Seguridad Funcional de Circuitos Integrados

Los circuitos integrados (IC) forman la base de todos los sistemas de seguridad modernos. Los circuitos integrados alimentan la lógica y controlan los sensores o, en otras palabras, son los sensores. Los circuitos integrados impulsan los elementos finales para lograr un estado seguro y son la plataforma en la que se ejecuta el software. El nivel de integración posible en los semiconductores puede simplificar la implementación a nivel de sistema a costa de una mayor complejidad dentro del propio circuito integrado. Este nivel de integración mejora la confiabilidad del sistema a través de la reducción del número de piezas y brinda oportunidades para una mayor cobertura de diagnóstico con tiempos de prueba de diagnóstico más cortos, a un costo que hace que la seguridad sea asequible. Se podría argumentar que este nivel de integración es malo debido a la complejidad añadida. Sin embargo, una gran simplificación a nivel de módulo y sistema puede tener el precio de la complejidad en los circuitos integrados. Sorprendentemente, si bien existen estándares de seguridad funcional que se ocupan del control de procesos, maquinaria, elevadores, variadores de velocidad y sensores de gases tóxicos, no existen estándares de seguridad funcional dedicados a los circuitos integrados. En su lugar, hay fragmentos de requisitos e información dispersos en IEC 61508 y otras normas de nivel B y C. Este artículo proporciona orientación sobre la interpretación de las normas de seguridad funcional para semiconductores.

Introducción

Los circuitos integrados generalmente se desarrollan de acuerdo con IEC 61508 o ISO 26262. Además, los estándares Tier Two y Tier Three a veces contienen requisitos adicionales. El desarrollo y la evaluación de estándares de seguridad funcional garantizan que estos circuitos integrados altamente complejos son seguros. Cuando se escribió IEC 61508, estaba destinado a sistemas personalizados, en lugar de circuitos integrados producidos en masa en el mercado abierto. Este artículo revisará y comentará los requisitos funcionales conocidos para los circuitos integrados. Aunque el artículo se centra en IEC 61508 y su aplicación en sectores industriales, gran parte del material es relevante para aplicaciones como la automoción, la aviónica y la medicina.

Seguridad Funcional

La seguridad funcional es la parte de la seguridad que se ocupa de la confianza de que un sistema realizará su tarea relacionada con la seguridad cuando sea necesario. La seguridad funcional es diferente de otras formas pasivas de seguridad como la seguridad eléctrica, la seguridad mecánica o la seguridad intrínseca.

La seguridad funcional es una forma activa de seguridad; por ejemplo, brinda la seguridad de que un motor se detendrá lo suficientemente rápido para evitar lesiones a un operador que abre una puerta de protección o que un robot funcionará a velocidad y fuerza reducidas cuando haya una persona cerca.

Estándares

IEC 61508 es el principal estándar de seguridad funcional.¹ La primera revisión de esta norma se publicó en 1998 y la segunda revisión se publicó en 2010 y el trabajo comenzó en 2017 para actualizar la tercera revisión con una fecha probable de finalización de 2022. Dado que la primera edición de IEC 61508 se publicó en 1998, el original IEC 61508 El estándar se adaptó a áreas como automoción (ISO 26262), control de procesos (IEC 61511), controladores lógicos programables (IEC 61131-6), IEC 62061 (máquinas), variadores de velocidad (IEC 61800-5-2) y muchos otros lugares. Estos otros estándares ayudan a interpretar el alcance muy amplio de IEC 61508 para estas áreas más limitadas.

Algunas normas de seguridad funcional como ISO 13849 y D0-178/D0-254 no se derivan de IEC 61508. Sin embargo, cualquiera que esté familiarizado con IEC 61508 y lea estas normas no se sorprendería demasiado.

Dentro de un sistema de seguridad, las funciones de seguridad realizan las principales actividades de seguridad funcional cuando el sistema está funcionando. Una función de seguridad define una operación que debe realizarse para lograr o mantener la seguridad. Una función de seguridad típica tiene un subsistema de entrada, un subsistema lógico y un subsistema de salida. Esto generalmente significa que se detecta una situación potencialmente peligrosa y algo determina los valores detectados y, si se considera potencialmente peligroso, instruye a un subsistema de eventos para que envíe el sistema a un estado seguro definido.

Figura 1. Ejemplo de normas de seguridad funcional.

El tiempo entre la situación peligrosa actual y llegar a una situación segura es crucial. Por ejemplo, una función de seguridad podría consistir en un sensor para detectar que una protección en una máquina está abierta, un controlador para procesar datos y un variador de velocidad con una entrada de par segura que apaga un motor anterior si no hay mano. insertado en una máquina puede quitar las piezas móviles.

Niveles de integridad de seguridad

SIL significa Nivel de integridad de seguridad y es una forma de expresar la Reducción de riesgo necesaria requerida para reducir el riesgo a un nivel aceptable. De acuerdo con IEC 61508, los niveles de seguridad son 1, 2, 3 y 4, con un aumento de orden de magnitud en la seguridad a medida que pasa de un nivel a otro. SIL 4 no se observa en maquinaria y automatización de fábricas donde normalmente no más de una persona está expuesta a un peligro. Está reservado para aplicaciones como la nuclear y la ferroviaria, donde cientos o incluso miles de personas pueden resultar heridas. También existen otros estándares de seguridad funcional como Automotive, que utiliza ASIL (Automotive Safety Integrity Levels) A, B, C y D e ISO 13849. Sus niveles de desempeño a, b, c, d y ea pueden mapearse al SIL 1 Escala a SIL 3 .

Tabla 1. Correspondencia aproximada de niveles de seguridad en dominios de aplicación
IEC 61508 SIL	ISO 26262 ASIL	nivel de aviónica	ISO 13849PL	Categorías nucleares
1	A	D	b yo yo mi —	A yo yo yo contra
2	b	contra
3	CD	b
4	—	A

El autor no está convencido de que sea posible una demanda superior a SIL 3 para un solo IC. Sin embargo, debe tenerse en cuenta que la columna SIL 4 se muestra en las tablas del Anexo F de IEC 61508-2:2010.

Los tres requisitos principales

La seguridad funcional impone tres requisitos principales en el desarrollo de circuitos integrados. Estos requisitos se exploran en las siguientes secciones.

Requisito 1: seguir un proceso de desarrollo riguroso

IEC 61508 es un modelo de ciclo de vida completo que cubre todas las etapas, desde el concepto de seguridad hasta los requisitos para la captura, el mantenimiento y, finalmente, la eliminación del artículo. No todos estos pasos involucran un circuito integrado e identificar cuáles están presentes requiere capacitación y experiencia. IEC 61508 recomienda el modelo V para ASIC y, junto con el examen, inspección y otros requisitos de IEC 61508, representa un sistema que ha demostrado, aunque no puede garantizar la seguridad, generar sistemas seguros y circuitos integrados en el sistema. gastó

La mayoría de los fabricantes de circuitos integrados ya tienen estrictos estándares de desarrollo de nuevos productos debido al alto costo de reemplazar un circuito integrado defectuoso. Un solo juego de máscaras para un proceso de baja geometría puede costar más de $500,000. Esto y los ya largos plazos de entrega requieren que los diseñadores de circuitos integrados implementen un riguroso proceso de desarrollo con buenos pasos de verificación y validación. Una de las principales diferencias en la seguridad funcional es que la seguridad no solo debe lograrse, sino que también debe demostrarse, de modo que incluso los mejores fabricantes de circuitos integrados deben agregar un proceso de seguridad además de su proceso normalmente desarrollado para garantizar que se cree la evidencia correcta. y archivado de cumplimiento.

Los defectos introducidos por el proceso se denominan defectos sistemáticos. desarrollado en. Estos son defectos que solo pueden corregirse mediante un cambio de diseño. Estos defectos pueden incluir defectos de captura de requisitos, robustez EMC inadecuada y pruebas inadecuadas.

El anexo F de IEC 61508-2:2010 enumera un conjunto dedicado de medidas adecuadas para que las utilicen los expertos del comité de IEC en el desarrollo de circuitos integrados. La Tabla F.2 se aplica a los FPGA y CPLD, mientras que la Tabla F.1 se aplica a los ASIC digitales. Las medidas se dan como R (recomendado) o HR (muy recomendado), dependiendo del SII, y en algunos casos se ofrecen otras técnicas. Muy pocos requisitos deberían sorprender a un proveedor de circuitos integrados con un buen proceso de desarrollo, pero el requisito de cobertura bloqueada del 99 % para SIL 3 es un desafío, especialmente para partes pequeñas digitales o de señal mixta donde gran parte del circuito es periférico. el bloque. Los requisitos de la segunda revisión de la norma solo se aplican a circuitos integrados digitales, pero muchos de ellos se pueden aplicar a circuitos integrados analógicos o de señal mixta (la próxima revisión de ISO 26262 tendrá tablas similares y propondrá versiones para analógico y para señales mixtas. circuitos integrados de señales).

Además de las tablas F.1 y F.2, también hay un texto introductorio que proporciona una descripción general. Por ejemplo, este texto introductorio permite el uso de herramientas comprobadas y recomienda 18 meses para proyectos de complejidad similar y razonable. Esto significa que no todos los requisitos de IEC 61508-3 se aplican a las herramientas.

El uso probado puede estar disponible para los diseñadores de módulos/sistemas si han usado con éxito un IC en el pasado y conocen la aplicación y la tasa de fallas en el campo. Esta afirmación es mucho más difícil de hacer para los diseñadores o fabricantes de circuitos integrados porque generalmente no saben lo suficiente sobre la aplicación final o el porcentaje de unidades que fallan en el campo que se les devuelven para su análisis.

Software

Todos los errores de software son sistemáticos porque el software nunca envejece. Por lo tanto, cualquier software en chip debe considerar los requisitos de IEC 61508-3. Por lo general, el software en chip puede incluir un kernel/cargador de arranque en un microcontrolador/DSP. En algunos casos, sin embargo, el fabricante de circuitos integrados puede tener un pequeño microcontrolador preprogramado para implementar un bloque lógico en lugar de usar una máquina de estado en el microcontrolador/DSP. Este software de microcontrolador preprogramado también debe cumplir con los requisitos de IEC 61508-3. El software a nivel de aplicación suele ser responsabilidad del diseñador del sistema/módulo en lugar del fabricante del IC, pero es posible que el proveedor del IC deba proporcionar herramientas como compiladores o controladores de bajo nivel. Si estas herramientas se utilizan para desarrollar software de aplicación relacionado con la seguridad, el fabricante de circuitos integrados deberá proporcionar al usuario final información suficiente para cumplir con los requisitos de la herramienta en la cláusula 7.4.4 de la norma IEC 61508-3:2010.

El autor también está programado en C y muchos otros lenguajes de programación. Hizo una cantidad limitada de programación Verilog. Verilog y su hermano VHDL son ejemplos de dos HDL (lenguajes de definición de hardware) utilizados para diseñar circuitos integrados digitales. Si HDL es software es una pregunta interesante, pero por ahora, seguir el Anexo F de IEC 61508-2:2010 es suficiente. En la práctica, el autor ha encontrado que si se sigue el Anexo F, entonces en combinación con los otros requisitos de IEC 61508 (etapas del ciclo de vida, etc.), no importa si se considera o no el software HDL, porque finaliza el resto desarrollador. haciendo todas las tareas necesarias. Un estándar relacionado de interés es IEC 62566,² que trata de aplicaciones de seguridad para la industria nuclear desarrolladas con HDL.

Requisito 2 - Ser intrínsecamente digno de confianza

IEC 61508 impone requisitos de confiabilidad en forma de PFH (frecuencia de falla peligrosa promedio por hora) o PFD (probabilidad de falla a pedido). Estos límites se relacionan con el riesgo de un adulto de morir por causas naturales y la idea de que ir a trabajar o realizar sus actividades diarias no debería aumentar significativamente. El PFH máximo para una función de seguridad SIL 3 es 10^{- Siete}/h o una peligrosa tasa de fallos de aproximadamente una vez cada 1000 años. Expresado en FIT (fallo en el tiempo/fallo por mil millones de horas de operación), esto corresponde a 100 FIT.

Dado que una función de seguridad típica tiene un bloque de entrada, un bloque lógico y un bloque de actuador, y el presupuesto de PFH debe compartirse entre los tres bloques, el PFH para un CI dado puede ser de un solo dígito (<10 FIT). Las arquitecturas redundantes se pueden usar para permitir números más altos, de modo que dos elementos de 100 FIT cada uno pueda proporcionar una confiabilidad equivalente a un elemento con una confiabilidad de 10 FIT limitada por problemas de CCF (fallo de elementos comunes). Sin embargo, la redundancia consume mucho espacio y energía, y aumenta el costo.

Los fabricantes de circuitos integrados, como Analog Devices, brindan información de confiabilidad para todos sus circuitos integrados comerciales en sitios como analog.com/reliabilitydata, en función de pruebas de vida aceleradas. Esto a veces se ve comprometido por el hecho de que la confiabilidad se evalúa en el laboratorio bajo condiciones artificiales. En su lugar, utilice estándares de toda la industria como SN 29500³ o CEI 62380⁴ recomendado. Sin embargo, estos estándares tienen varios problemas:

Predicen la confiabilidad con un nivel de confianza del 99 % e IEC 61508 solo requiere datos con un nivel de confianza del 70 %, por lo que los estándares son pesimistas.
Mezclan modos de falla aleatorios y sistemáticos. Están destinados a ser tratados de manera diferente dentro del alcance de IEC 61508.
No se actualizan con frecuencia.
No tienen en cuenta las diferencias de calidad entre proveedores.

Estándares como SN 29500 demuestran la verdadera confiabilidad de los transistores en chip. Si se usan dos circuitos integrados de transistores de 500k cada uno para implementar una función de seguridad, cada uno tendría un FIT de 70 para un sistema FIT total de 140. Sin embargo, si ambos circuitos integrados se reemplazan por un circuito integrado de un millón de transistores, el FIT para este único circuito integrado es 80, lo que supone una reducción de más del 40%.

Los errores leves a menudo se pasan por alto en los circuitos integrados. Los errores leves se diferencian de las predicciones de confiabilidad tradicionales en que desaparecen cuando se enciende y apaga. Son causados por partículas de neutrones del espacio o partículas alfa del material de empaque que golpean las celdas RAM o los flip-flops (FF) en el chip y cambian el valor almacenado. ECC (detección de errores de doble bit y corrección de errores de un solo bit) se puede usar para detectar y corregir errores de RAM de manera transparente, pero a costa de una velocidad reducida y mayores errores en el chip. La paridad agrega menos gastos generales, pero deja que el diseñador del sistema resuelva el problema de recuperación de errores. Si no se utilizan técnicas de paridad o ECC, la tasa de error de software puede superar la tasa de error de hardware tradicional hasta en un factor de 1000 (IEC 61508 recomienda una cifra de 1000 FIT/MB para RAM). Las técnicas disponibles para tratar los errores leves en los FF (flip-flops) utilizados para implementar los circuitos lógicos son menos que satisfactorias, pero los temporizadores de vigilancia, la redundancia de tiempo en los cálculos y otras técnicas pueden ayudar.

Requisito 3 - Ser tolerante a fallas

No importa cuán confiable sea el producto, a veces sucederán cosas malas. La tolerancia a fallas acepta esta realidad y la enfrenta de frente. La tolerancia a fallos tiene dos componentes principales. Uno es el uso de redundancia y el otro es el uso de diagnósticos. Ambos suponen que se producirán fallas independientemente de la confiabilidad del CI o del proceso de desarrollo utilizado para desarrollar el CI.

La redundancia puede ser igual o diferente, y puede estar dentro o fuera del chip. El anexo E de IEC 61508-2:2010 proporciona un conjunto de técnicas para demostrar que se han tomado las medidas adecuadas para admitir los requisitos de redundancia en el chip en circuitos digitales que utiliza redundancia no diversificada. El Apéndice E parece centrarse en los microcontroladores doblemente bloqueados y no se da ninguna indicación de la independencia del chip para

Circuitos integrados analógicos y señales mixtas
Entre un elemento y su diagnóstico en chip
Circuitos digitales que emplean varias redundancias.

En algunos casos, sin embargo, el Anexo E puede interpretarse inteligentemente para esos casos. Una característica interesante del Anexo E es el β_ESTE cálculo, que es una medida de fallas comunes en el chip. Permite un juicio de separación adecuada siempre que las fuentes de falla de causa común representen β inferior al 25 %, que es alto en comparación con el 1 %, 5 % o 10 % que se encuentran en las tablas IEC 61508 -6:2010. .

El diagnóstico es un área donde los circuitos integrados realmente pueden brillar. Los diagnósticos pueden estar en un chip

Estar diseñado para adaptarse a los modos de falla de bloque en chip esperados
Agregue cualquier espacio de PCB debido a la necesidad limitada de pines externos
Operación de alta velocidad (tiempo mínimo de prueba de diagnóstico)
Evita la necesidad de componentes redundantes para implementar diagnósticos de comparación

Esto significa que los diagnósticos en chip pueden minimizar el costo y el área del sistema. Los diagnósticos suelen ser diferentes (implementación diferente) del elemento en el chip que se está monitoreando y, por lo tanto, es poco probable que falle de la misma manera y al mismo tiempo que el elemento que se está monitoreando. Cuando lo hagan, es probable que experimenten los mismos problemas (a menudo relacionados con la compatibilidad electromagnética, problemas de alimentación y sobrecalentamiento) aunque los diagnósticos se implementaron en un chip separado. Aunque este requisito no está en el estándar, existen preocupaciones con respecto al uso de monitores de energía en el chip y circuitos de vigilancia, que son diagnósticos de último recurso. Algunos evaluadores externos argumentarán que estos diagnósticos están fuera de serie.

Por lo general, los diagnósticos en circuitos integrados más simples serán controlados por un control remoto/DSP y las mediciones se realizarán en el chip, pero los resultados se enviarán fuera del chip para su procesamiento.

IEC 61508 requiere niveles mínimos de cobertura de diagnóstico dados como SFF (fracción de falla segura), que considera fallas seguras y peligrosas y está relacionado pero es diferente de DC (cobertura de diagnóstico), que descuida las fallas seguras. La medida del éxito de los diagnósticos implementados se puede medir utilizando un FMEA o FMEDA cuantitativo. Sin embargo, los diagnósticos implementados en CI también pueden cubrir componentes fuera del CI y las funciones dentro del CI pueden cubrirse con diagnósticos a nivel del sistema. Cuando un desarrollador de CI realiza FMEDA, generalmente se debe suponer que el desarrollador de CI no conoce los detalles de la aplicación final. En la terminología ISO 26262, esto se denomina SEOoC (Elemento de seguridad fuera de contexto). Para que los usuarios finales utilicen FMEDA a nivel de IC, deben asegurarse de que las suposiciones sigan siendo válidas para su sistema.

Aunque la Tabla A.1 (y, de hecho, las Tablas A.2 a A.14) de IEC 61508-2:2010 brinda una buena orientación sobre las fallas de CI que deben tenerse en cuenta al analizar CI, aún se brinda una mejor discusión sobre el tema en el anexo. H de IEC 60730:2010.⁵

Opciones de desarrollo para un circuito integrado.

Hay muchas opciones para desarrollar circuitos integrados para su uso en sistemas funcionalmente seguros. No existe un requisito en el estándar de que solo se utilicen circuitos integrados compatibles, pero el requisito es que los diseñadores de módulos o sistemas se aseguren de que el CI seleccionado sea adecuado para su uso en su sistema.

Las opciones disponibles incluyen

Desarrollo en pleno cumplimiento de la norma IEC 61508 con evaluación externa y manual de seguridad
Desarrollo según IEC 61508 sin evaluación externa y con manual de seguridad
Desarrollar el proceso de desarrollo estándar de una empresa de semiconductores mediante la publicación de una ficha de datos de seguridad
Desarrollo según el proceso estándar de las empresas de semiconductores.

Nota: para las piezas no desarrolladas de acuerdo con IEC 61508, el manual de seguridad puede tener una hoja de datos de seguridad o similar para evitar confusiones con las piezas desarrolladas de acuerdo con un manual de seguridad.

La opción 1 es la opción más costosa para los fabricantes de semiconductores, pero también puede tener la mayor ventaja para los diseñadores de módulos o sistemas. El riesgo de problemas con la evaluación externa del módulo o sistema se reduce al tener un componente en el que la aplicación que se muestra en el concepto de seguridad para circuitos integrados corresponde a la función del sistema. El esfuerzo de diseño adicional para una función de seguridad SIL 2 puede ser de alrededor del 20 % o más. El esfuerzo adicional probablemente sería mayor, excepto que incluso sin seguridad funcional, los fabricantes de semiconductores suelen tener un proceso de desarrollo intensivo.

La opción 2 ahorra el costo de la evaluación externa, pero por lo demás el impacto será el mismo. Esta opción puede ser apropiada cuando el módulo/sistema ha sido certificado externamente por los clientes de todos modos y el CI es una parte importante de ese sistema.

La opción 3 es más adecuada para los circuitos integrados que ya están en el mercado, donde el módulo o el diseñador del sistema puede acceder a la información adicional que necesita para diseñar los niveles de seguridad y proporcionar la hoja de datos de seguridad al diseñador del sistema. Esto incluye información como detalles del proceso de desarrollo real utilizado, detalles de FIT para el IC, detalles de cualquier diagnóstico y prueba de la certificación ISO 9001 para los sitios de fabricación.

Sin embargo, la Opción 4 seguirá siendo la forma más común de desarrollar circuitos integrados. El uso de dichos componentes para desarrollar módulos o sistemas de seguridad requerirá componentes y costos adicionales para el diseño del sistema/módulo, ya que los componentes que requieren una arquitectura de dos canales no tendrán suficientes diagnósticos en comparación con una arquitectura de un solo canal. Sin una hoja de datos de seguridad, el diseñador del sistema/módulo tendrá que hacer suposiciones conservadoras y tratar el IC como una caja negra.

Además, las empresas de semiconductores deben desarrollar sus propias interpretaciones de las normas, y la propia empresa del autor ha desarrollado documentos internos ADI61508 y ADI26262 para este fin. ADI61508 toma las siete partes de IEC 61508:2010 e interpreta los requisitos para desarrollar un circuito integrado.

Desarrollo de SIL 2/3

A veces es posible desarrollar un circuito integrado de acuerdo con todos los requisitos del sistema contra SIL 3. Otros análisis se realizan al nivel de SIL 3. Sin embargo, la métrica del hardware por sí sola puede ser suficiente para SIL 2. Se podría identificar dicho circuito como SIL 2/3 o, de manera más general, SIL M/N, donde la M representa el nivel máximo de SIL que se puede reclamar en términos de métricas de hardware y la N el nivel máximo de SIL que se puede exigir en términos de necesidades sistémicas. Se pueden usar dos circuitos integrados SIL 2/3 para implementar un módulo o sistema SIL 3 porque la combinación se actualiza a SIL 3 mediante dos elementos SIL 2 al mismo tiempo. en términos de métricas de hardware, pero todos los elementos ya están en SIL 3 en términos de requisitos del sistema. Si, en cambio, los CI fueran solo SIL 2/2, poner dos CI en paralelo aún no sería SIL 3 porque sería SIL 3/2.

Aplicación de métricas de hardware a un circuito integrado

Excepto en los casos en que casi toda la función de seguridad está implementada por un circuito integrado, es muy difícil especificar los límites de SFF, CC o PFH en un semiconductor. Tomando el SFF como ejemplo, aunque el SFF debe ser superior al 99 % para SIL 3, esto se aplica a la función de seguridad general en lugar del circuito integrado. Si el IC alcanza el 98 %, aún puede usarse para implementar la función de seguridad SIL 3, pero se requerirán otras partes del sistema lograr una mayor cobertura para compensar. Se debe publicar el manual de seguridad o ficha de datos de seguridad del circuito integrado del λ_{ni una palabra}λ_Vayay λ para ser utilizado en FMEDA a nivel de sistema.

Idealmente, los requisitos de IC se extraerían de un análisis a nivel de sistema, pero este no suele ser el caso y el desarrollo es efectivamente una característica de seguridad independiente del contexto o SEOoC (ver ISO 26262) o independiente del contexto. En el caso de SEOoC, el desarrollador de CI debe hacer suposiciones sobre cómo se utilizará la CI en los sistemas. Luego, el diseñador del sistema o módulo debe comparar estas suposiciones con su sistema real para ver si la seguridad funcional del IC es suficiente para su sistema. Estas suposiciones pueden determinar si los diagnósticos se implementan en el IC o en el nivel del sistema y, por lo tanto, afectarán la funcionalidad y las capacidades en el nivel del IC.

Seguridad

Un sistema solo puede ser seguro si también lo es. Actualmente, la única guía de seguridad contenida en IEC 61508 o ISO 26262 es remitir al lector a la serie IEC 62443.6. Sin embargo, IEC 62443 parece estar más centrado en componentes más grandes, como componentes de PLC completos, en lugar de circuitos integrados individuales. La buena noticia es que muchos de los requisitos de las normas de seguridad funcional para eliminar los defectos sistémicos también se aplican a la seguridad. La falta de referencias es interesante porque, en algunos casos, el hardware raíz puede proporcionar confianza y funcionalidad de hardware como PUF (función física implícita), que es importante para la seguridad.

conclusión

El estándar IEC 61508 actual cubre todo, desde el desarrollo de circuitos integrados hasta la refinería de petróleo. Aunque los estándares de la industria están dedicados a áreas como la maquinaria y el control de procesos, y aunque hay una guía en IEC 61508 revisión 2 para circuitos integrados, no hay estándares específicos para circuitos integrados. La falta de requisitos específicos deja los requisitos abiertos a la interpretación y, por lo tanto, puede haber conflictos entre las expectativas de algunos clientes y los evaluadores externos.

Esto significa que los sectores tenderán a establecer requisitos específicos del sector para los circuitos integrados en sus normas de alto nivel. Dichos requisitos ya aparecen en normas como la EN 50402,^Siete pero en particular en el borrador de ISO 26262 de 2016,⁸ donde una nueva sección, la sección 11, trata específicamente de los circuitos integrados.

El autor espera que la revisión 3 de IEC 61508, que se publicará alrededor de 2021, amplíe y aclare las pautas para los circuitos integrados. El autor tiene la suerte de ser parte de IEC TC65/SC65A MT61508-1/2 y MT 61508-3, por lo que tendrá la suerte de participar en tales esfuerzos. Quizás una futura revisión de la parte 8 podría estar dedicada únicamente a los semiconductores para que haya consistencia entre sectores, permitiendo el desarrollo de circuitos integrados que satisfagan las necesidades de cada sector.

Incluso entonces, es poco probable que todo lo que un fabricante de circuitos integrados necesite para diseñar un circuito integrado con requisitos de seguridad funcional. Requisitos relacionados con la seguridad, EMC, etc. Siempre se debe obtener conocimiento de las aplicaciones del sistema.

graneros

Programa de seguridad funcional para dispositivos analógicos http://www.analog.com/en/about-adi/quality-reliability/funcional-safety-program.html.

¹IEC 61508:2010: Seguridad funcional de sistemas eléctricos/electrónicos/programables relacionados con la seguridad. Comisión Electrotécnica Internacional, 2010.

² CEI 62566: 2012: Centrales nucleares - La instrumentación y el control son importantes para la seguridad - desarrollo de circuitos integrados programables HDL que cumplen funciones de Clase A. Comisión Electrotécnica Internacional, 2012.

³ SN 29500-2: valores esperados para circuitos integrados. Siemens, 2010.

⁴IEC TR 62380:2004: Manual de datos de confiabilidad: modelo universal para predecir la confiabilidad de componentes electrónicos, circuitos impresos y equipos. Comisión Electrotécnica Internacional, 2004.

⁵IEC 60370-1:2010: Controles eléctricos automáticos para usos domésticos y similares. Parte 1: Requisitos generales.. Comisión Electrotécnica Internacional, 2010.

⁶ ISA/CEI 62443: Redes de comunicaciones industriales: seguridad de redes y sistemas. La Sociedad Internacional de Automatización y la Comisión Electrotécnica Internacional.

^Siete AG 50402: 2016: Aparatos eléctricos para la detección y medición de gases o vapores combustibles o tóxicos u oxígeno. Requisitos para la seguridad funcional de los sistemas de detección de gases.. Comité Europeo de Normalización — Electricidad, 2016.

⁸ISO 26262:2011: Seguridad funcional de los vehículos de carretera. Organización Internacional de Normalización, 2011.

Si quieres conocer otros artículos parecidos a Seguridad Funcional de Circuitos Integrados puedes visitar la categoría Generalidades.

¡Más Contenido!

Deja una respuesta Cancelar la respuesta