EEPW论坛

随着电子设备控制的工业设备数量的增加，对设备失效以及造成人身伤害和财产损失的担忧也随之增加。安全功能内置于设备中以防止功能故障，并确保如果系统发生故障，它将以无害方式发生故障。工业设备中的安全系统的示例包括列车制动器，监测对空气质量或物理环境的危害的传感器，装配线辅助机器人以及过程自动化设备中的分布式控制，仅举几个例子。这些系统通常包括现场可编程门阵列（FPGA），当安全数据包支持计算故障率时，可以在简化安全评估中发挥关键作用。当这些设备也基于闪存时，因此不受单个事件干扰（SEU）的影响，

标准和法规

对功能安全的担忧催生了功能安全标准和法规的发展。1998年，国际电工委员会（IEC）发布了“IEC 61508电气/电子/可编程电子（E / E / PE）系统功能安全”，建立了工业设备的全球功能安全标准。虽然不可能生产永不失效的电子设备，但可以采取措施降低有害故障的风险。安全标准背后的想法是将系统中有害故障的可能性降低到可接受的水平。为此，功能安全标准对开发受控设备（EUC）及其控制系统的设计，工艺和技术以及措施提出了要求。为符合IEC 61508，

虽然公司可能宣布其产品符合IEC 61508要求，但许多客户需要中立的第三方认证，例如德国TÜVRheinland集团，这是全球领先的技术服务提供商。该集团成立于1872年，总部位于德国科隆，其使命和指导原则是实现安全和质量的持续发展，以应对人类，技术和环境之间相互作用所带来的挑战。如今，TÜV在认证IEC 61508设备和软件设计工具方面享有最高声誉。该认证组确保全球机器制造商和工厂所有者对设备的最高认可。

功能安全系统生命周期和V模型

为了满足IEC 61508的要求，必须严格遵守图1所示的安全生命周期。EUC和EUC控制系统通常由具有许多标准和定制部件的多个子系统组成。系统（包括安全要求）在早期开发期间定义，然后流向各个子系统。

图1.安全生命周期（来源：Microsemi）

随着需求和体系结构被分解为越来越小的单元，创建了验证和验证计划，以便在系统构建的相应阶段中使用。这是一个V型开发模型，它是IEC 61508的要求。图2显示了一个通用的V模型。

图2.通用V模型（来源：Microsemi）

功能安全系统中的这些部件中的一个或多个可以是FPGA。要成为IEC 61508合格系统一部分的FPGA也必须遵循V型开发模型。一个IC例子是Microsemi FPGA V模型，该模型由TÜVRheinland认证为符合IEC 61508的开发生命周期要求。

高完整性，自检和失效安全状态

然而，为了使系统安全，单独的软件不能提供安全保证，因为其正确的执行取决于系统硬件。同样，仅硬件不能满足安全要求。功能安全设计不仅仅是由一个伟大的设计创造 - 有许多因素影响系统的正确运行，包括故障率，使用，生产和编程。系统的功能安全要求涵盖了组件的所有方面，包括软件和硬件，它们具有高完整性，自检机制和故障安全状态。最后，设计人员将达到设计的平均确定性故障概率水平，该设计按SIL分类。工业设计中最常见的是SIL3，它规定了至少11，000年的一次故障。

为了评估系统的完整性，设计人员必须考虑几个因素，例如FIT（时间上的故障）率，特别是可能导致故障的故障元件和诸如电源故障等常见原因，并占用整个系统。为了帮助设计人员计算这些速率，FPGA制造商提供了安全数据包，这些数据包通常提供“经过验证的”计算。这些计算基于其使用的FPGA的实际运行时间。此外，还提供了几个软件组件，这些组件还提供了经过验证的计算。

基于闪存的FPGA比SRAM FPGA具有主要优势的一个领域是它们的配置存储器不受SEU的影响。只有提供逻辑元件（LE）闪存配置的FPGA才具有免疫力。侧面有闪存并在上电时加载SRAM的FPGA仍然会产生SEU效应。表1比较了基于SRAM的FPGA与基于闪存的替代方案的故障率，使系统设计人员能够降低故障率，因为这些设备的SEU为零。

表1.基于Microsemi公司和第三方研究的功能失效率（资料来源：Microsemi）

必须在系统中实现自检，以检测系统或随机故障，例如位翻转。通常，分析每个组件以查看元件故障对其行为的影响程度。这些自检提供了检测到故障的概率。检查存储器测试的潜在故障点，例如卡住的存储器单元（静态故障）和位翻转（随机故障）。系统必须实施正确的测试策略，以及此安全概念中的相应反应措施。

所有FPGA都可以进行寄存器翻转，但基于SRAM的器件还需要额外的努力。它们易受SEU影响的结构可能导致路由故障或逻辑故障，这要求设计人员实施基于三模冗余（TMR）的设计。安全敏感逻辑需要在输出端使用多数选民逻辑进行三次复用。当使用基于闪存的FPGA时，由于SEU免疫结构，通常不需要这种TMR逻辑。在SRAM FPGA中实现TMR会增加用于设计的逻辑以及功耗，因为在设计中需要额外的逻辑。

TMR实施的示例

图3. TMR电路示例（来源：Microsemi）

如果发生故障或安全相关数据损坏，系统必须更改为安全状态。最简单的方法是将安全状态定义为断电，但对于许多系统来说，不能容忍停机时间。如果电源处于掉电状态，则SRAM FPGA可能会受此影响。通常这需要整个系统重启。同样，IC基于闪存的FPGA具有非易失性配置的优势，并且即时启动。此功能可以使系统更快地响应故障，并可能允许系统支持较慢的安全状态而不是完全断电。基于闪存的FPGA的即时启动也可以支持更低功耗模式。系统可以在较低功率空闲模式下运行，并且在需要时，FPGA可以快速启动并初始化系统以进行全面操作。 

设计功能安全系统要求特别注意细节和逐步设计流程。基于闪存的FPGA现已通过IEC61508认证，工程师可以依靠这项技术并支持软件和安全数据包来简化安全评估。通过提供SEU抗扰度和瞬时接通能力的独特组合，同时无需TMR逻辑，基于闪存的FPGA是开发大大简化的功能安全设计的极具吸引力的选择。