工業(yè)4.0為未來的工廠提供了新的視野。在未來的這些工廠中，安全將至關(guān)重要。功能安全是指設(shè)備在需要時能夠執(zhí)行其安全功能的信心。與其他形式的安全相比，它是一種積極的安全形式。集成電路是實現(xiàn)功能安全的基礎(chǔ)，因此也是工業(yè)4.0的基礎(chǔ)。本文探討了功能安全對工業(yè)4.0的影響。其影響包括對網(wǎng)絡(luò)、安全性、機器人/協(xié)作機器人、軟件以及用于實現(xiàn)這些功能的半導(dǎo)體的要求。

介紹

功能安全是安全的一部分，它涉及系統(tǒng)在需要時執(zhí)行其安全相關(guān)任務(wù)的信心。例如，電機將足夠快地關(guān)閉，以防止對打開防護門的操作員或機器人造成傷害，當(dāng)有人在附近時，機器人應(yīng)該以降低的速度和力運行。

工業(yè)4.0是制造工廠的下一個發(fā)展方向，有望提高靈活性并降低成本。

本文將探討功能安全對工業(yè)4.0的一些影響。

功能安全

A. 標(biāo)準(zhǔn)

基本功能安全標(biāo)準(zhǔn)是IEC 61508。1該標(biāo)準(zhǔn)的第一次修訂版于1998年發(fā)布，修訂版2010年發(fā)布，現(xiàn)在開始更新到2020年的修訂版3。自 IEC 61508 第一版于 1998 年發(fā)布以來，基本的 IEC 61508 標(biāo)準(zhǔn)已適應(yīng)汽車等領(lǐng)域，具有 ISO 26262，2采用IEC61511的過程控制，3采用IEC61131-6的可編程邏輯控制，4符合IEC 62061標(biāo)準(zhǔn)的機械，5符合IEC 61800-5-2標(biāo)準(zhǔn)的變速驅(qū)動器，6和許多其他領(lǐng)域。這些其他標(biāo)準(zhǔn)有助于解釋IEC 61508對這些更有限領(lǐng)域的廣泛范圍。

不是從IEC 61508派生的重要平行標(biāo)準(zhǔn)是ISO 13849，7它涵蓋了源自過時的歐洲EN 954標(biāo)準(zhǔn)的機械。

圖1.功能安全標(biāo)準(zhǔn)示例。

功能安全中更基本的概念是安全功能。安全功能定義為實現(xiàn)或維護安全而必須執(zhí)行的操作。典型的安全功能包括輸入子系統(tǒng)、邏輯子系統(tǒng)和輸出子系統(tǒng)。通常，這意味著檢測到潛在的不安全狀態(tài)，并且某些東西對檢測到的值做出決定，如果認為有潛在危險，則指示輸出子系統(tǒng)將系統(tǒng)帶到定義的安全狀態(tài)。

從存在的不安全狀態(tài)到實現(xiàn)安全狀態(tài)之間的時間至關(guān)重要。例如，安全功能可能包括一個傳感器，用于檢測機器上的防護裝置是否打開，一個用于處理數(shù)據(jù)的PLC，以及一個具有安全扭矩關(guān)閉輸入的變速驅(qū)動器，該驅(qū)動器在插入機器的手到達運動部件之前殺死電機。

B. 安全完整性等級

SIL 代表安全完整性級別，是表示將風(fēng)險降低到可接受水平所需的風(fēng)險降低的一種手段。根據(jù) IEC 61508，安全級別為 1、2、3 和 4，隨著您從一個級別到下一個級別，安全要求會增加一個數(shù)量級。SIL 4 在機械和工廠自動化中不可見，通常不超過一個人暴露于危險中。它保留用于核能和鐵路等可能造成數(shù)百甚至數(shù)千人受傷的應(yīng)用。還有其他功能安全標(biāo)準(zhǔn)，例如汽車，它使用 ASIL（汽車安全完整性等級）A、B、C 和 D 以及 ISO 13849。其性能級別 A、B、C、D 和 E 可以映射到 SIL 1 到 SIL 3 等級。

圖2.系統(tǒng)級設(shè)計的示例 V 模型。

C. 故障來源

功能安全標(biāo)準(zhǔn)通常識別兩種類型的故障，然后提出解決它們的方法。

隨機硬件故障是最容易理解的，顧名思義，它們是由設(shè)備中的隨機意外故障引起的。由于隨機故障而導(dǎo)致的故障概率表示為系統(tǒng)的PFH（危險故障的平均頻率）。允許的PFH取決于所需的SIL，范圍從10–5SIL 1 的 /h 到最小值 10–7/h 表示 SIL 3。

系統(tǒng)故障是設(shè)計中固有的故障，從某種意義上說，它們只能通過設(shè)計更改來修復(fù)。EMC穩(wěn)健性不足可被視為系統(tǒng)性錯誤，需求缺陷、驗證和確認不足以及所有軟件錯誤也是如此。系統(tǒng)誤差實際上是存在于每個生產(chǎn)項目中的弱點，而不是存在于單個單元中。如果出現(xiàn)正確的情況，故障將以 100% 的概率發(fā)生。

為了適合在需要SIL X安全功能的情況下使用，必須滿足標(biāo)準(zhǔn)中對該SIL水平的隨機和系統(tǒng)要求。僅滿足硬件要求是不夠的。

D. 處理隨機故障

無論設(shè)備多么可靠，在任何給定的小時內(nèi)，一切都有有限的機會發(fā)生故障。解決隨機硬件故障的技術(shù)包括診斷覆蓋要求和冗余的使用。根據(jù)安全功能的 SIL 水平，將有最低的 PFH 或 PFD（按需故障概率）。此外，根據(jù) SIL 的不同，隨著 SIL 從 SIL 1 增加到 SIL 3，所需的最低 SFF（安全失效分數(shù)）范圍為 60% 到 99%。該標(biāo)準(zhǔn)允許在診斷和系統(tǒng)中存在的冗余之間進行權(quán)衡。其他技術(shù)包括降額和使用質(zhì)量更好的組件。

E. 處理系統(tǒng)故障

系統(tǒng)故障是與隨機硬件故障無關(guān)的故障，可能需要更改設(shè)計以避免故障。

系統(tǒng)性故障通過遵循嚴格的開發(fā)過程和對各種工作產(chǎn)品的獨立審查來解決。該過程通常以不同復(fù)雜度的 V 模型表示。審查所需的嚴謹性和審查員所需的獨立性隨著SIL水平的增加而增加。

在某些情況下，可以使用不同的冗余來處理系統(tǒng)錯誤。這是因為不同的系統(tǒng)不太可能同時以相同的方式失敗。插入用于處理隨機故障的診斷程序也可用于檢測系統(tǒng)故障。

大部分工作涉及系統(tǒng)工程和良好的工程實踐。某些文件中使用的表達方式是“最新技術(shù)”。文檔至關(guān)重要，能夠證明已實現(xiàn)安全幾乎與實現(xiàn)安全一樣重要。

工業(yè)4.0

工業(yè)4.08以其他名稱而聞名，包括工業(yè) 4.0、工業(yè)物聯(lián)網(wǎng) （IIoT）、中國制造 2025、工業(yè)加、智能工廠等。名稱中的4.0代表了它代表了繼1970年左右的第三次革命之后的第四次工業(yè)革命，當(dāng)時電子產(chǎn)品和IT的廣泛使用始于自動化。

雖然工業(yè)物聯(lián)網(wǎng)是文章、會議和營銷工作中的一個常見話題，但它仍然缺乏支持其采用的殺手級應(yīng)用?？赡艿臍⑹旨墤?yīng)用包括預(yù)測性故障、自適應(yīng)診斷和基于狀態(tài)的維護。

工業(yè)4.0的一個關(guān)鍵思想是網(wǎng)絡(luò)物理系統(tǒng)（CPS）。CPS由“能夠自主交換信息，觸發(fā)動作和獨立相互控制的智能機器，存儲系統(tǒng)和生產(chǎn)設(shè)施”組成。9換句話說，一切都是智能的、儀表化的和互聯(lián)的。除其他問題外，此定義還對網(wǎng)絡(luò)和安全性有影響。

工業(yè)4.0的關(guān)鍵設(shè)計原則包括

互操作性 — 一切都是相互關(guān)聯(lián)的

虛擬化 — 提供工廠和仿真模型

權(quán)力下放——本地情報

實時功能 — 實時響應(yīng)現(xiàn)實世界

面向服務(wù) — 通過互聯(lián)網(wǎng)提供的服務(wù)

模塊化 — 可根據(jù)需要重新配置

通過傳感器融合和數(shù)據(jù)分析，將獲得新的見解，包括基于從智能儀器收集的診斷及其在云中的分析的預(yù)防性維護。比較系統(tǒng)之間的老化還可以允許切換冗余項目以提高生產(chǎn)率。機器健康將是一個關(guān)鍵問題。

A. 聯(lián)網(wǎng)

較舊的系統(tǒng)傾向于使用孤立的自動化孤島 - 通常使用專有網(wǎng)絡(luò)?；? mA至20 mA電路的模擬網(wǎng)絡(luò)過去和現(xiàn)在都很常見，并且具有許多優(yōu)點，包括EMC魯棒性，范圍可達3 km，并且本質(zhì)上是安全和同步的，但對于工業(yè)4.0來說不夠靈活或不夠快。

在工業(yè)4.0中，人們的愿望是讓一切連接起來，并與其他一切對話。常用術(shù)語包括 M2M（機器對機器）和 P2M（過程到機器）。然后可以利用連接來

提高制造效率

提高制造靈活性

增加操作知識

降低生產(chǎn)成本

基于以太網(wǎng)的連接解決方案非常適合滿足上述要求，但需要解決此類網(wǎng)絡(luò)的安全性要求。隨著新的效率，新的服務(wù)將變得具有成本效益。

B. 安全

隨著數(shù)字網(wǎng)絡(luò)的使用，安全性成為一個問題。最近在電影（例如，零日）和媒體中強調(diào)的案例包括Stuxnet和黑色能量病毒。如果網(wǎng)絡(luò)擴展到云中，那么黑客攻擊一個云提供商可能會摧毀許多工廠，而以前他們必須一次被黑客入侵。這種規(guī)模經(jīng)濟使它們對黑客更具吸引力。一些專家甚至聲稱物聯(lián)網(wǎng)確實代表了“威脅互聯(lián)網(wǎng)”。

IT安全要求通常不適合應(yīng)用于工業(yè)網(wǎng)絡(luò)。IT安全有多種行為，包括不適合制造的頻繁軟件更新，其中由于意外后果停止生產(chǎn)的風(fēng)險，軟件更改不受歡迎。當(dāng)涉及安全時，由于認證功能安全系統(tǒng)和所需的變更管理流程的成本很高，這種對變革的厭惡甚至更加強烈。

涵蓋工業(yè)控制安全要求的擬議國際共識標(biāo)準(zhǔn)是IEC 62443。IEC 6244310涵蓋IACS（工業(yè)自動化和控制系統(tǒng)）的設(shè)計、實施和管理。

C. 機器人和協(xié)作機器人

機器人曾經(jīng)是生活在籠子里的可怕機器。協(xié)作機器人或協(xié)作機器人不那么可怕，并且注意不要傷害人。它們是傳感器和軟件的融合，無需與人類工人分開。工業(yè)環(huán)境中的協(xié)作機器人可以由一個手臂或一對手臂組成，例如優(yōu)傲機器人的UR5系列或ABB的YuMi。在未來的工廠中，協(xié)作機器人將協(xié)助人類操作員，甚至知道與他們一起工作的人是右撇子還是左撇子。?

圖3.典型安全系統(tǒng)的誤差預(yù)算。

AGV（自動導(dǎo)引車）是移動機器人，可以考慮 一種特殊的協(xié)作機器人。它們?yōu)楣I(yè)4.0提供了基本要素 通過在制造車間周圍移動產(chǎn)品和材料。

隨著動態(tài)環(huán)境導(dǎo)致新的危害到來，必須加以解決。對于協(xié)作機器人和AGV，選項是1）開發(fā)一個本質(zhì)上安全的系統(tǒng)，因為力足夠低，不會發(fā)生嚴重傷害，或者2）根據(jù)相關(guān)的功能安全標(biāo)準(zhǔn)設(shè)計解決方案。對于AGV，防撞可以基于視覺，雷達，激光或嵌入地板的軌道。

功能安全和聯(lián)網(wǎng)

功能安全系統(tǒng)通常由傳感器、邏輯和輸出子系統(tǒng)組成。這三個要素結(jié)合在一起以實現(xiàn)安全功能，SIL 級別、PFH、SFF 和 HFT 要求適用于整個安全功能。因此，這些子系統(tǒng)之間的通信與安全有關(guān)。IEC 61508 是指現(xiàn)場總線標(biāo)準(zhǔn) IEC 61784-3 的功能安全要求。這些措施將包括處理隨機和系統(tǒng)誤差源的措施。

表 1 顯示了用于分配每小時最大允許故障概率的普遍接受的誤差預(yù)算。此模型的改進通常顯示分配給每個接口的預(yù)算的 1% 以紅色顯示。如果安全功能為 SIL 3，則允許的最大 PFH 為 10–7/h，因此分配給接口的 1% 為 10–9/h.

總的來說，必須考慮的與通信相關(guān)的危害顯示在表 1 中，該表包含在包括 IEC 61784、EN 50159 和 IEC 62280 在內(nèi)的標(biāo)準(zhǔn)中。11

表 1 中的每一行必須由至少一個防御措施解決。IEC 61784-3 中對防御措施進行了進一步詳細說明9和 IEC 62280-1/EN 50159。12例如，可以通過使用具有漢明距離的CRC來處理損壞，具體取決于預(yù)期的BER（誤碼率），SIL要求和每小時傳輸?shù)奈粩?shù)。

在工業(yè)環(huán)境中，如果安全和非安全數(shù)據(jù)可以在同一網(wǎng)絡(luò)上通信，則要求變得更加復(fù)雜。

IEC 61508-2：2010 提供兩種選擇。選項1）是白通道方法，其中整個通信通道按照IEC 61508開發(fā)。選項2）是黑通道方法，即不對通信通道的性能做出任何假設(shè)，并且每個安全裝置中的特殊層處理安全性。此安全層通過一組防御措施解決了圖 2 中的威脅。這些防御措施是對底層現(xiàn)場總線標(biāo)準(zhǔn)內(nèi)的任何防御措施的補充，例如，除了底層通信協(xié)議中的CRC之外，還可能包括另一個CRC來檢測位損壞。到目前為止，黑色通道方法是更常見的。一個例子是PROFIsafe，它是位于PROFIBUS或PROFINET之上的安全層。??

功能安全和安保

有趣的是，在許多語言中，只有一個詞來表示安保和安全。然而，在工業(yè)背景下，它們都涵蓋了一組不同的問題，這些問題有時會發(fā)生沖突。安全的一個定義是防止由于無意行為造成的傷害，而相應(yīng)的安全定義是防止由于故意行為造成的傷害。兩者之間的共同點包括需要在體系結(jié)構(gòu)級別考慮安全性和安全性。否則，它們很難在事后添加。但兩者相互沖突，因為對意外事件的典型安全反應(yīng)是關(guān)閉系統(tǒng)——黑客可以通過拒絕服務(wù)攻擊利用這一功能，而安全性旨在防止該功能。安全功能通常包括用于身份驗證的密碼，但是您真的想在有人輸入密碼時減慢安全反應(yīng)，或者在密碼輸入錯誤三次時將安全人員鎖定在外面嗎？

2010 年 IEC 61508 的修訂版二版幾乎沒有安全要求。它確實指出必須考慮安全性，并參考尚未發(fā)布的IEC 62443系列作為指導(dǎo)。此外，目前正在制定具體標(biāo)準(zhǔn)，以解決機械和核領(lǐng)域的功能安全與安保之間的關(guān)系。

與IEC 61508中的SIL級別類似，IEC 62443定義了SL（安全級別），其中級別也是1到4。符合SL 1的系統(tǒng)可能對普通旁觀者是安全的，而符合SL 4的系統(tǒng)可能對國家贊助機構(gòu)的黑客攻擊是安全的。但是，沒有從 SIL 到 SL 的直接映射。

IEC 62443 與 IEC 62443-4-2 一起確定了七個基本要求 （FR），以指導(dǎo)每個 FR 實現(xiàn)給定 SL 所需的內(nèi)容。七個FR是：

識別和認證控制 （IAC）

使用控制 （UC）

系統(tǒng)完整性 （SI）

數(shù)據(jù)保密性

受限數(shù)據(jù)流 （RDF）

及時響應(yīng)事件 （TRE）

資源可用性 （RA）

然后，SL 1 可以表示為安全向量 （1， 1， 1， 1， 1， 1， 1），其中向量中的每個項目對應(yīng)于七個 FR 中的一個。鑒于SL 1代表偶然攻擊，這似乎是必須考慮可預(yù)見的濫用的安全應(yīng)用的最低要求。13可以說，SIL > 1 的安全應(yīng)用的合適載體是 （N1， N2， N3， 1， 1， N6, 1),13認識到數(shù)據(jù)機密性、受限數(shù)據(jù)流和可用性在工業(yè)功能安全應(yīng)用中是有限關(guān)注的問題。但是，N 的值之間沒有明顯的相關(guān)性1， N2， N3和 N6取決于 SIL 級別是 2、3 還是 4。

要記住的一個關(guān)鍵點是，雖然并非所有安全系統(tǒng)都有功能安全要求，但需要考慮所有安全相關(guān)系統(tǒng)的安全性。

功能安全和機器人

ISO 10218 認證14是涵蓋包括協(xié)作機器人在內(nèi)的工業(yè)機器人安全要求的標(biāo)準(zhǔn)。它包括安全停止、示教、速度和分離監(jiān)控，以及功率和力限制。ISO 10218-1：2011 條款 5.4.2 要求控制系統(tǒng)的安全相關(guān)部件的設(shè)計符合 ISO 13849-1：2006 中所述的 PL = D 類別 3 或 IEC 62061：2005 中所述的 SIL 2，HFT（硬件容錯）為 1。實際上，這意味著至少有一個 2 通道安全系統(tǒng)，每個通道的診斷覆蓋率至少為 60%。這兩個標(biāo)準(zhǔn)（ISO 13849 和 IEC 62061）都遵循 IEC 61508-3 的軟件要求。

AGV在ISO 10218中沒有得到很好的解決，雖然無人駕駛汽車在汽車標(biāo)準(zhǔn)ISO 26262中得到了解決，但由于其范圍要有限得多，工業(yè)用途是汽車的一個特例。機械指令范圍包括AGV，鑒于缺乏特定標(biāo)準(zhǔn)，通用IEC 61508標(biāo)準(zhǔn)的要求將適用。

圖4.軟件的主要優(yōu)勢。

雖然固定機器人的網(wǎng)絡(luò)可能是基于以太網(wǎng)的，但對于AVG來說，它將是無線的，這將需要額外的安全和安保要求。

功能安全和軟件

無論您處理的是安全還是安保，實現(xiàn)高質(zhì)量軟件的詳細要求大多相同。例如，程序員的軟件錯誤可能會導(dǎo)致系統(tǒng)故障，如果出現(xiàn)正確的情況來暴露錯誤。很難判斷這種可能性，一些功能安全標(biāo)準(zhǔn)規(guī)定概率應(yīng)被視為100%。15然而，雖然 99.99% 無錯誤的程序通常不會引起安全問題似乎是合理的，但黑客會嘗試確保始終遇到 0.01% 的實例。因此，消除系統(tǒng)誤差對于安全和功能安全同樣重要。但是，確實，100%完美的安全相關(guān)軟件可能存在嚴重的安全問題。

過去，不允許在安全系統(tǒng)中使用軟件，因為它由于呈現(xiàn)的不同狀態(tài)的數(shù)量而被認為本質(zhì)上是不可測試的。新標(biāo)準(zhǔn)提供了一個生命周期模型，如果遵循該模型，則可以提出安全性聲明，因為這些標(biāo)準(zhǔn)中倡導(dǎo)的技術(shù)在過去已被證明可以生產(chǎn)安全系統(tǒng)。軟件本質(zhì)上是有吸引力的，因為它允許將通用機器轉(zhuǎn)換為非常特定的機器。然而，這種靈活性也是它的弱點之一。

ESDA-312 等文件16表明IEC 61508中的許多技術(shù)可用于滿足工業(yè)安全要求。遵循這樣的過程會留下工作產(chǎn)品的書面記錄，可用于證明已實現(xiàn)安全性。

這些技術(shù)包括進行設(shè)計評審、制定編碼標(biāo)準(zhǔn)、規(guī)劃工具的使用、單元級別的驗證、需求可追溯性、獨立驗證和評估。雖然軟件不會磨損，但它運行的硬件可能會出現(xiàn)故障，軟件需要處理這個問題。對于機器和機器人，使用冗余架構(gòu)（如ISO 13849中的Cat 3或Cat 4）減少了在IC級別實施診斷的需求，但確實提高了對各種軟件的要求。

功能安全和集成電路

集成電路（IC）對智能系統(tǒng)至關(guān)重要。IC可以提供跟蹤容器中的物品而不是容器本身的方法，跟蹤機器人手臂的位置而不僅僅是整個機器人，跟蹤低價值機器的健康狀況，并處理數(shù)據(jù)，以便傳輸?shù)皆浦械氖切畔⒍皇菙?shù)據(jù)。新型電機控制IC可以提高電機效率并延長電池壽命。

IC提供大腦，特別是在邊緣，智能需要緊湊和低功耗。它們還提供傳感器技術(shù);例如，使用雷達、激光、磁、相機或超聲波技術(shù)。它們可以測量速度和位置，并且借助AMR（各向異性磁阻）等新技術(shù)，傳感器無需外部機械組件即可確定速度和位置。IC在網(wǎng)絡(luò)中實現(xiàn)物理接口和MAC（媒體訪問控制）層。通過無線通信，這種實現(xiàn)都可以在IC上完成。

同樣，集成電路可以通過PUF（物理上不可克隆的功能）、加密加速器和篡改檢測機制來支持安全性。鑒于現(xiàn)在可以實現(xiàn)的集成水平，過去在許多情況下的系統(tǒng)級要求已成為IC級要求。

然而，在目前的工業(yè)功能安全標(biāo)準(zhǔn)中，集成電路的內(nèi)容很少，在安全標(biāo)準(zhǔn)中甚至更少。對于汽車而言，計劃于2018年發(fā)布的ISO 26262-11草案是一個很好的資源，其中大部分也可用于工業(yè)應(yīng)用的集成電路。在IEC 61508的修訂版2中，提出了與軟件幾乎相同的ASIC生命周期模型。事實上，關(guān)于像Verilog這樣的HDL代碼是軟件還是僅僅是硬件的表示的爭論是一個有趣的爭論。IEC 61508-2：2010的附錄E涉及使用單片硅時要求片上冗余的要求，但僅限于數(shù)字電路和重復(fù)的情況，除非它不包括各種冗余或模擬和混合信號電路。IEC 61508-2：2010的信息性附錄F非常有用，因為它列出了IC開發(fā)過程中應(yīng)采取的措施，以避免引入系統(tǒng)錯誤。每個SIL都給出了要求，但同樣僅限于數(shù)字電路，沒有關(guān)于模擬或混合信號IC的具體指導(dǎo)。

IC的高集成度既是福也是禍。與單個組件相比，IC上的單個晶體管非?？煽?，IC最不可靠的方面通常是引腳。例如，如果使用西門子SN 29500標(biāo)準(zhǔn)進行可靠性預(yù)測，則具有500k晶體管的IC的FIT將為70，但如果晶體管數(shù)量增加10到500萬倍，則FIT將增加到僅80。如果使用兩個IC，每個IC具有500k個晶體管，則每個FIT將為70，總共140個。從 140 到 80 的節(jié)省是在您還考慮 PCB 面積、PCB 走線和外部無源器件的節(jié)省之前，或者 IC 上的片上天線比 PCB 上的天線小得多，可以減少 EMI 問題。等式的詛咒部分是，對于復(fù)雜的IC，確定故障模式可能很困難。簡單性是安全之友，兩個單獨封裝的微控制器更有可能被認為比包含兩個微控制器的IC更簡單。IEC 61508-2：2010的附錄E提供了一些指導(dǎo)。然而，在聲稱足夠的獨立性和大多數(shù)安全標(biāo)準(zhǔn)中，低于10%的β（兩個通道因相同原因同時失敗的測量）被認為是非常好的。

IC供應(yīng)商可以通過為已發(fā)布的器件、片上硬件加速器、片上和片外診斷以及分離關(guān)鍵和非關(guān)鍵軟件（安全和安保關(guān)鍵）的方法提供認證組件、安全手冊或安全數(shù)據(jù)表，從而幫助他們的安全和安保供應(yīng)商。這些安全和安保功能需要從一開始就進行設(shè)計。試圖在IC設(shè)計后增加安全性將導(dǎo)致額外的系統(tǒng)復(fù)雜性和額外的組件。

開發(fā)用于功能安全系統(tǒng)的集成電路有多種選擇。標(biāo)準(zhǔn)中沒有要求只使用兼容的集成電路，而是要求模塊或系統(tǒng)設(shè)計人員確信所選集成電路適合在其系統(tǒng)中使用。擁有獨立評估的安全手冊是一種令人滿意的方式，但不是唯一的選擇。

可用選項包括：

通過外部評估和安全手冊完全按照IEC 61508開發(fā)IC

開發(fā)符合IEC 61508標(biāo)準(zhǔn)的IC，無需外部評估，但使用安全手冊

根據(jù)半導(dǎo)體公司的標(biāo)準(zhǔn)開發(fā)流程開發(fā)IC但發(fā)布安全數(shù)據(jù)表

開發(fā)IC到半導(dǎo)體公司標(biāo)準(zhǔn)流程

注意—對于未按照 IEC 61508 開發(fā)的部件，安全手冊可能稱為安全數(shù)據(jù)表或類似內(nèi)容，以避免混淆。兩種情況下的內(nèi)容和格式將相似。

對于半導(dǎo)體制造商來說，選項1是最昂貴的選擇，但它也為模塊或系統(tǒng)設(shè)計人員提供了最大的好處。擁有這樣的組件，其中集成電路安全概念中顯示的應(yīng)用與系統(tǒng)的應(yīng)用相匹配，可以降低模塊或系統(tǒng)外部評估遇到問題的風(fēng)險。SIL 2安全功能的額外設(shè)計工作量可能達到20%或更多。額外的努力可能會更高，除了半導(dǎo)體制造商通常已經(jīng)暗示了嚴格的開發(fā)過程，即使沒有功能安全。

備選方案2節(jié)省了外部評估的費用，但除此之外，影響是相同的。此選項適用于客戶無論如何都要獲得外部認證的模塊/系統(tǒng)，并且集成電路是該系統(tǒng)的重要組成部分。

選項 3 最適合已發(fā)布的集成電路，其中提供安全數(shù)據(jù)表可以讓模塊或系統(tǒng)設(shè)計人員訪問他們在更高級別的安全設(shè)計所需的額外信息。這包括所使用的實際開發(fā)過程的詳細信息、集成電路的FIT數(shù)據(jù)、任何診斷的詳細信息以及制造現(xiàn)場的ISO 9001認證證據(jù)等信息。

圖5.ADI公司的ADSP-CM41x系列具有許多安全和安保特性。

然而，備選方案4仍將是開發(fā)集成電路的最常見方式。使用此類組件開發(fā)安全模塊或系統(tǒng)將需要額外的組件和模塊/系統(tǒng)設(shè)計費用，因為這些組件沒有足夠的診斷，需要雙通道架構(gòu)與單通道架構(gòu)進行比較。此外，使用此類組件的診斷測試間隔通常不是最佳的，并且可用性較低，因為無法確定哪些故障項目失敗，這可能會對可用性產(chǎn)生影響。如果沒有安全數(shù)據(jù)手冊，模塊/系統(tǒng)設(shè)計人員還需要做出保守的假設(shè)，將集成電路視為黑匣子。這可能會降低可以聲明的可靠性數(shù)字。

為了簡化功能安全的實現(xiàn)，IC制造商可能希望制定自己的IEC 61508解釋。ADI公司有一個內(nèi)部公司規(guī)范ADI61508，它是IEC 61508對集成電路開發(fā)的解釋。然后，IEC 61508的所有七個部分都在一個文檔中進行解釋，省略IEC 61508中與集成電路無關(guān)的位，其余部分解釋為集成電路。

無論采用哪種系統(tǒng)級標(biāo)準(zhǔn)，IC都是按照IEC 61508開發(fā)的，唯一的例外是汽車，其中ISO 26262可用于開發(fā)用于汽車應(yīng)用的IC和軟件。

總結(jié)

基于IEC 61508的各種功能安全標(biāo)準(zhǔn)為一般工業(yè)和工業(yè)4.0提供了良好的服務(wù)。其中包括軟件、硬件、網(wǎng)絡(luò)、安全和機器人技術(shù)的標(biāo)準(zhǔn)。然而，這些信息目前分布在多個標(biāo)準(zhǔn)中，工業(yè)4.0具有幾個與工業(yè)4.0所需的不斷變化相關(guān)的獨特功能。工業(yè)4.0的單一重點標(biāo)準(zhǔn)可能需要通過對新世界基本安全標(biāo)準(zhǔn)的解釋來簡化合規(guī)性。也許這可以稱為“安全4.0”或“智能安全”！同樣，IEC 61508標(biāo)準(zhǔn)中需要更多與IC相關(guān)的信息，以便證明和實現(xiàn)足夠的安全性。展望未來，工業(yè)4.0成為現(xiàn)實和成功之前的機遇和挑戰(zhàn)將很有趣。

功能安全可以為工業(yè)4.0提供很多東西，不僅因為安全是未來工廠的基本要素，還因為功能安全具有實現(xiàn)更高可靠性，診斷，彈性和冗余的技術(shù)。

審核編輯：郭婷