集成电路(IC)是所有现代安全系统的根本。集成电路提供逻辑并控制传感器,或者越来越多的是传感器。集成电路驱动最终元素以实现安全状态,并且它们是软件运行的平台。半导体内部集成的可能性可以简化系统级的实现,但这是以IC内部增加的复杂性为代价的。由于减少了部件数量,这种集成度提高了系统的可靠性,并提供了更高诊断覆盖率和更低诊断测试时间间隔的机会 - 所有成本都使安全性降低。有人可能会认为,由于增加了复杂性,这种整合水平是一件坏事。然而,随着集成电路复杂性的价格在模块和系统级别上可能会大大简化。令人惊讶的是,虽然存在处理过程控制,机械,电梯,变速驱动器和有毒气体传感器的功能安全标准,但没有专用于集成电路的功能安全标准。相反,要求和知识的零散部分遍布IEC 61508和其他B和C标准。本文为解释现有的半导体功能安全标准提供指导。没有专用于集成电路的功能安全标准。相反,要求和知识的零散部分遍布IEC 61508和其他B和C标准。本文为解释现有的半导体功能安全标准提供指导。没有专用于集成电路的功能安全标准。相反,要求和知识的零散部分遍布IEC 61508和其他B和C标准。本文为解释现有的半导体功能安全标准提供指导。
介绍
典型地,集成电路被开发为IEC 61508或ISO 26262.此外,在二级和三级标准中有时还需要额外的要求。对功能安全标准进行开发和评估是使这些有时是复杂的集成电路足够安全的信心。当编写IEC 61508时,它的目标是定制系统,而不是开放市场批量生产的集成电路。本文将对集成电路的已知功能安全要求进行评论和评论。虽然本文集中讨论IEC 61508及其在工业领域的应用,但大部分材料都与汽车,航空电子和医疗等应用有关。
功能安全
功能安全是安全的一部分,它处理系统在需要时执行其安全相关任务的信心。功能安全不同于其他被动安全形式,如电气安全,机械安全或本质安全。
功能安全是一种积极的安全形式; 例如,它可以确保马达能够快速关闭,以防止对打开防护门的操作员造成伤害,或者当人在附近时,机器人将以降低的速度操作并强制操作。
标准
关键的功能安全标准是IEC 61508. 1该标准的第一次修订于1998年出版,修订版2于2010年发布,并于2017年开始更新至修订版3,可能的完成日期为2022年。自IEC第一版61508于1998年发布,基本的IEC 61508标准已适应汽车(ISO 26262),过程控制(IEC 61511),PLC(IEC 61131-6),IEC 62061(机械),变速驱动器(机械) IEC 61800-5-2)以及许多其他领域。这些其他标准有助于解释这些更为有限的领域的IEC 61508非常广泛的范围。
一些功能安全标准,如ISO 13849和D0-178 / D0-254,尚未从IEC 61508中推导出来。然而,熟悉IEC 61508并阅读这些标准的任何人都不会对其内容感到惊讶。
在安全系统内,系统运行时执行关键功能安全活动的是安全功能。安全功能定义了必须执行的操作以实现或保持安全。一个典型的安全功能包含一个输入子系统,一个逻辑子系统和一个输出子系统。通常,这意味着感测到潜在的不安全状态,并且对感测值做出决定,并且如果被认为具有潜在危险性,则指示输出子系统使系统进入定义的安全状态。
处于达到安全状态的不安全状态之间的时间至关重要。例如,一个安全功能可能包括一个传感器,用于检测机器上的防护装置是否打开,用于处理数据的PLC,以及具有安全扭矩关闭输入的变速驱动装置,该装置在插入手之前杀死电机一台机器可以到达运动部件。
安全完整性等级
SIL代表安全完整性等级,是表示将风险降低至可接受水平所需的降低风险的手段。根据IEC 61508标准,安全等级为1,2,3和4,从一个级别到另一个级别,安全级别会提高一个数量级。在通常不超过一个人通常会遭受危害的机器和工厂自动化系统中不会看到SIL 4。它相当保留用于可能会伤害数百甚至数千人的核能和铁路应用。还有其他功能安全标准,例如使用ASIL(汽车安全完整性等级)A,B,C和D以及ISO 13849的汽车。其性能等级a,b,c,d和e可以映射到SIL 1至SIL 3比例。
表1.各应用领域安全级别的粗略对应关系
作者不相信对于单个IC可能会有超过SIL 3的声明。但是,值得注意的是,IEC 61508-2:2010附录F中的表格显示了一个SIL 4列。
三个关键要求
功能安全对IC的开发提出了三个关键要求。以下部分将探讨这些要求。
要求1-遵循严格的开发流程
IEC 61508是一个完整的生命周期模型。它涵盖了从安全概念到需求采集到维护,并最终处理物料的所有阶段。并非所有这些阶段都与集成电路相关,并且需要培训和经验来识别那些。IEC 61508为ASIC提供V模型,并且符合IEC 61508中的审查,审核和其他要求,它代表了一个系统,虽然它不能保证安全,但过去已被证明能够生成安全的系统和IC。
由于改变故障集成电路的高成本,大多数IC制造商已经具有严格的新产品开发标准。对于低几何工艺,单独使用一套蒙版可能花费超过50万美元。这一过程和很长的交货时间已经迫使集成电路设计人员实施严格的开发流程,并具有良好的验证和验证阶段。功能安全的重大差异之一在于,不能单独实现安全性,而必须证明安全性,即使是最好的IC制造商也需要在其正常开发过程之上添加安全过程,以确保正确的证据合规性被创建并存档。
开发过程引入的故障被称为系统故障。这些错误只能通过设计更改来修复。这些故障可能包括与需求捕获相关的故障,EMC稳健性不足以及测试不足。
IEC 61508-2:2010的附录F列出了IEC委员会专家认为适合用于开发集成电路的一系列专用测量。表F.2适用于FPGA和CPLD,表F.1适用于数字ASIC。这些措施按照R(推荐)或HR(强烈推荐)给出,具体取决于SII,并且在某些情况下还提供了替代技术。对于具有良好开发流程的IC供应商来说,很少有这样的要求应该让人感到意外,但是对于SIL 3而言,要求99%的故障覆盖率是困难的,尤其是对于小型数字或混合信号部件,其中很多电路位于块的外围。该标准修订版2中的要求仅适用于数字IC,
除表格F.1和表格F.2外,还有一些介绍性文字也提供了见解。例如,在这个介绍性文字中,允许使用经过验证的使用工具,并且它提供了对于具有相似复杂性和合理性的项目使用18个月的建议。这意味着IEC 61508-3的全部工具要求不需要适用。
如果模块/系统设计人员过去曾成功使用过IC,并且了解应用和现场故障率,则可以使用经过验证的使用权声明。对于集成电路设计者或制造商来说,这种说法要难得多,因为他们通常对最终应用程序没有足够的了解,或者将现场故障单元的百分比返回给他们进行分析。
软件
所有软件错误都是系统性的,因为软件不会老化。因此任何片上软件都应考虑IEC 61508-3的要求。通常,片上软件可能在微控制器/ DSP上包含内核/引导程序。然而,在某些情况下,微控制器/ DSP可能包含一个由IC制造商预编程的小型微控制器来实现逻辑块,而不是使用状态机。该预编程的微控制器软件还需要符合IEC 61508-3的要求。应用级软件通常是模块/系统设计人员的责任,而不是IC制造商,但IC供应商可能需要提供编译器或低级驱动程序等工具。
作者还使用C语言和许多其他编程语言编程。他已经完成了有限的Verilog编程。Verilog及其姊妹VHDL是用于设计数字集成电路的两种HDL(硬件定义语言)的例子。HDL是否是软件的问题是一个有趣的问题,但现在符合IEC 61508-2:2010附录F就足够了。在实践中,作者发现如果遵循附件F,那么结合IEC 61508的其他要求(生命周期阶段等),HDL是否被认为是软件并不重要,因为开发者仍然最终完成所有必需的任务。一个相关的有趣的标准是IEC 62566,2与核工业安全功能涉及使用HDL开发。
要求2 - 固有可靠
IEC 61508以PFH(每小时危险故障的平均频率)或PFD(按需故障的概率)的形式强加了可靠性要求。这些限制与成年人因自然原因而死亡的风险有关,以及关于工作或关于日常业务的想法不应该显着增加这一点。SIL 3安全功能的最大PFH为10 -7 / h,或每1000年约有一次的危险故障率。表示为FIT(每十亿小时运行失败/失败),这是100 FIT。
鉴于典型的安全功能有一个输入模块,一个逻辑模块和一个执行器模块,并且PFH预算必须分配给所有三个模块,所以给定IC的PFH完全可能是单个数字( <10 FIT)。可以使用冗余体系结构来允许更高的数字,以便每个100 FIT的两个项目可以给予具有由CCF(常见原因故障)所限制的10 FIT的可靠性的一个项目的相等信心。然而,冗余消耗了大量的空间和能源,并增加了成本。
像Analog Devices这样的集成电路制造商提供基于加速寿命测试的网站上所有发布的IC的可靠性信息,例如analog.com/reliabilitydata。这有时会被忽视,因为可靠性评估是在人工条件下的实验室中完成的。相反,推荐使用行业标准,如SN 29500 3或IEC 62380 4。但是,这些标准有许多问题:
* 他们预测99%可信度下的可靠性,而IEC 61508只要求70%置信水平下的数据,因此标准是悲观的。
* 他们混合使用随机和系统故障模式。根据IEC 61508的规定,这些意味着不同的处理方式。
* 他们不经常更新。
* 他们不允许供应商之间的质量差异
像SN 29500这样的标准确实证明了片上晶体管的可靠性。如果两个500k晶体管的集成电路用于实现安全功能,那么它们的总FIT为140,但总共系统FIT为140.然而,如果两个集成电路被一个100万个晶体管的集成电路取代,一个IC只有80个,降幅超过40%。
IC内部的软错误往往被忽略。软错误不同于传统的可靠性预测,因为一旦功率循环,它们就会消失。它们是由来自封装材料的空间或α粒子的中子粒子撞击片内RAM单元或触发器(FF)并改变储存值而引起的。ECC(双位错误检测和单位错误校正)可用于检测并无缝纠正RAM中的错误,但代价是速度降低和片上错误更高。奇偶校验增加了更少的开销,但让系统设计人员解决了错误恢复问题。如果不使用奇偶校验或ECC技术,则软错误率可能会超过传统硬错误率高达1000倍(IEC 61508提供的RAM为1000 FIT / MB)。
要求3-容错
无论产品有多可靠,有时候还是会发生坏事。容错接受了这个现实,然后解决它。容错有两个主要元素。一个是使用冗余,另一个是使用诊断。双方都承认,无论IC的可靠性或用于开发IC的开发过程有多好,都会发生故障。
冗余可以是相同的或不同的,它可以是片上或片外的。IEC 61508-2:2010的附录E提供了一组技术来证明采取了足够的措施来支持使用非多元冗余的数字电路片上冗余索赔。附件E似乎是针对双锁步进微控制器的,针对片上独立性没有给出任何指导
* 模拟和混合信号集成电路
* 项目与其片上诊断之间
* 采用不同冗余的数字电路
但是,在某些情况下,对于这些情况,附件E可以被智能地解释。附件E中的一个有趣的项目是β IC计算,这是芯片上共因故障的量度。它允许对足够的间隔进行判断,前提是常见原因故障的来源代表β小于25%,这与IEC 61508-6:2010表中的1%,5%或10%相比较高。
诊断是集成电路真正发光的一个领域。片上诊断可以
* 旨在满足片上模块的预期故障模式
* 由于外部引脚的要求有限,因此不添加PCB空间
* 以较高的速率运行(最小诊断测试间隔)
通过比较,避免需要冗余组件来实现诊断
这意味着片上诊断可以最大限度地降低系统成本和面积。一般而言,诊断程序对于它们在芯片上监视的项目是多种多样的(不同的实施方式),因此它们不太可能以与它们正在监视的项目相同的方式并且同时发生故障。当他们这样做时,即使诊断是在单独的芯片中实现的,他们也可能会遇到同样的问题(通常与EMC,电源问题和温度过高有关)。虽然该标准不包含该要求,但仍然存在与使用片上电源监视器和看门狗电路有关的问题,这些是最后诊断的手段。一些外部评估人员会坚持将这些诊断信息片外化。
一般来说,简单集成电路的诊断将由远程微控制器/ DSP控制,并在芯片上完成测量,但结果将发送到芯片外进行处理。
IEC 61508要求最低级别的诊断覆盖率作为SFF(安全失效比例)给出,它考虑安全和危险故障并且与DC(诊断覆盖率)相关但不同,忽略安全故障。可以使用量化的FMEA或FMEDA来衡量已实施诊断的成功程度。但是,在IC中实施的诊断还可以覆盖IC外部的组件,IC内的项目可以通过系统级诊断覆盖。当IC开发人员执行FMEDA时,必须假定IC开发人员通常不知道最终应用程序的细节。在ISO 26262术语中,这被称为SEooC(脱离背景的安全因素)。对于最终用户使用IC级FMEDA,
虽然IEC 61508-2:2010的表A.1(实际上是表A.2至A.14)为分析IC时应考虑的IC故障提供了良好的指导,但更好地讨论了该主题IEC 60730:2010的附录H. 五
集成电路的开发选择
开发用于功能安全系统的集成电路有几种选择。标准中没有要求使用符合标准的集成电路,而是要求模块或系统设计人员确信所选的集成电路适用于他们的系统。
可用的选项包括:
* 使用外部评估和安全手册完全符合IEC 61508标准
* 根据IEC 61508进行开发,无需外部评估和安全手册
* 发展到半导体公司的标准开发流程,但发布安全数据表
* 发展到半导体公司的标准流程
注意事项未根据IEC 61508开发的部件,安全手册可能被称为安全数据表或类似内容,以避免与按照安全手册开发的部件发生混淆。
选项1对于半导体制造商来说是最昂贵的选择,但也可能对模块或系统设计人员最有利。拥有集成电路安全概念中显示的应用程序与系统的安全概念相匹配的这样一个组件,可降低遇到模块或系统外部评估问题的风险。SIL 2安全功能的额外设计工作量可能在20%或更多。额外的努力可能会更高,除了半导体制造商通常已经暗示即使没有功能安全性的严格开发过程。
选项2节省了外部评估的成本,但影响是相同的。该选项适用于客户将要从外部获得模块/系统外部认证的情况,集成电路是该系统的重要组成部分。
选项3最适合于已经发布的集成电路,其中提供安全数据表可以使模块或系统设计人员能够获得他们在更高级别的安全设计所需的额外信息。其中包括所用实际开发过程的详细信息,集成电路的FIT数据,任何诊断的详细信息以及制造现场的ISO 9001认证证据等信息。
然而,选项4仍然是开发集成电路最常用的方法。使用这些组件开发安全模块或系统将需要模块/系统设计的额外组件和费用,因为与单通道架构相比,这些组件不具备需要双通道架构进行比较的足够诊断。没有安全数据表,模块/系统设计人员也需要做出保守的假设,并将集成电路视为黑盒子。
此外,半导体公司需要制定自己对标准的解释,作者自己的公司为此开发了内部文件ADI61508和ADI26262。ADI61508采用IEC 61508:2010的七个部分,并根据集成电路开发解释了要求
SIL 2/3开发
有时可以根据SIL 3开发出符合所有系统要求的集成电路。这意味着遵守IEC 61508-2:2010表F.1中关于SIL 3的所有相关项目,并且所有设计评审和其他分析达到SIL 3级。但是,对于SIL 2,硬件度量标准可能仅够好。这样的电路可以被识别为SIL 2/3或更通常SIL M / N,其中M表示SIL可以根据硬件指标,N是可以根据系统要求声明的最高SIL级别。两个SIL 2/3集成电路可用于实现SIL 3模块或系统,因为具有两个SIL 2项并行将组合升级到SIL 3的硬件度量标准,但就系统要求而言,每件产品已达到SIL 3。如果集成电路仅仅是SIL 2/2,那么将两个这样的集成电路并联就不会使其成为SIL 3,因为它最好是SIL 3/2。
将硬件度量标准应用于集成电路
除了几乎整个安全功能由集成电路实现的情况外,很难为半导体指定SFF,DC或PFH限值。以SFF为例,SIL 3要求SFF大于99%,这适用于整个安全功能而不是集成电路。如果集成电路进入98%,它仍然可以用来实现SIL 3安全功能,但系统的其他部分需要达到更高的覆盖范围才能进行补偿。用于集成电路的安全手册或安全数据表需要发布的λ DD,λ DU,并且λ为在系统级FMEDA使用。
理想情况下,系统级分析需要IC的要求,但通常情况并非如此,开发实际上是一个SEooC(参见ISO 26262)或是一个与环境无关的安全要素。在SEooC的情况下,IC开发人员需要对如何在系统中使用IC做出假设。系统或模块设计人员必须将这些假设与其实际系统进行比较,以确定IC的功能安全性是否足以满足其系统。这些假设可以决定在IC上还是在系统级上实施诊断,并且因此影响IC级特性和功能。
安全
系统不安全,除非它也是安全的。目前,IEC 61508或ISO 26262中与安全有关的唯一指导是将读者引用到IEC 62443系列。6然而,IEC 62443似乎更倾向于大型组件,例如整个PLC组件,而不是单个IC。好消息是,功能安全标准中消除系统故障的大多数要求也适用于安全性。缺少任何引用是很有趣的,因为在某些情况下,硬件可以提供硬件信任根和像PUF(物理上不可克隆的功能)这样的功能,这对于安全性和安全性非常重要。
结论
现有的IEC 61508涵盖了从开发集成电路到炼油厂的一切。虽然在机器和过程控制等领域有专门的行业专用标准,并且尽管在IEC 61508修订版2中有关于集成电路的一些指导,但没有专用于集成电路的标准。由于缺乏具体的要求,这些要求可能会被解释,因此在多个客户和外部评估人员的期望之间可能出现冲突。
这意味着行业将倾向于按照其更高级别的标准对集成电路提出行业特定的要求。这些要求已经可以在标准如EN 50402中可以看出,7,但最特别的是在2016草案ISO 26262,的8其中一个新的零件,部件11,特别是与集成电路的交易。
作者希望IEC 61508的第3版将于2021年左右发布,这将扩大和澄清对集成电路的指导意见。作者很幸运能够成为IEC TC65 / SC65A MT61508-1 / 2和MT 61508-3的一部分,因此也有机会参与此类工作。也许未来的修订可能只有半导体专用部件8,以便各部门之间保持一致,从而使集成电路得以开发,以满足所有部门的要求。
即便如此,该标准也不太可能包含IC制造商设计具有功能安全要求的IC所需的一切。与安全性,EMC等相关的要求仍然需要从系统应用知识中推导出来。
参考
1 IEC 61508:2010:电气/电子/可编程电子安全相关系统的功能安全。国际电工委员会,2010年。
2 IEC 62566:2012:核电厂 - 仪表和控制对安全开发HDL编程集成电路执行A类功能至关重要。国际电工委员会,2012年。
3 SN 29500-2:集成电路的预期值。西门子,2010。
4 IEC TR 62380:2004:可靠性数据手册 - 电子元件,PCB和设备可靠性预测的通用模型。国际电工委员会,2004年。
5 IEC 60370-1:2010:家用和类似用途的自动电气控制 - 第1部分:一般要求。国际电工委员会,2010年。
6 ISA / IEC 62443:工业通信网络 - 网络和系统安全。国际自动化与国际电工委员会。
7 EN 50402:2016:用于检测和测量可燃或有毒气体或蒸气或氧气要求的电气设备,用于气体检测系统的功能安全。欧洲标准电气委员会,2016。
8 ISO 26262:2011:道路车辆功能安全。国际标准化组织,2011年。
作者:Tom Meany - Analog Devices -6970
Tom Meany拥有8项美国专利,是ISA和IEEE的高级成员。Tom是应用领域机械领域的FS工程师(TUV Rheinland),并拥有Technis可靠性和功能安全性证书。他还是IEC SC22G / MT12的成员,负责IEC 61800-5-2(变速驱动器功能安全要求)的第二稿。Tom自1987年以来一直在ADI公司工作,目前担任工业产品功能安全技术专家。