運(yùn)動部件之前殺死電機(jī)。

安全完整性等級

SIL 代表安全完整性級別，是表示將風(fēng)險降低到可接受水平所需的風(fēng)險降低的一種手段。根據(jù) IEC 61508，安全級別為 1、2、3 和 4，當(dāng)您從一個級別轉(zhuǎn)到下一個級別時，安全性會提高一個數(shù)量級。SIL 4 在機(jī)械和工廠自動化中不可見，通常不超過一個人暴露于危險中。它保留用于核能和鐵路等可能造成數(shù)百甚至數(shù)千人受傷的應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車，它使用 ASIL（汽車安全完整性等級）A、B、C 和 D 以及 ISO 13849。其性能級別 a、b、c、d 和 e 可以映射到 SIL 1 到 SIL 3 等級。

筆者不相信單一IC的索賠可能大于SIL 3。但是，需要注意的是，IEC 61508-2：2010 附錄 F 中的表格顯示了 SIL 4 列。

三個關(guān)鍵要求

功能安全對IC的開發(fā)提出了三個關(guān)鍵要求。以下各節(jié)將探討這些要求。

要求 1 - 遵循嚴(yán)格的開發(fā)流程

IEC 61508 是一個完整的生命周期模型。它涵蓋了從安全概念到需求捕獲、維護(hù)以及最終到物品處置的所有階段。并非所有這些階段都與集成電路相關(guān)，需要培訓(xùn)和經(jīng)驗才能確定這些階段。IEC 61508為ASIC提供了一個V模型，與IEC 61508中的審查，審核和其他要求一起，它代表了一個系統(tǒng)，雖然它不能保證安全，但過去已被證明可以生成安全的系統(tǒng)和IC。

大多數(shù)IC制造商已經(jīng)制定了嚴(yán)格的新產(chǎn)品開發(fā)標(biāo)準(zhǔn)，因為更換故障集成電路的成本很高。僅用于低幾何形狀過程的一組掩模就可能花費(fèi)超過 50 萬美元。這一點(diǎn)以及較長的交貨時間已經(jīng)迫使集成電路設(shè)計人員實施嚴(yán)格的開發(fā)流程，并具有良好的驗證和確認(rèn)階段。功能安全的一個巨大區(qū)別是，安全性不僅必須實現(xiàn)，還必須證明，以便即使是最好的IC制造商也需要在其正常開發(fā)過程之上添加安全流程，以確保創(chuàng)建和存檔正確的合規(guī)性證據(jù)。

開發(fā)過程中引入的故障稱為系統(tǒng)故障。這些故障只能通過設(shè)計更改來修復(fù)。這些故障可能包括與需求捕獲、EMC 穩(wěn)健性不足和測試不足相關(guān)的故障。

IEC 61508-2：2010 附錄 F 列出了一組 IEC 委員會專家認(rèn)為適合用于開發(fā)集成電路的專用測量值。表 F.2 適用于 FPGA 和 CPLD，而表 F.1 適用于數(shù)字 ASIC。根據(jù)SII，這些措施以R（推薦）或HR（強(qiáng)烈推薦）的形式給出，在某些情況下，還提供替代技術(shù)。對于具有良好開發(fā)流程的IC供應(yīng)商來說，很少有要求會讓人感到意外，但SIL 3的99%故障覆蓋率要求具有挑戰(zhàn)性，特別是對于許多電路位于模塊外圍的小型數(shù)字或混合信號部件。標(biāo)準(zhǔn)修訂版二中的要求僅適用于數(shù)字IC，但許多要求也適用于模擬或混合信號IC（ISO 26262的下一個修訂版將包含類似的表格，并具有模擬和混合信號集成電路的版本）。

除了表 F.1 和表 F.2 之外，還有一些介紹性文本也提供了見解。例如，在本介紹性文本中，允許使用經(jīng)過驗證的使用工具，并建議在類似復(fù)雜度的項目中使用18個月，這是合理的。這意味著 IEC 61508-3 中的完整工具要求不需要適用。

如果模塊/系統(tǒng)設(shè)計人員過去成功使用過IC，并且了解應(yīng)用和現(xiàn)場故障率，則可以獲得經(jīng)過驗證的使用聲明。對于集成電路設(shè)計人員或制造商來說，這種說法要困難得多，因為他們通常對最終應(yīng)用或現(xiàn)場故障單元的百分比返回給他們進(jìn)行分析沒有足夠的了解。

軟件

所有軟件錯誤都是系統(tǒng)性的，因為軟件不會老化。因此，任何片上軟件都應(yīng)考慮IEC 61508-3的要求。通常，片上軟件可能包括微控制器/DSP上的內(nèi)核/引導(dǎo)加載程序。但是，在某些情況下，微控制器/DSP可能包含由IC制造商預(yù)編程的小型微控制器，以實現(xiàn)邏輯塊而不是使用狀態(tài)機(jī)。該預(yù)編程微控制器軟件還需要滿足IEC 61508-3的要求。應(yīng)用級軟件通常由模塊/系統(tǒng)設(shè)計人員負(fù)責(zé)，而不是IC制造商，但I(xiàn)C供應(yīng)商可能需要提供編譯器或低級驅(qū)動程序等工具。如果這些工具用于開發(fā)安全相關(guān)應(yīng)用軟件，則IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3：2010條款7.4.4中的工具要求。

作者還用C和許多其他編程語言編程。他做了有限數(shù)量的Verilog編程。Verilog及其姊妹VHDL是用于設(shè)計數(shù)字集成電路的兩種HDL（硬件定義語言）的例子。關(guān)于HDL是否是軟件的問題是一個有趣的問題，但目前遵循IEC 61508-2：2010附錄F就足夠了。在實踐中，作者發(fā)現(xiàn)，如果遵循附錄F，那么結(jié)合IEC 61508的其他要求（生命周期階段等），HDL是否被視為軟件并不重要，因為開發(fā)人員最終仍然完成所有必需的任務(wù)。一個相關(guān)的有趣標(biāo)準(zhǔn)是IEC 62566，2它涉及使用HDL開發(fā)的核工業(yè)安全功能。

要求 2 — 本質(zhì)上是可靠的

IEC 61508以PFH（每小時危險故障的平均頻率）或PFD（按需故障概率）的形式提出了可靠性要求。這些限制與成年人死于自然原因的風(fēng)險以及上班或日常業(yè)務(wù)的想法有關(guān)，不應(yīng)該顯著增加這一點(diǎn)。SIL 3 安全功能的最大 PFH 為 10–7/h 或大約每 1000 年一次的危險故障率。表示為 FIT（時間故障/每十億小時運(yùn)行故障），這是 100 FIT。

鑒于典型的安全功能具有輸入模塊、邏輯模塊和執(zhí)行器模塊，并且PFH預(yù)算必須在所有三個模塊之間分配，因此給定IC的PFH完全有可能為個位數(shù)（<10 FIT）。冗余體系結(jié)構(gòu)可用于允許更高的數(shù)字，以便兩個 100 FIT 的項目可以為一個具有 10 FIT 可靠性的項目提供等效的置信度，受 CCF（常見原因故障）問題的限制。但是，冗余會消耗大量空間和能源，并增加成本。

ADI公司等IC制造商根據(jù)加速壽命測試，為 analog.com/reliabilitydata 等站點(diǎn)上發(fā)布的所有IC提供可靠性信息。這有時是不受歡迎的，因為可靠性評估是在實驗室中人工條件下完成的。相反，使用行業(yè)標(biāo)準(zhǔn)，如SN 295003或 IEC 623804是推薦的。但是，這些標(biāo)準(zhǔn)存在許多問題：

他們預(yù)測99%置信水平的可靠性，IEC 61508只需要70%置信水平的數(shù)據(jù)，因此標(biāo)準(zhǔn)是悲觀的。

它們混合了隨機(jī)和系統(tǒng)故障模式。這些在IEC 61508下應(yīng)以不同的方式處理。

它們不經(jīng)常更新。

他們不考慮供應(yīng)商之間的質(zhì)量差異。

SN 29500等標(biāo)準(zhǔn)確實證明了片上晶體管的可靠性。如果使用兩個 500k 晶體管的 IC 來實現(xiàn)安全功能，則它們的 FIT 分別為 70，總系統(tǒng) FIT 為 140。但是，如果將兩個IC替換為一個100萬個晶體管的IC，則該IC的FIT僅為80，減少了40%以上。

軟錯誤在IC中經(jīng)常被忽略。軟誤差與傳統(tǒng)的可靠性預(yù)測不同，因為一旦電源循環(huán)，軟誤差就會消失。它們是由來自太空的中子粒子或來自封裝材料的α粒子撞擊片上RAM單元或觸發(fā)器（FF）并改變存儲值引起的。ECC（雙比特錯誤檢測和單比特糾錯）可用于檢測和無縫糾正RAM中的錯誤，但代價是速度降低和片上誤差增加。奇偶校驗增加了較少的開銷，但讓系統(tǒng)設(shè)計人員解決錯誤恢復(fù)問題。如果不使用奇偶校驗或 ECC 技術(shù)，軟錯誤率可能會比傳統(tǒng)硬錯誤率高出 1000 倍（IEC 61508 為 RAM 提供了 1000 FIT/MB 的數(shù)字）?？捎糜诮鉀Q用于實現(xiàn)邏輯電路的FF中的軟錯誤的技術(shù)（觸發(fā)器）并不令人滿意，但看門狗定時器、計算中的時間冗余和其他技術(shù)可以提供幫助。

要求 3 - 容錯

無論產(chǎn)品多么可靠，有時仍然會發(fā)生壞事。容錯接受這一現(xiàn)實，然后解決它。容錯有兩個主要元素。一個是使用冗余，另一個是使用診斷。雙方都承認(rèn)，無論IC的可靠性或用于開發(fā)IC的開發(fā)過程有多好，都會發(fā)生故障。

冗余可以是相同的，也可以是不同的，它可以是片上或片外的。IEC 61508-2：2010的附錄E提供了一套技術(shù)，以證明已采取足夠的措施來支持使用非多樣性冗余的數(shù)字電路中的片上冗余聲明。附錄E似乎針對的是雙鎖步微控制器，并且沒有針對片上獨(dú)立性提供指導(dǎo)。

模擬和混合信號集成電路

在項目及其片上診斷之間

采用多種冗余的數(shù)字電路

然而，在某些情況下，可以對這些情況對附件E進(jìn)行明智的解釋。附件E中一個有趣的項目是β集成電路計算，這是片上常見原因故障的度量。如果常見原因故障的來源β小于 25%，則允許判斷充分分離，這與 IEC 61508-6：2010 表中的 1%、5% 或 10% 相比更高。

診斷是集成電路真正可以大放異彩的領(lǐng)域。片上診斷可以

設(shè)計為適合片上模塊的預(yù)期故障模式

由于對外部引腳的要求有限，因此不增加PCB空間

以高速率運(yùn)行（最小診斷測試間隔）

通過比較消除對冗余組件實施診斷的需要

這意味著片上診斷可以最大限度地降低系統(tǒng)成本和面積。通常，診斷程序與他們在片上監(jiān)控的項目是多種多樣的（不同的實現(xiàn)），因此它們不太可能以與正在監(jiān)控的項目相同的方式和同時失敗。當(dāng)他們這樣做時，即使診斷是在單獨(dú)的芯片中實現(xiàn)的，他們也可能會出現(xiàn)相同的問題（通常與EMC、電源問題和過熱有關(guān)）。雖然該標(biāo)準(zhǔn)不包含該要求，但存在與使用片上電源監(jiān)視器和看門狗電路相關(guān)的問題，這是最后的診斷手段。一些外部評估人員會堅持認(rèn)為這種診斷是片外的。

通常，簡單集成電路的診斷將由遠(yuǎn)程微控制器/DSP控制，測量在片內(nèi)完成，但結(jié)果在片外發(fā)送進(jìn)行處理。

IEC 61508 要求以 SFF（安全故障分?jǐn)?shù)）給出的最低診斷覆蓋率，SFF 考慮了安全和危險的故障，與忽略安全故障的 DC（診斷覆蓋率）相關(guān)但不同。使用量化的FMEA或FMEDA可以衡量所實施診斷的成功。但是，在IC內(nèi)實現(xiàn)的診斷也可以涵蓋IC外部的組件，并且IC中的項目也可以由系統(tǒng)級診斷程序覆蓋。當(dāng)IC開發(fā)人員執(zhí)行FMEDA時，必須假設(shè)IC開發(fā)人員通常不知道最終應(yīng)用的細(xì)節(jié)。在ISO 26262術(shù)語中，這被稱為SEooC（脫離上下文的安全元件）。對于使用IC級FMEDA的最終用戶，他們必須確信這些假設(shè)仍然適用于他們的系統(tǒng)。

雖然IEC 61508-2：2010的表A.1（實際上是表A.2至A.14）對分析IC時應(yīng)考慮的IC故障提供了很好的指導(dǎo)，但I(xiàn)EC 60730：2010的附錄H中對該主題進(jìn)行了更好的討論。5

集成電路的開發(fā)選項

開發(fā)用于功能安全系統(tǒng)的集成電路有多種選擇。標(biāo)準(zhǔn)中沒有要求只使用兼容的集成電路，而是要求模塊或系統(tǒng)設(shè)計人員確信所選集成電路適合在其系統(tǒng)中使用。

可用選項包括

通過外部評估和安全手冊完全符合IEC 61508進(jìn)行開發(fā)

開發(fā)符合IEC 61508標(biāo)準(zhǔn)，無需外部評估和安全手冊

按照半導(dǎo)體公司的標(biāo)準(zhǔn)開發(fā)流程進(jìn)行開發(fā)，但發(fā)布安全數(shù)據(jù)表

按照半導(dǎo)體公司的標(biāo)準(zhǔn)流程進(jìn)行開發(fā)

注意—對于未按照IEC 61508開發(fā)的部件，安全手冊可以稱為安全數(shù)據(jù)表或類似名稱，以避免與根據(jù)安全手冊開發(fā)的部件混淆。

選項1是半導(dǎo)體制造商最昂貴的選擇，但也有可能對模塊或系統(tǒng)設(shè)計人員最有利。擁有這樣的組件，其中集成電路安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配，可以降低模塊或系統(tǒng)外部評估遇到問題的風(fēng)險。SIL 2安全功能的額外設(shè)計工作量可能達(dá)到20%或更多。額外的努力可能會更高，除了半導(dǎo)體制造商通常已經(jīng)暗示了嚴(yán)格的開發(fā)過程，即使沒有功能安全。

備選方案2節(jié)省了外部評估的費(fèi)用，但除此之外，影響是相同的。此選項適用于客戶無論如何都要獲得外部認(rèn)證的模塊/系統(tǒng)，并且集成電路是該系統(tǒng)的重要組成部分。

選項 3 最適合已發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以讓模塊或系統(tǒng)設(shè)計人員訪問他們在更高級別的安全設(shè)計所需的額外信息。這包括所使用的實際開發(fā)過程的詳細(xì)信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細(xì)信息以及制造現(xiàn)場的ISO 9001認(rèn)證證據(jù)等信息。

然而，備選方案4仍將是開發(fā)集成電路的最常見方式。使用此類組件開發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計費(fèi)用，因為這些組件沒有足夠的診斷功能，需要雙通道架構(gòu)與單通道架構(gòu)進(jìn)行比較。如果沒有安全數(shù)據(jù)手冊，模塊/系統(tǒng)設(shè)計人員還需要做出保守的假設(shè)，并將集成電路視為黑匣子。

此外，半導(dǎo)體公司需要制定自己的標(biāo)準(zhǔn)解釋，作者自己的公司為此目的開發(fā)了內(nèi)部文檔ADI61508和ADI26262。ADI61508采用IEC 61508：2010的七個部分，并從集成電路開發(fā)的角度解釋要求。

A SIL 2/ 3 開發(fā)

有時，可以根據(jù)SIL 3的所有系統(tǒng)要求開發(fā)集成電路。這意味著遵守IEC 61508-2：2010表F.1中針對SIL 3的所有相關(guān)項目，并且所有設(shè)計審查和其他分析都按照SIL 3級別進(jìn)行。但是，硬件指標(biāo)可能只夠 SIL 2。這種電路可以識別為SIL 2/3或更典型的SIL M/N，其中M表示可以根據(jù)硬件指標(biāo)聲明的最大SIL級別，N表示可以根據(jù)系統(tǒng)要求聲明的最大SIL級別。兩個 SIL 2/3 集成電路可用于實現(xiàn) SIL 3 模塊或系統(tǒng)，因為并行使用兩個 SIL 2 項目在硬件指標(biāo)方面將組合升級到 SIL 3，但就系統(tǒng)要求而言，每個項目都已經(jīng)達(dá)到 SIL 3。相反，如果集成電路只是SIL 2/2，將兩個這樣的集成電路并聯(lián)仍然不會使其成為SIL 3，因為它充其量是SIL 3/2。

將硬件指標(biāo)應(yīng)用于集成電路

除了幾乎所有安全功能都由集成電路實現(xiàn)的情況外，很難指定半導(dǎo)體的SFF、DC或PFH限制。以SFF為例，雖然SIL 3的SFF要求大于99%，但這適用于整個安全功能，而不是集成電路。如果集成電路的使用率為98%，它仍然可用于實現(xiàn)SIL 3安全功能，但系統(tǒng)的其他部分將需要實現(xiàn)更高的覆蓋范圍來補(bǔ)償。集成電路的安全手冊或安全數(shù)據(jù)表需要公布λDD, λ都和 λ 用于系統(tǒng)級 FMEDA。

理想情況下，IC要求將用于系統(tǒng)級分析，但通常情況并非如此，開發(fā)實際上是SEooC（參見ISO 26262）或脫離上下文的安全元件。對于 SEooC，IC 開發(fā)人員需要假設(shè) IC 將在系統(tǒng)中的使用方式。然后，系統(tǒng)或模塊設(shè)計人員必須將這些假設(shè)與其實際系統(tǒng)進(jìn)行比較，以查看IC的功能安全性是否足以滿足其系統(tǒng)的需求。這些假設(shè)可以決定診斷是在IC上還是在系統(tǒng)級實施，從而影響IC級的特性和功能。

安全

除非系統(tǒng)也是安全的，否則它不可能是安全的。目前，IEC 61508或ISO 26262中與安全性相關(guān)的唯一指南是將讀者參考IEC 62443系列.6但是，IEC 62443似乎更針對較大的組件，例如整個PLC組件，而不是單個IC。好消息是，功能安全標(biāo)準(zhǔn)中消除系統(tǒng)故障的大多數(shù)要求也適用于安全性。缺少任何參考很有趣，因為在某些情況下，硬件可以提供硬件信任根和 PUF（物理上不可克隆的功能）等功能，這對于安全和安保非常重要。

結(jié)論

現(xiàn)有的IEC 61508涵蓋了從開發(fā)集成電路到煉油廠的所有內(nèi)容。雖然機(jī)械和過程控制等領(lǐng)域有專門的行業(yè)特定標(biāo)準(zhǔn)，雖然IEC 61508修訂版二中有一些針對集成電路的指導(dǎo)，但沒有特定于集成電路的標(biāo)準(zhǔn)。由于缺乏具體要求，要求可以解釋，因此多個客戶的期望和外部評估者之間可能會出現(xiàn)沖突。

審核編輯：郭婷