首页 > 产品 > 微控制器 (MCU) 和处理器 > 功能安全与TI 功能安全MCU方案介绍 >

基于 Arm 的微控制器

最新课程

热门课程

第二讲-硬件随机故障管理

接下来我们以微控器为例 来谈一下如何进行随机故障管理 要实现一个功能安全的系统 核心要务就是降低风险 也就是risk 包括初期产品的定义 安全目标的制定 文档的整理 元件的开发 系统验证 系统量产 甚至到系统报废 都需要满足功能安全的需求 根据风险控制要求 我们可以把功能安全要求分为 ADIL-A/B/C/D 相对应地要实现功能安全ASIL标准 最主要的工作就是 降低系统失效和随机性失效 其中 系统性失效 是可以根据长期的经营积累 和相关的标准 降低系统性失效 甚至说把系统性失效降低为0 但是对于随机性失效来说 这是不可控制的 因为随机性失效 是发生在随机时间的故障 可导致硬件降级 比如说逻辑门发生故障 或者(听不清)收到外部的干扰 导致一位或者几位的翻转 下面我们将以MCU 也就是微处理器为例 来讨论一下如何管理硬件随机性失效 以及如何根据功能安全要求 来估算失效率 要管理随机故障 需要执行的第一步 就是了解产品故障模式 和估算故障率 这涉及到是否有效执行 相应的功能安全标准 要求的危害分析和风险评估 开发人员必须确定 适用其系统的安全等级 和风险降低等级 (听不清) 然后,根据相应的(听不清)等级要求 开发人员需要进行相应的架构 有效性和随机硬件故障指标级 还需要具有相应的安全机制 也成为诊断 这些安全机制 应一致实施到能够实现 足够的风险降低水平 使用所要求的指标进行测量 并根据安全功能进行实现 下面 我们来举个例子 包含1兆flash 256k的SRAM 和一百万个逻辑门的MCU 具有两千五百万个晶体管 了解MCU的所有故障模式 和估算MCU的故障率 对于系统设置人员来说 是一项非常艰巨的任务 故障率通过故障时间或者FIT加以测量 一个FIT指器件在十的九次方 小时的工作时间内 发生一次故障的概率 假设路上有一百万辆汽车在行驶 平均每辆汽车每天行驶四个小时 那么 100个FIT 就相当于每年大约 发生150次事故的概率 这样就可以直观地了解 100个FIT的风险等级 因此 如果没有任何诊断的 安全功能的故障率是1000个FIT 那么为了实现要求故障率 最多为100个FIT的ACLC 需要实施诊断一遍 至少将故障率 降低为原来的十分之一 这就是对硬件随机性失效的管理 这一页我们主要介绍一下 MCU的市场模型和失效率 为了计算系统的故障率 需要分析具有诊断功能部件 和不具有诊断功能部件的故障率 由于MCU是 电子可编程系统中的关键组件 因此 了解其故障模式 故障率和相应的诊断功能 对于应用来说至关重要 每个器件存在永久随机故障 和瞬态随机故障 对于永久随机故障来说 存在不同的故障率数据源 比如说军用标准 西门子可抗性手册 MCU供应商提供的MTBF文件等等 TI主要遵循IEC62380标准 因为 可以通过对晶体管数量 内存位 温度 通电小时数 和封装效应进行建模 瞬态故障与宇宙射线 SRAM未翻转 或逻辑触发器状态变化等 瞬态干扰有关 我们的瞬态故障率数据 是从诺撒拉莫斯实验室 和TI的实验室中 新的器件实验中提取的 这一页我们主要介绍 功能安全标准的硬件评估指标 系统和子系统开发人员执行危害分析 和风险评估 以评估功能安全 终端产品系统应用要求的 风险降低等级 评估的结果是安全标准 例如 IEC1508 中所述的 安全管理数等级 ASIL分为1—4等级 最高等级是4 而ISO26262中的汽车安全完整性等级 ASIL分为A—D D是最高标准 这些标准定义了一些指标 这些指标用于 评估 降低各类风险的架构 安全机制的覆盖率 和故障发生的概率 然后使用这些指标衡量 安全目标的实现情况 比如 ISO26262里面的ASIL SPFM PMHF LFM 和IEC61508里面的ASIL SIL SFF PFH这些指标 其中 SPFM指的是单点故障指标 PMHF指的是 随机硬件故障的概率指标 LFM指的是潜在故障指标 而SFF指的是单点故障分数 是显示故障率下降的 架构有效性的比例指标 另外 PFH指的是每小时故障率 是显示整体风险降低等级的概率指标

接下来我们以微控器为例

来谈一下如何进行随机故障管理

要实现一个功能安全的系统

核心要务就是降低风险

也就是risk 包括初期产品的定义

安全目标的制定 文档的整理 元件的开发

系统验证 系统量产 甚至到系统报废

都需要满足功能安全的需求

根据风险控制要求

我们可以把功能安全要求分为

ADIL-A/B/C/D

相对应地要实现功能安全ASIL标准

最主要的工作就是

降低系统失效和随机性失效

其中 系统性失效

是可以根据长期的经营积累

和相关的标准

降低系统性失效

甚至说把系统性失效降低为0

但是对于随机性失效来说 这是不可控制的

因为随机性失效 是发生在随机时间的故障

可导致硬件降级

比如说逻辑门发生故障

或者(听不清)收到外部的干扰

导致一位或者几位的翻转

下面我们将以MCU 也就是微处理器为例

来讨论一下如何管理硬件随机性失效

以及如何根据功能安全要求 来估算失效率

要管理随机故障

需要执行的第一步 就是了解产品故障模式

和估算故障率

这涉及到是否有效执行 相应的功能安全标准

要求的危害分析和风险评估

开发人员必须确定 适用其系统的安全等级

和风险降低等级

(听不清)

然后,根据相应的(听不清)等级要求

开发人员需要进行相应的架构

有效性和随机硬件故障指标级

还需要具有相应的安全机制

也成为诊断

这些安全机制

应一致实施到能够实现 足够的风险降低水平

使用所要求的指标进行测量

并根据安全功能进行实现

下面 我们来举个例子

包含1兆flash 256k的SRAM 和一百万个逻辑门的MCU

具有两千五百万个晶体管

了解MCU的所有故障模式

和估算MCU的故障率

对于系统设置人员来说 是一项非常艰巨的任务

故障率通过故障时间或者FIT加以测量

一个FIT指器件在十的九次方 小时的工作时间内

发生一次故障的概率

假设路上有一百万辆汽车在行驶

平均每辆汽车每天行驶四个小时

那么 100个FIT

就相当于每年大约 发生150次事故的概率

这样就可以直观地了解 100个FIT的风险等级

因此 如果没有任何诊断的

安全功能的故障率是1000个FIT

那么为了实现要求故障率 最多为100个FIT的ACLC

需要实施诊断一遍 至少将故障率

降低为原来的十分之一

这就是对硬件随机性失效的管理

这一页我们主要介绍一下 MCU的市场模型和失效率

为了计算系统的故障率

需要分析具有诊断功能部件 和不具有诊断功能部件的故障率

由于MCU是 电子可编程系统中的关键组件

因此 了解其故障模式

故障率和相应的诊断功能

对于应用来说至关重要

每个器件存在永久随机故障

和瞬态随机故障

对于永久随机故障来说

存在不同的故障率数据源

比如说军用标准

西门子可抗性手册

MCU供应商提供的MTBF文件等等

TI主要遵循IEC62380标准

因为 可以通过对晶体管数量

内存位 温度 通电小时数 和封装效应进行建模

瞬态故障与宇宙射线

SRAM未翻转

或逻辑触发器状态变化等 瞬态干扰有关

我们的瞬态故障率数据

是从诺撒拉莫斯实验室 和TI的实验室中

新的器件实验中提取的

这一页我们主要介绍 功能安全标准的硬件评估指标

系统和子系统开发人员执行危害分析

和风险评估

以评估功能安全

终端产品系统应用要求的 风险降低等级

评估的结果是安全标准

例如 IEC1508 中所述的 安全管理数等级

ASIL分为1—4等级

最高等级是4

而ISO26262中的汽车安全完整性等级

ASIL分为A—D

D是最高标准

这些标准定义了一些指标

这些指标用于 评估 降低各类风险的架构

安全机制的覆盖率

和故障发生的概率

然后使用这些指标衡量 安全目标的实现情况

比如 ISO26262里面的ASIL

SPFM PMHF LFM

和IEC61508里面的ASIL

SIL SFF PFH这些指标

其中 SPFM指的是单点故障指标

PMHF指的是 随机硬件故障的概率指标

LFM指的是潜在故障指标

而SFF指的是单点故障分数

是显示故障率下降的 架构有效性的比例指标

另外 PFH指的是每小时故障率

是显示整体风险降低等级的概率指标

视频报错
手机看
扫码用手机观看
收藏本课程

视频简介

第二讲-硬件随机故障管理

所属课程:功能安全与TI 功能安全MCU方案介绍 发布时间:2016.11.11 视频集数:7 本节视频时长:00:06:07
本节视频介绍如何进行硬件随机故障管理, 并以MCU为例分析故障管理实例。
TI培训小程序