我之前的大部分博客集中于功能安全的基礎(chǔ)知識，因?yàn)槲蚁胱尨蠹艺莆栈疽I(lǐng)。

這將是我一段時間內(nèi)涉及基本話題的最后一篇導(dǎo)論性博客。

很顯然，作為半導(dǎo)體制造業(yè)者，我將專注于半導(dǎo)體功能安全要求，但這里的所有內(nèi)容都有更加廣泛的適用范圍。另外，鑒于博客的性質(zhì)，我會采用一些“詩歌性”修辭來快速解釋概念。

下圖顯示了半導(dǎo)體器件的標(biāo)準(zhǔn)流程。ADI公司內(nèi)部文件ADI61508反映了這一流程。

第一個任務(wù)是了解環(huán)境。這不僅包括EMC環(huán)境、電路預(yù)期運(yùn)行溫度的平均值和極值，還包括適用的標(biāo)準(zhǔn)和法規(guī)。

接下來是危害分析，用以確定安全功能。通常情況下，每種危害都要一個安全功能來應(yīng)對，除非可以通過重新設(shè)計(jì)來消除該危害。

第三個框是確定每個安全功能的安全完整性要求。通常，這是根據(jù)危害的嚴(yán)重程度和可能發(fā)生的頻率來完成的。

接下來的三個垂直框顯示了應(yīng)對系統(tǒng)需求的各種方法。系統(tǒng)故障不是隨機(jī)事件引起的故障。系統(tǒng)故障的例子包括：EMC穩(wěn)健性不夠，未滿足某些要求，由于測試 不足而缺少某些東西。路線1S以符合IEC 61508中的所有要求為基礎(chǔ)，是最常見的選擇；路線2S以實(shí)際使用證據(jù)為基礎(chǔ)，也是可行的。路線3S只是軟件的一個選擇，涉及回溯性地完成所有您應(yīng)該首先完成的文書工作和分析。對于IC，IEC 61508-2:2010附錄F中的要求顯示了實(shí)現(xiàn)路線1S的途徑。

然后，您有兩個選擇來滿足硬件完整性要求。路線1H允許您在診斷覆蓋率和硬件容錯（冗余）之間進(jìn)行取舍。例如，對于SIL 3，可以不使用冗余，SFF（安全失效比率——衡量診斷覆蓋率的指標(biāo)）為99%，或每個通道的HFT（硬件容錯）為1，SFF為90%。路線2H基于現(xiàn)場經(jīng)驗(yàn)和最低HFT水平。

接下來，如果片內(nèi)或片外有冗余，則需要考慮CCF（常見原因故障）。CCF很容易讓冗余無效，CCF是導(dǎo)致冗余系統(tǒng)失效的最常見原因。

現(xiàn)在需要計(jì)算PFH（每小時危險(xiǎn)故障概率）或PFD（需要時發(fā)生故障的概率）。根據(jù)SIL級別，這些指標(biāo)會有最大值。通常情況下，給一個IC只會分配該最大值的很小一部分。

“當(dāng)設(shè)計(jì)圖紙的重量達(dá)到飛機(jī)重量時，飛機(jī)就可以飛行了?！?/p>

接下來需要考慮數(shù)據(jù)通信。指南說，應(yīng)將大約1%的PFH預(yù)算分配給接口。這可能涉及基于傳輸介質(zhì)的誤碼率、每條消息傳輸?shù)谋忍財(cái)?shù)、每小時傳輸?shù)南?shù)以及用于檢測故障的任何CRC的Hamming距離的計(jì)算。（會有一篇博客探討這個話題。）

也許最后在這里說不恰當(dāng)，但如果有片內(nèi)診斷功能，您需要考慮診斷發(fā)現(xiàn)錯誤時應(yīng)該怎么做。對于電機(jī)控制應(yīng)用，您可能希望切斷電源，但對于其他應(yīng)用，您需要了解關(guān)于最終應(yīng)用的很多內(nèi)容。例如在核電站冷卻應(yīng)用中，可能需要讓冷卻液保持流動，但如果是攜帶氣體的系統(tǒng)，可能需要讓氣體停止流動。

還有很多其他子任務(wù)，例如配置管理、變更管理、收集能力證據(jù)、獨(dú)立評估——上面沒有顯示這些，記住文檔是關(guān)鍵。如果沒有記錄，事情就沒有發(fā)生。產(chǎn)品不僅要安全，您還必須能夠說明其安全背后的道理。航空電子領(lǐng)域有一種說法，當(dāng)設(shè)計(jì)圖紙的重量達(dá)到飛機(jī)重量時，飛機(jī)就可以飛行了。