要管理隨機故障,首先需要了解產(chǎn)品故障模式并估算故障率。這涉及根據(jù)適當(dāng)?shù)墓δ馨踩珮?biāo)準(zhǔn)有效地進行危害分析和風(fēng)險評估。開發(fā)人員必須確定適合其系統(tǒng)的安全功能和風(fēng)險降低級別(SIL/ASIL)。然后,基于SIL/ASIL級別,開發(fā)人員需要定義相應(yīng)的架構(gòu)有效性集和隨機硬件故障度量。還需要有適當(dāng)?shù)陌踩珯C制,也稱為診斷,直到每個安全功能達到所需指標(biāo)所衡量的風(fēng)險降低為止。
讓我們更詳細(xì)地研究以下內(nèi)容:
故障模式和故障率
功能安全架構(gòu)指標(biāo)和隨機硬件故障率指標(biāo)
降低故障率的安全機制
故障模式和故障率
作為代表性案例,請考慮現(xiàn)代汽車和工業(yè)產(chǎn)品通常具有電子可編程系統(tǒng)控制它們。這些系統(tǒng)通常稱為電子控制單元(ECU),它們由MCU和輸入/輸出電路組成。因此,了解半導(dǎo)體和MCU故障模式及其故障率將有助于估計產(chǎn)品故障率。
影響MCU的主要故障模式有三種:
永久性封裝失效,例如封裝與印刷電路板(PCB)之間的熱膨脹引起的封裝磨損
永久性硅片失效,如開放的金屬線,金屬短路,晶體管結(jié)泄漏,邏輯門固定故障以及由于操作磨損引起的其他問題
瞬態(tài)硅故障,例如輻射引起的SRAM位翻轉(zhuǎn)
半導(dǎo)體故障率通常報告為時間失效(FIT),其中一個FIT是1E9或10億個工作小時中的一個故障,或平均故障間隔時間(MTBF),其中MTBF = 1/FIT。
IEC/TR 62380提供了一種數(shù)學(xué)模型,可根據(jù)使用條件估算永久性包裝失效率。該模型還允許基于元件的復(fù)雜性和諸如溫度和電源開/關(guān)小時等的使用條件來估計硅永久FIT率。
此外,大多數(shù)半導(dǎo)體供應(yīng)商發(fā)布其產(chǎn)品的IC組件永久硅故障率,作為FIT或MTBF中的可靠性數(shù)據(jù)提供。這些數(shù)據(jù)是使用有限數(shù)量的樣本從高溫操作壽命可靠性研究中計算出來的。
沒有行業(yè)標(biāo)準(zhǔn)化的瞬態(tài)故障率估算方法。理想情況下,用于進行估算的數(shù)據(jù)應(yīng)來自使用適當(dāng)工藝技術(shù)的測試芯片的實際實驗。例如,為Hercules TMS570和RM MCU提供的德州儀器硅瞬態(tài)故障率基于從洛斯阿拉莫斯國家實驗室的過程測試芯片收集的數(shù)據(jù),并使用JEDEC JESD89A測試標(biāo)準(zhǔn)。由于MCU的硅瞬態(tài)故障率可能比硅永久性故障率高一到三個數(shù)量級,具體取決于配置,強大的數(shù)據(jù)有助于最大限度地降低低估整體故障率的風(fēng)險。
需求了解故障模式和速率意味著要求其產(chǎn)品符合功能安全標(biāo)準(zhǔn)的系統(tǒng)開發(fā)人員應(yīng)該尋找具有相應(yīng)支持文檔的MCU。這包括描述安全概念的安全手冊,隨機故障管理的安全架構(gòu),假設(shè)列表以及MCU模塊內(nèi)置的安全機制列表。根據(jù)系統(tǒng)使用條件定制永久封裝故障,硅永久性故障和硅瞬態(tài)故障的MCU隨機故障率估算工具也很有幫助
功能安全架構(gòu)指標(biāo)和隨機硬件故障率指標(biāo)
系統(tǒng)和子系統(tǒng)開發(fā)人員進行危害分析和風(fēng)險評估,以評估功能安全終端產(chǎn)品系統(tǒng)應(yīng)用所需的風(fēng)險降低水平。評估結(jié)果是一個安全目標(biāo),例如IEC 61508中描述的安全完整性等級(SIL)1至4的分類或ISO 262626中的汽車安全完整性等級(ASIL)A至D.(注:適用于半導(dǎo)體元件,可達到的最高SIL等級為SIL 3; SIL 4僅適用于系統(tǒng)本身,而不適用于進入系統(tǒng)的元件。)
標(biāo)準(zhǔn)定義了評估建筑安全覆蓋范圍的指標(biāo)減少各種類型故障風(fēng)險和發(fā)生故障概率的機制,然后使用這些指標(biāo)來衡量安全目標(biāo)的實現(xiàn)程度。 SPFM(單點故障度量),LFM(潛在故障度量)和SFF(安全故障分?jǐn)?shù))是顯示故障率降低的架構(gòu)有效性的比率度量。 PMHF(隨機硬件故障的概率度量)和PFH(每小時故障概率)是顯示總體風(fēng)險降低水平的概率度量。
這些指標(biāo)的應(yīng)用示例如下所示。表1顯示了單點故障度量(SPFM),潛在故障度量(LFM)和隨機硬件故障(PMHF)的概率度量的ASIL要求。
表2顯示了硬件容錯(HFT)= 0時SFF的IEC 61508 SIL(B類)要求(即單個故障將導(dǎo)致系統(tǒng)停止運行)和每小時失敗概率(PFH)。
降低故障率的安全機制
根據(jù)MCU故障模式和估計的故障率以及SIL或ASIL風(fēng)險降低要求,最終產(chǎn)品系統(tǒng)和子系統(tǒng)開發(fā)人員必須遵循各種程序,以確保已達到功能安全隨機故障率指標(biāo)的目標(biāo)。他們必須應(yīng)用適當(dāng)?shù)陌踩珯C制來幫助檢測各種故障,并在檢測到故障時對故障做出反應(yīng)。為確定故障模式,故障率和診斷范圍,他們使用故障模式影響和診斷分析(FMEDA)方法。
安全關(guān)鍵功能需要在應(yīng)用期間實時監(jiān)控MCU操作。開發(fā)人員應(yīng)設(shè)置系統(tǒng),以便在檢測到故障時,系統(tǒng)可以修復(fù)故障或MCU進入“安全狀態(tài)”。在任何一種情況下,系統(tǒng)都會最大限度地降低人身傷害和/或健康損害的潛在風(fēng)險。人員。
以下是一些診斷示例。圖2顯示了糾錯電路(ECC)。單錯誤糾正,雙錯誤檢測(SECDED)ECC電路可以允許在運行時校正單個SRAM位翻轉(zhuǎn)并檢測雙位翻轉(zhuǎn)。
下面的圖3顯示了一個鎖步CPU。運行相同程序代碼和輸出比較的Lockstep CPU可以檢測到CPU故障。
MCU由許多模塊組成,如CPU,SRAM,F(xiàn)lash,電源,時鐘,ADC,定時器,SPI,CAN等。對于TI的Hercules TMS570等針對功能安全的MCU,MCU供應(yīng)商的安全手冊中提供了按模塊列出的安全機制。
系統(tǒng)和子系統(tǒng)開發(fā)人員需要計算每個定義的允許故障率安全功能。每個安全功能可以使用不同的MCU資源,這就是為什么最好根據(jù)MCU資源的使用方式來計算故障率。有能力選擇或取消選擇故障率計算的安全機制是有幫助的。每個MCU模塊顯示診斷覆蓋率(DC)和故障率指標(biāo)的能力也很有幫助。
一旦計算出每個安全功能的MCU故障率,開發(fā)人員就可以使用這些數(shù)字來估算產(chǎn)品級故障率。
為了幫助開發(fā)人員,MCU可以預(yù)先通過IEC 61508和ISO 26262認(rèn)證并且通常附帶文檔,數(shù)據(jù)和FMEDA工具。這種支持可以幫助最終產(chǎn)品系統(tǒng)開發(fā)人員了解安全架構(gòu),安全機制和假設(shè),并估計隨機硬件故障率。例如,TI的Hercules TMS570和RM MCU經(jīng)過獨立第三方認(rèn)證,符合IEC 61508要求,最高可達SIL3(MCU可達到的最高SIL等級),滿足ISO 26262要求,符合ASIL D.這些MCU的安全文檔包括可用于一般下載的安全手冊(無需NDA)和帶有FMEDA工具的安全分析報告(根據(jù)NDA)。
-
微控制器
+關(guān)注
關(guān)注
48文章
7336瀏覽量
150105 -
PCB打樣
+關(guān)注
關(guān)注
17文章
2968瀏覽量
21562 -
華強PCB
+關(guān)注
關(guān)注
8文章
1831瀏覽量
27630 -
華強pcb線路板打樣
+關(guān)注
關(guān)注
5文章
14629瀏覽量
42795
發(fā)布評論請先 登錄
相關(guān)推薦
評論