打印
[产品认证]

IEC61508:SIL1到SIL4,不同安全等级对MCU的差异化要求解析

[复制链接]
390|2
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
IEC61508SIL1SIL4不同安全等级对MCU的差异化要求解析


在功能安全标准(如IEC 61508ISO 26262等)中,安全完整性等级(SIL, Safety Integrity Level)用于量化系统或组件的安全性能要求。SIL1SIL4代表从低到高的安全等级,对微控制器(MCU)的设计、验证和部署提出差异化要求。以下是不同SIL等级对MCU的关键要求解析:
1. SIL等级概述
- SIL1:低风险,失效后果轻微(如家用电器)。  
- SIL2:中等风险,失效可能导致可逆伤害(如工业控制系统)。  
- SIL3:高风险,失效可能导致生命危险或严重环境危害(如医疗设备、轨道交通)。  
- SIL4:极高风险,失效可能导致灾难性后果(如核电站控制系统)。  
SIL等级
PFH(每小时危险失效概率)
SIL 1
≥1E-6 to <1E-5
SIL 2
≥1E-7 to <1E-6
SIL 3
≥1E-8 to <1E-7
SIL 4
<1E-8


2. MCU的差异化要求
(1) 硬件架构要求
- SIL1/SIL2:  
  - 基本故障检测机制(如看门狗定时器、内存校验)。  
  - 单核MCU可能满足要求,需配合软件层面的安全措施。  
- SIL3/SIL4:  
  - 冗余设计:双核锁步(Lockstep)架构、三模冗余(TMR)。  
  - 硬件容错:ECC内存、总线校验、电压/时钟监控。  
  - 安全岛设计:独立的安全监控模块(如SMU, Safety Management Unit)。  
(2) 故障检测与诊断覆盖率
- SIL1:诊断覆盖率(DC)≥ 60%。  
- SIL2DC 90%。  
- SIL3/SIL4DC 99%,需覆盖瞬态故障(如SEU)和永久性故障。  
  - 需使用FMEDA(故障模式与影响诊断分析)量化指标。  
(3) 软件验证与开发流程
- SIL1/SIL2:  
  - 遵循基本编码规范(如MISRA-C)。  
  - 模块级测试和代码覆盖率分析(如语句覆盖≥90%)。  
- SIL3/SIL4:  
  - 形式化验证(如模型检查、数学证明)。  
  - 代码覆盖率需满足MC/DC(修正条件/判定覆盖)≥100%。  
  - 安全库(Safe Lib)的使用,避免未定义行为。  
(4) 随机硬件失效概率
- SIL1PFH(每小时失效概率)≤ 10⁻⁵。  
- SIL2PFH 10⁻⁶。  
- SIL3PFH 10⁻⁷。  
- SIL4PFH 10⁻⁸。  
  - 需通过可靠性建模(如FTA故障树分析)和寿命测试验证。  
(5) 安全认证支持
- SIL1/SIL2:  
  - 可选认证(如IEC 61508认证的MCU)。  
- SIL3/SIL4:  
  - 必须使用预认证的MCU(如Infineon AurixNXP S32KTI Hercules)。  
  - 提供完整的安全手册(Safety Manual)和失效模式文档。  
3. 典型MCU安全特性举例
- 锁步核(Lockstep Core):双核执行相同指令并比对结果(用于SIL3+)。  
- ECC/Parity:保护内存、Cache和寄存器。  
- BIST(内建自测试):启动时检测CPURAM、总线故障。  
- 电压/温度监控:防止环境因素导致失效。  
TIPS:目前极海通过IEC61508认证的产品有APM32F103 SIL3等级;G32R501正在进行中...
APM32F103产品通过 SIL3等级,说明APM32F103产品可适用于工业机器人、汽车电子(如刹车系统);
适用于对安全性要求极高的关键系统,如工业控制、汽车电子、医疗设备、核电设施等;表明其设计、
制造和测试流程符合功能安全的严苛要求;认证的芯片有需通过 加速老化测试(如HTOL、HAST)和
环境应力测试(如温度循环、机械振动),确保在恶劣条件下仍能可靠工作等。


4. 设计建议
- SIL1/SIL2:  
  - 选择支持基本安全特性的MCU(如STM32F系列+安全库)。  
  - 重点优化软件层面的安全机制。  
- SIL3/SIL4:  
  - 选择专用安全MCU(如Infineon TC3xx)。  
  - 硬件冗余+高覆盖率诊断是必要条件。  
总结
SIL等级越高,对MCU的硬件可靠性、故障检测能力和开发流程的要求越严格。SIL3/SIL4通常需要专用安全MCU和更复杂的验证流程,而SIL1/SIL2可通过软件补偿措施实现。在设计时需权衡成本与安全性,并参考相关标准的具体条款(如ISO 26262 ASIL对应汽车领域的SIL)。

极海 APM32F103VB系列工业级通用MCU,基于ARM® Cortex®-M3内核,具有低功耗、高性能、高安全、高集成、可移植性好、客户接受程度高等产品特性。工作温度范围覆盖-40℃~+105℃,已通过IEC61508 SIL3认证,并支持工业级MCU+安全芯片产品组合,符合工业级和车用高可靠性标准;已通过USB-IF认证,可满足客户终端产品的出口需求。该系列产品目前已成功批量应用于国内四家头部工控企业。


使用特权

评论回复
沙发
weifeng90| | 2025-6-6 08:14 | 只看该作者
安全四级,和信息系统网络安全等级分级有点类似

使用特权

评论回复
板凳
Reli-eng-z|  楼主 | 2025-6-6 08:36 | 只看该作者
weifeng90 发表于 2025-6-6 08:14
安全四级,和信息系统网络安全等级分级有点类似

都是按照国标定义的

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

39

主题

105

帖子

1

粉丝