浅谈集成电路的功能安全.docVIP

浅谈集成电路的功能安全 摘要 集成电路 （ IC） 是所有现代安全系统的根本。集成电路提供逻辑，控制 传感器，从很大程度上看，其本身就是传感器。集成电路驱动最终元件以实现安全状态，它们是软件运行的平台。 半导体内部的高集成度可以简化系统级实现，其代价是IC内部复杂性增加。这种集成会减少器件数量，改善系统可靠性，并为提高诊断覆盖率和缩短诊断测试间隔创造机会——所有这些都是以安全性适中为代价的 ［NK1］ 。有人可能会认为，由于复杂性增加，这种高集成度是一件坏事。然而，虽然集成电路复杂性提高，但在模块和系统层面上可以大大简化。令人吃惊的是，过程控制、 机械、电梯、变速 驱动器和有毒气体传感器都有相应的功能安全标准，但关于集成电路却没有专门的功能安全标准。相反，相关要求和知识是零散地分布在IEC 61508和其他B级、C级标准中。本文为解读现有半导体功能安全标准提供指导。 简介 通常，集成电路按照 IEC 61508 或 ISO 26262 标准进行开发。另外，二级和三级标准中有时还会有其他要求。只有按照功能安全标准进行开发和评估，才能让人放心这些复杂的集成电路足够安全。当编写 IEC 61508 时，其针对的是定制系统，而不是开放市场批量生产的集成电路。本文将回顾并评论集成电路的已知功能安全要求。虽然本文集中讨论 IEC 61508 及其在 工业领域的应用，但很多内容都与汽车、航空 电子和医疗等应用有关。 功能安全 功能安全是安全性的一部分，与系统在需要的时候是否有把握执行安全相关任务有关 ［NK2］ 。功能安全不同于其他被动形式的安全，如 电气安全、机械安全或本质安全。 功能安全是一种主动形式的安全。例如，它能确保马达以足够快的速度关闭，防止对打开防护门的操作员造成伤害，或者当有人在附近时， 机器人会降低运行的速度和力度。 标准 主要功能安全标准是 IEC 61508 1。该标准的第一版于 1998 年出版，第二版于 2010 年出版，并于 2017 年开始更新至第三版的工作，可能的完成日期是在 2022 年。自从 1998 年公布 IEC 61508 第一版以来，基本 IEC 61508 标准已针对不同领域进行适应性修改，例如汽车 （ISO 26262）、过程控制 （IEC 61511）、 PLC （IEC 61131-6）、IEC 62061 （机械）、变速驱动器 （IEC 61800-5-2） 以及其他许多领域。此类标准有助于对非常宽泛的 IEC 61508 进行解释以便用于这些受到更大限制的领域。 一些功能安全标准，例如 ISO 13849 和 D0-178/D0-254，并非衍生自 IEC 61508。尽管如此，任何熟悉 IEC 61508 并阅读这些标准的人都不会对其内容感到过于吃惊。 在安全系统内，当系统运行时，执行关键功能安全活动的是安全功能。安全功能定义了实现或保持安全所必须执行的操作。典型的安全功能包含输入子系统、逻辑子系统和输出子系统。通常，这意味着对潜在的不安全状态进行 检测，并且基于检测到的值做出决定，如果认为有潜在危险 ［NK3］ ，则指示输出子系统将系统置于已定义的安全状态。 图 1.功能安全标准示例。 不安全状态存在到实现安全状态的时间至关重要 ［NK4］ 。例如，安全功能可能包括如下器件：一个传感器用来检测机器上的防护装置是否打开，一个 PLC 用来处理数据，以及一个具有安全扭矩关闭输入的变速驱动器，它在 ［NK5］ 插入机器中的手可能接近运动部件之前关闭 电机。 安全完整性等级 SIL 代表安全完整性等级，是表示需要将风险降至何种程度才能达到可接受水平的手段。根据 IEC 61508 标准，安全等级有 1、2、3、4 四级，从一个级别到下一个级别，安全性会提高一个数量级。机器和工厂自动化场景中不会看到 SIL 4，因为一般情况下，这种场合中遭受危险的人员通常不会超过一个。SIL 4 针对的是数百甚至数千人可能受到伤害的核能和铁路等应用。还有其他功能安全标准，例如汽车使用 ASIL（汽车安全完整性等级） A、B、C 和 D，以及 ISO 13849 标准。其性能等级 a、b、c、d 和 e 可以对应到 SIL 1 至 SIL 3 尺度。 表 1.各应用领域安全等级的粗略对应 笔者不相信单个 IC 可能有超过 SIL 3 的安全水平。但值得注意的是，IEC 61508-2:2010 附录 F 中的表格显示了一个 SIL 4 列。 三项关键要求 功能安全对 IC 开发提出了三项关键要求。下面研究这些要求。 要求 1—遵循严格的开发流程 IEC 61508 是一个全生命周期模型，涵盖了从安全概念到需求采集、维护，直至最终物料处理 ［NK6］ 的所