8 摘要

“新太空”時代不斷為太空電子設計師帶來諸多挑戰，他們必須處理越來越復雜的功能，他們被要求集成到單個電路板組件上、加快其開發周期，同時還需要控制成本，并且絕不允許犧牲可靠性。人們實際上可以觀察到一種發展趨勢，即，航天工業的需求逐漸轉向滿足汽車工業發展需求，汽車工業傳統上也需要高可靠性和產品安全性，但必須長期應對成本壓力。

高度集成的 SoC 可增加所需的功能。同時，如此復雜的 SoC 是對其設計的實際 CBA 整體可靠性水平的重要影響因素。通常，此類 SoC 由汽車工業驅動，因此適用于汽車設計的功能安全標準 IE C61508/ISO26262 為半導體行業提供了有力指導，可幫助提供強大的功能安全支持。

本文將基于 IEC61508/ISO26262 的功能安全方法與航天工業的 RAMS 方法進行了比較，并特別關注它們的主要共性：

它們有著相同的目標，即“避免不可接受的風險”，這兩種方法都將風險定義為損害的嚴重程度與發生該損害的概率的乘積。

此外，這兩個行業都將失效分為隨機失效和系統性失效，旨在開發必要的方法來大幅減少失效并在失效仍然發生時控制其影響，從而降低總體風險。

基于這一點，我們將對復雜 SoC 及其支持工具可靠性的分析拆分為三個方面：硬件保證：量化隨機失效的概率；確認和驗證：盡可能降低系統性失效的概率；以及自監控功能：消除或至少減輕任何失效帶來的影響。

符合 IEC61508 和 ISO26262 的功能安全標準提供了一種緊湊且結構良好的方法，通過定義的流程來設計符合功能安全要求的電子產品。我們使用安全完整性等級 (SIL) 對系統功能進行評級，從而能夠對軟件和硬件進行評估。這種方法代表了汽車、航空電子和工業機械等各個領域的先進電子設計水平。具體而言，由于 IEC61508 中定義了流程和指定方法，因此，可以避免硬件和軟件出現系統性失效。特別是涉及強大軟件的復雜設計（無論是作為開發工具還是作為實際產品的一部分）都受益于這種基于單一標準處理電子設計的所有可靠性和安全相關方面的方法，從而節省了工作量、迭代次數和時間。

功能安全 MCU TMS570LC4357-SEP 及其軟件元件就是一個很好的例子，這些元件已通過 TüV 等公告機構的安全合規性認證。其結果是降低了基于這種功能安全 SoC 的設計驗證過程的復雜性。