集成電路（IC）是所有現(xiàn)代安全系統(tǒng)的基礎(chǔ)。集成電路提供邏輯，要么控制傳感器，要么在越來(lái)越多的程度上控制傳感器。集成電路驅(qū)動(dòng)最終元件以實(shí)現(xiàn)安全狀態(tài)，它們是運(yùn)行軟件的平臺(tái)。半導(dǎo)體內(nèi)部可能的集成度可以簡(jiǎn)化系統(tǒng)級(jí)實(shí)現(xiàn)，但代價(jià)是IC本身的復(fù)雜性增加。這種集成水平由于減少了部件數(shù)量而提高了系統(tǒng)可靠性，并提供了以更短的診斷測(cè)試間隔增加診斷覆蓋率的機(jī)會(huì) - 所有這些都以使安全性負(fù)擔(dān)得起的成本為代價(jià)?？梢哉f(shuō)，由于增加了復(fù)雜性，這種集成水平是一件壞事。然而，隨著集成電路復(fù)雜性的代價(jià)，模塊和系統(tǒng)級(jí)別可能會(huì)有重大的簡(jiǎn)化。令人驚訝的是，雖然有針對(duì)過(guò)程控制、機(jī)械、電梯、變速驅(qū)動(dòng)器和有毒氣體傳感器的功能安全標(biāo)準(zhǔn)，但沒(méi)有專門針對(duì)集成電路的功能安全標(biāo)準(zhǔn)。相反，要求和知識(shí)的零碎部分圍繞IEC 61508和其他B級(jí)和C級(jí)標(biāo)準(zhǔn)傳播。本文為解釋半導(dǎo)體的現(xiàn)有功能安全標(biāo)準(zhǔn)提供了指導(dǎo)。

介紹

通常，集成電路的開(kāi)發(fā)符合IEC 61508或ISO 26262。此外，二級(jí)和三級(jí)標(biāo)準(zhǔn)有時(shí)還有其他要求。根據(jù)功能安全標(biāo)準(zhǔn)的開(kāi)發(fā)和評(píng)估使人們確信這些有時(shí)復(fù)雜的集成電路足夠安全。當(dāng)IEC 61508被編寫時(shí)，它針對(duì)的是定制系統(tǒng)，而不是公開(kāi)市場(chǎng)大規(guī)模生產(chǎn)的集成電路。本文將回顧和評(píng)論集成電路的已知功能安全要求。雖然本文重點(diǎn)介紹IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但大部分材料與汽車、航空電子設(shè)備和醫(yī)療等應(yīng)用相關(guān)。

功能安全

功能安全是安全的一部分，它涉及系統(tǒng)在需要時(shí)執(zhí)行其安全相關(guān)任務(wù)的信心。功能安全不同于其他被動(dòng)形式的安全，如電氣安全、機(jī)械安全或本質(zhì)安全。

功能安全是一種主動(dòng)的安全形式;例如，它使人們確信電機(jī)將足夠快地關(guān)閉，以防止對(duì)打開(kāi)防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時(shí)，機(jī)器人將以降低的速度和力運(yùn)行。

標(biāo)準(zhǔn)

關(guān)鍵功能安全標(biāo)準(zhǔn)是IEC 61508。1該標(biāo)準(zhǔn)的第一次修訂版于1998年發(fā)布，修訂版2010年發(fā)布，并于2017年開(kāi)始更新到修訂版三，可能完成日期為2022年。自 1998 年 IEC 61508 第一版發(fā)布以來(lái)，基本的 IEC 61508 標(biāo)準(zhǔn)已適應(yīng)汽車 （ISO 26262）、過(guò)程控制 （IEC 61511）、PLC （IEC 61131-6）、IEC 62061（機(jī)械）、變速驅(qū)動(dòng)器 （IEC 61800-5-2） 和許多其他領(lǐng)域。這些其他標(biāo)準(zhǔn)有助于解釋IEC 61508對(duì)這些更有限領(lǐng)域的廣泛范圍。

ISO 13849 和 D0-178/D0-254 等一些功能安全標(biāo)準(zhǔn)并非源自 IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標(biāo)準(zhǔn)的人都不會(huì)對(duì)內(nèi)容感到太驚訝。

在安全系統(tǒng)中，安全功能在系統(tǒng)運(yùn)行時(shí)執(zhí)行關(guān)鍵功能安全活動(dòng)。安全功能定義為實(shí)現(xiàn)或維護(hù)安全而必須執(zhí)行的操作。典型的安全功能包括輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著檢測(cè)到潛在的不安全狀態(tài)，并且某些東西對(duì)檢測(cè)到的值做出決定，如果認(rèn)為有潛在危險(xiǎn)，則指示輸出子系統(tǒng)將系統(tǒng)帶到定義的安全狀態(tài)。

圖1.功能安全標(biāo)準(zhǔn)示例。

從存在的不安全狀態(tài)到實(shí)現(xiàn)安全狀態(tài)之間的時(shí)間至關(guān)重要。例如，安全功能可能包括一個(gè)傳感器，用于檢測(cè)機(jī)器上的防護(hù)裝置是否打開(kāi)，一個(gè)用于處理數(shù)據(jù)的PLC，以及一個(gè)具有安全扭矩關(guān)閉輸入的變速驅(qū)動(dòng)器，該驅(qū)動(dòng)器在插入機(jī)器的手到達(dá)運(yùn)動(dòng)部件之前殺死電機(jī)。

安全完整性等級(jí)

SIL 代表安全完整性級(jí)別，是表示將風(fēng)險(xiǎn)降低到可接受水平所需的風(fēng)險(xiǎn)降低的一種手段。根據(jù) IEC 61508，安全級(jí)別為 1、2、3 和 4，當(dāng)您從一個(gè)級(jí)別轉(zhuǎn)到下一個(gè)級(jí)別時(shí)，安全性會(huì)提高一個(gè)數(shù)量級(jí)。SIL 4 在機(jī)械和工廠自動(dòng)化中不可見(jiàn)，通常不超過(guò)一個(gè)人暴露于危險(xiǎn)中。它保留用于核能和鐵路等可能造成數(shù)百甚至數(shù)千人受傷的應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車，它使用 ASIL（汽車安全完整性等級(jí)）A、B、C 和 D 以及 ISO 13849。其性能級(jí)別 a、b、c、d 和 e 可以映射到 SIL 1 到 SIL 3 等級(jí)。

筆者不相信單一IC的索賠可能大于SIL 3。但是，需要注意的是，IEC 61508-2：2010 附錄 F 中的表格顯示了 SIL 4 列。

三個(gè)關(guān)鍵要求

功能安全對(duì)IC的開(kāi)發(fā)提出了三個(gè)關(guān)鍵要求。以下各節(jié)將探討這些要求。

要求 1 - 遵循嚴(yán)格的開(kāi)發(fā)流程

IEC 61508 是一個(gè)完整的生命周期模型。它涵蓋了從安全概念到需求捕獲、維護(hù)以及最終到物品處置的所有階段。并非所有這些階段都與集成電路相關(guān)，需要培訓(xùn)和經(jīng)驗(yàn)才能確定這些階段。IEC 61508為ASIC提供了一個(gè)V模型，與IEC 61508中的審查，審核和其他要求一起，它代表了一個(gè)系統(tǒng)，雖然它不能保證安全，但過(guò)去已被證明可以生成安全的系統(tǒng)和IC。

大多數(shù)IC制造商已經(jīng)制定了嚴(yán)格的新產(chǎn)品開(kāi)發(fā)標(biāo)準(zhǔn)，因?yàn)楦鼡Q故障集成電路的成本很高。僅用于低幾何形狀過(guò)程的一組掩模就可能花費(fèi)超過(guò) 50 萬(wàn)美元。這一點(diǎn)以及較長(zhǎng)的交貨時(shí)間已經(jīng)迫使集成電路設(shè)計(jì)人員實(shí)施嚴(yán)格的開(kāi)發(fā)流程，并具有良好的驗(yàn)證和確認(rèn)階段。功能安全的一個(gè)巨大區(qū)別是，安全性不僅必須實(shí)現(xiàn)，還必須證明，以便即使是最好的IC制造商也需要在其正常開(kāi)發(fā)過(guò)程之上添加安全流程，以確保創(chuàng)建和存檔正確的合規(guī)性證據(jù)。

開(kāi)發(fā)過(guò)程中引入的故障稱為系統(tǒng)故障。這些故障只能通過(guò)設(shè)計(jì)更改來(lái)修復(fù)。這些故障可能包括與需求捕獲、EMC 穩(wěn)健性不足和測(cè)試不足相關(guān)的故障。

IEC 61508-2：2010 附錄 F 列出了一組 IEC 委員會(huì)專家認(rèn)為適合用于開(kāi)發(fā)集成電路的專用測(cè)量值。表 F.2 適用于 FPGA 和 CPLD，而表 F.1 適用于數(shù)字 ASIC。根據(jù)SII，這些措施以R（推薦）或HR（強(qiáng)烈推薦）的形式給出，在某些情況下，還提供替代技術(shù)。對(duì)于具有良好開(kāi)發(fā)流程的IC供應(yīng)商來(lái)說(shuō)，很少有要求會(huì)讓人感到意外，但SIL 3的99%故障覆蓋率要求具有挑戰(zhàn)性，特別是對(duì)于許多電路位于模塊外圍的小型數(shù)字或混合信號(hào)部件。標(biāo)準(zhǔn)修訂版二中的要求僅適用于數(shù)字IC，但許多要求也適用于模擬或混合信號(hào)IC（ISO 26262的下一個(gè)修訂版將包含類似的表格，并具有模擬和混合信號(hào)集成電路的版本）。

除了表 F.1 和表 F.2 之外，還有一些介紹性文本也提供了見(jiàn)解。例如，在本介紹性文本中，允許使用經(jīng)過(guò)驗(yàn)證的使用工具，并建議在類似復(fù)雜度的項(xiàng)目中使用18個(gè)月，這是合理的。這意味著 IEC 61508-3 中的完整工具要求不需要適用。

如果模塊/系統(tǒng)設(shè)計(jì)人員過(guò)去成功使用過(guò)IC，并且了解應(yīng)用和現(xiàn)場(chǎng)故障率，則可以獲得經(jīng)過(guò)驗(yàn)證的使用聲明。對(duì)于集成電路設(shè)計(jì)人員或制造商來(lái)說(shuō)，這種說(shuō)法要困難得多，因?yàn)樗麄兺ǔ?duì)最終應(yīng)用或現(xiàn)場(chǎng)故障單元的百分比返回給他們進(jìn)行分析沒(méi)有足夠的了解。

軟件

所有軟件錯(cuò)誤都是系統(tǒng)性的，因?yàn)檐浖粫?huì)老化。因此，任何片上軟件都應(yīng)考慮IEC 61508-3的要求。通常，片上軟件可能包括微控制器/DSP上的內(nèi)核/引導(dǎo)加載程序。但是，在某些情況下，微控制器/DSP可能包含由IC制造商預(yù)編程的小型微控制器，以實(shí)現(xiàn)邏輯塊而不是使用狀態(tài)機(jī)。該預(yù)編程微控制器軟件還需要滿足IEC 61508-3的要求。應(yīng)用級(jí)軟件通常由模塊/系統(tǒng)設(shè)計(jì)人員負(fù)責(zé)，而不是IC制造商，但I(xiàn)C供應(yīng)商可能需要提供編譯器或低級(jí)驅(qū)動(dòng)程序等工具。如果這些工具用于開(kāi)發(fā)安全相關(guān)應(yīng)用軟件，則IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3：2010條款7.4.4中的工具要求。

作者還用C和許多其他編程語(yǔ)言編程。他做了有限數(shù)量的Verilog編程。Verilog及其姊妹VHDL是用于設(shè)計(jì)數(shù)字集成電路的兩種HDL（硬件定義語(yǔ)言）的例子。關(guān)于HDL是否是軟件的問(wèn)題是一個(gè)有趣的問(wèn)題，但目前遵循IEC 61508-2：2010附錄F就足夠了。在實(shí)踐中，作者發(fā)現(xiàn)，如果遵循附錄F，那么結(jié)合IEC 61508的其他要求（生命周期階段等），HDL是否被視為軟件并不重要，因?yàn)殚_(kāi)發(fā)人員最終仍然完成所有必需的任務(wù)。一個(gè)相關(guān)的有趣標(biāo)準(zhǔn)是IEC 62566，2它涉及使用HDL開(kāi)發(fā)的核工業(yè)安全功能。

要求 2 — 本質(zhì)上是可靠的

IEC 61508以PFH（每小時(shí)危險(xiǎn)故障的平均頻率）或PFD（按需故障概率）的形式提出了可靠性要求。這些限制與成年人死于自然原因的風(fēng)險(xiǎn)以及上班或日常業(yè)務(wù)的想法有關(guān)，不應(yīng)該顯著增加這一點(diǎn)。SIL 3 安全功能的最大 PFH 為 10–7/h 或大約每 1000 年一次的危險(xiǎn)故障率。表示為 FIT（時(shí)間故障/每十億小時(shí)運(yùn)行故障），這是 100 FIT。

鑒于典型的安全功能具有輸入模塊、邏輯模塊和執(zhí)行器模塊，并且PFH預(yù)算必須在所有三個(gè)模塊之間分配，因此給定IC的PFH完全有可能為個(gè)位數(shù)（<10 FIT）。冗余體系結(jié)構(gòu)可用于允許更高的數(shù)字，以便兩個(gè) 100 FIT 的項(xiàng)目可以為一個(gè)具有 10 FIT 可靠性的項(xiàng)目提供等效的置信度，受 CCF（常見(jiàn)原因故障）問(wèn)題的限制。但是，冗余會(huì)消耗大量空間和能源，并增加成本。

ADI公司等IC制造商根據(jù)加速壽命測(cè)試，為 analog.com/reliabilitydata 等站點(diǎn)上發(fā)布的所有IC提供可靠性信息。這有時(shí)是不受歡迎的，因?yàn)榭煽啃栽u(píng)估是在實(shí)驗(yàn)室中人工條件下完成的。相反，使用行業(yè)標(biāo)準(zhǔn)，如SN 295003或 IEC 623804是推薦的。但是，這些標(biāo)準(zhǔn)存在許多問(wèn)題：

他們預(yù)測(cè)99%置信水平的可靠性，IEC 61508只需要70%置信水平的數(shù)據(jù)，因此標(biāo)準(zhǔn)是悲觀的。

它們混合了隨機(jī)和系統(tǒng)故障模式。這些在IEC 61508下應(yīng)以不同的方式處理。

它們不經(jīng)常更新。

他們不考慮供應(yīng)商之間的質(zhì)量差異。

SN 29500等標(biāo)準(zhǔn)確實(shí)證明了片上晶體管的可靠性。如果使用兩個(gè) 500k 晶體管的 IC 來(lái)實(shí)現(xiàn)安全功能，則它們的 FIT 分別為 70，總系統(tǒng) FIT 為 140。但是，如果將兩個(gè)IC替換為一個(gè)100萬(wàn)個(gè)晶體管的IC，則該IC的FIT僅為80，減少了40%以上。

軟錯(cuò)誤在IC中經(jīng)常被忽略。軟誤差與傳統(tǒng)的可靠性預(yù)測(cè)不同，因?yàn)橐坏?a target="_blank">電源循環(huán)，軟誤差就會(huì)消失。它們是由來(lái)自太空的中子粒子或來(lái)自封裝材料的α粒子撞擊片上RAM單元或觸發(fā)器（FF）并改變存儲(chǔ)值引起的。ECC（雙比特錯(cuò)誤檢測(cè)和單比特糾錯(cuò)）可用于檢測(cè)和無(wú)縫糾正RAM中的錯(cuò)誤，但代價(jià)是速度降低和片上誤差增加。奇偶校驗(yàn)增加了較少的開(kāi)銷，但讓系統(tǒng)設(shè)計(jì)人員解決錯(cuò)誤恢復(fù)問(wèn)題。如果不使用奇偶校驗(yàn)或 ECC 技術(shù)，軟錯(cuò)誤率可能會(huì)比傳統(tǒng)硬錯(cuò)誤率高出 1000 倍（IEC 61508 為 RAM 提供了 1000 FIT/MB 的數(shù)字）。可用于解決用于實(shí)現(xiàn)邏輯電路的FF中的軟錯(cuò)誤的技術(shù)（觸發(fā)器）并不令人滿意，但看門狗定時(shí)器、計(jì)算中的時(shí)間冗余和其他技術(shù)可以提供幫助。

要求 3 - 容錯(cuò)

無(wú)論產(chǎn)品多么可靠，有時(shí)仍然會(huì)發(fā)生壞事。容錯(cuò)接受這一現(xiàn)實(shí)，然后解決它。容錯(cuò)有兩個(gè)主要元素。一個(gè)是使用冗余，另一個(gè)是使用診斷。雙方都承認(rèn)，無(wú)論IC的可靠性或用于開(kāi)發(fā)IC的開(kāi)發(fā)過(guò)程有多好，都會(huì)發(fā)生故障。

冗余可以是相同的，也可以是不同的，它可以是片上或片外的。IEC 61508-2：2010的附錄E提供了一套技術(shù)，以證明已采取足夠的措施來(lái)支持使用非多樣性冗余的數(shù)字電路中的片上冗余聲明。附錄E似乎針對(duì)的是雙鎖步微控制器，并且沒(méi)有針對(duì)片上獨(dú)立性提供指導(dǎo)。

模擬和混合信號(hào)集成電路

在項(xiàng)目及其片上診斷之間

采用多種冗余的數(shù)字電路

然而，在某些情況下，可以對(duì)這些情況對(duì)附件E進(jìn)行明智的解釋。附件E中一個(gè)有趣的項(xiàng)目是β集成電路計(jì)算，這是片上常見(jiàn)原因故障的度量。如果常見(jiàn)原因故障的來(lái)源β小于 25%，則允許判斷充分分離，這與 IEC 61508-6：2010 表中的 1%、5% 或 10% 相比更高。

診斷是集成電路真正可以大放異彩的領(lǐng)域。片上診斷可以

設(shè)計(jì)為適合片上模塊的預(yù)期故障模式

由于對(duì)外部引腳的要求有限，因此不增加PCB空間

以高速率運(yùn)行（最小診斷測(cè)試間隔）

通過(guò)比較消除對(duì)冗余組件實(shí)施診斷的需要

這意味著片上診斷可以最大限度地降低系統(tǒng)成本和面積。通常，診斷程序與他們?cè)谄媳O(jiān)控的項(xiàng)目是多種多樣的（不同的實(shí)現(xiàn)），因此它們不太可能以與正在監(jiān)控的項(xiàng)目相同的方式和同時(shí)失敗。當(dāng)他們這樣做時(shí)，即使診斷是在單獨(dú)的芯片中實(shí)現(xiàn)的，他們也可能會(huì)出現(xiàn)相同的問(wèn)題（通常與EMC、電源問(wèn)題和過(guò)熱有關(guān)）。雖然該標(biāo)準(zhǔn)不包含該要求，但存在與使用片上電源監(jiān)視器和看門狗電路相關(guān)的問(wèn)題，這是最后的診斷手段。一些外部評(píng)估人員會(huì)堅(jiān)持認(rèn)為這種診斷是片外的。

通常，簡(jiǎn)單集成電路的診斷將由遠(yuǎn)程微控制器/DSP控制，測(cè)量在片內(nèi)完成，但結(jié)果在片外發(fā)送進(jìn)行處理。

IEC 61508 要求以 SFF（安全故障分?jǐn)?shù)）給出的最低診斷覆蓋率，SFF 考慮了安全和危險(xiǎn)的故障，與忽略安全故障的 DC（診斷覆蓋率）相關(guān)但不同。使用量化的FMEA或FMEDA可以衡量所實(shí)施診斷的成功。但是，在IC內(nèi)實(shí)現(xiàn)的診斷也可以涵蓋IC外部的組件，并且IC中的項(xiàng)目也可以由系統(tǒng)級(jí)診斷程序覆蓋。當(dāng)IC開(kāi)發(fā)人員執(zhí)行FMEDA時(shí)，必須假設(shè)IC開(kāi)發(fā)人員通常不知道最終應(yīng)用的細(xì)節(jié)。在ISO 26262術(shù)語(yǔ)中，這被稱為SEooC（脫離上下文的安全元件）。對(duì)于使用IC級(jí)FMEDA的最終用戶，他們必須確信這些假設(shè)仍然適用于他們的系統(tǒng)。

雖然IEC 61508-2：2010的表A.1（實(shí)際上是表A.2至A.14）對(duì)分析IC時(shí)應(yīng)考慮的IC故障提供了很好的指導(dǎo)，但I(xiàn)EC 60730：2010的附錄H中對(duì)該主題進(jìn)行了更好的討論。5

集成電路的開(kāi)發(fā)選項(xiàng)

開(kāi)發(fā)用于功能安全系統(tǒng)的集成電路有多種選擇。標(biāo)準(zhǔn)中沒(méi)有要求只使用兼容的集成電路，而是要求模塊或系統(tǒng)設(shè)計(jì)人員確信所選集成電路適合在其系統(tǒng)中使用。

可用選項(xiàng)包括

通過(guò)外部評(píng)估和安全手冊(cè)完全符合IEC 61508進(jìn)行開(kāi)發(fā)

開(kāi)發(fā)符合IEC 61508標(biāo)準(zhǔn)，無(wú)需外部評(píng)估和安全手冊(cè)

按照半導(dǎo)體公司的標(biāo)準(zhǔn)開(kāi)發(fā)流程進(jìn)行開(kāi)發(fā)，但發(fā)布安全數(shù)據(jù)表

按照半導(dǎo)體公司的標(biāo)準(zhǔn)流程進(jìn)行開(kāi)發(fā)

注意—對(duì)于未按照IEC 61508開(kāi)發(fā)的部件，安全手冊(cè)可以稱為安全數(shù)據(jù)表或類似名稱，以避免與根據(jù)安全手冊(cè)開(kāi)發(fā)的部件混淆。

選項(xiàng)1是半導(dǎo)體制造商最昂貴的選擇，但也有可能對(duì)模塊或系統(tǒng)設(shè)計(jì)人員最有利。擁有這樣的組件，其中集成電路安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配，可以降低模塊或系統(tǒng)外部評(píng)估遇到問(wèn)題的風(fēng)險(xiǎn)。SIL 2安全功能的額外設(shè)計(jì)工作量可能達(dá)到20%或更多。額外的努力可能會(huì)更高，除了半導(dǎo)體制造商通常已經(jīng)暗示了嚴(yán)格的開(kāi)發(fā)過(guò)程，即使沒(méi)有功能安全。

備選方案2節(jié)省了外部評(píng)估的費(fèi)用，但除此之外，影響是相同的。此選項(xiàng)適用于客戶無(wú)論如何都要獲得外部認(rèn)證的模塊/系統(tǒng)，并且集成電路是該系統(tǒng)的重要組成部分。

選項(xiàng) 3 最適合已發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以讓模塊或系統(tǒng)設(shè)計(jì)人員訪問(wèn)他們?cè)诟呒?jí)別的安全設(shè)計(jì)所需的額外信息。這包括所使用的實(shí)際開(kāi)發(fā)過(guò)程的詳細(xì)信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細(xì)信息以及制造現(xiàn)場(chǎng)的ISO 9001認(rèn)證證據(jù)等信息。

然而，備選方案4仍將是開(kāi)發(fā)集成電路的最常見(jiàn)方式。使用此類組件開(kāi)發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計(jì)費(fèi)用，因?yàn)檫@些組件沒(méi)有足夠的診斷功能，需要雙通道架構(gòu)與單通道架構(gòu)進(jìn)行比較。如果沒(méi)有安全數(shù)據(jù)手冊(cè)，模塊/系統(tǒng)設(shè)計(jì)人員還需要做出保守的假設(shè)，并將集成電路視為黑匣子。

此外，半導(dǎo)體公司需要制定自己的標(biāo)準(zhǔn)解釋，作者自己的公司為此目的開(kāi)發(fā)了內(nèi)部文檔ADI61508和ADI26262。ADI61508采用IEC 61508：2010的七個(gè)部分，并從集成電路開(kāi)發(fā)的角度解釋要求。

A SIL 2/ 3 開(kāi)發(fā)

有時(shí)，可以根據(jù)SIL 3的所有系統(tǒng)要求開(kāi)發(fā)集成電路。這意味著遵守IEC 61508-2：2010表F.1中針對(duì)SIL 3的所有相關(guān)項(xiàng)目，并且所有設(shè)計(jì)審查和其他分析都按照SIL 3級(jí)別進(jìn)行。但是，硬件指標(biāo)可能只夠 SIL 2。這種電路可以識(shí)別為SIL 2/3或更典型的SIL M/N，其中M表示可以根據(jù)硬件指標(biāo)聲明的最大SIL級(jí)別，N表示可以根據(jù)系統(tǒng)要求聲明的最大SIL級(jí)別。兩個(gè) SIL 2/3 集成電路可用于實(shí)現(xiàn) SIL 3 模塊或系統(tǒng)，因?yàn)椴⑿惺褂脙蓚€(gè) SIL 2 項(xiàng)目在硬件指標(biāo)方面將組合升級(jí)到 SIL 3，但就系統(tǒng)要求而言，每個(gè)項(xiàng)目都已經(jīng)達(dá)到 SIL 3。相反，如果集成電路只是SIL 2/2，將兩個(gè)這樣的集成電路并聯(lián)仍然不會(huì)使其成為SIL 3，因?yàn)樗淦淞渴荢IL 3/2。

將硬件指標(biāo)應(yīng)用于集成電路

除了幾乎所有安全功能都由集成電路實(shí)現(xiàn)的情況外，很難指定半導(dǎo)體的SFF、DC或PFH限制。以SFF為例，雖然SIL 3的SFF要求大于99%，但這適用于整個(gè)安全功能，而不是集成電路。如果集成電路的使用率為98%，它仍然可用于實(shí)現(xiàn)SIL 3安全功能，但系統(tǒng)的其他部分將需要實(shí)現(xiàn)更高的覆蓋范圍來(lái)補(bǔ)償。集成電路的安全手冊(cè)或安全數(shù)據(jù)表需要公布λDD, λ都和 λ 用于系統(tǒng)級(jí) FMEDA。

理想情況下，IC要求將用于系統(tǒng)級(jí)分析，但通常情況并非如此，開(kāi)發(fā)實(shí)際上是SEooC（參見(jiàn)ISO 26262）或脫離上下文的安全元件。對(duì)于 SEooC，IC 開(kāi)發(fā)人員需要假設(shè) IC 將在系統(tǒng)中的使用方式。然后，系統(tǒng)或模塊設(shè)計(jì)人員必須將這些假設(shè)與其實(shí)際系統(tǒng)進(jìn)行比較，以查看IC的功能安全性是否足以滿足其系統(tǒng)的需求。這些假設(shè)可以決定診斷是在IC上還是在系統(tǒng)級(jí)實(shí)施，從而影響IC級(jí)的特性和功能。

安全

除非系統(tǒng)也是安全的，否則它不可能是安全的。目前，IEC 61508或ISO 26262中與安全性相關(guān)的唯一指南是將讀者參考IEC 62443系列.6但是，IEC 62443似乎更針對(duì)較大的組件，例如整個(gè)PLC組件，而不是單個(gè)IC。好消息是，功能安全標(biāo)準(zhǔn)中消除系統(tǒng)故障的大多數(shù)要求也適用于安全性。缺少任何參考很有趣，因?yàn)樵谀承┣闆r下，硬件可以提供硬件信任根和 PUF（物理上不可克隆的功能）等功能，這對(duì)于安全和安保非常重要。

結(jié)論

現(xiàn)有的IEC 61508涵蓋了從開(kāi)發(fā)集成電路到煉油廠的所有內(nèi)容。雖然機(jī)械和過(guò)程控制等領(lǐng)域有專門的行業(yè)特定標(biāo)準(zhǔn)，雖然IEC 61508修訂版二中有一些針對(duì)集成電路的指導(dǎo)，但沒(méi)有特定于集成電路的標(biāo)準(zhǔn)。由于缺乏具體要求，要求可以解釋，因此多個(gè)客戶的期望和外部評(píng)估者之間可能會(huì)出現(xiàn)沖突。

審核編輯：郭婷