集成電路的功能安全

集成電路(ICs)是所有現(xiàn)代安全系統(tǒng)的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅(qū)動最終元件以實現(xiàn)安全狀態(tài)，它們是軟件運行的平臺。半導(dǎo)體內(nèi)部的高集成度可以簡化系統(tǒng)級實現(xiàn)，其代價是IC內(nèi)部復(fù)雜性增加。

這種集成會減少器件數(shù)量，改善系統(tǒng)可靠性，并為提高診斷覆蓋率和縮短診斷測試間隔創(chuàng)造機會——所有的這些都是為了達到安全的同時成本可接受。有人可能會認為，由于復(fù)雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復(fù)雜性提高，但在模塊和系統(tǒng)層面上可以大大簡化。

令人吃驚的是，過程控制、機械、電梯、變速驅(qū)動器和有毒氣體傳感器都有相應(yīng)的功能安全標準，但關(guān)于集成電路卻沒有專門的功能安全標準。相反，相關(guān)要求和知識是零散地分布在IEC 61508和其他B級、C級標準中。本文為解讀現(xiàn)有半導(dǎo)體功能安全標準提供指導(dǎo)。

01

簡介

通常，集成電路按照IEC 61508或ISO 26262標準進行開發(fā)。另外，二級和三級標準中有時還會有其他要求。只有按照功能安全標準進行開發(fā)和評估，才能讓人放心這些復(fù)雜的集成電路足夠安全。當(dāng)編寫IEC 61508時，其針對的是定制系統(tǒng)，而不是開放市場批量生產(chǎn)的集成電路。本文將回顧并評論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但很多內(nèi)容都與汽車、航空電子和醫(yī)療等應(yīng)用有關(guān)。

02

功能安全

功能安全是安全性的一部分，用以應(yīng)對安全相關(guān)系統(tǒng)的可靠性需求。功能安全不同于其他被動形式的安全，如電氣安全、機械安全或本質(zhì)安全。

功能安全是一種主動形式的安全。例如，它能確保馬達以足夠快的速度關(guān)閉，防止對打開防護門的操作員造成傷害，或者當(dāng)有人在附近時，機器人會降低運行的速度和力度。

03

ASIL分解詮釋與實踐

主要功能安全標準是IEC 61508 1 。該標準的第一版于1998年出版，第二版于2010年出版，并于2017年開始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來，基本IEC 61508標準已針對不同領(lǐng)域進行適應(yīng)性修改，例如汽車(ISO 26262)、過程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機械）、變速驅(qū)動器(IEC 61800-5-2)以及其他許多領(lǐng)域。此類標準有助于對非常寬泛的IEC 61508進行解釋以便用于這些受到更大限制的領(lǐng)域。

一些功能安全標準，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標準的人都不會對其內(nèi)容感到過于吃驚。

在安全系統(tǒng)內(nèi)，當(dāng)系統(tǒng)運行時，執(zhí)行關(guān)鍵功能安全活動的是安全功能。安全功能定義了實現(xiàn)或保持安全所必須執(zhí)行的操作。典型的安全功能包含輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著對潛在的不安全狀態(tài)進行檢測，并且基于檢測到的值做出決定，如果認為有潛在危害，則指示輸出子系統(tǒng)將系統(tǒng)置于已定義的安全狀態(tài)。

圖1.功能安全標準示例

從不安全狀態(tài)出現(xiàn)到進入安全狀態(tài)所用的時間至關(guān)重要。例如，安全功能可能包括如下器件：一個傳感器用來檢測機器上的防護裝置是否打開，一個PLC用來處理數(shù)據(jù)，以及一個具有安全扭矩關(guān)閉輸入的變速驅(qū)動器，改驅(qū)動器應(yīng)該在插入機器中的手可能接近運動部件之前關(guān)閉電機。

04

安全完整性等級

SIL代表安全完整性等級，是表示需要將風(fēng)險降至何種程度才能達到可接受水平的手段。根據(jù)IEC 61508標準，安全等級有1、2、3、4四級，從一個級別到下一個級別，安全性會提高一個數(shù)量級。機器和工廠自動化場景中不會看到SIL 4，因為一般情況下，這種場合中遭受危險的人員通常不會超過一個。SIL 4針對的是數(shù)百甚至數(shù)千人可能受到傷害的核能和鐵路等應(yīng)用。還有其他功能安全標準，例如汽車使用ASIL（汽車安全完整性等級）A、B、C和D，以及ISO 13849標準的PL（性能等級）從PLa到PLe。這些等級可以對應(yīng)到SIL 1至SIL 3級別。

表1.各應(yīng)用領(lǐng)域安全等級的大致對應(yīng)關(guān)系

作者不相信單個IC可能有超過SIL 3的安全水平。但值得注意的是，IEC 61508-2:2010附錄F中的表格顯示了一個SIL 4列。

05

三項關(guān)鍵要求

接下來的章節(jié)介紹的是功能安全對集成電路(IC)開發(fā)提出的三個關(guān)鍵要求。

要求1—遵循嚴格的開發(fā)流程

IEC 61508是一個全生命周期模型，涵蓋了從安全概念到需求采集、維護，直至最終廢棄處理的所有階段。不是所有這些階段都與集成電路相關(guān)，甄別哪些階段有關(guān)需要培訓(xùn)和經(jīng)驗。IEC 61508為ASIC提供了一個V模型，另外還有審查、審核及其他要求，它代表了一個體系，雖然不能保證安全，但過去已證明它能指導(dǎo)我們設(shè)計制造出安全的系統(tǒng)和IC。

由于更改有缺陷的集成電路的成本很高，所以大多數(shù)IC制造商已經(jīng)建立嚴格的新產(chǎn)品開發(fā)標準。對于小幾何尺寸工藝，僅僅一套掩膜的成本就可能超過50萬美元。這種情況加上長交貨期，迫使集成電路設(shè)計商不得不實施嚴格的開發(fā)流程和進行嚴謹?shù)臋z查與驗證。功能安全的一大區(qū)別在于，不僅必須實現(xiàn)安全性，還要證明安全性，即使是最好的IC制造商也需要在其正常開發(fā)流程之上添加安全流程，以確保用來證明合規(guī)性相應(yīng)的證據(jù)得以創(chuàng)建并存檔。

開發(fā)流程引入的故障稱為系統(tǒng)故障。這些故障只能通過設(shè)計變更來解決。與需求采集相關(guān)的故障、EMC魯棒性不足和測試不充分就是此類故障。

IEC 61508-2:2010的附錄F列出了一系列專門測量，IEC委員會專家認為這些測量適合用于集成電路開發(fā)。表F.2適用于FPGA和CPLD，表F.1適用于數(shù)字ASIC。這些測量分為R（推薦）或HR（強烈推薦）兩類，具體取決于SII，某些情況下還提供了備選技術(shù)。對于擁有良好開發(fā)流程的IC供應(yīng)商來說，其中的要求很少會讓人感到意外，但SIL 3的99%故障覆蓋率要求是有挑戰(zhàn)性的，尤其是對于小型數(shù)字或混合信號器件，其中很多電路位于模塊的外圍。該標準第二版中的要求僅適用于數(shù)字IC，但許多要求也可應(yīng)用于模擬或混合信號IC（ISO 26262的下一版本將包含類似表格，并有針對模擬和混合信號集成電路的版本）。

除表F.1和表F.2外，還有一些介紹性文字也提供了一些見解。例如，這個介紹性文字說允許使用經(jīng)過實際驗證的工具，在復(fù)雜度相似的項目中使用18個月是合理的時間長度。這意味著并不需要應(yīng)用IEC 61508-3關(guān)于工具的全部要求。

如果模塊/系統(tǒng)設(shè)計者過去曾成功使用某一IC，并且了解其應(yīng)用和現(xiàn)場故障率，那么他可以宣稱其"經(jīng)過實際驗證"。對于集成電路設(shè)計者或制造商來說，作出這種宣稱要困難得多，因為他們一般不太了解最終應(yīng)用或擁有完備的現(xiàn)場失效器件收集、失效分析流程及數(shù)據(jù)。

軟件

所有軟件錯誤都是系統(tǒng)性的，因為軟件不會老化。任何片內(nèi)軟件都應(yīng)考慮IEC 61508-3的要求。通常，片內(nèi)軟件可能包括微控制器/DSP的內(nèi)核/引導(dǎo)程序。但在某些情況下，微控制器/DSP可能包含一個由IC制造商預(yù)編程的小型微控制器來實現(xiàn)一個邏輯塊，而不是使用狀態(tài)機。該預(yù)編程的微控制器軟件還需要符合IEC 61508-3的要求。應(yīng)用級軟件通常是模塊/系統(tǒng)設(shè)計者的責(zé)任，而不是IC制造商的責(zé)任，但IC供應(yīng)商可能需要提供編譯器或低級驅(qū)動程序等工具。如果這些工具用于安全相關(guān)應(yīng)用軟件的開發(fā)，那么IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3:2010第7.4.4條中的工具要求。

作者也使用C語言和其他很多編程語言做過編程。作者還做過少量Verilog編程。Verilog及其姊妹語言VHDL是用于設(shè)計數(shù)字集成電路的兩種代表性硬件定義語言(HDL)。一個有趣的問題是HDL是否是軟件，但現(xiàn)在遵循IEC 61508-2:2010附錄F就足夠了。在實踐中，作者發(fā)現(xiàn)如果遵循附錄F，那么結(jié)合IEC 61508的其他要求（生命周期階段等），HDL是否是軟件的問題并不重要，因為開發(fā)者最終仍要完成所有必需的任務(wù)。一個值得注意的相關(guān)標準是IEC 62566 2，它處理的是利用HDL開發(fā)的核工業(yè)安全功能。

要求2—固有可靠性

IEC 61508以PFH（每小時危險故障平均頻率）或PFD（需要時發(fā)生故障的概率）的形式提出了可靠性要求。這些限制與成年人因自然原因而死亡的風(fēng)險，以及人們認為工作或處理日常業(yè)務(wù)不應(yīng)顯著增加這一風(fēng)險的想法有關(guān)。SIL 3安全功能的最大PFH為10–7/h，或者每1000年約有一次的危險故障率。表示為FIT（故障次數(shù)/每運行十億小時的故障率）的話，即為100 FIT。

鑒于典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執(zhí)行器模塊，并且PFH預(yù)算必須分配給所有三個模塊，所以某一IC的PFH完全可能是個位數(shù)(<10 FIT)?？梢允褂萌哂嗉軜?gòu)來提高這些數(shù)字，若有兩個100 FIT結(jié)構(gòu)，則每個可以提供相同的置信度，使模塊可靠性達到10 FIT（受常見原因故障(CCF)限制）。

假設(shè)一個典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執(zhí)行器模塊，并且PFH預(yù)算必須跨所有三個塊分配，那么給定IC的PFH完全有可能為個位數(shù)(<10 FIT)。冗余架構(gòu)可以用于允許更高的失效率值，這樣兩個100 FIT的IC，通過限制CCF(共因失效)，每個都可以為一個可靠性為10 FIT的IC提供等效的置信度。然而，冗余會消耗大量的空間和能量，并增加成本。

IC制造商如Analog Devices在analog.com/reliabilitydata等網(wǎng)站上提供基于加速壽命測試的所有發(fā)布IC的可靠性信息。這種方法不被贊同，因為其可靠性評估是在人工條件下的實驗室中完成的。相反，建議使用行業(yè)標準，如SN 295003或IEC 62380。然而，這些標準有一些問題:

手冊預(yù)測的可靠性為99%置信水平，而IEC 61508只要求70%置信水平的數(shù)據(jù)，因此該標準是保守的。

手冊混合了隨機和系統(tǒng)故障模式。根據(jù)IEC 61508的規(guī)定，這些將被區(qū)別對待。

手冊不經(jīng)常更新。

手冊不考慮供應(yīng)商之間的質(zhì)量差異。

像SN 29500這樣的標準確實證明了片上晶體管的可靠性。如果使用兩個包含500k個晶體管的集成電路來實現(xiàn)一個安全功能，那么它們的FIT為70，而系統(tǒng)的FIT為140。然而，如果用一個100萬個晶體管的集成電路取代這兩個集成電路，那一個集成電路的FIT只有80，減少了40%以上。

Soft errors（軟錯誤，瞬態(tài)失效）在集成電路中經(jīng)常被忽略。軟誤差與傳統(tǒng)的可靠性預(yù)測不同之處在于，一旦功率循環(huán)，Soft errors就會消失。它們是由來自太空的中子粒子或來自包裝材料的α粒子撞擊片上RAM電池或觸發(fā)器(FF)而改變存儲值引起的。ECC (雙比特錯誤檢測和單比特錯誤糾正)可用于檢測和無縫糾正RAM中的錯誤，但以降低速度和更高的片上錯誤為代價。奇偶校驗增加了較少的開銷，但讓系統(tǒng)設(shè)計人員解決錯誤恢復(fù)問題。如果奇偶校驗或ECC技術(shù)不使用，Soft errors率可以超過傳統(tǒng)的硬錯誤率高達1000倍(IEC 61508為RAM提供了1000 FIT/MB的數(shù)字)。用于解決用于實現(xiàn)邏輯電路的FF(觸發(fā)器)中的Soft errors的技術(shù)并不令人滿意，但看門狗定時器、計算中的時間冗余和其他技術(shù)可以提供幫助。

要求 3—容錯能力

無論產(chǎn)品多么可靠，有時還是會發(fā)生不好的事情。故障容錯接受這一現(xiàn)實，然后解決它。實現(xiàn)故障容錯包含兩個主要因素。一個是使用冗余，另一個是使用診斷。兩個因素都說明，無論集成電路的可靠性或用于開發(fā)集成電路的開發(fā)過程有多好，故障都會發(fā)生。

冗余可以是相同的，也可以是不同的，它可以是片內(nèi)的，也可以是片外的。IEC 61508-2:2010附錄E提供了一套技術(shù)來證明已經(jīng)采取了足夠的措施來支持使用非多樣化冗余的數(shù)字電路的片上冗余要求。附件E的目標似乎是雙鎖步微控制器，沒有給出關(guān)于片內(nèi)獨立性的指南。

模擬和混合信號集成電路

在相關(guān)項與其片內(nèi)診斷之間

采用多樣性冗余的數(shù)字電路

然而，在某些情況下，附件E可以為這些情況做出聰明的解釋。附件E中一個有趣的項目是βIC計算，這是對片內(nèi)的共因失效的測量。如果共因失效的β值小于25%，與IEC 61508-6:2010表中的1%、5%或10%相比，該β值較高，則可以做出充分分離的判斷。

診斷是集成電路真正能發(fā)揮作用的領(lǐng)域。片內(nèi)診斷可以

設(shè)計以適應(yīng)片上塊的預(yù)期故障模式

由于對外部引腳的要求有限，不增加PCB空間

高速率運行(最小診斷測試間隔)

通過比較消除了對冗余部件的需求來實現(xiàn)診斷

這意味著片內(nèi)診斷可以最小化系統(tǒng)成本和面積。一般來說，診斷的設(shè)計與其在芯片內(nèi)監(jiān)視的部分是多樣的(不同的實現(xiàn))，所以診斷部分與正在監(jiān)視的部分不太可能以同樣的方式和同時失效。當(dāng)診斷部分這樣實現(xiàn)時，診斷部分與正在監(jiān)視的部分很可能會面臨相同的問題(通常與EMC、電源供應(yīng)問題和溫度過高有關(guān))，即使診斷是在單獨的芯片中實現(xiàn)的。雖然標準沒有包含這一要求，但仍存在使用片內(nèi)電源監(jiān)視器和看門狗電路作為最后的診斷手段的問題。一些外部評估人員會堅持使用片外電源監(jiān)視器和看門狗電路診斷。

一般來說，簡單集成電路上的診斷將由遠程微控制器/DSP控制，測量在芯片上完成，但結(jié)果在芯片外運送處理。

IEC 61508要求最低診斷覆蓋率為SFF(安全故障分數(shù))，它考慮了安全和危險故障，與DC(診斷覆蓋率)相關(guān)但不同，DC忽略了安全故障?？梢允褂昧炕腇MEA或FMEDA來衡量實施診斷的成功程度。然而，IC內(nèi)部實現(xiàn)的診斷也可以覆蓋IC外部的組件，IC內(nèi)部的部分可以由系統(tǒng)級診斷覆蓋。當(dāng)IC開發(fā)人員執(zhí)行FMEDA時，必須假定IC開發(fā)人員通常不知道最終應(yīng)用程序的細節(jié)。在ISO 26262術(shù)語中，這被稱為SEooC(脫離上下文的安全要素)。對于使用IC級FMEDA的最終用戶，他們必須滿足IC的假設(shè)仍然適用于他們的系統(tǒng)。

雖然IEC 61508-2:2010的表A.1(以及表A.2到A.14)對分析集成電路時應(yīng)該考慮的IC故障給出了很好的指南，但IEC 60760:2010的附件H對該主題給出了更好的討論。

06

集成電路的開發(fā)方案

開發(fā)用于功能安全系統(tǒng)的集成電路有幾種選擇。標準中沒有要求只使用符合標準的集成電路，而是要求模塊或系統(tǒng)設(shè)計者自己符合，所選擇的集成電路是適合在他們的系統(tǒng)中使用的。

可用的選項包括：

完全符合IEC 61508標準，附有外部評估和安全手冊

符合IEC 61508標準開發(fā)，無需外部評估，并附有安全手冊

按照開發(fā)半導(dǎo)體公司的標準開發(fā)流程開發(fā)，但發(fā)布安全數(shù)據(jù)表

按照半導(dǎo)體公司的標準流程開發(fā)

注:對于不符合IEC 61508標準的部件，安全手冊可以稱為安全數(shù)據(jù)表或類似的名稱，以避免與符合安全手冊標準的部件混淆。

選項1對半導(dǎo)體制造商來說是最昂貴的選擇，但也可能為模塊或系統(tǒng)設(shè)計者提供最有利的選擇。在集成電路的安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配的組件，可以減少模塊或系統(tǒng)的外部評估出現(xiàn)問題的風(fēng)險。SIL2安全功能的額外設(shè)計工作量可以達到20%甚至更多。額外的工作量可能會更高，除非半導(dǎo)體制造商通常已經(jīng)擁有了一個嚴格的開發(fā)流程，即使沒有功能安全。

選項2節(jié)省了外部評估的費用，但在其他方面的影響是相同的。這種選擇適用于客戶無論如何都要獲得模塊/系統(tǒng)外部認證，而集成電路是該系統(tǒng)的重要組成部分的情況。

選項3最適用于已經(jīng)發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以使模塊或系統(tǒng)設(shè)計者獲得更高級別安全設(shè)計所需的額外信息。這包括使用的實際開發(fā)過程的詳細信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細信息以及生產(chǎn)現(xiàn)場的ISO 9001認證證據(jù)。

然而，選項4仍將是開發(fā)集成電路最常見的方法。使用這些組件來開發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計的費用，因為組件將沒有足夠的診斷需要雙通道體系結(jié)構(gòu)與單通道體系結(jié)構(gòu)進行比較。如果沒有安全數(shù)據(jù)表，模塊/系統(tǒng)設(shè)計者還需要做出保守的假設(shè)，并將集成電路視為一個黑盒子。

此外，半導(dǎo)體公司需要制定自己的標準解釋，作者自己的公司為此開發(fā)了內(nèi)部文件ADI61508和ADI26262。ADI61508采用了IEC 6158:2010的七個部分，并從集成電路開發(fā)的角度解釋了要求。

07

SIL 2/3 開發(fā)

有時集成電路可以根據(jù)SIL 3開發(fā)出所有的系統(tǒng)要求。這意味著符合IEC 61508-2:2010 SIL 3表F.1的所有相關(guān)項目，所有設(shè)計評審和其他分析都是按照SIL 3水平進行的。然而，硬件指標可能只適合SIL 2。這樣的電路可以被識別為SIL 2/3或更典型的SIL M/N，其中M表示在硬件指標方面可以聲明的最大SIL級別，N表示在系統(tǒng)需求方面可以聲明的最大SIL級別。兩個SIL 2/3集成電路可以用來實現(xiàn)SIL 3模塊或系統(tǒng)，因為在硬件指標方面，兩個SIL 2項目的并行升級組合到SIL 3，但在系統(tǒng)需求方面，每個項目已經(jīng)在SIL 3。如果集成電路只有SIL 2/2，將兩個這樣的集成電路并聯(lián)仍然不能使它成為SIL 3，因為它最多只能是SIL 3/2。

理想情況下，集成電路需求應(yīng)該是通過系統(tǒng)層面分析推導(dǎo)得出的，但通常情況并非如此，開發(fā)實際上是一個SEooC(參見ISO 26262)或脫離上下文的安全元素。在SEooC的情況下，IC開發(fā)人員需要對IC將如何在系統(tǒng)中使用做出假設(shè)。然后，系統(tǒng)或模塊設(shè)計者必須將這些假設(shè)與他們的真實系統(tǒng)進行比較，以確定IC的功能安全性是否足以滿足他們的系統(tǒng)。這些假設(shè)可以決定診斷是在集成電路上實現(xiàn)還是在系統(tǒng)層面實現(xiàn)，從而影響集成電路層面的特性和功能。

08

Security安全

一個系統(tǒng)不可能是安全的，除非它也是嚴密保護的。目前，IEC 61508或ISO 26262中與Security相關(guān)的唯一指南是讓讀者參考IEC 62443系列。然而，IEC 62443似乎更針對較大的組件，如整個PLC組件，而不是單個IC。好消息是，功能安全標準中消除系統(tǒng)故障的大部分要求也適用于Security。缺乏任何引用是有趣的，因為在某些情況下，硬件可以提供信任的硬件根和功能，如PUF(物理上不可克隆的功能)，這對safety和Security很重要。

09

維度的三大階段

現(xiàn)有的IEC 61508涵蓋了從開發(fā)集成電路到煉油廠的方方面面。雖然在機械和過程控制等領(lǐng)域有專門的行業(yè)特定標準，而且在IEC 61508修訂版2中對集成電路有一些指南，但沒有專門針對集成電路的標準。缺乏具體的需求使得需求容易被解釋，因此在多個客戶和外部評估人員的期望之間可能會產(chǎn)生沖突。

這意味著各部門將傾向于在其更高水平的標準中對集成電路作出特定的要求。這些要求已經(jīng)在EN 50402、7等標準中體現(xiàn)出來，但在ISO 262628的2016年草案中體現(xiàn)得最為明顯，其中新增的第11部分專門涉及集成電路。

作者希望定于2021年左右出版的IEC 61508修訂版3將擴展和澄清集成電路的指導(dǎo)。作者有幸成為IEC TC65/SC65A MT61508-1/2和MT 61508-3的一員，因此將有機會參與到這些工作中來。也許在未來的修訂中會有第8部分專門針對半導(dǎo)體，以便在各個部分之間保持一致，從而開發(fā)出滿足所有部分要求的集成電路。

即便如此，該標準也不太可能包含IC制造商設(shè)計具有功能性安全要求的IC所需的全部內(nèi)容。與Security、EMC等相關(guān)的需求仍然需要從系統(tǒng)應(yīng)用知識中獲得。

審核編輯：劉清