來源：羅姆半導體社區(qū)

集成電路(IC)是所有現(xiàn)代安全系統(tǒng)的根本。集成電路提供邏輯，控制傳感器，從很大程度上看，其本身就是傳感器。集成電路驅(qū)動最終元件以實現(xiàn)安全狀態(tài)，它們是軟件運行的平臺。半導體內(nèi)部的高集成度可以簡化系統(tǒng)級實現(xiàn)，其代價是IC內(nèi)部復雜性增加。

這種集成會減少器件數(shù)量，改善系統(tǒng)可靠性，并為提高診斷覆蓋率和縮短診斷測試間隔創(chuàng)造機會——所有這些都是以安全性適中為代價的。有人可能會認為，由于復雜性增加，這種高集成度是一件壞事。然而，雖然集成電路復雜性提高，但在模塊和系統(tǒng)層面上可以大大簡化。令人吃驚的是，過程控制、機械、電梯、變速驅(qū)動器和有毒氣體傳感器都有相應的功能安全標準，但關于集成電路卻沒有專門的功能安全標準。相反，相關要求和知識是零散地分布在IEC 61508和其他B級、C級標準中。本文為解讀現(xiàn)有半導體功能安全標準提供指導。

簡介

通常，集成電路按照IEC 61508或ISO 26262標準進行開發(fā)。另外，二級和三級標準中有時還會有其他要求。只有按照功能安全標準進行開發(fā)和評估，才能讓人放心這些復雜的集成電路足夠安全。當編寫IEC 61508時，其針對的是定制系統(tǒng)，而不是開放市場批量生產(chǎn)的集成電路。本文將回顧并評論集成電路的已知功能安全要求。雖然本文集中討論IEC 61508及其在工業(yè)領域的應用，但很多內(nèi)容都與汽車、航空電子和醫(yī)療等應用有關。

功能安全

功能安全是安全性的一部分，與系統(tǒng)在需要的時候是否有把握執(zhí)行安全相關任務有關 。功能安全不同于其他被動形式的安全，如電氣安全、機械安全或本質(zhì)安全。

功能安全是一種主動形式的安全。例如，它能確保馬達以足夠快的速度關閉，防止對打開防護門的操作員造成傷害，或者當有人在附近時，機器人會降低運行的速度和力度。

標準

主要功能安全標準是IEC 61508 1。該標準的第一版于1998年出版，第二版于2010年出版，并于2017年開始更新至第三版的工作，可能的完成日期是在2022年。自從1998年公布IEC 61508第一版以來，基本IEC 61508標準已針對不同領域進行適應性修改，例如汽車(ISO 26262)、過程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061（機械）、變速驅(qū)動器(IEC 61800-5-2)以及其他許多領域。此類標準有助于對非常寬泛的IEC 61508進行解釋以便用于這些受到更大限制的領域。

一些功能安全標準，例如ISO 13849和D0-178/D0-254，并非衍生自IEC 61508。盡管如此，任何熟悉IEC 61508并閱讀這些標準的人都不會對其內(nèi)容感到過于吃驚。

在安全系統(tǒng)內(nèi)，當系統(tǒng)運行時，執(zhí)行關鍵功能安全活動的是安全功能。安全功能定義了實現(xiàn)或保持安全所必須執(zhí)行的操作。典型的安全功能包含輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著對潛在的不安全狀態(tài)進行檢測，并且基于檢測到的值做出決定，如果認為有潛在危險，則指示輸出子系統(tǒng)將系統(tǒng)置于已定義的安全狀態(tài)。

不安全狀態(tài)存在到實現(xiàn)安全狀態(tài)的時間至關重要 。例如，安全功能可能包括如下器件：一個傳感器用來檢測機器上的防護裝置是否打開，一個PLC用來處理數(shù)據(jù)，以及一個具有安全扭矩關閉輸入的變速驅(qū)動器，它在插入機器中的手可能接近運動部件之前關閉電機。

安全完整性等級

SIL代表安全完整性等級，是表示需要將風險降至何種程度才能達到可接受水平的手段。根據(jù)IEC 61508標準，安全等級有1、2、3、4四級，從一個級別到下一個級別，安全性會提高一個數(shù)量級。機器和工廠自動化場景中不會看到SIL 4，因為一般情況下，這種場合中遭受危險的人員通常不會超過一個。SIL 4針對的是數(shù)百甚至數(shù)千人可能受到傷害的核能和鐵路等應用。還有其他功能安全標準，例如汽車使用ASIL（汽車安全完整性等級）A、B、C和D，以及ISO 13849標準。其性能等級a、b、c、d和e可以對應到SIL 1至SIL 3尺度。

審核編輯黃昊宇