集成电路(IC)是所有现代安全系统的根本。集成电路提供逻辑,控制传感器,从很大程度上看,其本身就是传感器。集成电路驱动最终元件以实现安全状态,它们是软件运行的平台。半导体内部的高集成度可以简化系统级实现,其代价是IC内部复杂性增加。
这种集成会减少器件数量,改善系统可靠性,并为提高诊断覆盖率和缩短诊断测试间隔创造机会——所有这些都是以安全性适中为代价的。有人可能会认为,由于复杂性增加,这种高集成度是一件坏事。然而,虽然集成电路复杂性提高,但在模块和系统层面上可以大大简化。令人吃惊的是,过程控制、机械、电梯、变速驱动器和有毒气体传感器都有相应的功能安全标准,但关于集成电路却没有专门的功能安全标准。相反,相关要求和知识是零散地分布在IEC 61508和其他B级、C级标准中。本文为解读现有半导体功能安全标准提供指导。
简介
通常,集成电路按照IEC 61508或ISO 26262标准进行开发。另外,二级和三级标准中有时还会有其他要求。只有按照功能安全标准进行开发和评估,才能让人放心这些复杂的集成电路足够安全。当编写IEC 61508时,其针对的是定制系统,而不是开放市场批量生产的集成电路。本文将回顾并评论集成电路的已知功能安全要求。虽然本文集中讨论IEC 61508及其在工业领域的应用,但很多内容都与汽车、航空电子和医疗等应用有关。
功能安全
功能安全是安全性的一部分,与系统在需要的时候是否有把握执行安全相关任务有关 。功能安全不同于其他被动形式的安全,如电气安全、机械安全或本质安全。
功能安全是一种主动形式的安全。例如,它能确保马达以足够快的速度关闭,防止对打开防护门的操作员造成伤害,或者当有人在附近时,机器人会降低运行的速度和力度。
标准
主要功能安全标准是IEC 61508 1。该标准的第一版于1998年出版,第二版于2010年出版,并于2017年开始更新至第三版的工作,可能的完成日期是在2022年。自从1998年公布IEC 61508第一版以来,基本IEC 61508标准已针对不同领域进行适应性修改,例如汽车(ISO 26262)、过程控制(IEC 61511)、PLC (IEC 61131-6)、IEC 62061(机械)、变速驱动器(IEC 61800-5-2)以及其他许多领域。此类标准有助于对非常宽泛的IEC 61508进行解释以便用于这些受到更大限制的领域。
一些功能安全标准,例如ISO 13849和D0-178/D0-254,并非衍生自IEC 61508。尽管如此,任何熟悉IEC 61508并阅读这些标准的人都不会对其内容感到过于吃惊。
在安全系统内,当系统运行时,执行关键功能安全活动的是安全功能。安全功能定义了实现或保持安全所必须执行的操作。典型的安全功能包含输入子系统、逻辑子系统和输出子系统。通常,这意味着对潜在的不安全状态进行检测,并且基于检测到的值做出决定,如果认为有潜在危险,则指示输出子系统将系统置于已定义的安全状态。
不安全状态存在到实现安全状态的时间至关重要 。例如,安全功能可能包括如下器件:一个传感器用来检测机器上的防护装置是否打开,一个PLC用来处理数据,以及一个具有安全扭矩关闭输入的变速驱动器,它在插入机器中的手可能接近运动部件之前关闭电机。
安全完整性等级
SIL代表安全完整性等级,是表示需要将风险降至何种程度才能达到可接受水平的手段。根据IEC 61508标准,安全等级有1、2、3、4四级,从一个级别到下一个级别,安全性会提高一个数量级。机器和工厂自动化场景中不会看到SIL 4,因为一般情况下,这种场合中遭受危险的人员通常不会超过一个。SIL 4针对的是数百甚至数千人可能受到伤害的核能和铁路等应用。还有其他功能安全标准,例如汽车使用ASIL(汽车安全完整性等级)A、B、C和D,以及ISO 13849标准。其性能等级a、b、c、d和e可以对应到SIL 1至SIL 3尺度。