集成电路的功能安全

---

Typically,集成电路是IEC 61508或ISO 26262开发的。此外,还有有时额外的需求水平两个和三个标准水平。开发和评估功能安全标准是给的信心,这些有时候复杂的集成电路是足够安全的。IEC 61508是针对定制系统,而不是公开市场大规模生产集成电路。

本文将回顾和评论的功能安全要求集成电路。而本文主要介绍IEC 61508及其在工业领域中的应用,大部分的材料相关的应用,如汽车、航空电子和医疗。

功能安全

功能安全是安全处理的信心,系统将执行其安全在需要时相关的任务。功能安全是不同于其他被动形式的安全等电气安全、机械安全、或内在的安全。

功能安全是一个活跃的形式的安全;例如,它给了信心,电动机将很快关闭足以阻止伤害操作员打开一个保安门或机器人将运行在一个附近的人类时降低速度和力量。

标准

关键功能安全标准IEC 61508.1这个标准是在1998年出版的第一修订本和修正两个出版于2010年,从2017年开始合作,更新修订三个可能的竣工日期为2022。IEC 61508的第一版出版后1998年,IEC 61508标准基本已经适应领域如汽车(ISO 26262)、过程控制(IEC 61511), PLC (IEC 61131 - 6), IEC 62061(机械),变速驱动器(IEC 61800-5-2),和许多其他领域。这些其他标准帮助解释的非常广泛的IEC 61508的范围更为有限的领域。

等一些功能安全标准ISO 13849和d0 - 178 / d0 - 254没有来自IEC 61508。然而,任何人都熟悉这些标准IEC 61508和阅读内容不会太惊讶。

在安全系统中,它是安全的函数执行的关键系统运行时功能安全活动。安全函数定义了一个操作,必须达到或维持安全进行。一个典型的安全函数包含一个输入子系统,逻辑子系统,子系统和一个输出。通常,这意味着一个潜在的不安全状态是感觉到,和作出决定的东西感觉值,如果认为有潜在危险,指示输出子系统的系统定义的安全状态。

而是留给应用程序(如核和铁路,成百上千的人可以伤害。还有其他功能安全标准,如汽车,它使用ASIL(汽车安全完整性水平)A, B, C, D和ISO 13849。其性能水平a, b, c, d, e可以映射到SIL 1 SIL 3规模。

作者并不认为索赔大于SIL 3为单个集成电路是可行的。然而,指出表在附件F (IEC 61508 - 2:2010 SIL 4列。

要求3就是容错

无论多么可靠的产品,有时还会发生糟糕的事情。容错接受这一现实,然后地址。容错有两个主要元素。一个是使用冗余和另一个是使用诊断。都接受,失败会发生无论多么好的ICs的可靠性或IC的开发过程用于开发。

冗余可以相同或不同的,它可以在芯片上或片外。附件E的IEC 61508 - 2:2010提供一组技术来证明已经采取了足够的措施来支持申请芯片上的冗余在数字电路使用nondiverse冗余。附录E似乎是针对双同步微控制器为芯片上独立,没有给出指导

模拟和混合信号集成电路

之间的一个项目及其芯片上的诊断

数字电路采用不同的冗余

但是,在某些情况下附件E可以智能地解释这些情况。一个有趣的项目在附件E是βIC计算,这是一个衡量片上失败的常见原因。它允许足够的分离提供了判断来源的常见原因失败代表β小于25%,相比高1%,5%或10%的表中找到IEC 61508 - 6:2010。BOB中国官方登录入口

诊断是在这一领域集成电路可以发光。芯片上的诊断可以

被设计来满足预期的失效模式的芯片上的块

添加没有PCB空间有限,要求外部引脚

经营高速率(最小诊断测试间隔时间)

消除冗余组件需要实现诊断相比之下BOB中国官方登录入口

这意味着芯片上的诊断可以减少系统成本和区域。一般诊断是不同(不同实现)项目他们监控芯片上,因此不太可能以同样的方式将会失败,同时监测的项目。当他们这样做了,很可能他们会有相同的问题(通常与EMC,电源问题,和温度)即使诊断中实现一个单独的芯片。而标准不包含需求,有人担心有关使用片上电源监控和看门狗电路,最后的诊断。一些外部评估员将坚持这样的诊断芯片外。

一般来说,简单的集成电路的诊断将由远程控制单片机测量/ DSP芯片上完成但结果运片外进行处理。

IEC 61508需要最低限度的诊断覆盖率作为设定触发器(安全失败分数),认为安全的和危险的失败和相关但不同直流(诊断覆盖率),而忽略了安全故障。成功的测量实现的诊断能够使用量化FMEA或FMEDA计量。然而,诊断中实现一个集成电路还可以覆盖组件的外部集成电路和集成电路内物品可以由系统级诊断。当IC开发人员执行FMEDA,假设必须考虑到IC开发人员通常不知道最终的应用程序的细节。在ISO 26262的术语,这被称为一个SEooC(安全元素的上下文)。对最终用户来说,利用IC-level FMEDA,他们必须满足自己的假设仍然保持他们的系统。

而表a . 1(实际上表a A.14)的IEC 61508 - 2:2010给好指导时应考虑的集成电路故障分析集成电路,给出一个更好的讨论话题IEC 60730:2010.5附件H

集成电路的开发选项

有几个选项,开发集成电路中使用的功能安全系统。没有要求在标准只有使用兼容的集成电路,而是模块或系统设计师的要求是满足自己的选择集成电路适用于他们的系统。

可用的选项包括

• 发展中完全符合IEC 61508与外部评估和安全手册
• 发展符合IEC 61508没有外部评估和安全手册
• 发展半导体公司的标准开发过程但发布安全数据表
• 发展半导体公司的标准流程
• 写给不发达IEC 61508,部分安全手册可能称为安全数据表或类似于避免混淆与部分发达遵从安全手册。

选项1是最昂贵的选项为半导体制造商,但也提供了潜在的最有利于模块或系统设计师。拥有这样一个组件的应用程序所示安全概念集成电路系统的匹配,可以减少遇到的风险问题的外部评估模块或系统。SIL 2安全函数的额外设计工作可以的20%或更多。额外的努力可能会更高,除了半导体制造商通常已经暗示一个严格的开发过程即使没有功能安全。

选项2节省成本的外部评估但除此之外的影响是相同的。这个选项可以合适,顾客会得到模块/系统外部认证,集成电路是系统的重要组成部分。

选项3最适合已经发布的集成电路,提供安全数据表可以给模块或系统设计师获得额外的信息,他们需要更高层次的安全设计。这些信息包括所使用的实际开发过程的细节,满足数据集成电路,细节的任何诊断,ISO 9001认证的生产地点的证据。

但是,选项4将仍是最常见的方式来开发集成电路。使用这样的组件来开发安全模块或系统将需要额外的组件和模块/系统设计费用,因为组件将没有足够的诊断需要双通道结构与比较相对于单通道的结构。BOB中国官方登录入口没有安全数据表,该模块/系统设计师还需要让保守的假设,将集成电路作为一个黑盒子。

此外,半导体公司需要开发自己的理解的标准和作者自己的公司内部文件ADI61508发展,为此ADI26262。ADI61508以IEC 61508:2010和解释的七个部分集成电路发展的需求。

SIL 2/3的开发

有时可以开发一个集成电路每SIL 3所有的系统需求。这意味着所有的相关项目表的IEC 61508 - 2:2010 F.1 SIL 3是观察到,所有的设计评审和其他分析完成SIL 3水平。然而,硬件指标可能只是好SIL 2。这种电路可以标识为SIL 2/3或更多通常SIL M / N,其中M表示最大SIL水平可以声称的硬件指标和N的最大SIL水平可以声称的系统需求。两个SIL 2/3集成电路可用于实现SIL 3模块或系统,因为有两个SIL 2项并行升级SIL 3方面的硬件指标组合,但每一项已经在SIL 3的系统需求。如果相反,集成电路只SIL 2/2,把两个这样的并行集成电路仍然不能让它SIL 3,因为它将SIL 3/2最好的。