集成電路的功能安全

集成電路(ICs)是所有現代安全系統的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅動最終元件以實現安全狀態，它們是軟件運行的平臺。半導體內部的高集成度可以簡化系統級實現，其代價是IC內部復雜性增加。

這種集成會減少器件數量，改善系統可靠性，并為提高診斷覆蓋率和縮短診斷測試間隔創造機會——所有的這些都是為了達到安全的同時成本可接受。有人可能會認為，由于復雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復雜性提高，但在模塊和系統層面上可以大大簡化。

令人吃驚的是，過程控制、機械、電梯、變速驅動器和有毒氣體傳感器都有相應的功能安全標準，但關于集成電路卻沒有專門的功能安全標準。相反，相關要求和知識是零散地分布在IEC 61508和其他B級、C級標準中。本文為解讀現有半導體功能安全標準提供指導。

01

簡介

通常，集成電路按照IEC 61508或ISO 26262標準進行開發。另外，二級和三級標準中有時還會有其他要求。只有按照功能安全標準進行開發和評估，才能讓人放心這些復雜的集成電路足夠安全。當編寫IEC 61508時，其針對的是定制系統，而不是開放市場批量生產的集成電路。本文將回顧并評論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業領域的應用，但很多內容都與汽車、航空電子和醫療等應用有關。

02

功能安全

功能安全是安全性的一部分，用以應對安全相關系統的可靠性需求。功能安全不同于其他被動形式的安全，如電氣安全、機械安全或本質安全。

功能安全是一種主動形式的安全。例如，它能確保馬達以足夠快的速度關閉，防止對打開防護門的操作員造成傷害，或者當有人在附近時，機器人會降低運行的速度和力度。

03

ASIL分解詮釋與實踐

主要功能安全標準是IEC 61508 1 。該標準的第一版于1998年出版，第二版于2010年出版，并于2017年開始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來，基本IEC 61508標準已針對不同領域進行適應性修改，例如汽車(ISO 26262)、過程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機械）、變速驅動器(IEC 61800-5-2)以及其他許多領域。此類標準有助于對非常寬泛的IEC 61508進行解釋以便用于這些受到更大限制的領域。

一些功能安全標準，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標準的人都不會對其內容感到過于吃驚。

在安全系統內，當系統運行時，執行關鍵功能安全活動的是安全功能。安全功能定義了實現或保持安全所必須執行的操作。典型的安全功能包含輸入子系統、邏輯子系統和輸出子系統。通常，這意味著對潛在的不安全狀態進行檢測，并且基于檢測到的值做出決定，如果認為有潛在危害，則指示輸出子系統將系統置于已定義的安全狀態。

圖1.功能安全標準示例

從不安全狀態出現到進入安全狀態所用的時間至關重要。例如，安全功能可能包括如下器件：一個傳感器用來檢測機器上的防護裝置是否打開，一個PLC用來處理數據，以及一個具有安全扭矩關閉輸入的變速驅動器，改驅動器應該在插入機器中的手可能接近運動部件之前關閉電機。

04

安全完整性等級

SIL代表安全完整性等級，是表示需要將風險降至何種程度才能達到可接受水平的手段。根據IEC 61508標準，安全等級有1、2、3、4四級，從一個級別到下一個級別，安全性會提高一個數量級。機器和工廠自動化場景中不會看到SIL 4，因為一般情況下，這種場合中遭受危險的人員通常不會超過一個。SIL 4針對的是數百甚至數千人可能受到傷害的核能和鐵路等應用。還有其他功能安全標準，例如汽車使用ASIL（汽車安全完整性等級）A、B、C和D，以及ISO 13849標準的PL（性能等級）從PLa到PLe。這些等級可以對應到SIL 1至SIL 3級別。

表1.各應用領域安全等級的大致對應關系

作者不相信單個IC可能有超過SIL 3的安全水平。但值得注意的是，IEC 61508-2:2010附錄F中的表格顯示了一個SIL 4列。

05

三項關鍵要求

接下來的章節介紹的是功能安全對集成電路(IC)開發提出的三個關鍵要求。

要求1—遵循嚴格的開發流程

IEC 61508是一個全生命周期模型，涵蓋了從安全概念到需求采集、維護，直至最終廢棄處理的所有階段。不是所有這些階段都與集成電路相關，甄別哪些階段有關需要培訓和經驗。IEC 61508為ASIC提供了一個V模型，另外還有審查、審核及其他要求，它代表了一個體系，雖然不能保證安全，但過去已證明它能指導我們設計制造出安全的系統和IC。

由于更改有缺陷的集成電路的成本很高，所以大多數IC制造商已經建立嚴格的新產品開發標準。對于小幾何尺寸工藝，僅僅一套掩膜的成本就可能超過50萬美元。這種情況加上長交貨期，迫使集成電路設計商不得不實施嚴格的開發流程和進行嚴謹的檢查與驗證。功能安全的一大區別在于，不僅必須實現安全性，還要證明安全性，即使是最好的IC制造商也需要在其正常開發流程之上添加安全流程，以確保用來證明合規性相應的證據得以創建并存檔。

開發流程引入的故障稱為系統故障。這些故障只能通過設計變更來解決。與需求采集相關的故障、EMC魯棒性不足和測試不充分就是此類故障。

IEC 61508-2:2010的附錄F列出了一系列專門測量，IEC委員會專家認為這些測量適合用于集成電路開發。表F.2適用于FPGA和CPLD，表F.1適用于數字ASIC。這些測量分為R（推薦）或HR（強烈推薦）兩類，具體取決于SII，某些情況下還提供了備選技術。對于擁有良好開發流程的IC供應商來說，其中的要求很少會讓人感到意外，但SIL 3的99%故障覆蓋率要求是有挑戰性的，尤其是對于小型數字或混合信號器件，其中很多電路位于模塊的外圍。該標準第二版中的要求僅適用于數字IC，但許多要求也可應用于模擬或混合信號IC（ISO 26262的下一版本將包含類似表格，并有針對模擬和混合信號集成電路的版本）。

除表F.1和表F.2外，還有一些介紹性文字也提供了一些見解。例如，這個介紹性文字說允許使用經過實際驗證的工具，在復雜度相似的項目中使用18個月是合理的時間長度。這意味著并不需要應用IEC 61508-3關于工具的全部要求。

如果模塊/系統設計者過去曾成功使用某一IC，并且了解其應用和現場故障率，那么他可以宣稱其"經過實際驗證"。對于集成電路設計者或制造商來說，作出這種宣稱要困難得多，因為他們一般不太了解最終應用或擁有完備的現場失效器件收集、失效分析流程及數據。

軟件

所有軟件錯誤都是系統性的，因為軟件不會老化。任何片內軟件都應考慮IEC 61508-3的要求。通常，片內軟件可能包括微控制器/DSP的內核/引導程序。但在某些情況下，微控制器/DSP可能包含一個由IC制造商預編程的小型微控制器來實現一個邏輯塊，而不是使用狀態機。該預編程的微控制器軟件還需要符合IEC 61508-3的要求。應用級軟件通常是模塊/系統設計者的責任，而不是IC制造商的責任，但IC供應商可能需要提供編譯器或低級驅動程序等工具。如果這些工具用于安全相關應用軟件的開發，那么IC制造商需要為最終用戶提供足夠的信息，以滿足IEC 61508-3:2010第7.4.4條中的工具要求。

作者也使用C語言和其他很多編程語言做過編程。作者還做過少量Verilog編程。Verilog及其姊妹語言VHDL是用于設計數字集成電路的兩種代表性硬件定義語言(HDL)。一個有趣的問題是HDL是否是軟件，但現在遵循IEC 61508-2:2010附錄F就足夠了。在實踐中，作者發現如果遵循附錄F，那么結合IEC 61508的其他要求（生命周期階段等），HDL是否是軟件的問題并不重要，因為開發者最終仍要完成所有必需的任務。一個值得注意的相關標準是IEC 62566 2，它處理的是利用HDL開發的核工業安全功能。

要求2—固有可靠性

IEC 61508以PFH（每小時危險故障平均頻率）或PFD（需要時發生故障的概率）的形式提出了可靠性要求。這些限制與成年人因自然原因而死亡的風險，以及人們認為工作或處理日常業務不應顯著增加這一風險的想法有關。SIL 3安全功能的最大PFH為10–7/h，或者每1000年約有一次的危險故障率。表示為FIT（故障次數/每運行十億小時的故障率）的話，即為100 FIT。

鑒于典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執行器模塊，并且PFH預算必須分配給所有三個模塊，所以某一IC的PFH完全可能是個位數(<10 FIT)。可以使用冗余架構來提高這些數字，若有兩個100 FIT結構，則每個可以提供相同的置信度，使模塊可靠性達到10 FIT（受常見原因故障(CCF)限制）。

假設一個典型的安全功能有一個輸入模塊、一個邏輯模塊和一個執行器模塊，并且PFH預算必須跨所有三個塊分配，那么給定IC的PFH完全有可能為個位數(<10 FIT)。冗余架構可以用于允許更高的失效率值，這樣兩個100 FIT的IC，通過限制CCF(共因失效)，每個都可以為一個可靠性為10 FIT的IC提供等效的置信度。然而，冗余會消耗大量的空間和能量，并增加成本。

IC制造商如Analog Devices在analog.com/reliabilitydata等網站上提供基于加速壽命測試的所有發布IC的可靠性信息。這種方法不被贊同，因為其可靠性評估是在人工條件下的實驗室中完成的。相反，建議使用行業標準，如SN 295003或IEC 62380。然而，這些標準有一些問題:

手冊預測的可靠性為99%置信水平，而IEC 61508只要求70%置信水平的數據，因此該標準是保守的。

手冊混合了隨機和系統故障模式。根據IEC 61508的規定，這些將被區別對待。

手冊不經常更新。

手冊不考慮供應商之間的質量差異。

像SN 29500這樣的標準確實證明了片上晶體管的可靠性。如果使用兩個包含500k個晶體管的集成電路來實現一個安全功能，那么它們的FIT為70，而系統的FIT為140。然而，如果用一個100萬個晶體管的集成電路取代這兩個集成電路，那一個集成電路的FIT只有80，減少了40%以上。

Soft errors（軟錯誤，瞬態失效）在集成電路中經常被忽略。軟誤差與傳統的可靠性預測不同之處在于，一旦功率循環，Soft errors就會消失。它們是由來自太空的中子粒子或來自包裝材料的α粒子撞擊片上RAM電池或觸發器(FF)而改變存儲值引起的。ECC (雙比特錯誤檢測和單比特錯誤糾正)可用于檢測和無縫糾正RAM中的錯誤，但以降低速度和更高的片上錯誤為代價。奇偶校驗增加了較少的開銷，但讓系統設計人員解決錯誤恢復問題。如果奇偶校驗或ECC技術不使用，Soft errors率可以超過傳統的硬錯誤率高達1000倍(IEC 61508為RAM提供了1000 FIT/MB的數字)。用于解決用于實現邏輯電路的FF(觸發器)中的Soft errors的技術并不令人滿意，但看門狗定時器、計算中的時間冗余和其他技術可以提供幫助。

要求 3—容錯能力

無論產品多么可靠，有時還是會發生不好的事情。故障容錯接受這一現實，然后解決它。實現故障容錯包含兩個主要因素。一個是使用冗余，另一個是使用診斷。兩個因素都說明，無論集成電路的可靠性或用于開發集成電路的開發過程有多好，故障都會發生。

冗余可以是相同的，也可以是不同的，它可以是片內的，也可以是片外的。IEC 61508-2:2010附錄E提供了一套技術來證明已經采取了足夠的措施來支持使用非多樣化冗余的數字電路的片上冗余要求。附件E的目標似乎是雙鎖步微控制器，沒有給出關于片內獨立性的指南。

模擬和混合信號集成電路

在相關項與其片內診斷之間

采用多樣性冗余的數字電路

然而，在某些情況下，附件E可以為這些情況做出聰明的解釋。附件E中一個有趣的項目是βIC計算，這是對片內的共因失效的測量。如果共因失效的β值小于25%，與IEC 61508-6:2010表中的1%、5%或10%相比，該β值較高，則可以做出充分分離的判斷。

診斷是集成電路真正能發揮作用的領域。片內診斷可以

設計以適應片上塊的預期故障模式

由于對外部引腳的要求有限，不增加PCB空間

高速率運行(最小診斷測試間隔)

通過比較消除了對冗余部件的需求來實現診斷

這意味著片內診斷可以最小化系統成本和面積。一般來說，診斷的設計與其在芯片內監視的部分是多樣的(不同的實現)，所以診斷部分與正在監視的部分不太可能以同樣的方式和同時失效。當診斷部分這樣實現時，診斷部分與正在監視的部分很可能會面臨相同的問題(通常與EMC、電源供應問題和溫度過高有關)，即使診斷是在單獨的芯片中實現的。雖然標準沒有包含這一要求，但仍存在使用片內電源監視器和看門狗電路作為最后的診斷手段的問題。一些外部評估人員會堅持使用片外電源監視器和看門狗電路診斷。

一般來說，簡單集成電路上的診斷將由遠程微控制器/DSP控制，測量在芯片上完成，但結果在芯片外運送處理。

IEC 61508要求最低診斷覆蓋率為SFF(安全故障分數)，它考慮了安全和危險故障，與DC(診斷覆蓋率)相關但不同，DC忽略了安全故障。可以使用量化的FMEA或FMEDA來衡量實施診斷的成功程度。然而，IC內部實現的診斷也可以覆蓋IC外部的組件，IC內部的部分可以由系統級診斷覆蓋。當IC開發人員執行FMEDA時，必須假定IC開發人員通常不知道最終應用程序的細節。在ISO 26262術語中，這被稱為SEooC(脫離上下文的安全要素)。對于使用IC級FMEDA的最終用戶，他們必須滿足IC的假設仍然適用于他們的系統。

雖然IEC 61508-2:2010的表A.1(以及表A.2到A.14)對分析集成電路時應該考慮的IC故障給出了很好的指南，但IEC 60760:2010的附件H對該主題給出了更好的討論。

06

集成電路的開發方案

開發用于功能安全系統的集成電路有幾種選擇。標準中沒有要求只使用符合標準的集成電路，而是要求模塊或系統設計者自己符合，所選擇的集成電路是適合在他們的系統中使用的。

可用的選項包括：

完全符合IEC 61508標準，附有外部評估和安全手冊

符合IEC 61508標準開發，無需外部評估，并附有安全手冊

按照開發半導體公司的標準開發流程開發，但發布安全數據表

按照半導體公司的標準流程開發

注:對于不符合IEC 61508標準的部件，安全手冊可以稱為安全數據表或類似的名稱，以避免與符合安全手冊標準的部件混淆。

選項1對半導體制造商來說是最昂貴的選擇，但也可能為模塊或系統設計者提供最有利的選擇。在集成電路的安全概念中顯示的應用與系統的應用相匹配的組件，可以減少模塊或系統的外部評估出現問題的風險。SIL2安全功能的額外設計工作量可以達到20%甚至更多。額外的工作量可能會更高，除非半導體制造商通常已經擁有了一個嚴格的開發流程，即使沒有功能安全。

選項2節省了外部評估的費用，但在其他方面的影響是相同的。這種選擇適用于客戶無論如何都要獲得模塊/系統外部認證，而集成電路是該系統的重要組成部分的情況。

選項3最適用于已經發布的集成電路，其中提供安全數據表可以使模塊或系統設計者獲得更高級別安全設計所需的額外信息。這包括使用的實際開發過程的詳細信息、集成電路的FIT數據、任何診斷的詳細信息以及生產現場的ISO 9001認證證據。

然而，選項4仍將是開發集成電路最常見的方法。使用這些組件來開發安全模塊或系統將需要額外的組件和模塊/系統設計的費用，因為組件將沒有足夠的診斷需要雙通道體系結構與單通道體系結構進行比較。如果沒有安全數據表，模塊/系統設計者還需要做出保守的假設，并將集成電路視為一個黑盒子。

此外，半導體公司需要制定自己的標準解釋，作者自己的公司為此開發了內部文件ADI61508和ADI26262。ADI61508采用了IEC 6158:2010的七個部分，并從集成電路開發的角度解釋了要求。

07

SIL 2/3 開發

有時集成電路可以根據SIL 3開發出所有的系統要求。這意味著符合IEC 61508-2:2010 SIL 3表F.1的所有相關項目，所有設計評審和其他分析都是按照SIL 3水平進行的。然而，硬件指標可能只適合SIL 2。這樣的電路可以被識別為SIL 2/3或更典型的SIL M/N，其中M表示在硬件指標方面可以聲明的最大SIL級別，N表示在系統需求方面可以聲明的最大SIL級別。兩個SIL 2/3集成電路可以用來實現SIL 3模塊或系統，因為在硬件指標方面，兩個SIL 2項目的并行升級組合到SIL 3，但在系統需求方面，每個項目已經在SIL 3。如果集成電路只有SIL 2/2，將兩個這樣的集成電路并聯仍然不能使它成為SIL 3，因為它最多只能是SIL 3/2。

理想情況下，集成電路需求應該是通過系統層面分析推導得出的，但通常情況并非如此，開發實際上是一個SEooC(參見ISO 26262)或脫離上下文的安全元素。在SEooC的情況下，IC開發人員需要對IC將如何在系統中使用做出假設。然后，系統或模塊設計者必須將這些假設與他們的真實系統進行比較，以確定IC的功能安全性是否足以滿足他們的系統。這些假設可以決定診斷是在集成電路上實現還是在系統層面實現，從而影響集成電路層面的特性和功能。

08

Security安全

一個系統不可能是安全的，除非它也是嚴密保護的。目前，IEC 61508或ISO 26262中與Security相關的唯一指南是讓讀者參考IEC 62443系列。然而，IEC 62443似乎更針對較大的組件，如整個PLC組件，而不是單個IC。好消息是，功能安全標準中消除系統故障的大部分要求也適用于Security。缺乏任何引用是有趣的，因為在某些情況下，硬件可以提供信任的硬件根和功能，如PUF(物理上不可克隆的功能)，這對safety和Security很重要。

09

維度的三大階段

現有的IEC 61508涵蓋了從開發集成電路到煉油廠的方方面面。雖然在機械和過程控制等領域有專門的行業特定標準，而且在IEC 61508修訂版2中對集成電路有一些指南，但沒有專門針對集成電路的標準。缺乏具體的需求使得需求容易被解釋，因此在多個客戶和外部評估人員的期望之間可能會產生沖突。

這意味著各部門將傾向于在其更高水平的標準中對集成電路作出特定的要求。這些要求已經在EN 50402、7等標準中體現出來，但在ISO 262628的2016年草案中體現得最為明顯，其中新增的第11部分專門涉及集成電路。

作者希望定于2021年左右出版的IEC 61508修訂版3將擴展和澄清集成電路的指導。作者有幸成為IEC TC65/SC65A MT61508-1/2和MT 61508-3的一員，因此將有機會參與到這些工作中來。也許在未來的修訂中會有第8部分專門針對半導體，以便在各個部分之間保持一致，從而開發出滿足所有部分要求的集成電路。

即便如此，該標準也不太可能包含IC制造商設計具有功能性安全要求的IC所需的全部內容。與Security、EMC等相關的需求仍然需要從系統應用知識中獲得。

審核編輯：劉清