软件离线工具的新规则是什么？

在这篇文章中，我将讨论IEC 61508修订版3的拟议规则。这些规则可能会根据草案分发给各个国家委员会时收到的意见而改变，但鉴于大多数国家委员会已经在IEC 61508维护团队中有代表，人们期望并希望拟议的规则不会发生重大变化。

新规则将取代IEC 61508-3：2010子条款7.4.4中的现有规则，并将适用于用于生产软件元素或硬件元素的软件工具。

我一直认为旧规则适用于用于生产硬件元素的工具，但似乎并不是每个人都有相同的理解。因此，将在第 1 部分中添加说明，以明确软件脱机工具规则适用于硬件和软件元素。对我来说，新规则是有意义的。我已经在一些用于生产集成电路的工具上测试了它们，它们产生了良好的结果并且应用起来很有效。

新的工具提案基于风险，工具按TI（工具影响）1（最低影响）、2或3（最高影响）排名，类似于旧的T1、T2和T3。这与基于对测量的置信度的排名相结合，这些测度将检测TD1（最低置信度）、TD2或TD3（最高置信度）工具输出中的错误。但是，正在开发的安全功能的SIL现在也包含在1到4级的分析中。TI、TD 和 SIL 的组合产生了 TIL（工具完整性等级），然后确定允许在安全系统开发中使用该工具的要求。

表 1 - 基于 61508 修订版 3 提案的 TD/SIL/TIL 平衡规则

对刀具冲击的依赖性在旧规则中始终存在，虽然 SIL 依赖性是新的，但它似乎是合乎逻辑的。对TD的依赖也是新的，使规则更接近ISO 26262（汽车）中的规则。

作为应用规则的示例，上表指出，如果您正在为 SIL 3 安全功能开发软件，并且 TI=2（中等），并且检测工具输出错误的能力被评为 TD=2（中等），则需要 TIL 为 1。

或者，如果您正在开发用于 TI 为 3（高）且 TD 为 3（低）的 SIL 1 安全功能工具，则 TIL 为 3。

根据现有的2010年版标准，不直接评估安全功能的SIL和检测工具输出错误的措施的信心。没有等价物的 TIL。

在新系统下，一旦确定了TIL，就必须遵循每个TIL的要求。一些要求与工具开发人员有关，一些与工具用户有关。请注意，因为这些规则仍然可能改变。

对于包括 TIL 0 在内的所有 TIL（需要处理用于生产 SIL 为 1 的安全功能的工具），将要求至少列出所有工具并分配 TIL。

对于 TIL 1，主要变化是工具文档应可用。现在还建议使用经过验证的正在使用的工具。在我看来，推荐意味着如果您不使用经过验证的正在使用的工具，您应该写一个简短的解释，说明为什么无法使用经过验证的正在使用的工具以及如何安全地使用未经验证的工具。

对于 TIL 2，引入了更多要求，强烈建议使用经过验证的正在使用的工具，并且对过去的工具使用充满信心。

对于 TIL 3，强烈建议使用大多数 TIL 2 规则，这意味着如果您不遵循该规则，则需要给出更广泛的理由，说明为什么您不这样做以及为什么它仍然是安全的。

集成电路的设计在很大程度上依赖于软件工具。以前，用于生产集成电路的工具规则来自IEC 61508-2：2010附录F，并且首选经过验证的正在使用的工具。经过验证的使用现已弃用，对用于生产集成电路的工具的要求将与用于生产安全系统的任何其他硬件或软件元件的要求相似。

对于模块级和PCB级设计，新规则将适用于以下工具：

布局

原理图捕获

SPICE模拟

热建模

电磁兼容仿真

组件库管理器

电路板应力分析

网标机

原理图与布局

生产测试软件

校准工具

阻抗计算器

IEC 61508是一项基本安全标准，因此IEC 61508内部的变化可能会影响许多应用领域。此外，ISO 13849等其他标准在嵌入式软件或可编程电子产品方面参考IEC 61508。

审核编辑“郭婷