作者:Tom.meany,ADI功能安全工程师
IEC 61508:2010中一些最重要的半导体信息载于第2部分附录E中。本附录已列入2010版本标准,并将在2021/22期限内修订第3版。
附录是规范性文档,因为它载有要求(与仅包含有关如何解释或应用标准正文的指导的参考性文档相反)。
附录E具体摘自IEC 61508-2:2010第7.4.2.2条,该条款在b)点中指出“IC对片内冗余的特殊要求(见附录E),在适当的情况下,除非有理由证明不同通道之间的独立性是通过采用一组不同的措施来实现的”。可能采用一组替代技术这一事实使附录E的规范性在一定程度上受到质疑!然而,即使采用替代技术,附录E中的个别建议也是不错的。
附录上的一些重要限制:
1.仅限于SIL 3(两个SIL 2通道)
2.仅限于数字IC,它指出,“对于混合模式和模拟IC,目前还无法提供一般要求”。
3.它涵盖冗余通道之间的独立性,但没有关于项目及其诊断之间的独立性的指导
4.更有争议的是,它指出“片内冗余意味着功能单元的成倍重复(或三倍重复)”。
5.它只涵盖“使用一个IC半导体”基板实现的项目。
关于第4项的一种观点是,作者指的“复制”是任何形式的片内冗余,而另一种解释是,在假定“复制”是指字典中所述的相同冗余的前提下达成了共识。就我个人而言,我不确定这是否重要,因为正如我前面所说,第7.4.2.2条允许使用一组替代技术,而对多样性的要求将是其中一项技术,当然,附录E中的技术可以增强多样性。
第E.1条列出了17项要求,并规定a)至q)的所有17项要求均应得到满足。这些要求包括:
采取措施防止因温度升高而导致的常见故障
分离片内块,包括分离引脚输出(包括不使用单一扫描链)
计算设计的βIC以替换用于计算PFH和PFD的正常β
每个通道最少涵盖60%诊断
如果组合片内通道寻求实现SIL 3 (2XSIL2),则第E.2条中还给出了两个要求:
考虑环境因素
实现或维持安全状态的外部方式
第E.3条解释了如何计算βIC,然后使用βIC代替β计算可靠性指标。第E.3条提出片内冗余要求,最大允许βIC为0.25,在我看来这个限值很大。通常,标准中其他地方使用的β值在1到10%之间。
达到βIC值的过程从假定 βIC为33%开始,然后根据表E.1和E.2中提供的技术和措施增减 此数值。片内冗余要求需要计算得出的<25%的βIC。关于该主题的一篇有趣的论文是“根据标准IEC 61508设计和实施片内安全控制器”,且表1显示了βIC的计算示例。在进行计算时,使用多样性的值为6%,附加安全系数的EMC测试值为5%,两个通道之间的温度传感器具有快速关闭时间的测试值为9%。
ADI公司能够说明这些问题的两个IC为AD7902/3和ADSP-CM417F。AD7902/03在单个封装中有两个基于1MSPS SAR的16位ADC。附录E不适用,因为封装中有两个单独芯片。因此,在提出冗余要求时,使用带有两个芯片的单个封装应该没有特别的困难要克服。
另一个有趣的芯片是ADSP-CM417F,这是片内ADC可用于每个uC的双核uC。我将在以后的博客中专门讨论这些部分,但现在应该可以说,对于片内ARM Cortex M0和片内ARM Cortex M4,这不是重复,而是不同的冗余。
IEC TC65/SC 65A/MT 61508-1/2委员会收到了有关附录E的一些意见,可能会针对IEC 61508的第3版进行更改。未来可能需要改变以下几方面:
* 扩展到包括混合信号和模拟IC
* 澄清重复是否仅指相同的冗余
* 使用DFA(相关失效分析)迁移至更像ISO 26262-11:2018中的系统
* 冗余安全开关防止了一场灾难。即使部署了3或4个冗余安全机制,安全工程师仍然可以声称自部署第4个安全机制以来取得了成功!!
本文转自:【工程师博客】附录E – 片内冗余要求