微控制器的隨機故障的管理

要管理隨機故障，首先需要了解產(chǎn)品故障模式并估算故障率。這涉及根據(jù)適當(dāng)?shù)墓δ馨踩珮?biāo)準(zhǔn)有效地進行危害分析和風(fēng)險評估。開發(fā)人員必須確定適合其系統(tǒng)的安全功能和風(fēng)險降低級別（SIL/ASIL）。然后，基于SIL/ASIL級別，開發(fā)人員需要定義相應(yīng)的架構(gòu)有效性集和隨機硬件故障度量。還需要有適當(dāng)?shù)陌踩珯C制，也稱為診斷，直到每個安全功能達到所需指標(biāo)所衡量的風(fēng)險降低為止。

讓我們更詳細(xì)地研究以下內(nèi)容：

故障模式和故障率

功能安全架構(gòu)指標(biāo)和隨機硬件故障率指標(biāo)

降低故障率的安全機制

故障模式和故障率

作為代表性案例，請考慮現(xiàn)代汽車和工業(yè)產(chǎn)品通常具有電子可編程系統(tǒng)控制它們。這些系統(tǒng)通常稱為電子控制單元（ECU），它們由MCU和輸入/輸出電路組成。因此，了解半導(dǎo)體和MCU故障模式及其故障率將有助于估計產(chǎn)品故障率。

影響MCU的主要故障模式有三種：

永久性封裝失效，例如封裝與印刷電路板（PCB）之間的熱膨脹引起的封裝磨損

永久性硅片失效，如開放的金屬線，金屬短路，晶體管結(jié)泄漏，邏輯門固定故障以及由于操作磨損引起的其他問題

瞬態(tài)硅故障，例如輻射引起的SRAM位翻轉(zhuǎn)

半導(dǎo)體故障率通常報告為時間失效（FIT），其中一個FIT是1E9或10億個工作小時中的一個故障，或平均故障間隔時間（MTBF），其中MTBF = 1/FIT。

IEC/TR 62380提供了一種數(shù)學(xué)模型，可根據(jù)使用條件估算永久性包裝失效率。該模型還允許基于元件的復(fù)雜性和諸如溫度和電源開/關(guān)小時等的使用條件來估計硅永久FIT率。

此外，大多數(shù)半導(dǎo)體供應(yīng)商發(fā)布其產(chǎn)品的IC組件永久硅故障率，作為FIT或MTBF中的可靠性數(shù)據(jù)提供。這些數(shù)據(jù)是使用有限數(shù)量的樣本從高溫操作壽命可靠性研究中計算出來的。

沒有行業(yè)標(biāo)準(zhǔn)化的瞬態(tài)故障率估算方法。理想情況下，用于進行估算的數(shù)據(jù)應(yīng)來自使用適當(dāng)工藝技術(shù)的測試芯片的實際實驗。例如，為Hercules TMS570和RM MCU提供的德州儀器硅瞬態(tài)故障率基于從洛斯阿拉莫斯國家實驗室的過程測試芯片收集的數(shù)據(jù)，并使用JEDEC JESD89A測試標(biāo)準(zhǔn)。由于MCU的硅瞬態(tài)故障率可能比硅永久性故障率高一到三個數(shù)量級，具體取決于配置，強大的數(shù)據(jù)有助于最大限度地降低低估整體故障率的風(fēng)險。

需求了解故障模式和速率意味著要求其產(chǎn)品符合功能安全標(biāo)準(zhǔn)的系統(tǒng)開發(fā)人員應(yīng)該尋找具有相應(yīng)支持文檔的MCU。這包括描述安全概念的安全手冊，隨機故障管理的安全架構(gòu)，假設(shè)列表以及MCU模塊內(nèi)置的安全機制列表。根據(jù)系統(tǒng)使用條件定制永久封裝故障，硅永久性故障和硅瞬態(tài)故障的MCU隨機故障率估算工具也很有幫助

功能安全架構(gòu)指標(biāo)和隨機硬件故障率指標(biāo)

系統(tǒng)和子系統(tǒng)開發(fā)人員進行危害分析和風(fēng)險評估，以評估功能安全終端產(chǎn)品系統(tǒng)應(yīng)用所需的風(fēng)險降低水平。評估結(jié)果是一個安全目標(biāo)，例如IEC 61508中描述的安全完整性等級（SIL）1至4的分類或ISO 262626中的汽車安全完整性等級（ASIL）A至D.（注：適用于半導(dǎo)體元件，可達到的最高SIL等級為SIL 3; SIL 4僅適用于系統(tǒng)本身，而不適用于進入系統(tǒng)的元件。）

標(biāo)準(zhǔn)定義了評估建筑安全覆蓋范圍的指標(biāo)減少各種類型故障風(fēng)險和發(fā)生故障概率的機制，然后使用這些指標(biāo)來衡量安全目標(biāo)的實現(xiàn)程度。 SPFM（單點故障度量），LFM（潛在故障度量）和SFF（安全故障分?jǐn)?shù)）是顯示故障率降低的架構(gòu)有效性的比率度量。 PMHF（隨機硬件故障的概率度量）和PFH（每小時故障概率）是顯示總體風(fēng)險降低水平的概率度量。

這些指標(biāo)的應(yīng)用示例如下所示。表1顯示了單點故障度量（SPFM），潛在故障度量（LFM）和隨機硬件故障（PMHF）的概率度量的ASIL要求。

表2顯示了硬件容錯（HFT）= 0時SFF的IEC 61508 SIL（B類）要求（即單個故障將導(dǎo)致系統(tǒng)停止運行）和每小時失敗概率（PFH）。

降低故障率的安全機制

根據(jù)MCU故障模式和估計的故障率以及SIL或ASIL風(fēng)險降低要求，最終產(chǎn)品系統(tǒng)和子系統(tǒng)開發(fā)人員必須遵循各種程序，以確保已達到功能安全隨機故障率指標(biāo)的目標(biāo)。他們必須應(yīng)用適當(dāng)?shù)陌踩珯C制來幫助檢測各種故障，并在檢測到故障時對故障做出反應(yīng)。為確定故障模式，故障率和診斷范圍，他們使用故障模式影響和診斷分析（FMEDA）方法。

安全關(guān)鍵功能需要在應(yīng)用期間實時監(jiān)控MCU操作。開發(fā)人員應(yīng)設(shè)置系統(tǒng)，以便在檢測到故障時，系統(tǒng)可以修復(fù)故障或MCU進入“安全狀態(tài)”。在任何一種情況下，系統(tǒng)都會最大限度地降低人身傷害和/或健康損害的潛在風(fēng)險。人員。

以下是一些診斷示例。圖2顯示了糾錯電路（ECC）。單錯誤糾正，雙錯誤檢測（SECDED）ECC電路可以允許在運行時校正單個SRAM位翻轉(zhuǎn)并檢測雙位翻轉(zhuǎn)。

下面的圖3顯示了一個鎖步CPU。運行相同程序代碼和輸出比較的Lockstep CPU可以檢測到CPU故障。

MCU由許多模塊組成，如CPU，SRAM，F(xiàn)lash，電源，時鐘，ADC，定時器，SPI，CAN等。對于TI的Hercules TMS570等針對功能安全的MCU，MCU供應(yīng)商的安全手冊中提供了按模塊列出的安全機制。

系統(tǒng)和子系統(tǒng)開發(fā)人員需要計算每個定義的允許故障率安全功能。每個安全功能可以使用不同的MCU資源，這就是為什么最好根據(jù)MCU資源的使用方式來計算故障率。有能力選擇或取消選擇故障率計算的安全機制是有幫助的。每個MCU模塊顯示診斷覆蓋率（DC）和故障率指標(biāo)的能力也很有幫助。

一旦計算出每個安全功能的MCU故障率，開發(fā)人員就可以使用這些數(shù)字來估算產(chǎn)品級故障率。

為了幫助開發(fā)人員，MCU可以預(yù)先通過IEC 61508和ISO 26262認(rèn)證并且通常附帶文檔，數(shù)據(jù)和FMEDA工具。這種支持可以幫助最終產(chǎn)品系統(tǒng)開發(fā)人員了解安全架構(gòu)，安全機制和假設(shè)，并估計隨機硬件故障率。例如，TI的Hercules TMS570和RM MCU經(jīng)過獨立第三方認(rèn)證，符合IEC 61508要求，最高可達SIL3（MCU可達到的最高SIL等級），滿足ISO 26262要求，符合ASIL D.這些MCU的安全文檔包括可用于一般下載的安全手冊（無需NDA）和帶有FMEDA工具的安全分析報告（根據(jù)NDA）。