8 摘要

“新太空”时代不断为太空电子设计师带来诸多挑战，他们必须处理越来越复杂的功能，他们被要求集成到单个电路板组件上、加快其开发周期，同时还需要控制成本，并且绝不允许牺牲可靠性。人们实际上可以观察到一种发展趋势，即，航天工业的需求逐渐转向满足汽车工业发展需求，汽车工业传统上也需要高可靠性和产品安全性，但必须长期应对成本压力。

高度集成的 SoC 可增加所需的功能。同时，如此复杂的 SoC 是对其设计的实际 CBA 整体可靠性水平的重要影响因素。通常，此类 SoC 由汽车工业驱动，因此适用于汽车设计的功能安全标准 IE C61508/ISO26262 为半导体行业提供了有力指导，可帮助提供强大的功能安全支持。

本文将基于 IEC61508/ISO26262 的功能安全方法与航天工业的 RAMS 方法进行了比较，并特别关注它们的主要共性：

它们有着相同的目标，即“避免不可接受的风险”，这两种方法都将风险定义为损害的严重程度与发生该损害的概率的乘积。

此外，这两个行业都将失效分为随机失效和系统性失效，旨在开发必要的方法来大幅减少失效并在失效仍然发生时控制其影响，从而降低总体风险。

基于这一点，我们将对复杂 SoC 及其支持工具可靠性的分析拆分为三个方面：硬件保证：量化随机失效的概率；确认和验证：尽可能降低系统性失效的概率；以及自监控功能：消除或至少减轻任何失效带来的影响。

符合 IEC61508 和 ISO26262 的功能安全标准提供了一种紧凑且结构良好的方法，通过定义的流程来设计符合功能安全要求的电子产品。我们使用安全完整性等级 (SIL) 对系统功能进行评级，从而能够对软件和硬件进行评估。这种方法代表了汽车、航空电子和工业机械等各个领域的先进电子设计水平。具体而言，由于 IEC61508 中定义了流程和指定方法，因此，可以避免硬件和软件出现系统性失效。特别是涉及强大软件的复杂设计（无论是作为开发工具还是作为实际产品的一部分）都受益于这种基于单一标准处理电子设计的所有可靠性和安全相关方面的方法，从而节省了工作量、迭代次数和时间。

功能安全 MCU TMS570LC4357-SEP 及其软件元件就是一个很好的例子，这些元件已通过 TÜV 等公告机构的安全合规性认证。其结果是降低了基于这种功能安全 SoC 的设计验证过程的复杂性。