要管理隨機(jī)故障，首先需要了解產(chǎn)品故障模式并估算故障率。這涉及根據(jù)適當(dāng)?shù)墓δ馨踩珮?biāo)準(zhǔn)有效地進(jìn)行危害分析和風(fēng)險(xiǎn)評估。開發(fā)人員必須確定適合其系統(tǒng)的安全功能和風(fēng)險(xiǎn)降低級別（SIL/ASIL）。然后，基于SIL/ASIL級別，開發(fā)人員需要定義相應(yīng)的架構(gòu)有效性集和隨機(jī)硬件故障度量。還需要有適當(dāng)?shù)陌踩珯C(jī)制，也稱為診斷，直到每個(gè)安全功能達(dá)到所需指標(biāo)所衡量的風(fēng)險(xiǎn)降低為止。

讓我們更詳細(xì)地研究以下內(nèi)容：

故障模式和故障率

功能安全架構(gòu)指標(biāo)和隨機(jī)硬件故障率指標(biāo)

降低故障率的安全機(jī)制

故障模式和故障率

作為代表性案例，請考慮現(xiàn)代汽車和工業(yè)產(chǎn)品通常具有電子可編程系統(tǒng)控制它們。這些系統(tǒng)通常稱為電子控制單元（ECU），它們由MCU和輸入/輸出電路組成。因此，了解半導(dǎo)體和MCU故障模式及其故障率將有助于估計(jì)產(chǎn)品故障率。

影響MCU的主要故障模式有三種：

永久性封裝失效，例如封裝與印刷電路板（PCB）之間的熱膨脹引起的封裝磨損

永久性硅片失效，如開放的金屬線，金屬短路，晶體管結(jié)泄漏，邏輯門固定故障以及由于操作磨損引起的其他問題

瞬態(tài)硅故障，例如輻射引起的SRAM位翻轉(zhuǎn)

半導(dǎo)體故障率通常報(bào)告為時(shí)間失效（FIT），其中一個(gè)FIT是1E9或10億個(gè)工作小時(shí)中的一個(gè)故障，或平均故障間隔時(shí)間（MTBF），其中MTBF = 1/FIT。

IEC/TR 62380提供了一種數(shù)學(xué)模型，可根據(jù)使用條件估算永久性包裝失效率。該模型還允許基于元件的復(fù)雜性和諸如溫度和電源開/關(guān)小時(shí)等的使用條件來估計(jì)硅永久FIT率。

此外，大多數(shù)半導(dǎo)體供應(yīng)商發(fā)布其產(chǎn)品的IC組件永久硅故障率，作為FIT或MTBF中的可靠性數(shù)據(jù)提供。這些數(shù)據(jù)是使用有限數(shù)量的樣本從高溫操作壽命可靠性研究中計(jì)算出來的。

沒有行業(yè)標(biāo)準(zhǔn)化的瞬態(tài)故障率估算方法。理想情況下，用于進(jìn)行估算的數(shù)據(jù)應(yīng)來自使用適當(dāng)工藝技術(shù)的測試芯片的實(shí)際實(shí)驗(yàn)。例如，為Hercules TMS570和RM MCU提供的德州儀器硅瞬態(tài)故障率基于從洛斯阿拉莫斯國家實(shí)驗(yàn)室的過程測試芯片收集的數(shù)據(jù)，并使用JEDEC JESD89A測試標(biāo)準(zhǔn)。由于MCU的硅瞬態(tài)故障率可能比硅永久性故障率高一到三個(gè)數(shù)量級，具體取決于配置，強(qiáng)大的數(shù)據(jù)有助于最大限度地降低低估整體故障率的風(fēng)險(xiǎn)。

需求了解故障模式和速率意味著要求其產(chǎn)品符合功能安全標(biāo)準(zhǔn)的系統(tǒng)開發(fā)人員應(yīng)該尋找具有相應(yīng)支持文檔的MCU。這包括描述安全概念的安全手冊，隨機(jī)故障管理的安全架構(gòu)，假設(shè)列表以及MCU模塊內(nèi)置的安全機(jī)制列表。根據(jù)系統(tǒng)使用條件定制永久封裝故障，硅永久性故障和硅瞬態(tài)故障的MCU隨機(jī)故障率估算工具也很有幫助

功能安全架構(gòu)指標(biāo)和隨機(jī)硬件故障率指標(biāo)

系統(tǒng)和子系統(tǒng)開發(fā)人員進(jìn)行危害分析和風(fēng)險(xiǎn)評估，以評估功能安全終端產(chǎn)品系統(tǒng)應(yīng)用所需的風(fēng)險(xiǎn)降低水平。評估結(jié)果是一個(gè)安全目標(biāo)，例如IEC 61508中描述的安全完整性等級（SIL）1至4的分類或ISO 262626中的汽車安全完整性等級（ASIL）A至D.（注：適用于半導(dǎo)體元件，可達(dá)到的最高SIL等級為SIL 3; SIL 4僅適用于系統(tǒng)本身，而不適用于進(jìn)入系統(tǒng)的元件。）

標(biāo)準(zhǔn)定義了評估建筑安全覆蓋范圍的指標(biāo)減少各種類型故障風(fēng)險(xiǎn)和發(fā)生故障概率的機(jī)制，然后使用這些指標(biāo)來衡量安全目標(biāo)的實(shí)現(xiàn)程度。 SPFM（單點(diǎn)故障度量），LFM（潛在故障度量）和SFF（安全故障分?jǐn)?shù)）是顯示故障率降低的架構(gòu)有效性的比率度量。 PMHF（隨機(jī)硬件故障的概率度量）和PFH（每小時(shí)故障概率）是顯示總體風(fēng)險(xiǎn)降低水平的概率度量。

這些指標(biāo)的應(yīng)用示例如下所示。表1顯示了單點(diǎn)故障度量（SPFM），潛在故障度量（LFM）和隨機(jī)硬件故障（PMHF）的概率度量的ASIL要求。

表2顯示了硬件容錯(cuò)（HFT）= 0時(shí)SFF的IEC 61508 SIL（B類）要求（即單個(gè)故障將導(dǎo)致系統(tǒng)停止運(yùn)行）和每小時(shí)失敗概率（PFH）。

降低故障率的安全機(jī)制

根據(jù)MCU故障模式和估計(jì)的故障率以及SIL或ASIL風(fēng)險(xiǎn)降低要求，最終產(chǎn)品系統(tǒng)和子系統(tǒng)開發(fā)人員必須遵循各種程序，以確保已達(dá)到功能安全隨機(jī)故障率指標(biāo)的目標(biāo)。他們必須應(yīng)用適當(dāng)?shù)陌踩珯C(jī)制來幫助檢測各種故障，并在檢測到故障時(shí)對故障做出反應(yīng)。為確定故障模式，故障率和診斷范圍，他們使用故障模式影響和診斷分析（FMEDA）方法。

安全關(guān)鍵功能需要在應(yīng)用期間實(shí)時(shí)監(jiān)控MCU操作。開發(fā)人員應(yīng)設(shè)置系統(tǒng)，以便在檢測到故障時(shí)，系統(tǒng)可以修復(fù)故障或MCU進(jìn)入“安全狀態(tài)”。在任何一種情況下，系統(tǒng)都會(huì)最大限度地降低人身傷害和/或健康損害的潛在風(fēng)險(xiǎn)。人員。

以下是一些診斷示例。圖2顯示了糾錯(cuò)電路（ECC）。單錯(cuò)誤糾正，雙錯(cuò)誤檢測（SECDED）ECC電路可以允許在運(yùn)行時(shí)校正單個(gè)SRAM位翻轉(zhuǎn)并檢測雙位翻轉(zhuǎn)。

下面的圖3顯示了一個(gè)鎖步CPU。運(yùn)行相同程序代碼和輸出比較的Lockstep CPU可以檢測到CPU故障。

MCU由許多模塊組成，如CPU，SRAM，F(xiàn)lash，電源，時(shí)鐘，ADC，定時(shí)器，SPI，CAN等。對于TI的Hercules TMS570等針對功能安全的MCU，MCU供應(yīng)商的安全手冊中提供了按模塊列出的安全機(jī)制。

系統(tǒng)和子系統(tǒng)開發(fā)人員需要計(jì)算每個(gè)定義的允許故障率安全功能。每個(gè)安全功能可以使用不同的MCU資源，這就是為什么最好根據(jù)MCU資源的使用方式來計(jì)算故障率。有能力選擇或取消選擇故障率計(jì)算的安全機(jī)制是有幫助的。每個(gè)MCU模塊顯示診斷覆蓋率（DC）和故障率指標(biāo)的能力也很有幫助。

一旦計(jì)算出每個(gè)安全功能的MCU故障率，開發(fā)人員就可以使用這些數(shù)字來估算產(chǎn)品級故障率。

為了幫助開發(fā)人員，MCU可以預(yù)先通過IEC 61508和ISO 26262認(rèn)證并且通常附帶文檔，數(shù)據(jù)和FMEDA工具。這種支持可以幫助最終產(chǎn)品系統(tǒng)開發(fā)人員了解安全架構(gòu)，安全機(jī)制和假設(shè)，并估計(jì)隨機(jī)硬件故障率。例如，TI的Hercules TMS570和RM MCU經(jīng)過獨(dú)立第三方認(rèn)證，符合IEC 61508要求，最高可達(dá)SIL3（MCU可達(dá)到的最高SIL等級），滿足ISO 26262要求，符合ASIL D.這些MCU的安全文檔包括可用于一般下載的安全手冊（無需NDA）和帶有FMEDA工具的安全分析報(bào)告（根據(jù)NDA）。