來源：羅姆半導(dǎo)體社區(qū)

集成電路(IC)是所有現(xiàn)代安全系統(tǒng)的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅(qū)動最終元件以實(shí)現(xiàn)安全狀態(tài)，它們是軟件運(yùn)行的平臺。半導(dǎo)體內(nèi)部的高集成度可以簡化系統(tǒng)級實(shí)現(xiàn)，其代價(jià)是IC內(nèi)部復(fù)雜性增加。

這種集成會減少器件數(shù)量，改善系統(tǒng)可靠性，并為提高診斷覆蓋率和縮短診斷測試間隔創(chuàng)造機(jī)會——所有這些都是以安全性適中為代價(jià)的。有人可能會認(rèn)為，由于復(fù)雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復(fù)雜性提高，但在模塊和系統(tǒng)層面上可以大大簡化。令人吃驚的是，過程控制、機(jī)械、電梯、變速驅(qū)動器和有毒氣體傳感器都有相應(yīng)的功能安全標(biāo)準(zhǔn)，但關(guān)于集成電路卻沒有專門的功能安全標(biāo)準(zhǔn)。相反，相關(guān)要求和知識是零散地分布在IEC 61508和其他B級、C級標(biāo)準(zhǔn)中。本文為解讀現(xiàn)有半導(dǎo)體功能安全標(biāo)準(zhǔn)提供指導(dǎo)。

簡介

通常，集成電路按照IEC 61508或ISO 26262標(biāo)準(zhǔn)進(jìn)行開發(fā)。另外，二級和三級標(biāo)準(zhǔn)中有時還會有其他要求。只有按照功能安全標(biāo)準(zhǔn)進(jìn)行開發(fā)和評估，才能讓人放心這些復(fù)雜的集成電路足夠安全。當(dāng)編寫IEC 61508時，其針對的是定制系統(tǒng)，而不是開放市場批量生產(chǎn)的集成電路。本文將回顧并評論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業(yè)領(lǐng)域的應(yīng)用，但很多內(nèi)容都與汽車、航空電子和醫(yī)療等應(yīng)用有關(guān)。

功能安全

功能安全是安全性的一部分，與系統(tǒng)在需要的時候是否有把握執(zhí)行安全相關(guān)任務(wù)有關(guān) 。功能安全不同于其他被動形式的安全，如電氣安全、機(jī)械安全或本質(zhì)安全。

功能安全是一種主動形式的安全。例如，它能確保馬達(dá)以足夠快的速度關(guān)閉，防止對打開防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時，機(jī)器人會降低運(yùn)行的速度和力度。

標(biāo)準(zhǔn)

主要功能安全標(biāo)準(zhǔn)是IEC 61508 1。該標(biāo)準(zhǔn)的第一版于1998年出版，第二版于2010年出版，并于2017年開始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來，基本IEC 61508標(biāo)準(zhǔn)已針對不同領(lǐng)域進(jìn)行適應(yīng)性修改，例如汽車(ISO 26262)、過程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機(jī)械）、變速驅(qū)動器(IEC 61800-5-2)以及其他許多領(lǐng)域。此類標(biāo)準(zhǔn)有助于對非常寬泛的IEC 61508進(jìn)行解釋以便用于這些受到更大限制的領(lǐng)域。

一些功能安全標(biāo)準(zhǔn)，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標(biāo)準(zhǔn)的人都不會對其內(nèi)容感到過于吃驚。

在安全系統(tǒng)內(nèi)，當(dāng)系統(tǒng)運(yùn)行時，執(zhí)行關(guān)鍵功能安全活動的是安全功能。安全功能定義了實(shí)現(xiàn)或保持安全所必須執(zhí)行的操作。典型的安全功能包含輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著對潛在的不安全狀態(tài)進(jìn)行檢測，并且基于檢測到的值做出決定，如果認(rèn)為有潛在危險(xiǎn)，則指示輸出子系統(tǒng)將系統(tǒng)置于已定義的安全狀態(tài)。

不安全狀態(tài)存在到實(shí)現(xiàn)安全狀態(tài)的時間至關(guān)重要 。例如，安全功能可能包括如下器件：一個傳感器用來檢測機(jī)器上的防護(hù)裝置是否打開，一個PLC用來處理數(shù)據(jù)，以及一個具有安全扭矩關(guān)閉輸入的變速驅(qū)動器，它在插入機(jī)器中的手可能接近運(yùn)動部件之前關(guān)閉電機(jī)。

安全完整性等級

SIL代表安全完整性等級，是表示需要將風(fēng)險(xiǎn)降至何種程度才能達(dá)到可接受水平的手段。根據(jù)IEC 61508標(biāo)準(zhǔn)，安全等級有1、2、3、4四級，從一個級別到下一個級別，安全性會提高一個數(shù)量級。機(jī)器和工廠自動化場景中不會看到SIL 4，因?yàn)橐话闱闆r下，這種場合中遭受危險(xiǎn)的人員通常不會超過一個。SIL 4針對的是數(shù)百甚至數(shù)千人可能受到傷害的核能和鐵路等應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車使用ASIL（汽車安全完整性等級）A、B、C和D，以及ISO 13849標(biāo)準(zhǔn)。其性能等級a、b、c、d和e可以對應(yīng)到SIL 1至SIL 3尺度。

審核編輯黃昊宇