片上軟件需要什么安全完整性？

軟件的功能安全由IEC 61508第3部分涵蓋。通常，在uC，uP和DSP上運(yùn)行的軟件是由購買我們芯片的應(yīng)用程序人員編寫的。但是，在集成電路上運(yùn)行并由ADI公司等IC供應(yīng)商提供的軟件呢？

首先，什么是軟件，我在下面展示了一些定義，我認(rèn)為無論您將其稱為軟件，固件還是嵌入式軟件，都適用相同的規(guī)則并不重要，這些規(guī)則通常來自IEC 61508-3。

在“安全關(guān)鍵系統(tǒng)的嵌入式軟件開發(fā)”一書中找到了更好的軟件定義，其中指出“問軟件是什么似乎很奇怪 - 直覺上人們覺得他們可以區(qū)分軟件和硬件。如果你把它放在腳上時(shí)很痛，那就是硬件”。

由您的 IC 供應(yīng)商提供的與集成電路相關(guān)的軟件類型包括：

引導(dǎo)加載程序/引導(dǎo)ROM軟件

使用片上uC或DSP而不是固定功能邏輯實(shí)現(xiàn)的“邏輯塊”

軟件測(cè)試庫

協(xié)議堆?；蝌?qū)動(dòng)程序庫

用于演示IC如何工作的示例代碼

對(duì)于IEC 61508-3范圍以上的所有軟件類型，似乎清楚地表明IEC 61508-3適用，但讓我們更詳細(xì)地討論它們;與功能安全一樣，總是有“如果”和“但是”，答案很少是/否。

引導(dǎo)加載程序：

引導(dǎo)加載程序是當(dāng)uC或DSP上電并配置IC時(shí)運(yùn)行的軟件的一個(gè)名稱，可能通過更改RAM大小，將校準(zhǔn)系數(shù)從閃存移動(dòng)到RAM，并可能實(shí)施協(xié)議以允許通過串行端口對(duì)閃存進(jìn)行編程。

IEC 61508-3顯然適用于此類規(guī)范，但可以提出論據(jù)來減輕合規(guī)負(fù)擔(dān)。此類參數(shù)可能包括：

代碼簡單，決策點(diǎn)少，其正確性可以通過100%測(cè)試來驗(yàn)證，而無需了解所使用的開發(fā)過程

代碼在應(yīng)用程序代碼之前運(yùn)行，并且應(yīng)用程序代碼無法跳回到代碼中，因此不會(huì)干擾應(yīng)用程序代碼

但無論哪種方式，這仍然意味著IEC 61508-3適用，并且應(yīng)記錄您的功能安全論據(jù)，以證明為開發(fā)該代碼而降低SIL或沒有SIL。

軟件測(cè)試庫：

STL（軟件測(cè)試庫）是一段代碼，可能由IC供應(yīng)商或第三方提供，用于對(duì)其運(yùn)行的uC / DSP進(jìn)行診斷覆蓋。您可以嘗試爭辯說，由于STL的故障不會(huì)直接導(dǎo)致安全功能的故障，因此此類軟件的SIL可以為0或至少小于使用運(yùn)行STL的IC的安全功能的SIL。然而，作者認(rèn)為，很難說STL獨(dú)立于它正在檢查的硬件，并且獨(dú)立于uC中運(yùn)行的任何其他安全相關(guān)軟件。因此，STL可能需要開發(fā)為與依賴它的安全功能相同的SIL。但是，總是有可能提出相反的論點(diǎn)。

使用片上uC或DSP實(shí)現(xiàn)的邏輯塊：

如果包含該代碼的IC是安全相關(guān)系統(tǒng)的一部分，則需要根據(jù)IEC 61508-3開發(fā)代碼，除非對(duì)原因提出接受且有效的論據(jù)。無論代碼存儲(chǔ)在閃存，OTP，ROM還是RAM中，它仍然是安全系統(tǒng)中的軟件。可能降低合規(guī)性要求的參數(shù)包括

一些外部安全監(jiān)視器不依賴于確保安全的軟件

通過單獨(dú)測(cè)試來驗(yàn)證代碼的可能性（如果是簡單的代碼）

在系統(tǒng)級(jí)使用分集來降低任何片上代碼的SIL。

協(xié)議棧和庫：

此處的假設(shè)是最終用戶無法使用源代碼。在這種情況下，由于軟件在安全系統(tǒng)中運(yùn)行，因此通常需要將其開發(fā)為與應(yīng)用軟件相同的SIL。此處的例外情況可能是，如果協(xié)議是網(wǎng)絡(luò)協(xié)議堆棧并且是黑色通道的一部分，在這種情況下，不需要將其開發(fā)為 SIL。然而，將堆棧實(shí)施到其系統(tǒng)中的人員必須確保堆棧與其系統(tǒng)中的任何其他安全相關(guān)軟件（包括SCL（安全通信層））或所有軟件之間具有更高的SIL之間足夠的獨(dú)立性。

用于演示IC如何編程或工作的示例代碼：

這里的假設(shè)是此類代碼以源代碼格式提供。因此，IC開發(fā)人員無需按照IEC 61508-3開發(fā)此類代碼。將IC設(shè)計(jì)到其系統(tǒng)中的人員應(yīng)將IEC 61508-3應(yīng)用于代碼本身。

總之，安全相關(guān)系統(tǒng)中的軟件，無論是由IC供應(yīng)商還是IC用戶開發(fā)，都需要按照IEC 61508-3進(jìn)行開發(fā)，或者關(guān)于IEC 61508為什么不適用或?yàn)槭裁纯梢愿鶕?jù)有效的記錄安全論據(jù)進(jìn)行定制。特別是，使用相同的冗余不會(huì)減少此類軟件所需的 SIL。

審核編輯：郭婷