第二讲-硬件随机故障管理

接下来我们以微控器为例 来谈一下如何进行随机故障管理 要实现一个功能安全的系统 核心要务就是降低风险 也就是risk 包括初期产品的定义 安全目标的制定文档的整理 元件的开发 系统验证 系统量产 甚至到系统报废 都需要满足功能安全的需求 根据风险控制要求 我们可以把功能安全要求分为 ADIL-A/B/C/D 相对应地要实现功能安全ASIL标准 最主要的工作就是 降低系统失效和随机性失效 其中 系统性失效 是可以根据长期的经营积累 和相关的标准 降低系统性失效 甚至说把系统性失效降低为0 但是对于随机性失效来说这是不可控制的 因为随机性失效是发生在随机时间的故障 可导致硬件降级 比如说逻辑门发生故障 或者（听不清）收到外部的干扰 导致一位或者几位的翻转 下面我们将以MCU也就是微处理器为例 来讨论一下如何管理硬件随机性失效 以及如何根据功能安全要求来估算失效率 要管理随机故障 需要执行的第一步就是了解产品故障模式 和估算故障率 这涉及到是否有效执行相应的功能安全标准 要求的危害分析和风险评估 开发人员必须确定适用其系统的安全等级 和风险降低等级 （听不清） 然后，根据相应的（听不清）等级要求 开发人员需要进行相应的架构 有效性和随机硬件故障指标级 还需要具有相应的安全机制 也成为诊断 这些安全机制 应一致实施到能够实现足够的风险降低水平 使用所要求的指标进行测量 并根据安全功能进行实现 下面 我们来举个例子 包含1兆flash 256k的SRAM和一百万个逻辑门的MCU 具有两千五百万个晶体管 了解MCU的所有故障模式 和估算MCU的故障率 对于系统设置人员来说是一项非常艰巨的任务 故障率通过故障时间或者FIT加以测量 一个FIT指器件在十的九次方小时的工作时间内 发生一次故障的概率 假设路上有一百万辆汽车在行驶 平均每辆汽车每天行驶四个小时 那么 100个FIT 就相当于每年大约发生150次事故的概率 这样就可以直观地了解100个FIT的风险等级 因此 如果没有任何诊断的 安全功能的故障率是1000个FIT 那么为了实现要求故障率最多为100个FIT的ACLC 需要实施诊断一遍 至少将故障率 降低为原来的十分之一 这就是对硬件随机性失效的管理 这一页我们主要介绍一下MCU的市场模型和失效率 为了计算系统的故障率 需要分析具有诊断功能部件和不具有诊断功能部件的故障率 由于MCU是电子可编程系统中的关键组件 因此 了解其故障模式 故障率和相应的诊断功能 对于应用来说至关重要 每个器件存在永久随机故障 和瞬态随机故障 对于永久随机故障来说 存在不同的故障率数据源 比如说军用标准 西门子可抗性手册 MCU供应商提供的MTBF文件等等 TI主要遵循IEC62380标准 因为 可以通过对晶体管数量 内存位 温度 通电小时数和封装效应进行建模 瞬态故障与宇宙射线 SRAM未翻转 或逻辑触发器状态变化等瞬态干扰有关 我们的瞬态故障率数据 是从诺撒拉莫斯实验室和TI的实验室中 新的器件实验中提取的 这一页我们主要介绍功能安全标准的硬件评估指标 系统和子系统开发人员执行危害分析 和风险评估 以评估功能安全 终端产品系统应用要求的风险降低等级 评估的结果是安全标准 例如 IEC1508 中所述的安全管理数等级 ASIL分为1—4等级 最高等级是4 而ISO26262中的汽车安全完整性等级 ASIL分为A—D D是最高标准 这些标准定义了一些指标 这些指标用于评估 降低各类风险的架构 安全机制的覆盖率 和故障发生的概率 然后使用这些指标衡量安全目标的实现情况 比如 ISO26262里面的ASIL SPFM PMHF LFM 和IEC61508里面的ASIL SIL SFF PFH这些指标 其中 SPFM指的是单点故障指标 PMHF指的是随机硬件故障的概率指标 LFM指的是潜在故障指标 而SFF指的是单点故障分数 是显示故障率下降的架构有效性的比例指标 另外 PFH指的是每小时故障率 是显示整体风险降低等级的概率指标