ГОСТ Р МЭК 61508-2— 2012
Приложение Е
(обязательное)
Специальные требования к архитектуре интегральных схем (ИС)
с избыточностью схем на кристалле
Е.1 Основные положения
На данное приложение ссылается перечисление Ь) 7.4.2.2.
Ниже приведен ряд требований к использованию избыточности на кристалле для интегральных схем (ИС)
на одной общей полупроводниковой подложке. Из соображений безопасности этот подход имеет консервативный
характер, например, его применение ограничено до УПБ 3 и для него был определен ряд ограничительных
тре бований. Последующие требования связаны только с цифровыми ИС. В настоящее время для аналого-
цифровых и аналоговых ИС не существует общих требований. Анализ отказов по общей причине (см. подпункт
7.6.2.7 МЭК 61508-1) может исключить использование избыточности схем на кристалле для отдельного
применения. В насто ящем стандарте понятие избыточности (схем) на кристалле означает дублирование (или
утроение и т. д.) функци ональных единиц с целью установления значения отказоустойчивости аппаратных
средств выше нуля. Согласно перечислению а) 7.4.4.1.1 в определении отказоустойчивости аппаратных средств
не уделяется внимание сред ствам. которые могут управлять последствиями неисправностей, таким как
диагностика.
Подсистема с отказоустойчивостью аппаратных средств больше нуля может быть реализована с использо
ванием одной ИС на полупроводниковой подложке (с избыточностью на кристалле). В этом случав должны быть
выполнены все следующие требования перечислений а)—q). а проектирование Э/Э/ПЭ системы и ИС должно
выполняться в соответствии с этими требованиями. У ИС с избыточностью на кристалле должно быть собственное
руководство по безопасности применяемого изделия (см. приложение D):
a) Самый высокий уровень полноты безопасности, на который может претендовать функция безопасности
при использовании ИС. как определено выше, ограничен УПБ 3.
П р и м е ч а н и е — Современное состояние дел. знаний и опыта не позволяют рассмотреть и принять
меры для предотвращения всех несоответствий, связанных с указанным элементом (отдельной ИС), чтобы добить
ся достаточного доверия для УПБ 4.
b
) Стойкосгь к систематическим отказам недолжна увеличиваться засчеткомбинацииэлементов (см.7.4.3.2).
c) Для того чтобы предотвратить отказ(ы) по общей причине, например из-за случайной ошибки(ок) аппарат
ных средств, необходимо рассмотреть влияние увеличения температуры на такие ошибки. Необходимо применить по
крайней мере один из методов
6
. перечисленных в таблице Е.2. В проекте, где локальная ошибка может вызвать
критическое для безопасности увеличение температуры, должны быть приняты соответствующие меры.
П р и м е ч а н и е — В то время как в крупном проекте локальная ошибка может вызвать значительное уве
личение температуры, влияние локального короткого замыкания в логической схеме может быть незначительным.
Например, в цифровых схемах — это область контактной площадки устройства и регуляторы напряжения.
d) Для каждого канала и каждого элемента контроля, такого как контрольный датчик времени, на подложке
ИС должен быть предусмотрен отдельный физический блок. Эти блоки должны иметь соединительные проводни
ки и выводы. У каждого канала должны быть свои собственные отделенные входы и выходы, которые не должны
пересекаться с другими каналами/блоками.
П р и м е ч а н и я
1 Это требование не исключает наличия внутренних соединений между блоками ИС: проводников между
выходными и входными ячейками различных блоков (СМ. также методы За и ЗЬ таблицы Е.1).
2 На входах и выходах блоков могут быть (но не только):
- сигналы для обеспечения контролепригодности (например, методом сканирования цепей):
- сигналы синхронизации и сигналы управления синхронизацией;
- электропитание:
- сигналы перезагрузки;
- сигналы конфигурирования и выбора его способа:
- сигналы выполнения отладки и записи ее результатов.
e)Для предотвращения опасных отказов, вызванных сбоями электропитания, включая отказы по общей при
чине. должны быть приняты соответствующие меры.
П р и м е ч а н и я
1 Ошибки электропитания включают в себя (но этим не ограничиваются):
- шум;
- распространение помех по линиям электропитания:
64