在這篇文章中，我將討論IEC 61508修訂版3的擬議規(guī)則。這些規(guī)則可能會根據(jù)草案分發(fā)給各個國家委員會時收到的意見而改變，但鑒于大多數(shù)國家委員會已經(jīng)在IEC 61508維護團隊中有代表，人們期望并希望擬議的規(guī)則不會發(fā)生重大變化。

新規(guī)則將取代IEC 61508-3：2010子條款7.4.4中的現(xiàn)有規(guī)則，并將適用于用于生產(chǎn)軟件元素或硬件元素的軟件工具。

我一直認為舊規(guī)則適用于用于生產(chǎn)硬件元素的工具，但似乎并不是每個人都有相同的理解。因此，將在第 1 部分中添加說明，以明確軟件脫機工具規(guī)則適用于硬件和軟件元素。對我來說，新規(guī)則是有意義的。我已經(jīng)在一些用于生產(chǎn)集成電路的工具上測試了它們，它們產(chǎn)生了良好的結(jié)果并且應(yīng)用起來很有效。

新的工具提案基于風(fēng)險，工具按TI（工具影響）1（最低影響）、2或3（最高影響）排名，類似于舊的T1、T2和T3。這與基于對測量的置信度的排名相結(jié)合，這些測度將檢測TD1（最低置信度）、TD2或TD3（最高置信度）工具輸出中的錯誤。但是，正在開發(fā)的安全功能的SIL現(xiàn)在也包含在1到4級的分析中。TI、TD 和 SIL 的組合產(chǎn)生了 TIL（工具完整性等級），然后確定允許在安全系統(tǒng)開發(fā)中使用該工具的要求。

表 1 - 基于 61508 修訂版 3 提案的 TD/SIL/TIL 平衡規(guī)則

對刀具沖擊的依賴性在舊規(guī)則中始終存在，雖然 SIL 依賴性是新的，但它似乎是合乎邏輯的。對TD的依賴也是新的，使規(guī)則更接近ISO 26262（汽車）中的規(guī)則。

作為應(yīng)用規(guī)則的示例，上表指出，如果您正在為 SIL 3 安全功能開發(fā)軟件，并且 TI=2（中等），并且檢測工具輸出錯誤的能力被評為 TD=2（中等），則需要 TIL 為 1。

或者，如果您正在開發(fā)用于 TI 為 3（高）且 TD 為 3（低）的 SIL 1 安全功能工具，則 TIL 為 3。

根據(jù)現(xiàn)有的2010年版標準，不直接評估安全功能的SIL和檢測工具輸出錯誤的措施的信心。沒有等價物的 TIL。

在新系統(tǒng)下，一旦確定了TIL，就必須遵循每個TIL的要求。一些要求與工具開發(fā)人員有關(guān)，一些與工具用戶有關(guān)。請注意，因為這些規(guī)則仍然可能改變。

對于包括 TIL 0 在內(nèi)的所有 TIL（需要處理用于生產(chǎn) SIL 為 1 的安全功能的工具），將要求至少列出所有工具并分配 TIL。

對于 TIL 1，主要變化是工具文檔應(yīng)可用。現(xiàn)在還建議使用經(jīng)過驗證的正在使用的工具。在我看來，推薦意味著如果您不使用經(jīng)過驗證的正在使用的工具，您應(yīng)該寫一個簡短的解釋，說明為什么無法使用經(jīng)過驗證的正在使用的工具以及如何安全地使用未經(jīng)驗證的工具。

對于 TIL 2，引入了更多要求，強烈建議使用經(jīng)過驗證的正在使用的工具，并且對過去的工具使用充滿信心。

對于 TIL 3，強烈建議使用大多數(shù) TIL 2 規(guī)則，這意味著如果您不遵循該規(guī)則，則需要給出更廣泛的理由，說明為什么您不這樣做以及為什么它仍然是安全的。

集成電路的設(shè)計在很大程度上依賴于軟件工具。以前，用于生產(chǎn)集成電路的工具規(guī)則來自IEC 61508-2：2010附錄F，并且首選經(jīng)過驗證的正在使用的工具。經(jīng)過驗證的使用現(xiàn)已棄用，對用于生產(chǎn)集成電路的工具的要求將與用于生產(chǎn)安全系統(tǒng)的任何其他硬件或軟件元件的要求相似。

對于模塊級和PCB級設(shè)計，新規(guī)則將適用于以下工具：

布局

原理圖捕獲

SPICE模擬

熱建模

電磁兼容仿真

組件庫管理器

電路板應(yīng)力分析

網(wǎng)標機

原理圖與布局

生產(chǎn)測試軟件

校準工具

阻抗計算器

IEC 61508是一項基本安全標準，因此IEC 61508內(nèi)部的變化可能會影響許多應(yīng)用領(lǐng)域。此外，ISO 13849等其他標準在嵌入式軟件或可編程電子產(chǎn)品方面參考IEC 61508。

審核編輯“郭婷